Home > E-commerce > De nieuwe cookie-wet: geen gesneden koek!
De nieuwe cookie-wet: geen gesneden koek!

De nieuwe cookie-wet: geen gesneden koek!

De laatste tijd is het moeilijk te missen. Heel Nederland is in rep en roer over de nieuwe cookie-wetgeving. De politiek, het bedrijfsleven en brancheorganisaties hebben er een mening over. Tegenstrijdige berichten volgen elkaar in rap tempo op. Door de bomen kan de websitehouder het bos niet meer zien. In dit blog bericht daarom aandacht voor de precieze stand van zaken en de inhoud van de nieuwe wetgeving. Is het onder de nieuwe wetgeving eigenlijk wel nodig om telkens bij het plaatsen van cookies toestemming te vragen via bijvoorbeeld een popup?

In een eerder blog bericht op deze weblog is al uitgebreid stilgestaan bij de nieuwe richtlijn, die ook een wijziging voor de Nederlandse wet betekent. In dit bericht is aandacht geschonken aan de huidige wetgeving, de nieuwe wetgeving en de manier waarop in de praktijk met toestemming voor het plaatsen van cookies moet worden omgegaan alsmede het algemeen privacyrecht, dat ook bij het plaatsen van cookies een rol speelt.

Huidige Nederlandse wetgeving
Allereerst wijs ik graag een wijdverbreid misverstand (in de wereld geholpen door diverse nieuwsmedia) van de hand. Op dit moment is de nieuwe wetgeving nog steeds niet van kracht. De Eerste Kamer moet nog over het wetsvoorstel beslissen. Vooralsnog mogen cookies op grond van de Telecommunicatiewet (‘Tw’) alleen worden geplaatst “op voorwaarde dat de betrokken gebruiker voorzien wordt van duidelijke en volledige informatie (…) en het recht krijgt aangeboden (…) een dergelijke verwerking te weigeren“. Cookies mogen dus worden geplaatst, mits de gebruiker maar duidelijk wordt geïnformeerd en de cookies kan weigeren. Aangenomen wordt dat hieraan kan worden voldaan door de browserinstellingen te wijzigen.

In de huidige wet is een uitzondering opgenomen voor zover het gegevens betreft met als uitsluitend doel: ‘a. de communicatie over een elektronisch communicatienetwerk uit te voeren, of b. de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is.’ Deze uitzondering geldt aldus voor zogenaamde ‘functionele cookies’, die worden geplaatst en (technisch) noodzakelijk zijn om bijvoorbeeld bestellingen te kunnen plaatsen in een webwinkel.

Deze uitzondering blijft ook gelden onder de nieuwe wetgeving, zij het in iets andere bewoordingen.

Nieuwe Nederlandse wetgeving
Als gevolg van een wijziging van de ePrivacyrichtlijn moet ook de Nederlandse wet worden aangepast. In de gewijzigde richtlijn staat dat het plaatsen van cookies alleen is toegestaan “op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie“. Dit wijkt dus af van het systeem van de huidige wet. In de richtlijn is de voorafgaande toestemming dus nieuw.

Wat houdt deze toestemming precies in? In de herziene ePrivacyrichtlijn staat in de overwegingen dat die toestemming voor plaatsen van een cookie kan “worden uitgedrukt door gebruik te maken van de desbetreffende instellingen van een browser“. De Nederlandse wetgever heeft dit in het wetsvoorstel als volgt geformuleerd: ‘van de gebruiker toestemming te hebben verkregen voor de desbetreffende handeling’. In de toelichting stelt de Nederlandse wetgever voor de browserinstelling van de gebruiker bepalend te laten zijn voor de vraag of de gebruiker de vereiste toestemming voor het plaatsen en lezen van cookies heeft gegeven“.

Veel partijen kritisch
Naar aanleiding van het wetsvoorstel en de toelichting daarbij hebben veel partijen zich kritisch uitgelaten. Voor privacyvoorvechters ging het nog niet ver genoeg. Normaal gesproken is namelijk voor toestemming een actieve handeling vereist. Dit kan ook worden afgeleid uit artikel 11.1 onderdeel g Tw waarin staat dat onder toestemming in deze wet moet worden verstaan ‘toestemming als bedoeld in artikel 1, onderdeel i, Wet bescherming persoonsgegevens’. Dit betekent dat er bij het plaatsen van alle soorten cookies (met uitzondering van de cookies met het hiervoor genoemde doel, de First party cookies) in ieder geval sprake moet zijn van een ‘vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaart dat hem betreffende persoonsgegevens worden verwerkt‘. Met andere woorden: dat er cookies worden geplaatst op en gelezen worden van zijn computer.

Tegenstanders klaagden dat dit alleen maar leidt tot een ‘hausse’ aan pop-ups waarin toestemming wordt gevraagd voor het plaatsen van cookies.

De minister heeft in een Kamerdebat uitgelegd dat ten aanzien van browsers geldt dat huidige browsers, die vaak standaard zo zijn ingesteld dat zij alle cookies accepteren, niet geschikt zijn om deze toestemming te verlenen. Dit schept echter nog meer onduidelijkheid, want voldoen browsers die standaard cookies niet accepteren dan wel aan het toestemmingsvereiste uit het nieuwe wetsvoorstel? Daarmee is ook niet gezegd hoe moet worden omgegaan met de duidelijke informatieplicht die ook op grond van de Tw geldt. Nog steeds niet duidelijk is dus wat onder de toestemming in de Tw moet worden volstaan.

Gewijzigd wetsvoorstel
Als gevolg van deze commotie is het wetsvoorstel gewijzigd/verduidelijkt in een amendement. Dit amendement is uiteindelijk door de Tweede Kamer in iets gewijzigde vorm aangenomen. Hierdoor is het hiervoor genoemde wetsvoorstel gewijzigd in die zin dat bij de aanhef van het artikel expliciet wordt verwezen naar de Wet bescherming persoonsgegevens (‘Wbp’) en in het artikel het volgende is toegevoegd: ‘Een handeling als bedoeld in de aanhef, die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden, wordt vermoed een verwerking van persoonsgegevens te zijn, als bedoeld in artikel 1, onderdeel b, van de Wbp.’ De benadrukking daarvan in het amendement voorkomt dat de indruk ontstaat dat met het verkrijgen van toestemming voor het plaatsen of lezen van een cookie op grond van de Tw ook een grondslag oplevert voor de verwerking van de met deze cookie verzamelde persoonsgegevens in de zin van de Wbp, aldus de toelichting. Dat is uitdrukkelijk niet het geval, zo wordt opgemerkt in de toelichting. Deze toelichting kan ik echter niet plaatsen, want hiervoor hebben we namelijk gezien dat dat juist wel het geval is door de verwijzing naar de Wbp in artikel 11.1 g Tw.

Gevolgen gewijzigd wetsvoorstel
Ondanks dat de tekst van het wetsvoorstel is gewijzigd, is het maar de vraag of deze wijziging in de praktijk ook een verandering betekent. In beginsel niet, lijkt mij. Met de wijzigingen wordt alleen duidelijk dat los van de vereisten uit de Tw ook altijd nog aan de vereisten van de Wbp moet worden voldaan. Dat geldt mijn inziens nu echter ook al, omdat ook vóór de expliciete verwijzing daarnaar in het wetsvoorstel cookies al persoonsgegevens kunnen bevatten waarop de Wbp van toepassing is. Zij het dat het erop lijkt dat veel partijen zich niet realiseren wat de gevolgen van de vereisten uit de Wbp zijn. Door met de browserinstellingen te voldoen aan de vereisten uit de Tw voor het plaatsen van cookies (volgens de toelichting op het wetsvoorstel) wordt immers nog niet voldaan aan de (overige) vereisten uit de Wbp, zoals ook de minister zich lijkt te realiseren.

Het plaatsen van First party cookies voldoet mijns inziens aan art. 8 sub b Wbp (de verwerking is noodzakelijk voor de uitvoering van de overeenkomst). Deze cookies mogen mijns inziens dan ook worden geplaatst zonder uitdrukkelijke toestemming te vragen aan de betrokkene op grond van de Wbp. Dit komt ook tot uiting in de uitzondering in de Tw. Zij het, dat ook voor deze cookies moet worden voldaan aan de overige vereisten uit de Wbp, zoals het vooraf vermelden van de identiteit van de verwerker en de doelstellingen van de verwerking. 

Voor het plaatsen van Third party cookies kan de grondslag niet worden gevonden in art. 8 sub b Wbp. Mijn inziens is het geven van toestemming via de browserinstelling voor Third party cookies niet voldoende en zal bijvoorbeeld door een popup vooraf ondubbelzinnige toestemming moeten worden verleend conform art. 8 sub a Wbp. In deze popup kan ook worden voldaan aan de overige verplichtingen die gelden op grond van de Wbp. Zo zal uitdrukkelijk informatie moeten worden verstrekt over de identiteit van de cookieplaatser en de doelineden waarvoor hij de informatie uit de cookies wil gaan gebruiken. Zoals ook in de toelichting bij het gewijzigde amendement is aangegeven hoeft dit echter geenszins te betekenen dat de gebruiker van het Internet telkens wordt geconfronteerd met popups waarin zij ter vrije keuze al dan niet toestemming hoeven te geven. De toestemming hoeft slechts eenmalig verkregen te worden per cookieplaatser en dus niet bij elke handeling opnieuw.

Indien het wetsvoorstel door de Eerste Kamer wordt aangenomen zullen vele website houders hun werkwijze en website voor wat betreft het plaatsen van Third party cookies moeten wijzigen. In feite moeten zij dit echter nu al want ook nu is de Wbp van toepassing. Mijn inziens volledig terecht. De privacy van Internetgebruikers weegt zwaar in tijden dat websitehouders consumenten graag gerichte advertenties aanbieden of hun koopgedrag herleidbaar bijhouden om zo zelf meer winst te maken.

  • LinkedIn
  • Facebook
  • Twitter
  • Google Plus
  • del.icio.us
  • email
  • PDF
  • Print
Naar boven scrollen