Jun 112010
 

Met Leidse collega Mommers schreef ik een zeshonderd-woorden opinie over cookies en de eigenzinnige en afwijkende regeling die in een recent conceptwetsvoorstel daarvoor wordt voorgesteld:

Eigenzinnig en afwijkend Nederlands voorstel verstoort internationale concurrentieverhoudingen

Gerrit-Jan Zwenne en Laurens Mommers

Onze wetgever is knap eigenwijs en hardleers als het aankomt op de regulering van cookies, een praktisch onmisbaar instrument bij gebruik van websites. Onze wetgeving gaat al verder dan wat Europese richtlijnen verlangen. Nu dreigt een nieuwvoorstel een onmogelijke voorwaarde te stellen aan houders van websites: vooraf actief toestemming vragen voor het plaatsen van cookies.

Op dit moment vereist de Nederlandse telecomwetgeving al dat internetgebruikers voorafgaand aan het plaatsen van cookies daarover worden geïnformeerd. Dit komt op het eerste gezicht logisch voor. Maar als we even doordenken over wat dit in de praktijk betekent, wordt duidelijk dat naleving van deze regel nogal bezwaarlijk kan uitpakken.

Het probleem is niet dat gebruikers over het plaatsen van cookies moeten worden geïnformeerd, maar wanneer dat moet gebeuren. Als dit moet gebeuren voordat de cookies worden geplaatst, moeten internetgebruikers voortdurend worden geconfronteerd met hinderlijke pop-ups. Hoe anders zouden internetgebruikers vooraf kunnen worden geïnformeerd?

Wie een voorproefje wil, moet zijn browser-instellingen eens zodanig aanpassen dat voor het plaatsen van cookies toestemming moet worden gegeven. Als u daarna een nieuwssite (met reclame) als nu.nl wilt raadplegen, moet u 12 maal op de knop ‘allow cookie’ klikken om de site te kunnen gebruiken. Daar zit geen internetgebruiker op te wachten

Het wekt geen verbazend dat geen enkele website — ook niet die van overheden en toezichthouders — voldoet aan wat onze wetgever nu eist. Als websites al iets melden over cookies, dan volstaan zij vrijwel altijd met een ‘cookie-policy’ met informatie over het hoe en waarom van geplaatste cookies. De toezichthouders, Opta en CBP, hebben nog nooit tegen deze ‘informatie achteraf’ opgetreden.

In een nieuwe EU-richtlijn wordt verlangd dat voorafgaand aan het plaatsen van cookies toestemming wordt gevraagd en verkregen. Gelukkig begrijpt Brussel dat geen internetgebruiker zit te wachten op hinderlijke pop-ups. Daarom staat hij in de richtlijn toe dat een internetgebruiker ‘impliciet’ toestemming geeft via de instellingen van zijn browser..

In het Nederlandse ontwerp-wetsvoorstel, dat onlangs aan de markt is voorgelegd, wijkt de wetgever daarvan af en wil dat internetgebruikers ‘ondubbelzinnige toestemming’ geven voor het plaatsen van cookies. Het taalgebruik duidt erop dat de wetgever geen mogelijkheid wil geven voor toestemming via browserinstellingen. De wetgever gaat daarmee opnieuw verder dan de Europese richtlijn voorschrijft.

De consultatie loopt nog. En ook de parlementaire behandeling kan deze faux pas natuurlijk nog ongedaan maken. Maar het is onwaarschijnlijk dat websites, inclusief die uit het buitenland, zich zonder meer houden aan wat onze eigenzinnige wetgever verlangt.

Als zij daartoe zouden worden gedwongen, bijvoorbeeld door toezichthouders die boetes en dwangsommen opleggen, dan laten de gevolgen zich raden: veel irritatie bij internetgebruikers en verstoring van internationale concurrentieverhoudingen. Dit doordat websites in Nederland moeten gaan voldaan aan een overbodige en onmogelijke eis, waarvan websites in het buitenland geen hinder ondervinden. Dat is jammer, te meer daar de door onze wetgever gestelde eis niet bijdraagt aan een veiliger internet of een betere privacybescherming.

Gerrit-Jan Zwenne en Laurens Mommers zijn verbonden aan eLaw@Leiden, Centrum voor Recht in de Informatiemaatschappij van de Universiteit Leiden. Zwenne is daarnaast advocaat bij Bird & Bird en Mommers is consultant bij Legal Intelligence.

 

May 282010
 

Waar het gaat om cookies is onze wetgever eigenwijs en hardleers. De bedoelingen zijn ongetwijfeld goed, de uitwerking is op z’n best kansloos.

In 2004 moest de telecomwetgeving worden aangepast om de Europese e-privacyrichtlijn (2002/58/EG) te implementeren. In dat verband moesten ook regels over cookies in de wetgeving worden opgenomen. Onze wetgever deed dat door te komen met een verplichting voor websiteaanbieders om gebruikers te informeren over cookies, voorafgaand aan de plaatsing daarvan.

De wetgever week daarmee af van de tekst en bedoeling van de richtlijn. Daarin staat weliswaar de verplichting om gebruikers over cookies te informeren, maar in de nadrukkelijk niet verlangd dat dit moet gebeuren voordat de cookies worden geplaatst. En niet zonder reden natuurlijk: niemand zit te wachten op pop-ups voorafgaand aan het plaatsen van cookies. Een cookiepolicy achteraf volstaat.

Vanzelfsprekend wordt het Nederlandse vereiste van voorafgaande informatieverstrekking niet nageleefd. Er zijn gelukkig vrijwel geen websites, ook niet van overheden, die hun bezoekers lastig vallen met pop-ups over nog te plaatsen cookies. Is dat een probleem. Niet echt. In elk geval hebben de bevoegde toezichthouders, OPTA en CBP, tot op heden geen aanleiding gezien om de strikte naleving van deze wettelijke cookiebepaling af te dwingen.

So far so good. Binnenkort  moet de telecomwetgeving opnieuw worden aangepast. In de nieuwe Europese richtlijn (2009/136/EG) wordt voor cookies een toestemmingsvereiste geïntroduceerd. Om dat werkbaar te maken wordt in de richtlijn een praktische werkwijze voorgesteld om deze toestemming te verkrijgen. Dit kan, zo blijkt uit de overwegingen bij de richtlijn, worden gedaan doordat dat gebruikers de toestemming ook kunnen geven door middel van hun browserinstellingen. 

Maar ook nu weer blijkt onze nationale wetgever te willen afwijken van de richtlijn. Het onlangs gepubliceerde ontwerp-wetsvoorstel gaat uit van ‘ondubbelzinnige toestemming’. De wetgever sluit daarmee aan bij de terminologie van de Wet bescherming persoonsgegevens, maar sluit uit dat gebruikers toestemming geven via browserinstellingen, zoals de richtlijn aangeeft.

Dat is jammer. Het betekent dat de wetgever weer voor wetgeving die niet nageleefd gaat worden, niet nageleefd kan gaan worden. Daarop zit niemand te wachten.

Mar 082010
 

In Webwereld gaf OPTA vorige week toelichting op de aanpassing van z’n Veelgestelde vragen over spam en z’n begrijpelijke (zeg maar: onvermijdelijke) keuze om persberichten niet per definitie als spam aan te duiden. OPTA doet het voorkomen alsof het niet een materiele wijziging betreft:

Minder angstaanjagend

Een woordvoerder van Opta benadrukt dat er in feite niets veranderd is. De wijziging is ingegeven door het grote aantal vragen dat de Opta over persberichten kreegt. De wetgeving is niet veranderd. De uitleg is omgedraaid, waarmee het iets minder angstaanjagend is geformuleerd, verklaart woordvoerder Marilène Eijgenraam tegenover Webwereld. De wijziging in de verklaring is daarom ook niet naar buiten gecommuniceerd.

Ik geloof niet dat deze kwalificatie terecht is. OPTA zegt nu met zoveel woorden dat betekenis toekomt aan de verwachtingen van de ontvanger van het elektronisch bericht. Als de ontvanger het bericht niet opvat als commercieel, moet het niet worden gezien als spam en is het spamverbod daarop dus niet van toepassing. Dat is een belangrijke, materiele wijziging van de uitgangspunten die de toezichthouder tot dan toe hanteerde. En deze wijziging zal — het kan niet anders — ook gevolgen hebben voor andere elektronische berichten.

Dat is goed nieuws. Het spamprobleem is niet een probleem van persberichten. En evenmin een probleem van communicatie met klanten en prospects.

Feb 262010
 

Soms is OPTA nogal ongenuanceerd over spam en het spamverbod, en de wettelijke uitzonderingen daarop. Zo wekte de toezichthouder in zijn Veelgestelde vragen over het spamverbod de toezichthouder de indruk dat veel, zo niet alle persberichten spam zouden zijn. En dit omdat er ook sprake is van spam als in een bericht een bedrijf of dienst indirect wordt aangeprezen. OPTA zei het zo:

OPTA Veelgestelde vragen over spam (oud) Valt een persbericht onder het spamverbod? Het is mogelijk dat een persbericht onder het spamverbod valt. De wet verbiedt het versturen van berichten met een commercieel doel. Een commercieel doel is niet alleen het (proberen) verkopen van een product of een dienst maar ook het(in)direct promoten van een bedrijf.

In het Perslijst Spamdebat van 17 februari jl. kwam dat OPTA op veel kritiek te staan. En vooral van de journalisten die OPTA dacht te beschermen. In de discussie hebben ik en anderen  voor-de-vuist-weg wat suggesties gedaan om te komen tot beter werkbare criteria. Zo zouden, wat mij betreft, de verwachtingen van de ontvanger van de berichten bepalend moeten zijn bij de beoordeling of er sprake is van spam. 

OPTA heeft dit, zoals dat heet, mee naar huis genomen. En het moet gezegd, de toezichthouder heeft goed geluisterd en z’n 

Veelgestelde vragen over spam aangepast. De aangepaste, veel genuanceerdere en betere tekst luidt nu als volgt:

 

 

OPTA Veelgestelde vragen over spam (nieuw!) Valt een persbericht onder het spamverbod? Persberichten van informatieve aard, gestuurd aan journalisten die met dergelijke onderwerpen bezig zijn, zijn in beginsel geen spam. Een persbericht zal sneller als spam worden gezien als het wordt verstuurd aan ontvangers waarvan de verzender niet weet of zij dergelijke berichten willen ontvangen. Bovendien kan een persbericht als spam worden aangemerkt als de boodschap vooral een commercieel, ideëel of charitatief doel heeft. Zo’n doel is niet alleen het verkopen van een product, dienst of idee maar ook het promoten van een bedrijf of organisatie.

Feb 192010
 

Het spamdebat van de Perslijst van afgelopen woensdag houdt de gemoederen bezig. Misschien niet onverwacht, omdat de zaal vol zat met communicatie en pr-mensen die het allemaal onbegrijpelijk vinden dat OPTA persberichten wil kunnen aanmerken als spam. Mijn standpunt is wel duidelijk. Ik steun van harte de strijd van OPTA tegen spam, maar vind dat de toezichthouder te ver gaat en geen oog heeft voor volstrekt legitieme vormen van communicatie: persberichten, maar ook berichten van bedrijven aan relaties, berichten van wervingsbureau’s aan werkzoekenden met een profiel op vacaturesite.nl, enz.

Aernoud Engelfriet geeft een goede samenvatting van de discussie. Remco Janssen is directer: OPTA kan de boom in met zijn spamwetje. Begrijpelijk. Want het is natuurlijk ook niet goed uit te leggen. Het spamprobleem wordt niet veroorzaakt door persberichten.

Wat OPTA volgens mij zou kunnen doen is met wat meer aandacht het begrip ‘commerciele, idieele of charitatieve communicatie’ gaan uitleggen. En daarbij moet, lijkt mij, vooral ook worden gekeken naar de (al dan niet geobjectiveerde) verwachtingen van de ontvanger van het bericht. Ik heb OPTA gesuggereerd om in zijn Veelgestelde vragen over spam iets op te nemen met de volgende strekking:

of een bericht commercieel is wordt onder andere bepaald aan de hand van hoe de ontvanger daarvan het opvat. Een persbericht is geen spam, tenzij de inhoud daarvan door de ontvangers redelijkerwijs kan worden opgevat als een commercieel, idieel of charitatief bericht.

Daan Molenaar, die in het debat de onpopulaire positie van de toezichthouder mocht toelichten, heeft toegezegd dat hij dit meeneemt. Ik wacht af.

Wordt ongetwijfeld vervolgd.

Feb 182010
 
Voor het Fd schreef ik een opinietekst over de OV-bedrijven die de invoering van de Studenten OV-chip gebruiken om op grote schaal reisgegevens te gaan vastleggen, zonder dat daartoe enige noodzaak is. Ik schreef daarover al eerder.
 
Ik hoop, verwacht eigenlijk zelfs, dat het CBP de handschoen oppakt en zich uitspreekt over deze, volgens mij onrechtmatige praktijken. Uiteindelijk zou natuurlijk de minister van Verkeer en Waterstaat de OV-bedrijven kunnen dwingen om zich te bekommeren om de persoonlijke levenssfeer van reizigers.
 
Stel privacy veilig bij verlenen concessie openbaar vervoer OV-bedrijven dreigen onnodig gegevens over reisgedrag van klanten te verzamelen

De Studenten OV-chipkaart is ingevoerd. Er is een weekkaart waarmee door de week ‘vrij’ kan worden gereisd, en er is een weekendkaart waarmee in het weekend ‘vrij’ kan worden gereisd. Als er vrij wordt gereisd, hoeft de reis niet te worden afgerekend. Het is dan dus niet nodig om gedetailleerd reisgegevens vast te leggen. Je zou dan ook verwachten dat de openbaarvervoerbedrijven in dat geval niet verlangen dat studenten in- en uitchecken op het station of in bus, tram en metro.
 
De werkelijkheid is anders. De openbaarvervoerbedrijven blijken te verlangen dat studenten altijd in- en uitchecken, ook als er vrij wordt gereisd. Enkele lokale vervoerbedrijven, zoals het GVB en de RET, gaan zelfs zover dat zij een boete van € 35 opleggen aan studenten die dat niet hebben gedaan. Ook als er vrij wordt gereisd willen openbaarvervoerbedrijven weten wie wanneer vanwaar waarheen reisde.
 
De redenen waarom laten zich wel raden. Het is bekend dat reisgegevens waardevol zijn. Er kan veel, heel veel geld mee worden verdiend, vooral door op basis daarvan gericht reclame te maken voor de eigen dienstverlening of die derden. Denk aan budget-stedentrips en kortingsacties voor pretparken, of speciale aanbiedingen voor hamburgermenu’s in de Burger King van station Leiden. En natuurlijk zijn de openbaarvervoerbedrijven er niet vies van om zo de winstcijfers op te poetsen. Je moet wat in tijden van crisis.
 
De vraag is natuurlijk of dat zomaar mag. En het antwoord is: natuurlijk niet. Wat dit betreft is de privacywetgeving duidelijk. Het is niet toegestaan zomaar persoonsgegevens te verzamelen. Dat mag alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Voorzover de gegevens niet nodig zijn voor de afhandeling van reistransacties, volgt uit de privacywet dat er voor het vastleggen daarvan ofwel ondubbelzinnige toestemming moet zijn ofwel dat er een belangenafweging heeft plaatsgevonden waarin ook gewicht is toegekend aan de belangen van de vrij-reizende reizigers. Waar het gaat om de Studenten OV-chip, en trouwens ook de gewone OV-chipkaarten is van geen van beide is sprake. De conclusie is dan ook dat het vastleggen van deze reisgegevens onrechtmatig is, want bovenmatig en onnodig.
 
Onze nationale privacywaakhond, het College Bescherming Persoonsgegevens, heeft zich nadrukkelijk bemoeid met de invoering van de OV-chip en de privacyimplicaties daarvan. En nog niet zo heel lang geleden stelde het zich op het standpunt dat reizigers niet, via prijsdwang of boetes, mogen worden gedwongen om meer reisgegevens af te staan dan nodig. Inmiddels is niet helemaal duidelijk of het college er nog steeds zo over denkt. In elk geval lijkt het vooralsnog niet echt van plan te zijn de openbaar vervoerbedrijven tot de orde te roepen. En daarbij is twijfelachtig of het college, gelet op zijn beperkte handhavingmiddelen, in staat is heel veel te doen.
 
De voor de hand liggende vraag is dan of er geen andere mogelijkheden zijn om de openbaarvervoerbedrijven zover te krijgen dat ze zich iets gelegen gaan laten liggen aan de privacybelangen van studenten en andere reizigers. Een tot dusver nog niet onderzochte mogelijkheid betreft de concessies en contracten op basis waarvan openbaarvervoerbedrijven werken. De concessies voor het openbaar vervoer worden verleend door overheden, vaak in open aanbestedingsprocedures zoals bij de busbedrijven en lokale vervoerders. In een enkel geval (lees: het spoor) wordt de concessie verkregen in een minder open procedure. In beide gevallen stelt de concessieverlenende overheid een pakket van eisen vast, waarna van de meedingende openbaarvervoerbedrijven wordt gevraagd aan te geven op welke wijze zij daaraan gaan voldoen.
 
Er is veel voor te zeggen om in het kader van zo een dergelijke concessieverlening voortaan nadrukkelijk van openbaarvervoerbedrijven te verlangen dat zij gaan voorzien in afdwingbare privacywaarborgen. Of wij willen of niet wij moeten ermee leven dat onze samenleving een informatiesamenleving is geworden. En daarin kan de kwaliteit van het openbaar vervoer niet meer worden afgemeten aan alleen de prijs per kilometer of betrouwbaarheid van de dienstregeling en het aantal beschikbare zitplaatsen. In het OV-chiptijdperk is minstens zo belangrijk dat openbaarvervoerbedrijven zich rekenschap geven van hun verantwoordelijkheid als verzamelaars van grote hoeveelheden privacygevoelige reisgegevens.

Jan 292010
 

Op webwereld.nl vandaag weer een artikel van Brenno Winter, the bigwobber himself, over OV-chip. Venijnig, maar zonder meer terecht, en niet alleen omdat mij uitgebreid citeert. De NS, en andere ov-bedrijven verzamelen zonder dat daartoe enige noodzaak is op grote schaal reisgegevens van studenten. Dat is in strijd met de Wbp, als je het mij vraagt. Ik blogde daarover al eerder.

Waarom zou onze gewaardeerde privacytoezichthouder hier nou niks aan willen doen? Wat moet er gebeuren voordat het CBP zich hier tegenaan gaat bemoeien..?

Continue reading »

Jan 032010
 
 
"Onlangs is er een nieuwe website van ons online gegaan. De website heet Juridisch Kennisportaal. De url is www.juridischkennisportaal.nl. De website vormt een juridische kennisbank waarbij juridische informatie en documenten overzichtelijk zijn gerangschikt per rechtsgebied en onderwerp. De werking van de website is vergelijkbaar met die van wikipedia; de gebruikers van de website kunnen zelf hun kennis delen met andere juristen door informatie, juridische documenten, publicaties, jurisprudentie en wet- en regelgeving per onderwerp te plaatsen"  

Aldus de aanhef van een e-mailbericht dat ik ongevraagdzakelijke spam?— ontving. Ik heb het gevoel dat dit al eerder is geprobeerd. Dat was ejure.nl, een naar verluid zwaar gesubsidieerde initiatief dat inmiddels jammerlijk lijkt te zijn mislukt. Maar goed. Dat hoeft natuurlijk nog niet te beteken dat ook dit juridisch kennisportaal het niet gaat redden. Internet is a strange place.

Continue reading »