Dit is de presentatie die ik gebruikte voor het onderdeel Wbp e.a. in de VIRA-Grotius Informaticarecht-cursus, voor het gemak (of eigenlijk omdat WordPress kennelijk niet meer toestaat) uiteengesplitst in vier handzame pdf-bestandjes: Dl. 1, Dl. 2, Dl. 3 en Dl. 4
Iets minder dan twee jaar geleden trad in Nederland een nieuwe cookiewet in werking. Sindsdien worden we bij het bezoek van websites geconfronteerd met ongevraagde cookiemededelingen en toestemmingsverzoeken, die door de meesten van ons ongelezen worden weggeklikt.
De bedoeling van de cookiewet — privacybescherming — was goed. De toepassing ervan stuitte op onbegrip. De wet wil internetgebruikers beschermen tegen cookies waarmee heimelijk hun surfgedrag wordt gevolgd. Maar veel internetters ergeren zich vooral aan de pop-ups en banners. Onze cookiewet is bovendien veel strenger dan de wetgeving in andere EU-lidstaten. Nederland heeft een zogeheten bewijsvermoeden in de cookiewet opgenomen. Zogeheten trackingcookies worden volgens onze wet vermoed persoonsgegevens te zijn. En dat betekent dat daarop verschillende juridische voorschriften van toepassing kunnen zijn en dat verschillende toezichthouders daarop toezicht houden. Het gaat om de Telecomwet waarop ACM toezicht houdt, én om de Wet bescherming persoonsgegevens waarop toezicht wordt gehouden door het College Bescherming Persoonsgegevens (CBP).
Een en ander maakt onze cookiewet behalve veel strenger ook onnodig gecompliceerd, met als onvermijdelijk resultaat veel rechtsonzekerheid. In termen van internationale concurrentieverhoudingen is dat op zijn minst hinderlijk. Daarbij is het maar de vraag of onze cookiewet tot meer privacybescherming leidt. In de context van internet is het nou eenmaal altijd twijfelachtig of afwijkende nationale regels überhaupt effectief zijn te handhaven.
Wat ook niet helpt is dat onze nationale privacytoezichthouder nogal eigenzinnige opvattingen heeft over de uitleg van de cookieregels. Zo lijkt het CBP te vinden dat er geen sprake is van geldige toestemming als de internetgebruiker goed is geïnformeerd over de cookies en er vervolgens voor kiest het bezoek aan de website voort te zetten. Volgens het CBP kan er alleen sprake zijn van geldige toestemming als de internetgebruiker klikt op een akkoord- of toestemmingsknop, of als hij een vinkje zet, of iets dergelijks. Door voor de minst gebruiksvriendelijke oplossing te kiezen, negeert de toezichthouder de wens van de Nederlandse en Europese wetgevers. Die hebben zich juist sterk gemaakt voor gebruiksvriendelijkere manieren om toestemming van internetgebruikers te verkrijgen. Ook diskwalificeert het CBP de oplossingen die de afgelopen twee jaar onder andere door buitenlandse toezichthouders zijn ontwikkeld om de privacy van internetgebruikers te beschermen zonder het internet onbegaanbaar te maken.
Het is opvallend dat het CBP juist zijn controversiële opvattingen over het toestemmingsvereiste door middel van handhavingsacties probeert af te dwingen. In onlangs bekendgemaakte ‘rapporten van bevindingen’ concludeert de toezichthouder dat de wet is overtreden omdat de voor cookies verkregen toestemming op ongeldige wijze — want zonder actieve handeling — zou zijn verkregen.
De timing van het CBP lijkt goed. In maart kwam de regering met een wetsvoorstel dat beoogt de cookiewet te versoepelen. Deze reparatiewet beoogt het toestemmingsvereiste te laten vervallen voor cookies met beperkte privacyrisico’s. In de toelichting wordt nogmaals uiteengezet dat de cookieregels, zelfs met het bewijsvermoeden, wel degelijk ruimte bieden voor oplossingen zonder ergerlijke wegklikpop-ups.
Vanuit een ivoren toren is het zicht meestal slecht. De privacytoezichthouder zou er goed aan doen wat beter naar de wetgever te luisteren. Ook wat meer aandacht voor wat internetgebruikers zelf willen zou goed zijn. Uiteindelijk gaat het om de bescherming van hun privacy.
Gepubliceerd in Financieel Dagblad, 18 juni 2014, met daarbij uiteraard vermeld dat ik in mij hoedanigheid van advocaat enkele partijen bijsta die onderwerp zijn van een Cbp onderzoek naar overtreding van de cookieregels.
Dit is (alvast) mijn presentatie voor de bijeenkomst van maandag 2 juni a.s., in het NRC-cafe te A’dam, voor MOA (dat staat voor: Center for Information Based Decision Making & Marketing Research).
Eerder berichtte ik in dit blog over de colleges die ik op 30 april en 7 mei a.s. verzorg in het eLaw Keuzevak Internetrecht. Het studiemateriaal dat studenten voor dit college geacht worden te bestuderen betreft onder andere de door de docent geannoteerde versie van de Cbp Richtsnoeren over de Publicatie van persoonsgegevens op internet. Deze geannoteerde versie van de richtsnoeren is te vinden op blackboard-pagina’s van het vak en ook op deze blog.
In het college worden twintig vragen over het studiemateriaal behandeld. Van de studenten die het college volgen wordt verwacht dat zij deze vragen in het college kunnen beantwoorden. Deze vragen staan ook op de blackboard-pagina’s van het vak, alsmede hier. De bij het college behorende handout staat hier.
Het laatste college-uur, dus op 7 mei van 12:15 tot 13:00, betreft een gastcollege. Anders dan aangekondigd wordt dit niet verzorgd door iemand van het College bescherming persoonsgegevens (Cbp), maar door Ton Siedsma van de digitale burgerrechten organisatie Bits of Freedom. Het voor dit gastcollege te bestuderen materiaal wordt op nog blackboard en in deze blog bekend gemaakt.
Dit is de presentatie waarvan ik gebruik maakte bij mijn korte inleiding over de Wbp, gisteren voor de Academie voor Overheidsjuristen
Op 30 april en 7 mei a.s. verzorg ik het onderdeel Privacy en bescherming persoonsgegevens, in het eLaw Keuzevak Internet (5 EC). Het daarvoor te bestuderen materiaal zal te zijner tijd te vinden zijn op blackboard, alsmede nu al hier:
Het onderwijsmateriaal voor dit onderdeel van het keuzevak zal in beginsel de volgende twee teksten omvatten
- een door mijzelf geannoteerde versie van de CBP-richtsnoeren over publicatie van persoonsgegevens op internet, en verder
- de Nederlandse versie van de door mij op 12 april jl. uitgesproken oratie ‘De verwaterde privacywet’ .
De voor dit onderdeel nodige relevante wetgeving betreft:
- Wet bescherming persoonsgegevens (Stb. 2000, 302),
- Richtlijn 95/46/EG (PbEG 1995, L281), en
- INOFFICIAL CONSOLIDATED VERSION AFTER LIBE COMMITTEE VOTE PROVIDED BY THE RAPPORTEUR 22 October 2013 REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
Op 7 mei wordt het tweede college uur verzorgd door gastdocenten van de privacytoezichthouder, het College bescherming persoonsgegevens. Het voor dit gastcollege te bestuderen materiaal wordt nog bekendgemaakt.
Vandaag besprak ik met Quinten Kroes van Brinkhof niet minder dan 14 Wbp-uitspraken in iets meer dan 75 minuten. Onze presentatie is hier te vinden.
Dit zijn de powerpoint plaatjes behorend bij het college van vandaag en morgen: deel 1, deel 2 en deel 3.
Dit zijn de vragen die voor het college moeten worden voorbereid. En dit het onderwijsmateriaal. Een voorbeeld van een tentamenvraag vindt u hier.
Dit is de presentatie bij mijn korte inleiding over het vergeetrecht, vandaag gegeven in Leiden in het Mordenate Lustrum Congres.