Vijf misverstanden over de nieuwe cookiewet

27 juni 2011, 09:11

Vorige week is de “cookiewet” aangenomen in de Tweede Kamer. Rijkelijk laat, maar er was ook zó veel discussie over of en hoe er toestemming gevraagd moest worden voor het plaatsen van cookies. En ook nu de wet aangenomen is, blijft de controverse: hoewel de wet nu uitdrukkelijk toestemming eist, gaan de brancheorganisaties (onder meer DDMA, IAB en NUV) door met het cookie-icoon, dat webbezoekers informeert over het plaatsen van third party reclamecookies en hen de mogelijkheid biedt zich te registreren in een volg-me-niet register. Tijd dus om eens in detail te kijken naar het aangenomen wetsvoorstel en de praktische consequenties.

Vijf mythes en misverstanden over de nieuwe cookiewet:

  1. Toestemming moet in een popup bij het websitebezoek worden gevraagd.

    Deze mythe werd vaak als schrikbeeld gebruikt door marketeers om het principe van ‘ondubbelzinnige toestemming’ van tafel te krijgen. Ondubbelzinnige toestemming staat in de wet, maar toestemming hoeft niet per se expliciet via een ja/nee venster gevraagd te worden. Toestemming mag ook langs andere wegen verkregen worden, bijvoorbeeld via een profielpagina of op een centrale website. Ook browserinstellingen kunnen gebruikt worden om toestemming te geven, maar dan zullen browsers wel eerst een fijnmaziger systeem daarvoor moeten ontwikkelen. Het huidige “blokkeer alle cookies/sta alle cookies toe” systeem van de meeste browsers is onvoldoende.

  2. Toestemming moet per website worden gevraagd.

    Er is expliciet ruimte gelaten om collectief toestemming te vragen, wat met name van belang is voor third-party cookies van advertentienetwerken. Het is aan de sector zelf om dit slim te organiseren, aldus de Tweede Kamer. Essentieel is dat de toestemming ondubbelzinnig is, zoals bedoeld in de Wet bescherming persoonsgegevens. Er mag niet worden volstaan met een pure opt-out waar de gebruiker zelf naar op zoek moet. Dit biedt een sprankje hoop dat het cookie-icoon van de marketingbranche toch legaal is onder de cookiewet.

  3. Toestemming voor een cookie impliceert toestemming voor tracking en profiling.

    Ok, ik weet niet zeker of mensen dit echt denken maar de wet heeft hier een opmerkelijke kronkel. Oorspronkelijk was het plan om “ondubbelzinnige toestemming” te vragen voor het plaatsen van een cookie, maar dat bleek niet haalbaar. Er staat nu “toestemming” maar met een verwijzing naar de Wet bescherming persoonsgegevens, waardoor de toestemming indirect toch “ondubbelzinnig” moet zijn. Bovendien is toegevoegd dat er naast het plaatsen van cookies apart (uitdrukkelijke) toestemming moet worden gevraagd voor het aanmaken van profielen en dergelijke waarmee persoonsgegevens van gebruikers kunnen worden vergaard. Praktisch gezien moet de vraag dus niet zijn “Mag ik een cookie plaatsen” maar “Mag ik een cookie plaatsen en daarmee uw interesses bijhouden zodat ik op maat gesneden advertenties kan tonen”.

  4. Je moet ook toestemming vragen voor ‘onschuldige’ cookies.

    Toestemming is niet nodig voor cookies die als doel hebben communicatie mogelijk te maken of die noodzakelijk zijn om een dienst te leveren. Cookies die taalinstellingen onthouden, vastleggen dat je niet aan dat tevredenheidsonderzoek van 5 minuten mee wilt doen of je inlogsessie bewaren, vallen hier bijvoorbeeld onder. Ook cookies die gebruikt worden om een winkelwagentje mogelijk te maken, zijn ‘noodzakelijk’ en vereisen dus geen aparte toestemming.

  5. Deze wet geldt alleen voor cookies.

    Dit misverstand is ontstaan omdat cookies de praktisch meest gebruikte manier zijn om browsegedrag bij te houden. Maar de wet is generieker: elke vorm van opslaan van gegevens op de computer van een gebruiker vereist zijn toestemming. Ook Flashcookies, offline content, webtaps, spionagesoftware, dialers, toolbars en dergelijke meuk valt onder de nieuwe wet. Zolang deze onder de uitzondering van hierboven valt, is er weinig aan de hand. Wie een spelletje wil aanbieden dat de highscore of de plaatjes offline opslaat, hoeft geen toestemming te vragen want dergelijke opslag is noodzakelijk voor de dienst. Een browsertoolbar die doorgeeft welke sites je bezoekt en welke zoekopdrachten je opgeeft, zal wel toestemming moeten vragen, óók voor het profileren dat daarmee gaat gebeuren.

Het wetsvoorstel moet nog door de Eerste Kamer worden goedgekeurd, maar dat is waarschijnlijk een hamerstuk. En daarna wordt het spannend: gaan OPTA of Cbp boetes opleggen voor het niet naleven van het toestemmingsvereiste? Gaat Europa ons voor het Hof van Justitie slepen omdat onze wet te ver gaat? Ik ben benieuwd!

Arnoud Engelfriet is ICT-jurist, blogger en partner bij juridisch adviesbureau ICTRecht. Sinds 2001 beheert hij de site Iusmentis.com met meer dan 350 artikelen over internetrecht.

Categorie
Tags

10 Reacties

    Erik

    Krijg je bij punt 3 dan niet alsnog 2 vragen (of 2 vinkjes)?

    “Bovendien is toegevoegd dat er naast het plaatsen van cookies apart (uitdrukkelijke) toestemming moet worden gevraagd voor het aanmaken van profielen en dergelijke waarmee persoonsgegevens van gebruikers kunnen worden vergaard”

    Een voor het bijhouden van je gegevens en een voor het gebruik van die gegevens voor het opbouwen van een profiel.


    27 juni 2011 om 09:43
    Jochem Vroom

    Punt 1 wordt helemaal niet gebruikt door marketeers, het is de politiek die dit heeft gebruikt om ‘alle’ argumenten ineens onder de noemer ‘spookverhalen / meerdere pop-ups’ te weerleggen.

    Sanoma had zich daarbij niet moeten focussen op een pop-up demo maar meer over de gevolgen waarom Nederland op een wet als deze het braafste jongetje van heel de wereld moet zijn en hoeveel gevolgen dit zal hebben voor online marketing in NL / verplaatsing naar het buitenland, etc.

    Advertenties op basis van relevantie zijn helemaal niet erg, twee clicks verder in je browser en je kan alle cookies verwijderen en/of inprivate navigeren. Als je er last van hebt: Doen, heb je er geen last van lekker houden zo.


    27 juni 2011 om 09:58
    WebHel

    Kopje bij 4e punt is waarschijnlijk: Je hoeft **geen** toestemming te vragen voor ‘onschuldige’ cookies.


    27 juni 2011 om 10:11
    ArnoudEngelfriet

    @WebHel: Wat jij zegt is hoe het juridisch is, maar de kopjes zijn de misverstanden oftewel de kopjes zijn onjuist.


    27 juni 2011 om 10:12
    Erik

    @Arnoud: dan vraag je toch niet ‘expliciet’ en ‘apart’ toestemming?

    Het lijkt mij overigens ook, maar letterlijk zou je het dus apart moeten vragen.


    27 juni 2011 om 10:14
    Jochem Vroom

    @Arnoud Engelfriet, dat artikel dat je hebt gebruikt is van voor de laatste wijziging van D66, toen er nog wel gesproken werd over meerdere pop-ups per website. #1 kan je van je mythe lijst schrappen en als mythe van de PVV en PvdA aanvoeren.


    27 juni 2011 om 10:22
    ArnoudEngelfriet

    @Erik: ik bedoelde daarmee met name dat je het niet in je privacystatement mag verstoppen. Je moet expliciet vragen “mag dit” en dan ook nog eens zodanig specifiek dat duidelijk is wat je vraagt.

    Een zin als “Mogen wij uw gebruikerservaring verbeteren” zou dus niet genoeg zijn bijvoorbeeld. Geen idee hoe dat gaat gebeuren dan. “Mogen wij advertenties personaliseren” zou ook niet genoeg zijn omdat niet duidelijk is dat je dat met een cookie gaat doen.

    @jochemvroom: Ik laat het toch staan zoals het staat, met “Deze mythe werd vaak als schrikbeeld gebruikt” lijkt me duidelijk dat dit gaat om de historische discussie.


    27 juni 2011 om 10:44
    Phileas

    dat het cookie icoon zou voldoen aan ondubbelzinnige toestemming zou ik graag uitgelegd willen zien. opt-out is volgens mij niet hetzelfde als ondubbelzinnige toestemming, of laat een bepaalde interpretatie dit toe?

    verder ben ik benieuwd naar de werking van opt-out; wordt deze eveneens in een cookie opgeslagen, dan zou deze toestemming na een cookiedump (door veel virusscans, danwel handmatig) weer verloren gaan. weet iemand hoe dit zit?


    27 juni 2011 om 16:21
    mths

    En wat betekent dit voor Google Analytics? Ik kan dat niet herleiden tot één ip-adres of zo, maar zie alleen de cijfers van het aantal kliks, bezoekers, zoektermen, etc. Er is wel een profiel, maar (althans niet voor mij zichtbaar) individueel. Mag dat?


    10 mei 2012 om 16:59
    Arjan

    ..en wat voor bezoekerstellers (ook bijv. bij blogs)? Ik kan ip adressen een naam geven waardoor ik ze makkelijk kan herkennen – ala ah daar hebben we ‘Kees’ weer. Moet blogger dit gaan regelen of moet de bezoekersteller dit regelen of moet ik dit regelen of hoef ik me hier niet zo’n zorgen om te maken zolang ik geen reclame op m’n blog(s) heb..


    10 juli 2012 om 12:07

Marketingfacts. Elke dag vers. Mis niks!