Europa zwakt verplichte opt-in cookiewet af (update)

Europa laat zich op digitaal gebied weer eens van de goede kant zien. Chapeau! Prima voorstellen en ik hoop dat ieder land zich daaraan conformeert. Dat zou heel wat duidelijkheid scheppen. In dit land van Europa-sceptici (soms terecht) moet het mij van het hart dat op digitaal gebied vanuit Europa vaak de beste voorstellen komen (met dank aan Neelie Kroes die daar gewoon goed werk levert).

De opmerking over cookies klopt niet. De Verordening laat de Richtlijn voor e-privacy, waarop de cookieregels gebaseerd zijn, namelijk in stand. Door de uitbreiding van de definitie van persoonsgegevens naar individualiserende gegevens, gaan ook cookies in principe onder deze nieuwe Verordening vallen. De regels van de nieuwe Verordening komen dus bovenop de regels van de e-privacy Richtlijn. Echter, voor pseudoniemen, zoals bepaalde cookies, geldt dat niet aan verplichtingen van de Verordening hoeft te worden voldaan als daarvoor juist meer persoonsgegevens nodig zijn. Dat betekent dat cookies onder omstandigheden van (sommige) verplichtingen van de Verordening zijn vrijgesteld, maar dat de regels van de e-privacy Richtlijn – en dus ook van de Telecommunicatiewet – onverkort van toepassing blijven.
Verder was het zorgvuldig geweest, als er bij het recht op verwijdering zou zijn vermeld dat er uitzonderingen gelden, die in veel gevallen een beroep op dit recht juist doen stranden. Zo hoeven gegevens niet verwijderd te worden zolang een bedrijf voor de verwerking van die gegevens nog een legitiem doel heeft.

Dat de e-privacy richtlijn gewoon van kracht blijft, zoals Jeroen Terstegge hierboven toelicht, werd afgelopen vrijdag nog bevestigd in het debat tussen Albrecht en Pat Walshe. De laatste sprak daarover zijn zorg uit, vooral in relatie tot cookies. Het debat is terug te zien op de site van het Europees Parlement. Die zich trouwens zelf niet zoveel van de cookieregels lijkt aan te trekken.

Hoi Erwin, ik lees de ingediende petitie van Albrecht niet als een versoepeling: Profiling – MEPs set limits to profiling, a practice used to analyse or predict a person’s performance at work, economic situation, location, health or behaviour. Profiling would only be allowed subject to a person’s consent, when provided by law or when needed to pursue a contract. Furthermore, such a practice should not lead to discrimination or be based only on automated processing. Any person should have the right to object to any profiling measure, MEPs say.

UPDATE
De opt-in van de Telecommunicatiewet voor cookies blijft overeind, ook met de Verordening. Op dit moment wordt de uitleg hoe de opt-in er in de praktijk uit moet zien door minister Kamp aangepast. Die aanpassing zal in de praktijk leiden tot een versoepeling. De door Kamp voorgestelde uitleg wordt ondersteund door de eerder deze maand verschenen Opinie WP 208 van de Artikel 29 Werkgroep alsook door Overweging 25 van de Verordening. Dit betekent dat toestemming voor het plaatsen en uitlezen van cookies kan worden verkregen via een actieve handeling op de website (bijv. het aanklikken van een link) nadat de gebruiker over het gebruik van cookies is geïnformeerd.

UPDATE 2
De wijziging in artikel 20 (profiling) kan wellicht ook voor verwarring zorgen. Profiling wordt door het Europees Parlement verdeeld in drie categorieën:
1) Profiling is in het algemeen toegestaan, mits een legitiem belang. Betrokkenen hebben een opt-out;
2) Profiling die de belangen van de betrokkene significant raken, mogen alleen op basis van toestemming (opt-in), contract of wettelijke plicht;
3) Profiling op basis van bijzondere gegevens (etniciteit, gezondheid, etc) die leidt tot discriminatie is verboden.

Als je dit leest, lijkt het erop dat de regels voor profiling op basis van cookies wordt versoepeld, omdat de meeste cookies onder de eerste categorie zullen vallen. Maar niets is minder waar. Zoals gezegd blijft de opt-in eis van de e-Privacy Richtlijn/Telecommunicatiewet recht overeind. Dus de opt-out van artikel 20 Verordening moet je lezen in combinatie met artikel 11.7a Telecommunicatiewet.

Oftewel:
– Profiling op basis van cookies is toegestaan (art. 20 Verordening), mits de gebruiker toestemming heeft gegeven (art. 11.7a Telecomwet). Zie verder mijn vorige reacties.

On topic, wellicht relevant: persbericht van IAB Europa – http://www.iabeurope.eu/news/european-parliament-libe-committee-fails-europe-data-protect – Pseudonymous data – a method for collecting data in a way that protects the privacy of users – is now included in the draft Regulation but remains unworkable in its proposed form.

Dank voor je uitvoerige toelichting en verduidelijking, Jeroen. Dat stel ik samen met de lezers van Emerce.nl op prijs.

En jij ook voor, de update van IAB, Saskia.