
Het nieuwe artikel 5 lid 3 e-Privacyrichtlijn eist voor het plaatsen van een cookie de toestemming van de gebruiker, na te zijn voorzien van duidelijke en volledige informatie over onder meer de doeleinden van de verwerking.
Toestemming
Om een cookie te plaatsen is dus de toestemming van de gebruiker nodig. Uit de preambule bij de gewijzigde richtlijn blijkt dat de toestemming door de gebruiker ook kan worden gegeven via de instellingen van de browser of een andere toepassing. Blijkbaar wordt in de ogen van de Commissie daarmee ook voldaan aan de eisen inzake toestemming die gelden op grond van de algemene Privacyrichtlijn (95/46/EC). Op grond van die richtlijn moet er in ieder geval sprake zijn van een vrije, specifieke en op informatie berustende wilsuiting. Concreet lijkt dit te betekenen dat wanneer de browser van de gebruiker zo staat ingesteld dat het plaatsen van een cookie wordt geaccepteerd, daarmee voldaan is aan het toestemmingsvereiste.
Standaard accepteren vrijwel alle browsers cookies automatisch. Een gebruiker moet dus actief de instellingen wijzigen om er voor te zorgen dat cookies worden geweigerd. Veel gebruikers zijn zich echter niet bewust van de instellingen van hun browser of hoe deze kunnen worden aangepast. Het is derhalve de vraag of het (niet) wijzigen van instellingen van een browser wel gezien kan worden als een vrije en specifieke wilsuiting van een gebruiker. Als de Europese wetgever meent dat dit het geval is, kan dat verstrekkende consequenties hebben voor de uitleg van het toestemmingsbegrip onder de algemene privacywetgeving. Hiermee zou het toestemmingsvereiste een lege huls worden. Of het zover komt zal nu eerst afhangen van de Nederlandse wetgever die de gewijzigde richtlijn dient te implementeren en het toestemmingsbegrip dient in te vullen.
Informatie
Volgens het tweede vereiste zal voorafgaand aan het verzoek om toestemming de gebruiker van bepaalde informatie moeten zijn voorzien. Deze informatievoorziening dient duidelijk en volledig te zijn en moet ook op een zo gebruikersvriendelijk mogelijke wijze plaatsvinden. Er lijkt dus te worden geëist dat bij het eerste bezoek aan een website eerst een pop-up of lead-in pagina wordt getoond om te voldoen aan het informatievereiste, alvorens toestemming te verkrijgen via de browserinstellingen. Dit is in de praktijk een weinig werkbare en bijzonder gebruikersonvriendelijke werkwijze.
De vraag is hoe websites op een gebruikersvriendelijke manier invulling kunnen geven aan de toestemming- en informatieplicht. Het lijkt aannemelijk dat de huidige praktijk aangepast dient te worden en dat niet langer kan worden volstaan met het informeren van de gebruiker over cookies via het privacy statement. De toekomst zal moeten uitwijzen hoe de nieuwe regelgeving zal worden geïmplementeerd in Nederland en hoe de toezichthouder en de beheerders van websites daar vervolgens mee om zullen gaan.
Dit alles neemt niet weg dat cookies de persoonlijke levenssfeer van veelal onbewuste gebruikers kunnen schenden. Het zou van visie getuigen als de Nederlandse wetgever zich hier rekenschap van geeft en komt met een systeem waarmee de voordelen van cookies behouden kunnen blijven terwijl de risico’s worden beperkt. Het ligt voor de hand dat dan vooral wordt gezocht naar mogelijkheden om de koppeling tussen de cookie en een geïdentificeerde gebruiker te voorkomen.
Zie hier voor een meer uitgebreide bespreking van de nieuwe regelgeving.