Gisteren werd de Art. 29WP Opinie on Behavorial Advertising bekend gemaakt. Misschien niet helemaal toevallig organiseerde ECP-EPN eerder deze week een seminar over profiling met bijdragen van Sanoma, Bits of Freedom, EZ en mijzelf. Mijn presentatie staat hier.
Met Leidse collega Mommers schreef ik een zeshonderd-woorden opinie over cookies en de eigenzinnige en afwijkende regeling die in een recent conceptwetsvoorstel daarvoor wordt voorgesteld:
Eigenzinnig en afwijkend Nederlands voorstel verstoort internationale concurrentieverhoudingen
Gerrit-Jan Zwenne en Laurens Mommers
Onze wetgever is knap eigenwijs en hardleers als het aankomt op de regulering van cookies, een praktisch onmisbaar instrument bij gebruik van websites. Onze wetgeving gaat al verder dan wat Europese richtlijnen verlangen. Nu dreigt een nieuwvoorstel een onmogelijke voorwaarde te stellen aan houders van websites: vooraf actief toestemming vragen voor het plaatsen van cookies.
Op dit moment vereist de Nederlandse telecomwetgeving al dat internetgebruikers voorafgaand aan het plaatsen van cookies daarover worden geïnformeerd. Dit komt op het eerste gezicht logisch voor. Maar als we even doordenken over wat dit in de praktijk betekent, wordt duidelijk dat naleving van deze regel nogal bezwaarlijk kan uitpakken.
Het probleem is niet dat gebruikers over het plaatsen van cookies moeten worden geïnformeerd, maar wanneer dat moet gebeuren. Als dit moet gebeuren voordat de cookies worden geplaatst, moeten internetgebruikers voortdurend worden geconfronteerd met hinderlijke pop-ups. Hoe anders zouden internetgebruikers vooraf kunnen worden geïnformeerd?
Wie een voorproefje wil, moet zijn browser-instellingen eens zodanig aanpassen dat voor het plaatsen van cookies toestemming moet worden gegeven. Als u daarna een nieuwssite (met reclame) als nu.nl wilt raadplegen, moet u 12 maal op de knop ‘allow cookie’ klikken om de site te kunnen gebruiken. Daar zit geen internetgebruiker op te wachten
Het wekt geen verbazend dat geen enkele website — ook niet die van overheden en toezichthouders — voldoet aan wat onze wetgever nu eist. Als websites al iets melden over cookies, dan volstaan zij vrijwel altijd met een ‘cookie-policy’ met informatie over het hoe en waarom van geplaatste cookies. De toezichthouders, Opta en CBP, hebben nog nooit tegen deze ‘informatie achteraf’ opgetreden.
In een nieuwe EU-richtlijn wordt verlangd dat voorafgaand aan het plaatsen van cookies toestemming wordt gevraagd en verkregen. Gelukkig begrijpt Brussel dat geen internetgebruiker zit te wachten op hinderlijke pop-ups. Daarom staat hij in de richtlijn toe dat een internetgebruiker ‘impliciet’ toestemming geeft via de instellingen van zijn browser..
In het Nederlandse ontwerp-wetsvoorstel, dat onlangs aan de markt is voorgelegd, wijkt de wetgever daarvan af en wil dat internetgebruikers ‘ondubbelzinnige toestemming’ geven voor het plaatsen van cookies. Het taalgebruik duidt erop dat de wetgever geen mogelijkheid wil geven voor toestemming via browserinstellingen. De wetgever gaat daarmee opnieuw verder dan de Europese richtlijn voorschrijft.
De consultatie loopt nog. En ook de parlementaire behandeling kan deze faux pas natuurlijk nog ongedaan maken. Maar het is onwaarschijnlijk dat websites, inclusief die uit het buitenland, zich zonder meer houden aan wat onze eigenzinnige wetgever verlangt.
Als zij daartoe zouden worden gedwongen, bijvoorbeeld door toezichthouders die boetes en dwangsommen opleggen, dan laten de gevolgen zich raden: veel irritatie bij internetgebruikers en verstoring van internationale concurrentieverhoudingen. Dit doordat websites in Nederland moeten gaan voldaan aan een overbodige en onmogelijke eis, waarvan websites in het buitenland geen hinder ondervinden. Dat is jammer, te meer daar de door onze wetgever gestelde eis niet bijdraagt aan een veiliger internet of een betere privacybescherming.
Gerrit-Jan Zwenne en Laurens Mommers zijn verbonden aan eLaw@Leiden, Centrum voor Recht in de Informatiemaatschappij van de Universiteit Leiden. Zwenne is daarnaast advocaat bij Bird & Bird en Mommers is consultant bij Legal Intelligence.
Voor het Tijdschrift voor Internet schreven kantoorgenoot Frank Simons en ik een artikel over het dataretentiearrest dat het Bundesverfassungsgericht, het Duitse constitutionele hof, op 2 maart jl. wees.
Een voorpublicatie >>
Dit zijn de presentaties bij mijn onderdelen van de Euroforum Praktijkcursus Wbp en andere privacywetgeving:
Voor het wetenschappelijk bureau van de Hoge Raad der Nederlanden (jazeker!) verzorgde ik vorige week een inleidend college over toepassing en werking van de Wet bescherming persoonsgegevens. De presentatie die ik daarbij gebruikte vindt u hier.