NL EN
  • Home»
  • Weblog »
  • Update cookiewetgeving: pingpongen met het toestemmingsvereiste

Update cookiewetgeving: pingpongen met het toestemmingsvereiste

Afgelopen woensdag werd dan eindelijk de aanpassing van de Telecommunicatiewet behandeld in de Tweede Kamer. Deze aanpassing is een gevolg van wijzigingen van enkele Europese richtlijnen die al op 25 mei 2011 geïmplementeerd hadden moeten zijn in de Nederlandse wetgeving.

De twee meest besproken onderdelen van de aangepaste Telecommunicatiewet zijn netneutraliteit en de strengere regelgeving met betrekking tot het gebruik van cookies. Met name over dat laatste onderwerp hebben wij op deze website al heel veel geschreven. Hoe zit het ook alweer?

De vernieuwde Europese e-Privacy richtlijn bepaalt kort gezegd dat voordat een cookie wordt geplaatst in de randapparatuur van eindgebruikers, de plaatser van de cookie de gebruiker daarover moet informeren, en toestemming van die gebruiker moet hebben verkregen. Informed consent dus voordat de cookie wordt geplaatst. Dit regime is met name van belang voor cookies die worden ingezet om gericht te kunnen adverteren. Overweging 66 bij de e-Privacy richtlijn geeft aan dat toestemming eventueel ook via de browserinstellingen kan worden gegeven.

In de consultatieversie van de aangepaste Telecommunicatiewet heeft de Minister het vereiste van toestemming strikt geïnterpreteerd: de gebruiker zou ondubbelzinnige toestemming moeten geven voor het plaatsen van een cookie. Op die eis is veel kritiek gekomen waarbij de belangrijkste argumenten waren dat de Nederlandse wetgeving daarmee onnodig strenger zou zijn dan de richtlijn voorschrijft, en dat het bovendien een zeer gebruiksonvriendelijk resultaat zou hebben.

Naar aanleiding van die kritiek op het conceptwetsvoorstel is de eis van ondubbelzinnige toestemming in het definitieve wetsvoorstel komen te vervallen. Sterker, de Minister gaf zelfs aan dat browserinstellingen voldoende kunnen zijn om toestemming te geven, maar dat de huidige generatie browsers nog ongeschikt is. Voor zover er persoonsgegevens zouden worden verzameld via cookies, is ook de Wet bescherming persoonsgegevens van toepassing, aldus de Minister. Verder werd het belang van zelfregulering onderstreept en wees de Minister op de Europees brede branche initiatieven op dit punt.  

Al die tijd werd er in binnen- en buitenland druk gedebatteerd over de vraag hoe nu in de praktijk vorm moet worden gegeven aan de nieuwe cookie regels. Wel of geen browserinstelling? Wel of geen ondubbelzinnige toestemming? Opt-in of toch opt-out? Zelfregulering of niet?

De Tweede Kamer bleef ondanks de naderende deadline de behandeling van het wetsvoorstel uitstellen. Maar afgelopen woensdag was het dus eindelijk zover. Helaas heeft dat niet tot meer duidelijkheid geleid, integendeel. We lijken terug bij af te zijn. Leden Van Bemmel (PVV), Van Dam (PvdA) en Verhoeven (D66) hebben een amendement ingediend waarin simpelweg wordt voorgesteld ‘toestemming’ weer te vervangen door ondubbelzinnige toestemming. Terug naar het conceptwetsvoorstel dus, waarop zoveel kritiek is geweest. Het lijkt meer op pingpongen dan op een doorwrocht wetgevingsproces.

De indieners lichten toe dat het amendement tot doel heeft dat de betrokken gebruiker te allen tijde controle heeft en houdt over zijn gegevens. Klinkt nobel, maar hoe wordt dat met de verzwaarde eis van ondubbelzinnige toestemming bereikt? Moeten we als internetgebruikers straks iedere keer een pop-up accepteren, inclusief privacy voorwaarden, als er een cookie wordt geplaatst? Dat zijn er bij het bezoeken van een site als telegraaf.nl al zo’n 50. Verkrijgt de gebruiker daarmee daadwerkelijk meer controle? Of gaat de gebruiker van ellende alle pop-ups weg klikken (‘accepteren’) zonder iets te lezen, zodat hij eindelijk kan doen waarvoor hij naar de site is gegaan? Deze discussie is al uitgebreid gevoerd naar aanleiding van het conceptwetsvoorstel, maar moet nu blijkbaar opnieuw van stal worden gehaald.

De indieners gaan er blijkens de toelichting bij het amendement vanuit dat er altijd persoonsgegevens worden verzameld via cookies. Europese wetgeving schrijft al voor dat bij het verzamelen en verwerken van persoonsgegevens duidelijke voorafgaande toestemming moet worden gegeven, zo vervolgen de indieners.

Beide aannames zijn echter onjuist. Allereerst, als er al persoonsgegevens worden verwerkt, is toestemming niet de enige grondslag op basis waarvan dat eventueel is toegelaten. De wet kent nog vijf andere grondslagen. In dit verband is meest voor de hand liggende basis waarop persoonsgegevens mogen worden verwerkt, naast toestemming, het hebben van een gerechtvaardigd belang. Uiteraard zal van geval tot geval moeten worden beoordeeld of daarvan sprake is, maar het is dus geenszins zo dat het verkrijgen van toestemming altijd verplicht is als er persoonsgegevens worden verzameld.

Maar vanuit wettechnisch perspectief heb ik nog de meeste bezwaren tegen de gemakkelijke aanname dat er altijd persoonsgegevens worden verzameld. In de meeste gevallen is dat namelijk niet zo. Zo worden onder meer schermresolutie, besturingssysteem en browsertype opgeslagen. De gegevens die via cookies worden verzameld zijn bovendien anoniem, het IP-adres wordt in de meeste gevallen niet eens opgeslagen. De verzamelde informatie wordt anoniem geaggregeerd op basis waarvan generieke profielen worden opgebouwd. De internetgebruiker wordt bij een volgend bezoek aan een website niet herkend aan naam of IP-adres maar aan de cookie. Natuurlijk is het zo dat er een principieel debat kan worden gevoerd over de vraag of alle verzamelde informatie bij elkaar niet toch als persoonsgegevens kunnen worden gekwalificeerd, maar dat debat is in mijn ogen nog volop gaande en bepaald geen uitgemaakte zaak. 

Nog los van het feit dat er naast toestemming ook nog andere wettelijke grondslagen zijn op basis waarvan persoonsgegevens mogen worden verzameld, was het mijns inziens veel zuiverder geweest om het amendement zo te formuleren dat de eis van ondubbelzinnige toestemming alleen geldt voor zover er persoonsgegevens worden verzameld. Daarmee doe je recht aan de zorg van de indieners dat de privacy van internetters onder druk staat, en geef je ruimte aan het op dit moment nog niet uitgekristalliseerde debat over de vraag wat de reikwijdte van de Wet bescherming persoonsgegeven is. Hoe ver moeten wij gaan in het bestempelen van data als persoonsgegevens? Dat is een zeer principiële discussie en heeft ook gevolgen voor innovatieve technologieën en business modellen. De indieners van het amendement geven er geen blijk van dit te begrijpen en dat is jammer.

Hoe nu verder? Het amendement (met potentieel al minstens 64 stemmen voor) wordt aanstaande dinsdagochtend in de fracties besproken en gaat die middag in stemming. De lobby is ongetwijfeld al in volle gang!



PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.