1 juli 2010
Websites hoeven niet ‘ondubbelzinnig’ toestemming te vragen voor het plaatsen van cookies, blijkt uit een aangepast wetsvoorstel. Het ministerie komt daarmee na forse kritiek de sector tegemoet. In het nieuwe – nog niet gepubliceerde – conceptwetsvoorstel is het woord ‘ondubbelzinnig’ verwijderd, zei Roman Volf, beleidsadviseur van Economische Zaken, vorige week op een seminar over ‘behavioral targeting’ in Den Haag, waar advocatenkantoor SOLV op zijn weblog verslag van doet. De regeling omtrent cookies is onderdeel van de voorgestelde wijziging van de Telecommunicatiewet, die medio 2011 in werking moet treden. De internetbranche had kritiek op deze woordkeuze. Het woord 'ondubbelzinnig', scherper geformuleerd dan de Europese richtlijn voorschrijft, duidt erop dat de wet geen mogelijkheid toelaat voor standaard toestemming geven via de browserinstellingen. Bedrijven die geld verdienen met online advertenties, en het profileren van internetgebruikers, zagen de gebruiksonvriendelijke pop-ups al voor zich.
Diverse belangengroepen kwamen in het geweer toen het voorstel dit voorjaar gepresenteerd werd. De strenge cookiewet zou websites ‘ronduit gebruiksonvriendelijk’ maken. Gesteld werd dat cookies onlosmakelijk verbonden zijn met de businessmodellen van internet, en dat door een ‘rigide handmatige opt-in implementatie’ veel internetgebruikers naar ‘gebruiksvriendelijke Amerikaanse sites’ zouden vluchten. Partijen werden via een consultatieronde uitgenodigd om een reactie te geven op de voorgestelde wijziging van de Telecommunicatiewet. In een officiële reactie stelden samenwerkende brancheorganisaties als alternatief een 'cookiezegel' voor, dat aangeeft dat de website cookies plaatst. ‘Als de gebruikers op de zegel klikken worden zij geïnformeerd over de cookies en hebben ze de mogelijkheid zich hiertegen te verzetten’. De Nederlandse wetgever week af van de nieuwe e-Privacyrichtlijn (2002/58/EG), die slechts ‘gewone’ voorafgaande toestemming voorschrijft. De Nederlandse wetgever had hier ondubbelzinnig toestemming van gemaakt. Ondubbelzinnige toestemming kan niet gegeven worden door middel van browserinstellingen. Een ander punt is hiermee echter niet opgelost. Volgens de tekst van de e-Privacyrichtlijn, en van het conceptwetsvoorstel, kan toestemming voor cookies gegeven worden door middel van browserinstellingen. Een vergelijkbare regeling ontbreekt echter voor het verstrekken van informatie. Betekent dit dat internetgebruikers eerst een pop-up met een cookiestatement te zien zullen krijgen voor zij (via hun browser) toestemming geven? Volgens de letter van de richtlijn en de conceptwet wel. Volgens Zwenne (Ubiversiteit Leiden) bleek uit de tekst van het conceptvoorstel dat de wetgever het niet mogelijk wilde maken om toestemming te geven via browserinstellingen. Wellicht zal er volgend jaar niet gehandhaafd worden met betrekking tot die informatieverstrekking. Ook nu al geldt in Nederland de eis dat van te voren informatie verstrekt moet worden als een website een cookie wil plaatsen. De voorgestelde wijziging vraagt echter ook de toestemming van de gebruiker, na te zijn voorzien van duidelijke en volledige informatie. Volgens voorgestelde overweging (66) mag zo’n toestemming ook worden verkregen door middel van de instellingen van de browser of andere toepassing. Dit geldt dus, vreemd genoeg, niet voor de informatie-verstrekking. De informatie verstrekking mag slechts achterwege blijven, indien strikt noodzakelijk voor het wettelijk doel, of om te zorgen voor de levering van de uitdrukkelijk gevraagde dienst van de informatiemaatschappij. Vrijwel geen enkele website doet dit, en voor zover ons bekend zijn websites hier nooit op aangesproken door toezichthouders. (Ter illustratie: ook websites van de overheid, zoals wetten.nl geven vaak geen informatie voordat cookies worden geïnstalleerd). Oftewel: voor de opslag van cookies of toegang tot opgeslagen cookies is de toestemming nodig van de gebruiker welke ook mag worden verkregen door middel van de instellingen van de browser of andere software. Voor het verkrijgen van die toestemming – al dan niet via standaardinstellingen – moet de gebruiker zijn voorzien van informatie, op een zo gebruiksvriendelijk mogelijke wijze. Het verstrekken van informatie hoeft niet indien de opslag van cookies of de toegang tot opgeslagen cookies strikt noodzakelijk is voor het wettelijk doel, of voor bijvoorbeeld een online bestel-procedure waar de gebruiker om heeft gevraagd.