Streng! De Nederlandse cookiewet in Europees perspectief
Tenzij je onder een steen bivakkeerde, zal het je niet ontgaan zijn: 5 juni jl. trad de nieuwe cookiewet in werking. Dit betekent dat de webbezoeker vanaf nu duidelijk geïnformeerd moet worden als de website een cookie plaatst en dat hij hiervoor zijn toestemming moet geven. De industrie staat op zijn kop. Het is een ‘onwerkbare wet’ en we vragen ons collectief af of 'Den Haag' wel weet waar ze over praat. Den Haag daarentegen, stelt dat de wetgeving in de kern niet afwijkt van de regels die Europa alle lidstaten heeft opgelegd. Wie heeft er gelijk? Het klopt inderdaad dat de wettekst niet afwijkt van de Europese Richtlijn. Maar onze implementatie doet dat wel, omdat de Nederlandse overheid zich op het standpunt heeft gesteld dat toestemming niet gevraagd mag worden via de huidige browsers. Daarnaast is ‘stilzwijgende toestemming’ onvoldoende, waarmee Nederland opnieuw het braafste jongetje van de klas is.
Deze gastblog is geschreven door Jitty van Doodewaerd en Henk Bultena van DDMA.
Toeters en bellen
De Nederlandse wettelijke bepaling over het informeren van de gebruiker en het vragen van toestemming voor het plaatsten van een cookie wijkt inderdaad niet af van de materiële bepaling in de Europese ePrivacy Richtlijn. Hierin staat ook dat het opslaan van informatie op randapparatuur van een gebruiker en uitlezen van informatie op randapparatuur van een gebruiker alleen mag als:
-
de gebruiker hierover helder geïnformeerd is en
-
hiervoor toestemming heeft gegeven.
Maar onze Tweede Kamer heeft bij de behandeling van de cookiewet extra eisen gesteld waaraan de te verkrijgen toestemming moet voldoen. De Kamer vindt dat met de huidige browsers geen toestemming kan worden gegeven voor het plaatsen van cookies, ondanks het feit dat de Richtlijn browserinstellingen duidelijk benoemt als legitieme manier om toestemming te krijgen. En door deze interpretatie wordt een Europese Richtlijn, die bedoeld was om de interne markt vooruit te helpen, opgetuigd met toeters en bellen die het tegenovergestelde bereiken.
Lappendeken
De nationale uitleg van toestemming resulteert in een lappendeken van toestemmingsregimes in de EU. Veel landen hanteren het regime van de zgn. ‘stilzwijgende toestemming’, waarbij een consument niet actief hoeft aan te geven dat hij cookies toestaat. In de UK bijvoorbeeld heeft de toezichthouder (ICO) zich actief uitgesproken voor deze ‘implied consent’. Hierbij worden gebruikers duidelijk geïnformeerd dat cookies geplaatst worden en dat zij dit kunnen weigeren, maar hoeft geen actieve toestemming gegeven te worden. Dus geen vakje aanvinken, maar informeren en keuze bieden, bijvoorbeeld op de manier van British Telecom, de Financial Times en Reuters.
Ook landen als Italië, Oostenrijk en Frankrijk hanteren een dergelijk systeem. In Finland, Hongarije, Luxemburg, Roemenië, en Slowakije zijn beveiligingsinstellingen van de browser voldoende om toestemming te impliceren, terwijl Denemarken en Letland net als Nederland juist aangeven dat browsers onvoldoende zijn.
Dit heeft als onvermijdelijk gevolg dat Nederland en consorten zich isoleren van de andere Europese landen met een milder toestemmingsregime. Dit beperkt het groeipotentieel en de grensoverschrijdende mogelijkheden van de Nederlandse online industrie.
Wil je weten waar je jouw cookie-business het best kunt voortzetten? Bekijk de Europese implementatietabel van DDMA. Dit geeft een helder overzicht van de mogelijkheden in verschillende Europese landen.
Schuldig tot het tegendeel bewezen is
Men vergeet ook gemakshalve het amendement Van Bemmel en Van Dam dat vanaf 1 januari 2013 onderdeel zal worden van de wet. Hierin staat dat als cookies worden geplaatst om de gebruiker online te volgen over tijd en verschillende sites, de privacywetgeving van toepassing is. De wet gaat er namelijk van uit dat die cookies dan persoonsgegevens bevatten. Het is aan de organisatie aan te tonen dat hij dit niet doet. Dit vermoeden wordt nergens in Europa gehanteerd en impliceert dus per definitie extra nalevingskosten voor het Nederlandse bedrijfsleven.
Mosterd na de maaltijd
Analytics cookies vallen onder het toestemmingsregime. Immers, zij vallen niet onder de uitzonderingen die in de wet genoemd worden, namelijk cookies die online communicatie of andere diensten van de informatiemaatschappij mogelijk maken. Daarom is het op zijn minst opmerkelijk dat de Europese privacytoezichthouders gisteren een opinie (pdf-alert) publiceerden, waarin zij aangeven dat first party analytics cookies uitgezonderd zouden moeten worden van de toestemmingsregel. “First party analytics cookies are not likely to create a privacy risk” (…), aldus de Artikel 29 Werkgroep. Daarom zou hier een opt-out volstaan. Prachtig, maar wel een beetje mosterd na de maaltijd. De industrie heeft hier vooralsnog weinig aan, want een opinie is geen wet. De vraag is dus maar of OPTA dit overneemt in haar handhaving.
The devil is in the detail
Bij de cookiewet zit de duivel in het detail. Formeel wijkt de tekst niet af. Maar door de strenge implementatie en het amendement isoleert Nederland zich wel degelijk van de rest van Europa. We zijn het braafste jongetje van de klas. Dat is iets wat natuurlijk niet erg hoeft te zijn, maar je moet wel oppassen dat je geen pispaaltje wordt. En als de grotere en sterkere jongens wel gewoon hun gang kunnen gaan, lijkt dat scenario waarschijnlijk.
Natuurlijk zal online adverteren wel doorgaan en zal de industrie met nieuwe creatieve concepten komen. Maar het is wrang dat de gedachte van een geharmoniseerde markt, een Nederlandse paradepaardje, weer door datzelfde Nederland om zeep wordt geholpen. Ter illustratie, de eerste metingen van de DDMA-website wijzen uit dat nog geen 10% van de bezoekers cookies toestaat. Wij hopen dan ook van harte op een Europese Do-Not-Track standaard, waarbij heel Europa aan dezelfde regels wordt gehouden.
Credits afbeelding: Pink Sherbet Photography (CC)
dank voor wederom een helder stuk.
Er is op een seminar wel eens gesproken over het aanklagen van de staat, omdat zij ‘ons’ als sector niet in staat stelt eerlijk te concurreren met de rest van europa en daarbuiten. Wat is jouw mening daarover?
Hi Bas!
Dank! Die suggesties hebben we ook gehoord, maar ik denk wel dat je reel moet zijn over de kansen. De Europese kaderwetgeving is een Richtlijn, namelijk de ePrivacy Richtlijn. Kenmerkend aan een Richtlijn is dat lidstaten die naar eigen inzicht strenger mogen implementeren. Daarom is in sommige landen B2B e-mail wel en in sommige landen niet opt-in.
Formeel gezien wijkt de Nederlandse wettekst op het gebied van informeren en toestemming verkrijgen niet af van de tekst in de Europese Richtlijn. Dan moet je dus aantonen dat de huidige browsers wel toestemming kunnen impliceren, of dat een vorm van implied consent ook aan de wettelijke eisen van toestemming voldoet. En dat is geen gelopen race.
Wij zien vooralsnog meer in het aandringen op en stimuleren van de DNT standaard, waarmee je een universeel regime zou kunnen realiseren.