-

De nieuwe cookiewet: waar staan we nu juridisch?

Met een cookie is het mogelijk bezoekers te herkennen en te volgen. Daarmee is gedragsafhankelijke of afgestemde reclame mogelijk, een nuttig mechanisme maar wel privacytechnisch lastig. Op dit moment geldt voor cookies een opt-out regime: bezoekers moeten worden geïnformeerd en ze kunnen het ontvangen van cookies weigeren. Een Europees wetsvoorstel wil hier verandering in brengen door een opt-in regime in te voeren, waarbij toestemming moet worden gegeven voordat (tracking) cookies mogen worden geïnstalleerd.

Met name in Nederland is er een heftig debat gaande over de cookiewet. Het eerste Nederlandse wetsvoorstel sprak namelijk van “ondubbelzinnige toestemming”, wat zorgde voor veel beroering. Met een dergelijke formulering zou eigenlijk alleen een dialoogvenster met “Dit cookie volgt uw surfgedrag. Wilt u dit installeren?” aan de wet voldoen. Het moge duidelijk zijn dat dat niet gaat werken en door niemand gewenst is.

Het huidige wetsvoorstel houdt het bij “toestemming”, en merkt daarbij op dat met de browserinstellingen die toestemming gegeven kan worden. Dat biedt dus mogelijkheden, zoals de DDMA signaleert:

Volgens de Wet Bescherming Persoonsgegevens kan je toestemming ook uitdrukken door gedrag. Dus door browserinstellingen. Mits een webbezoeker maar goed geïnformeerd is.

Het venijn zit hem echter in die browserinstellingen. De minister heeft al gezegd

In een situatie waarin de eindgebruiker op de website naar behoren wordt geïnformeerd omtrent de op de website aangeboden cookies, zou een browser die standaard zo is ingesteld dat hij geen cookies plaatst tenzij de gebruiker voor de specifieke website in de browser heeft aangegeven de cookies te accepteren, kunnen worden gebruikt om toestemming te verlenen. … Hierbij zij opgemerkt dat de meeste huidige browsers momenteel niet geschikt zijn voor het verlenen van toestemming.

Daarmee zijn we toch weer terug bij af: als de browser standaard “nee” zegt, moet de gebruiker dus elke keer om “ja” gevraagd worden. En hoe je dat gaat implementeren op een gebruikersvriendelijke manier, is een heel lastige vraag.

De DDMA beschrijft verder het model dat in Europees verband wordt gepromoot door de industrie. Door elke gedragsafhankelijke advertentie te koppelen aan een centrale opt-out pagina (met een universeel icoon) en mensen duidelijk voor te lichten, kunnen gebruikers eenvoudig kiezen waar ze prijs op stellen. Dit voorstel blijkt positief ontvangen te zijn door de Europese Commissie. Emerce ontdekte alvast de opt-out site die ook voor Nederland gebruikt gaat worden.

Er kleeft echter een groot nadeel aan dit model: het is toch weer gebaseerd op opt-out. Het is dus juridisch nog maar de vraag of dit legaal zal worden geacht als het wetsvoorstel in ongewijzigde vorm wordt doorgevoerd. Wij zouden niet weten hoe je een wet die opt-in eist, kunt naleven door een opt-out aan te bieden. Het opt-out mechanisme lijkt ons zeker sympathiek, daar niet van, maar een (Europese) wetswijziging lijkt wel noodzakelijk.

Het wetsvoorstel staat nu op de agenda van de Tweede Kamer. Hopelijk krijgen we dus binnenkort meer duidelijkheid.

*) Auteur Arnoud Engelfriet is partner bij ICTRecht. Hij is gespecialiseerd in complexe technisch/juridische ICT-vraagstukken en softwarelicenties (met name open source). Dit artikel verscheen op 17 maart op het weblog ICT Recht en is overgenomen volgens de geldende Creative Commons-voorwaarden.

Deel dit bericht

3 Reacties

Freek Hertsenberg

Het blijft een interessant vraagstuk. Mijns inziens ligt de focus echter te veel op cookies. Zeker als het gaat om on-site behavioural targeting. Stel er komt een wetgeving waarbij opt-in verplicht wordt gesteld. Hoe zit het dan met andere technieken om het gedrag op een website vast te leggen en te gebruiken? Het is bijvoorbeeld vrij eenvoudig om dit soort data met behulp van url-rewrite op sessie niveau op te slaan. Met andere woorden, zonder cookies kan je surfgedrag ook opslaan. Wat dat betreft ben je er nog niet met een cookiewet, tenzij deze ook ingaat op andere technieken waarmee privacygevoelige informatie wordt vastgelegd en ingezet.

Arnoud Engelfriet

Heel goed punt. De wet is breder geformuleerd dan alleen cookies, hoewel het wel gaat om technieken waarbij data op de PC van de computer wordt opgeslagen. Een puur server-side profilingtechniek valt buiten de “cookiewet”.

Wel moet voor het maken van persoonsgebonden profielen toestemming worden gevraagd op grond van de privacywet (Wet bescherming persoonsgegevens).

P.C

Wat is nou de echte toevoeging van deze wetgeving. Voor de implementatie van de e-Privacy wetgeving in de telecommunicatiewet was er al het regime van de Wbp, die nu ook nog geldt voor persoonlijke data. Hiervoor is volgens art. 8 ondubbelzinnige toestemming nodig. Volgens Working Party 29 is het plaatsen van cookies t.b.v. behavioural targeting een vorm van persoonlijke data. Dit ondanks dat het niet terug te leiden is tot een individu. Maar het is volgens de WP29 terug te leiden tot een groep (bv een groep die zoeken naar bepaald marktsegment) of terug te leiden naar een unieke computer (waar toch meerdere mensen op kunnen zitten). Er was dan toch al (ondubbelzinnige) toestemming nodig voor het plaatsen van zeer veel cookies (ook al wordt niet bijna niet gedaan in de praktijk). De cookies waarvoor het niet hoeft veroorzaken geen privacy schending of komen daar niet in de buurt. De reden voor het amandement in de e-privacy directive is toch meer privacy?? De Wbp was er toch al?

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond