Op een mooie pinksterdag (20 mei jl.), heeft minister Kamp (Economische Zaken) het wetsvoorstel gepresenteerd tot wijziging van artikel 11.7a Telecommunicatiewet of kortweg de cookiewet. Na het van kracht worden van dit voorstel wordt het mogelijk bijvoorbeeld analytics-cookies te gebruiken zonder dat de internetgebruiker daarover is geïnformeerd en daarin toestemt. Uit de toelichting bij het voorstel blijkt verder dat de minister voorstelt dat de impliciete toestemming een rechtsgeldige toestemming oplevert met het gebruik van cookies. Wij achten de voorstellen een stap in de goede richting om tot een gebruiksvriendelijke naleving van de cookiewet te komen. In dit artikel licht ik beide belangrijke voorstellen nader toe.
Waarom een wetsvoorstel tot wijziging van de cookiewet?
In februari van dit jaar meende de regering – samen met het bedrijfsleven en de Nederlandse consument – dat de cookiewet zijn doel voorbij was geschoten. De tot nu toe geldende cookiewet verplicht website-eigenaren om over het gebruik van vrijwel alle soorten cookies (uitgezonderd noodzakelijk en functionele cookies) informatie te verstrekken en de internetgebruiker om toestemming te vragen met dit gebruik. Deze verplichtingen leiden tot een wijdverspreid gebruik van lay-overs en pop-up screens. Een ongewenste situatie, aldus de regering.
Het probleem met de cookiewet is, aldus de regering, dat het onverkort van toepassing is op het gebruik van cookies, ook bij cookies waar vrijwel geen privacybelang mee gemoeid is. Denk bijvoorbeeld aan analytische cookie waarmee uitsluitend gebruiksstatistieken worden verzameld. Bij gebruik van dergelijke cookies is de impact op de privacy gering en het is voor de privacy van de internetgebruiker dan ook overbodig om toestemming te vragen voor het gebruik van analytische cookies. Met andere woorden, meer cookies moesten onder de uitzonderingen komen te vallen.
Nieuwe uitzonderingen: analytische cookies, affiliatecookies en a/b-testing cookies
Zoals bekend hoeft een website-eigenaar op dit moment geen toestemming te vragen of informatie te geven voor zogenaamde ‘functionele cookies’. Dit zijn cookies die (a) tot uitsluitend doel hebben de communicatie over het internet uit te voeren of (b) strikt noodzakelijk zijn om een door de internetgebruiker gevraagde (online)dienst te leveren.
Na het van kracht worden van het nieuwe wetsvoorstel wordt het lijstje met uitzonderingen uitgebreid met een derde categorie: namelijk, de cookie “die strikt noodzakelijk is […] – mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker – om informatie te verkrijgen over de kwaliteit en effectiviteit van een geleverde dienst van de informatiemaatschappij.”
Onder deze uitzondering vallen dan bijvoorbeeld de volgende cookies: first party en third party analytische cookies, affiliatecookies en a/b-testingcookies. De opsomming in het voorstel is niet uitputtend.
De uitbreiding van de uitzonderingen wordt gemotiveerd met de volgende gedachte: “het gebruik van cookies om informatie te verkrijgen over de kwaliteit en effectiviteit van de website is een gerechtvaardigd belang mits dit gebruik geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de internetgebruiker (naar analogie met artikel 8 onder f Wet bescherming persoonsgegevens)”. Een toestemming is dan niet vereist.
Ten aanzien van het gebruik van analytische cookies merkt de minister op dat om te voorkomen dat het gebruik van deze cookies meer dan geringe gevolgen heeft voor de privacy van de internetgebruiker dat:
- de cookies en de daarmee gegenereerde gegevens niet mogen worden gebruikt om bijvoorbeeld een profiel van de internetgebruiker op te stellen, ook niet door een eventuele derde waarmee de websitehouder de gegevens van de cookie deelt;
- de websitehouder die gebruikersgegevens uit de analytische cookie deelt met een derde aanvullende waarborgen moet treffen om de privacy-impact zo beperkt mogelijk te houden. De website-eigenaar moet daartoe een bewerkersovereenkomst sluiten met de derde. In deze overeenkomst moet worden afgesproken dat de derde de (gebruikers)gegevens niet voor eigen doeleinden gebruikt, of alleen voor afgebakende doeleinden die geen of geringe gevolgen hebben voor de levenssfeer van de internetgebruiker. Merkwaardig hierbij is dat de bewerkersovereenkomst een concept is uit de Wet bescherming persoonsgegevens en niet per se van toepassing op het gebruik van cookies. De minister lijkt te stellen dat het inschakelen van een third party voor het gebruik van analytische cookies zonder bewerkersovereenkomst onvoldoende waarborgen biedt en dat men in zo’n geval niet kan spreken van “geen of geringe gevolgen voor de persoonlijke levenssfeer”.
Impliciete toestemming
Waar het plaatsen en gebruik van cookies belangrijke gevolgen kan hebben voor de persoonlijke levenssfeer van de internetgebruiker (bijvoorbeeld bij tracking cookies), gelden de eisen van cookiewet onverkort: duidelijk en volledig informeren én toestemming vragen.
In de toelichting bij het wetvoorstel staat de minister uitvoering stil bij de interpretatie van het begrip ‘toestemming’. Deze toelichting telt vijf pagina’s van de zestien van het wetsvoorstel. Dit is opvallend omdat hetzelfde begrip toestemming al jaren bestaat, namelijk in de Wet bescherming persoonsgegevens en de spamregelgeving. Nog opvallender is het betoog van de minister waarin hij pleit voor de rechtsgeldigheid van de impliciete toestemming. Met een verwijzing naar een opinie van de artikel 29 Werkgroep (het adviesorganen waarin alle Europese Toezichthouders op het gebied van gegevensbescherming verzameld zijn), stelt de minister dat een rechtsgeldige toestemming ook afgeleid kan worden uit het gedrag van de bezoeker van een website. Dit is bijvoorbeeld het geval indien een websitebezoeker geconfronteerd wordt met de mededeling op een website dat er cookies geplaatst zullen worden en hij desondanks gewoon verder surft op deze website. Waar de ACM (voorheen OPTA) meende dat een dergelijke impliciete toestemming geen rechtsgeldige toestemming opleverde, meent de minister van wel. Een verwachte maar desalniettemin verrassende wending…
Consequenties voor de praktijk
Het voorstel heeft oog voor de praktijk. Veel meer cookies (o.a. analytische, affiliate- en a/b-testingcookies) zullen bij het van kracht worden van het voorstel onder de uitzonderingen vallen. Voor vele websites betekent dit dat niet langer een informatiebalk moet worden getoond en een toestemmingvraag moet worden gesteld. Het gevolg daarvan is dat vele websites, ten minste de toestemmingsvraag en/of informatiebalk, en in het bijzonder het cookiestatement kunnen aanpassen.
Let op bij het gebruik van Google Analytics! Ondernemingen die Google Analytics gebruiken moeten eerst nog eens goed naar de gebruiksvoorwaarden kijken om zich ervan te verzekeren dat het kan gelden als een “bewerkersovereenkomst” in zin die de minister bedoelde.
Maar voor de cookies die niet onder de uitzonderingen vallen, kan vanaf het van kracht worden van het voorstel een impliciete toestemming volstaan. Zo ligt het dan voor de hand om een pop-up te vervangen door een duidelijke informatiebalk met de mededeling dat verder gebruik van de website wordt beschouwd als toestemming met het gebruik van cookies. Let wel: de cookies mogen pas op dat moment worden geplaatst en niet al direct bij het eerste bezoek.
Al met al is het voorstel een stap in de richting van een gebruiksvriendelijke naleving van de cookiewet. Met deze oplossing doet de regering recht aan de privacybelangen van internetgebruikers enerzijds en de noodzaak van een werkbare regeling voor het bedrijfsleven anderzijds.
Wanneer wordt het voorstel van kracht?
Tot 1 juli staat het wijzigingsvoorstel op internetconsultatie.nl. Tot die datum kan iedereen reageren op de beoogde wijzigingen. De minister moet de Raad van State om advies vragen. Dit adviestraject zou parallel aan de internetconsultatie kunnen plaatsvinden. Verder zou de minister ook nog het College bescherming persoonsgegevens om advies moeten vragen, aangezien de wijziging betrekking heeft op de verwerking van persoonsgegevens. Echter, dit zou een formeel adviestraject kunnen zijn omdat het college bij de totstandkoming van het wetsvoorstel is betrokken.
Op basis van de reacties uitgebracht tijdens de consultatie en de adviezen, kan de minister dan besluiten om het voorstel (of de toelichting) aan te passen – of niet. Pas daarna zal het wetsvoorstel ingediend worden bij de Tweede Kamer. De parlementaire behandeling kan in principe binnen enkele maanden voltooid zijn, maar zou net zo goed nog een jaar in beslag kunnen nemen. Voorlopig gaan we er echter van uit dat het zo lang niet zal duren.
Credits afbeelding: Rego Korosi (CC)