OPTA’s nieuwe cookie-FAQ’s: weinig nieuws onder de zon
Reikhalzend werd uitgekeken naar de publicatie van de nieuwe ‘FAQ’s over de cookieregels’ van OPTA. In de vorige versie van de FAQ’s sprak OPTA van ‘nieuwe’ cookieregels, maar de cookieregels zijn ook volgens de toezichthouder niet meer nieuw. De tekst van de cookieregels is duidelijk maar is de toepassing ervan dan nu voor iedereen gesneden koek? Volgens mij niet en OPTA schenkt ook in deze FAQ’s geen klare wijn. Wat viel mij op bij het lezen van de antwoorden?
Update, 8 februari 2013, 18:30u: onderstaande video met uitleg toegevoegd.
1. Tot wie richt OPTA zich?
Het is OPTA bekend dat de markt zoekt naar antwoorden. Uit vragen als ‘waarom zie ik op het internet zoveel informatiebalkjes over cookies?’ leid ik af dat OPTA met de FAQ’s ook aan consumentenvoorlichting wil doen. Dat verbaast mij. Gelet op de onduidelijkheid waarmee de implementatie van de cookieregels –mede door de rol van OPTA – gepaard gaat, had het op de weg van OPTA gelegen om de markt nu een duidelijke leidraad te geven. Maar de gegeven antwoorden kenmerken zich nog steeds door vaagheid. Wat moet de markt nu? Verder ploeteren…
2. Cookieregels zijn van toepassing op ‘een ieder’
De cookieregels zijn van toepassing op ‘een ieder (…) die toegang wenst te verkrijgen tot gegevens opgeslagen in de randapparatuur van de gebruiker dan wel gegevens wenst op te slaan in de randapparatuur’. Simpelweg: ‘op iedereen die cookies opslaat of uitleest van een computer, mobiele telefoon of smartphone’. De OPTA bevestigt dat ‘een ieder’ letterlijk moet worden opgevat: de cookieregels gelden zowel voor Nederlandse websites als buitenlandse websites. OPTA verduidelijkt dat hierbij geen onderscheid wordt gemaakt in domeinen (.nl/.eu/.com/.net/etc.), in welke taal de website is geschreven of welke doelgroep de website beoogt te bereiken. Kortom, Amerikaanse, Engelse en Japanse websites: maakt je borst maar nat voor de Nederlandse ‘super-extraterritoriale’ cookiewetgeving.
Waar de OPTA het stilzwijgen over bewaart, is of OPTA wel steeds bevoegd zal zijn om op te treden tegen alle buitenlandse websites. Die vraag laat OPTA onbeantwoord.
3. ‘Another brick in the cookie wall’?
In de tweede versie van de FAQ’s was ‘eenvoudig’ te lezen dat het voor een website niet verplicht is om een gebruiker toegang te geven en dat die toegang afhankelijk kon worden gemaakt van het accepteren van cookies. Met andere woorden, de markt is ervan uitgegaan dat een zogenaamde ‘cookie wall’ (een alles-of niets variant) geaccepteerd werd door OPTA.
Vorige week tijdens de DDMA iLounge 2.0 bijeenkomst, leek de heer Hummelen (plaatsvervangend afdelingshoofd Consumenten, Nummers en Bestuur van OPTA) al op dit uitgangspunt terug te komen. De verrassing is dan ook niet groot nu OPTA de ‘cookie wall’ niet zonder meer lijkt te accepteren. OPTA verbiedt een cookie wall niet. Maar OPTA vindt dat een cookie wall waarbij gebruikers alleen maar toegang krijgen indien zij alle cookies moeten accepteren, de gebruiker in zijn keuze beperkt.
Daaruit leid ik af dat OPTA twijfelt aan ‘het in vrijheid gegeven’ karakter van de toestemming. Ook dit antwoord is weer zo cryptisch dat ik mij afvraag wat de markt nu moet? OPTA en CBP moeten hierover klare wijn schenken en gezamenlijk oordelen of zij een ‘cookie wall’ wel of niet vinden kunnen. En zo ja, onder welke voorwaarden.
4. Implied consent levert nog steeds geen toestemming op
Veel hoop was gevestigd op een mogelijk voornemen van OPTA (net zoals de Engelse ICO) om implied consent mogelijk te accepteren, weliswaar onder bepaalde voorwaarden. Met implied consent wordt het indirect toestemmen met het cookiegebruik bedoeld. Opmerkelijk is dat OPTA het begrip ‘implied consent’ schrapt in de FAQ’s maar de mening van OPTA over ‘implied consent’ blijft ongewijzigd.
OPTA herhaalt dat een rechtsgeldige toestemming van de gebruiker een handeling vereist tot het geven van toestemming. En verder herhaalt OPTA: “Indien de gebruiker de keuze heeft tot het geven van toestemming, maar geen keuze heeft gemaakt, kan daaruit niet zonder meer worden afgeleid dat de gebruiker toestemming heeft gegeven.” Dus niets geen implied consent. Integendeel, OPTA creëert wederom verwarring.
5. Website-eigenaar: primair verantwoordelijk
De cookieregels richten zich dus tot ‘een ieder’. Je zou dan veronderstellen dat degene die de cookies plaatst, dan wel uitleest, verantwoordelijk is voor de naleving van de cookieregels. Bij het lezen van de FAQ’s kan ik mij niet aan de indruk onttrekken dat OPTA de website-eigenaar primair verantwoordelijk zal worden gehouden door OPTA voor de naleving van de cookieregels. Ook ten aanzien van alle cookies die website-eigenaren níet zelf plaatsen of uitlezen.
Ten aanzien van de naleving van de informatieplicht, herhaalt OPTA het volgende. Het is aan de website-eigenaar die via zijn website toestaat dat derden gegevens plaatsen op de randapparatuur van de gebruikers, ook voor wat betreft deze derden te voldoen aan de informatieplicht neergelegd in de cookieregels. OPTA is wederom coulant en de website-eigenaar kan ermee volstaan, te verwijzen naar de informatie van deze derden.
Ten aanzien van de toestemmingseis merkt OPTA het volgende op: “Het is aan de partijen – de website-eigenaar en de derden – om te bepalen of er meerdere malen om toestemming wordt gevraagd of dat de website ervoor kiest om ook namens de derde partijen om toestemming te vragen. Verder kan de website-eigenaar zich niet aan zijn verantwoordelijkheid onttrekken om te voorkomen dat derde partijen via zijn website zonder toestemming gegevens plaatsen of uitlezen.”
De vraag is hoe OPTA het niet-naleven van de cookieregels door derden zal gaan toerekenen aan de website-eigenaren.
6. Aantal nieuwe antwoorden
Tot slot heeft OPTA een aantal nieuwe vragen opgenomen:
-
De cookieregels zijn niet van toepassing bij intranet. OPTA verduidelijkt dat het intranet niet valt onder het begrip van een ‘openbare elektronische communicatiedienst’ in de zin van de Telecommunicatiewet. Bij toepassing van het intranet om cookies te plaatsen dan wel uit te lezen, hoeft men dus volgens OPTA geen rekening te houden met de cookieregels.
-
Load-balancing cookies: een uitzondering. De OPTA ‘herhaalt’ dat load balancing cookies vallen onder de uitzonderingen van artikel 11.7a, derde lid, Telecommunicatiewet. De Artikel 29 Werkgroep (het adviesorgaan waarin alle toezichthouders op het gebied van gegevensbescherming zetelen) had al in juni 2012 uitgemaakt dat deze cookies onder de uitzonderingen vielen omdat deze cookies tot uitsluitend doel hebben communicatie over een elektronisch communicatienetwerk (simpelweg: het internet) uit te voeren. Waarom OPTA beslist om juist deze uitzondering uit de opinie van Artikel 29 Werkgroep te benoemen en de andere uitzonderingen onbesproken laat, is mij een raadsel. Reageert OPTA zo direct op de signalen uit de markt?
-
De cookieregels zijn niet van toepassing op serverloganalyse. Ook de prangende vraag of de cookieregels van toepassing zijn op serverloganalyse laat OPTA niet onbeantwoord alhoewel OPTA hier een cryptisch antwoord geeft. Nee, de cookieregels zijn niet van toepassing op de door de gebruiker bij het initieel websiteverzoek (http request) gestuurde informatie. Maar alle gegevens die na dit initiële verzoek worden geplaatst dan wel uitgelezen, vallen wel onder de cookieregels. OPTA verduidelijkt dat het initiële request het opgevraagde adres, het opvragende IP-adres, user agents en soortgelijke beperkte gegevens kan bevatten en benadrukt dat deze met de browser meegestuurde informatie persoonsgegevens kunnen bevatten, waarop de Wet bescherming persoonsgegevens van toepassing is. Wees gewaarschuwd!
Conclusie
Ondanks de toevoeging van enkele nieuwe vragen, is mijn algemene indruk dat OPTA heeft gekozen voor oude wijn in nieuwe zakken: weinig prangende vragen zijn beantwoord en meer verwarring is ontstaan. An easy way out voor OPTA en de markt staat – wederom – met lege handen.
Credits afbeelding: Hello Turkey Toe (CC)
Toen het nieuws kwam dat de cookiewetgeving zou worden aangepast, was er sprake van dat er een uitzondering zou komen voor Analytics cookies en dan natuurlijk in het bijzonder voor Google Analytics.
Hier lees ik echter niets over terug. Kunnen deze cookies nu zonder toestemming geplaatst worden?
Ik vind de OPTA op veel punten helemaal niet zo verwarrend. Bij punt 2: ook buitenlandse site moet zich aan onze wetgeving houden voor Nederlandse bezoekers. Of dat te handhaven is, is niet relevant. Ze moeten het wel.
Het antwoord over de cookiewall is ook kristalhelder: het is niet wenselijk, maar in principe mag het wel. Uitzondering voor bijvoorbeeld de publieke omroepen en andere door belastingen gefinancierde sites worden helaas niet genoemd.
Hoezo verwarring over implied consent? Het is gewoonweg niet voldoende. Geen toestemming is geen toestemming en zwijgen is nog steeds geen toestemming. Of je hier zelf moeite mee hebt is niet relevant, de regels zijn duidelijk.
Ook over verantwoordelijkheid is de OPTA duidelijk. De eigenaar van de website is verantwoordelijk. Het is prima als de derde partij toestemming verkrijgt, als er maar toestemming is verkregen. Linksom of rechtsom. Duidelijk toch?
Dat de markt hier eigenlijk niets mee kan omdat de regelgeving te absurd voor woorden is, is een compleet andere discussie. Daar kan de OPTA verder niets aan doen, daar moet de wet voor worden aangepast.
Het gebruik van first party analytical cookies wordt waarschijnlijk uitgezonderd van de toestemmingsvereiste. OPTA en CBP zijn de voorwaarden aan het uitwerken waaronder deze uitzondering zou gaan gelden. Minister Kamp informeerde de Tweede Kamer op 5 februari dat er aan een strucuturele oplossing wordt gewerkt (en mogelijk een wetswijziging). Op dit moment kunnen de analytical cookies nog niet zonder toestemming worden geplaatst.
Gerelateerde artikelen
Marketingfacts. Elke dag vers. Mis niks!
Marketingfacts. Elke dag vers. Mis niks!