NL EN
  • Home»
  • Weblog »
  • Wetsvoorstel: browsertoestemming voor tracking cookies voldoet

Wetsvoorstel: browsertoestemming voor tracking cookies voldoet

[ update: wetsteksten zijn aangepast. Zie bericht van 11 november ]

 

Het wetsvoorstel voor de aanpassing van de Telecommunicatiewet is woensdag 3 november aan de Tweede Kamer gestuurd door Minister Verhagen. Een onderwerp dat veel stof heeft doen opwaaien is de regeling ten aanzien van cookies. In het eerste concept van het wetsvoorstel werd ‘ondubbelzinnige toestemming’ geëist voordat bepaalde cookies (voornamelijk tracking cookies) geplaatst mogen worden.

 

Al eerder bleek dat het conceptwetsvoorstel aangepast zou worden. Nu is het wetsvoorstel openbaar: het woord ‘ondubbelzinnig’ is geschrapt en men kan toestemming geven voor cookies door middel van browserinstellingen.

 

Overigens hoeft voor cookies die nodig zijn voor bijvoorbeeld een winkelwagentje geen toestemming gevraagd te worden. Daar was ook nooit sprake van, ook niet in de Europese richtlijn. (Zie lid 3 van artikel 11.7a. hieronder.)

 

 

Het relevante artikel luidt als volgt:

 

Artikel 11.7a

 

1. Een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker, dient: 

 

a. de gebruiker duidelijke en volledige informatie te verstrekken overeenkomstig de Wet bescherming persoonsgegevens, en in ieder geval omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en

 

b. van de gebruiker toestemming te hebben verkregen voor de desbetreffende handeling. (…)

           

3. Het bepaalde in het eerste en tweede lid is niet van toepassing, voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel:

 

a. de communicatie over een elektronisch communicatienetwerk uit te voeren, of

[cookies die bijvoorbeeld nodig zijn om in te loggen bij een online bank, FZB]

 

b. de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is.

 

[cookies voor bijvoorbeeld een winkelwagentje, FZB]

 

 

In de Memorie van Toelichting wordt expliciet aangegeven dat browsertoestemming mogelijk is.

 

“Bij de totstandkoming van de Richtlijn burgerrechten is veel debat geweest over de wijze waarop de toestemming moet worden gegeven. Het is vanuit het perspectief van de werking van het internet en het gebruiksgemak van de eindgebruiker niet praktisch om bij ieder bezoek van een site waarbij een cookie wordt geplaatst die niet onder de uitzondering in het derde lid valt de gebruiker te confronteren met een scherm waarop deze uitdrukkelijk om toestemming wordt gevraagd alvorens de site wordt geopend. Vandaar dat in de overweging 66 bij de Richtlijnburgerrechten is aangegeven dat “wanneer dit technisch mogelijk en doeltreffend is (…) overeenkomstig de desbetreffende bepalingen van richtlijn 95/46/EG [de Algemene privacyrichtlijn, red.], de toestemming van de gebruikers met verwerking” kan “worden uitgedrukt door gebruik te maken van de desbetreffende instelling van de browser of andere toepassing”. De toestemming wordt geacht te zijn verkregen indien de op de randapparatuur gebruikte programmatuur (zoals de

browser) zo is ingesteld dat deze automatisch de aangeboden cookies van dat domein opslaat en toegang daartoe verleent. Voorwaarde is wel dat aan de informatieverplichting wordt voldaan, zodat de gebruiker, ook als deze de browser op automatisch accepteren van cookies heeft ingesteld, indien hij bezwaar heeft tegen de doeleinden waarvoor de cookies worden verwerkt eventueel achteraf kan beslissen de cookies van zijn computer te verwijderen en zijn browserinstellingen aan te passen.” (onderstreping FZB)

 

De woorden “de aangeboden cookies van dat domein” zijn wat verwarrend. Tracking cookies die gebruikt worden voor behavioural targeting zijn doorgaans niet afkomstig van het domein van de website die men bezoekt. Zulke cookies, die niet afkomstig zijn van de exploitant van een website die men bezoekt, worden wel third party cookies genoemd. De meeste discussie ging tot nu toe juist over zulke third party cookies. Waarschijnlijk hoeft immers voor veel first party cookies geen toestemming verkregen te worden, omdat zij onder de uitzonderingen van lid 3 vallen. Hieronder blijkt dat de minister bedoelt dat browsertoestemming ook voldoende is voor (tracking) cookies. De minister schrijft:

 

“Vaak gaat het dan om cookies die worden geplaatst en gelezen door een ander dan de door gebruiker gekozen site (domein), en die bedoeld zijn om gegevens te verzamelen over het surfgedrag van de gebruiker. Deze gegevens kunnen vervolgens worden gebruikt voor marketingdoeleinden. Een dergelijke handelwijze is toegestaan mits de gebruiker over deze doeleinden is geïnformeerd en hiervoor toestemming van de gebruiker is verkregen overeenkomstig het eerste lid.”

 

Hoewel de richtlijn voorafgaande informatieverstrekking voorschrijft (ook bij browsertoestemming), kan informatie volgens de minister ook achteraf verstrekt worden:

 

“In beginsel moet de informatie bedoeld in het eerste lid verstrekt worden voorafgaand aan het opslaan van gegevens of het verlenen van toegang daartoe. Immers, de gebruiker moet zijn beslissing over het geven van toestemming hierop kunnen baseren. Indien de programmatuur op de randapparatuur zo is ingesteld, dat de programmatuur automatisch de aangeboden gegevens opslaat in de randapparatuur, is het in de meeste gevallen echter nauwelijks mogelijk de in het eerste lid, onderdeel a, voorafgaand aan de opslag of het verlenen van toegang, bedoelde informatie te verstrekken. In die gevallen mag de informatie gelijktijdig met of na afloop van het opslaan van de gegevens, of het verlenen van toegang daartoe, worden verstrekt. De gebruiker kan dan op basis van de verstrekte informatie besluiten de instellingen van zijn programmatuur (zoals privacyinstellingen van browsers) te veranderen en/of de geplaatste gegevens te verwijderen.” (onderstreping FZB)

 

Bij het wetsvoorstel zit een reactie van de Minister op het advies van de Raad van State over het wetsvoorstel.

 

“De stelling van de Afdeling [van de Raad van State, FZB] dat er aanleiding is om nadere regels te stellen omtrent de wijze waarop de toestemming als bedoeld in artikel 11.7a, eerste lid onderdeel b, wordt verkregen wordt in beginsel door mij onderschreven. Wel vind ik het van belang eerst de resultaten van de inspanningen van de Europese Commissie op dit punt af te wachten. De Commissie heeft initiatieven ontplooid om, binnen de grenzen van richtlijn 2002/58/EG, samen met het bedrijfsleven te komen tot een EU brede invulling van het toestemmingsvereiste. Het is raadzaam de uitkomst hiervan af te wachten en alsdan te bezien of nadere regels nodig zijn. In de toelichting is hieraan aandacht geschonken. Naar aanleiding van de opmerking van de Afdeling dat in de toelichting aandacht dient te worden besteed aan de kritische kanttekeningen van de Artikel 29 werkgroep ten aanzien van het verlenen van toestemming door middel van de instellingen van de gebruikte programmatuur (browser) is de toelichting aangepast. In de toelichting wordt nu aangegeven dat niet iedere browser geschikt is om toestemming te verlenen voor het lezen of plaatsen van informatie op de eindapparatuur van een gebruiker. Conform het advies is artikel 11.7a, vierde lid, aangepast waardoor nadere regels omtrent de hiervoor genoemde toestemming niet langer bij ministeriële regeling maar bij algemene maatregel van bestuur dienen te worden gesteld.” (onderstreping FZB)

 

Uit dit citaat blijkt dat de Raad van State kennis heeft genomen van de mening van de Artikel 29 Werkgroep, het advies- en overlegorgaan van Europese privacytoezichthouders. De Werkgroep is uitgesproken tegen het accepteren van browsertoestemming. Zij is van mening dat browsertoestemming moeilijk serieus genomen kan worden, nu de meeste consumenten nooit aan de standaardinstellingen van hun software sleutelen.

 

Het is mij niet helemaal duidelijk welke ‘EU brede invulling van het toestemmingsvereiste’ de minister bedoelt. Als de minister doelt op de gesprekken tussen lidstaten, de Europese Commissie, de Artikel 29 Werkgroep en de marketingbranche, laat een oplossing waarschijnlijk nog wel even op zich wachten. Een aantal lidstaten is samen met de Artikel 29 Werkgroep van mening dat browsertoestemming niet voldoet. Een aantal andere lidstaten vindt echter dat browsertoestemming wel voldoende is. (In het kader van de update van de Algemene Privacyrichtlijn is er overigens ook discussie over hoe men toestemming moet geven op het internet. Deze discussie kan echter nog jaren duren.)

 

Tot slot een korte samenvatting. In de meeste gevallen is het opt-in systeem dat artikel 5 lid 3 van de Richtlijn voorschrijft, in Nederland een opt-out systeem geworden. Volgens de minister mag informatie in de praktijk vaak na het plaatsen van een cookie verstrekt worden. Hij meent dat de Nederlandse wetgever hier de ruimte voor heeft op grond van overweging 66 bij de Richtlijn Burgerrechten.

 

Wat gaat er nu gebeuren?

 

Het is nog wat te vroeg voor de marketingbranche om te juichen. De Tweede Kamer kan nog veranderingen voorstellen voor de wet. In ieder geval zal de wet waarschijnlijk niet ingaan voor 25 mei 2011. Op die datum dienen de lidstaten de Europese richtlijn geimplementeerd te hebben.

 

 

BRON: Rijksoverheid


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.