May 282010
 

Waar het gaat om cookies is onze wetgever eigenwijs en hardleers. De bedoelingen zijn ongetwijfeld goed, de uitwerking is op z’n best kansloos.

In 2004 moest de telecomwetgeving worden aangepast om de Europese e-privacyrichtlijn (2002/58/EG) te implementeren. In dat verband moesten ook regels over cookies in de wetgeving worden opgenomen. Onze wetgever deed dat door te komen met een verplichting voor websiteaanbieders om gebruikers te informeren over cookies, voorafgaand aan de plaatsing daarvan.

De wetgever week daarmee af van de tekst en bedoeling van de richtlijn. Daarin staat weliswaar de verplichting om gebruikers over cookies te informeren, maar in de nadrukkelijk niet verlangd dat dit moet gebeuren voordat de cookies worden geplaatst. En niet zonder reden natuurlijk: niemand zit te wachten op pop-ups voorafgaand aan het plaatsen van cookies. Een cookiepolicy achteraf volstaat.

Vanzelfsprekend wordt het Nederlandse vereiste van voorafgaande informatieverstrekking niet nageleefd. Er zijn gelukkig vrijwel geen websites, ook niet van overheden, die hun bezoekers lastig vallen met pop-ups over nog te plaatsen cookies. Is dat een probleem. Niet echt. In elk geval hebben de bevoegde toezichthouders, OPTA en CBP, tot op heden geen aanleiding gezien om de strikte naleving van deze wettelijke cookiebepaling af te dwingen.

So far so good. Binnenkort  moet de telecomwetgeving opnieuw worden aangepast. In de nieuwe Europese richtlijn (2009/136/EG) wordt voor cookies een toestemmingsvereiste geïntroduceerd. Om dat werkbaar te maken wordt in de richtlijn een praktische werkwijze voorgesteld om deze toestemming te verkrijgen. Dit kan, zo blijkt uit de overwegingen bij de richtlijn, worden gedaan doordat dat gebruikers de toestemming ook kunnen geven door middel van hun browserinstellingen. 

Maar ook nu weer blijkt onze nationale wetgever te willen afwijken van de richtlijn. Het onlangs gepubliceerde ontwerp-wetsvoorstel gaat uit van ‘ondubbelzinnige toestemming’. De wetgever sluit daarmee aan bij de terminologie van de Wet bescherming persoonsgegevens, maar sluit uit dat gebruikers toestemming geven via browserinstellingen, zoals de richtlijn aangeeft.

Dat is jammer. Het betekent dat de wetgever weer voor wetgeving die niet nageleefd gaat worden, niet nageleefd kan gaan worden. Daarop zit niemand te wachten.