Aug 112014
 

Met kantoorgenoot Frank Simons schreef ik twee besprekingen van het arrest van het Hof van Justitie van 8 april jl. in de zaken C-293/12 en C-594/12, ECLI:C:2014:238 over de dataretentierichtlijn (2006/24/EG):

 

Jul 012014
 

Iets minder dan twee jaar geleden trad in Nederland een nieuwe cookiewet in werking. Sindsdien worden we bij het bezoek van websites geconfronteerd met ongevraagde cookiemededelingen en toestemmingsverzoeken, die door de meesten van ons ongelezen worden weggeklikt.

De bedoeling van de cookiewet — privacybescherming — was goed. De toepassing ervan stuitte op onbegrip. De wet wil internetgebruikers beschermen tegen cookies waarmee heimelijk hun surfgedrag wordt gevolgd. Maar veel internetters ergeren zich vooral aan de pop-ups en banners. Onze cookiewet is bovendien veel strenger dan de wetgeving in andere EU-lidstaten. Nederland heeft een zogeheten bewijsvermoeden in de cookiewet opgenomen. Zogeheten trackingcookies worden volgens onze wet vermoed persoonsgegevens te zijn. En dat betekent dat daarop verschillende juridische voorschriften van toepassing kunnen zijn en dat verschillende toezichthouders daarop toezicht houden. Het gaat om de Telecomwet waarop ACM toezicht houdt, én om de Wet bescherming persoonsgegevens waarop toezicht wordt gehouden door het College Bescherming Persoonsgegevens (CBP).

Een en ander maakt onze cookiewet behalve veel strenger ook onnodig gecompliceerd, met als onvermijdelijk resultaat veel rechtsonzekerheid. In termen van internationale concurrentieverhoudingen is dat op zijn minst hinderlijk. Daarbij is het maar de vraag of onze cookiewet tot meer privacybescherming leidt. In de context van internet is het nou eenmaal altijd twijfelachtig of afwijkende nationale regels überhaupt effectief zijn te handhaven.

Wat ook niet helpt is dat onze nationale privacytoezichthouder nogal eigenzinnige opvattingen heeft over de uitleg van de cookieregels. Zo lijkt het CBP te vinden dat er geen sprake is van geldige toestemming als de internetgebruiker goed is geïnformeerd over de cookies en er vervolgens voor kiest het bezoek aan de website voort te zetten. Volgens het CBP kan er alleen sprake zijn van geldige toestemming als de internetgebruiker klikt op een akkoord- of toestemmingsknop, of als hij een vinkje zet, of iets dergelijks. Door voor de minst gebruiksvriendelijke oplossing te kiezen, negeert de toezichthouder de wens van de Nederlandse en Europese wetgevers. Die hebben zich juist sterk gemaakt voor gebruiksvriendelijkere manieren om toestemming van internetgebruikers te verkrijgen. Ook diskwalificeert het CBP de oplossingen die de afgelopen twee jaar onder andere door buitenlandse toezichthouders zijn ontwikkeld om de privacy van internetgebruikers te beschermen zonder het internet onbegaanbaar te maken.

Het is opvallend dat het CBP juist zijn controversiële opvattingen over het toestemmingsvereiste door middel van handhavingsacties probeert af te dwingen. In onlangs bekendgemaakte  ‘rapporten van bevindingen’  concludeert de toezichthouder dat de wet is overtreden omdat de voor cookies verkregen toestemming op ongeldige wijze — want zonder actieve handeling — zou zijn verkregen.

De timing van het CBP lijkt goed. In maart kwam de regering met een wetsvoorstel dat beoogt de cookiewet te versoepelen. Deze reparatiewet beoogt het toestemmingsvereiste te laten vervallen voor cookies met beperkte privacyrisico’s. In de toelichting wordt nogmaals uiteengezet dat de cookieregels, zelfs met het bewijsvermoeden, wel degelijk ruimte bieden voor oplossingen zonder ergerlijke wegklikpop-ups.

Vanuit een ivoren toren is het zicht meestal slecht. De privacytoezichthouder zou er goed aan doen wat beter naar de wetgever te luisteren. Ook wat meer aandacht voor wat internetgebruikers zelf willen zou goed zijn. Uiteindelijk gaat het om de bescherming van hun privacy.

Gepubliceerd in Financieel Dagblad, 18 juni 2014, met daarbij uiteraard vermeld dat ik in mij hoedanigheid van advocaat enkele partijen bijsta die onderwerp zijn van een Cbp onderzoek naar overtreding van de cookieregels.

Continue reading »

Aug 162012
 

Op 8 november 2012 gaat weer het eLaw-keuzevak Internetrecht (5 EC) van start. Daarin wordt het onderdeel over privacy en bescherming van persoonsgegevens als altijd grotendeels verzorgd door mijzelf, met dze keer ook een gastcollege verzorgd door mw. mr. Koning, hoofd juridische zaken bij onze privacytoezichthouder, het College Bescherming Persoonsgegevens (CBP).

Het onderwijsmateriaal voor dit onderdeel van het keuzevak zal in beginsel de volgende twee teksten omvatten 

 De voor dit onderdeel nodige relevante wetgeving betreft:

 

Jun 212012
 
Op 1 oktober 2009 trad de wet in werking waarmee telemarketing vergaand en gedetailleerd wordt gereguleerd. Een van de belangrijkste onderdelen daaruit betreft het bel-me-niet-register. In het register kunnen abonnees zich voor onbepaalde tijd inschrijven als ze niet meer ongevraagd willen worden gebeld door bedrijven met aanbiedingen of door goede doelen met een verzoek om donaties. Andere onderdelen uit deze wetgeving betreffen de plicht van het aanbieden tot het recht van verzet (‘opt-out’) en het opschonen van belbestanden (‘ontdubbelen’) aan de hand van het register.
 
Inmiddels is, bijna drie jaar na de invoering ervan, gebleken dat de nieuwe telemarketingregels aanleiding geven tot uiteenlopende, vaak erg lastig in de praktijk te beantwoorden vragen. Met Myrthe van Hooidonk, student-assistent bij eLaw@Leiden, centrum voor recht in de informatiemaatschappij, inventariseerde ik welke van deze vragen inmiddels in de sanctiebesluiten van OPTA aan de orde zijn gesteld en op welke antwoorden de toezichthouder is gekomen.