Op 29 juni 2012 organiseerde de OPTA een rondetafelbijeenkomst in samenwerking met brancheorganisaties DDMA en IAB over de nieuwe cookiewet. Vandaag verscheen het verslag online, als ook een update van de FAQ. Een aantal bevindingen:
- OPTA heeft een quickscan uitgevoerd bij de top 25 websites van het STIR internetbereikonderzoek.
- Slechts zes van de 25 sites gebruikers informeren over het plaatsen van cookies met een zichtbare banner/layer etc.
- Slecht één website vraagt toestemming voor het plaatsen van cookies.
- OPTA stelt dat initiatieven om aan de cookiewet te voldoen maar langzaam van de grond komen, en dat ontwikkelingen op mobiele platformen achterwege blijft. Veel organisaties wachten af wat er precies van hen wordt verwacht, voordat ze investeren in aanpassen van systemen.
Informatieplicht
OPTA geeft uitleg over de cookiewet: “Een webbezoeker moet weten waar hij aan toe is. Om wettelijke toestemming te verkrijgen moet een webbezoeker allereerst geïnformeerd worden. OPTA geeft aan dat:
- Informatie over het plaatsen van cookies zichtbaar moet zijn
- De informatie een begrijpelijke uitleg moet hebben waarom cookies worden geplaatst, en welke informatie, met welk doel wordt verzameld;
- Informeren kan niet door te verwijzen naar een privacy statement;
- In het privacy statement kunnen – als best practice – individuele cookies in detail worden benoemd;
- De derde partijen die cookies plaatsen moeten zoveel mogelijk worden benoemd. Vage benamingen als “zorgvuldig geselecteerde partners” volstaat niet. Categorieën van derden (bv. Reisverzekeringen) mag wel.
- Je moet aangeven waarom third party cookies worden gebruikt voor eigen diensten, en dat die partijen de cookies ook voor andere doeleinden kunnen gebruiken – mogelijk ook voor profiling.
- De gebruiker mag naar de betreffende derde partij worden verwezen. Dat is beter dan de voorwaarden van die partij op te nemen op de eigen site.
Toestemmingsplicht
OPTA geeft aan dat “implied consent” – het uitgaan van toestemming door gebruik van de site, of om helemaal geen toestemming te vragen – niet voldoende is. Het “niets doen” van een webbezoeker is dus onvoldoende: de bezoeker moet een bepaalde handeling verrichten om toestemming te geven.
Die toestemming moet worden gelogd. De log files kunnen dienen als bewijsmateriaal bij klachten. Bij het loggen kan in een cookie worden opgeslagen welke informatie op dat moment werd gegeven en welk privacy statement gold.
Wordt ook voor cookies van derden toestemming gevraagd, dan moet contractueel zijn vastgelegd welke informatie die partij wel/niet mag verzamelen.
Een vlucht naar andere technieken om toestemming te ontlopen is ongewenst. Volgens de OPTA vallen alle technieken waarbij gegevens worden geplaatst of uitgelezen onder de wet. (Dit lijkt mij een vreemde redenering: als namelijk een andere techniek wordt gebruikt waardoor géén gegevens worden geplaatst of uitgelezen ontloop je de toestemming omdat je dan juist buiten de wet valt.)
Uitzonderingen
OPTA neemt de opinie van de Article 29 Working Party als uitgangspunt om te beoordelen of cookies wel of niet onder de uitzonderingen vallen. Lees mijn blog om dit voor jezelf te beoordelen.
Branche
De branche sluit op een aantal praktische bezwaren, met name de balans tussen het vragen van toestemming en het waarborgen van gebruiksvriendelijkheid. Het specificeren naar categorieën van cookies zou mogelijk zijn, maar dit zou technisch lastig te implementeren zijn. Een lange lijst van gedetailleerde cookies verdient niet de voorkeur, volgens de branche. De voorkeur gaat uit naar een oplossing waarbij de browser een keuze voor het accepteren van cookies kan registreren. De “Do not track” standaard voor browsers wordt daarmee bedoeld. Volgens de browserbouwers (verenigd in W3C (World Wide Web Consortium)) wordt deze standaard nog dit jaar uitgerold. Deze standaard kan een oplossing vormen, mits dat ook betekent dat er geen gegevens meer over surfgedrag verzameld worden. Tot die tijd moeten sites voldoen aan de wet.
De branche is bezig met een uniforme aanpak in informatievoorziening: een werkgroep van publishers werkt daar aan. Gedacht wordt aan gelijkluidende en ogende melding op sites, waarbij wordt verwezen naar een informatiepagina met begrijpelijke informatie over cookies, naast een verwijzing naar de eigen cookie policy. Ook wordt gedacht aan een branchebrede voorlichtingscampagne, in samenwerking met ECP-ECN, om zodoende de burger te informeren over der werking van cookies en de nieuwe cookiewet.
Analyse
Dit verslag biedt eerlijk gezegd weinig nieuws onder de zon. Wel wordt nu bevestigd dat impliciete toestemming onvoldoende is. Daarnaast wordt nog eens bevestigd dat de te bieden informatie niet vaag mag zijn: (categorieën van) derde partijen moeten genoemd worden, met de bijgaande risico’s. Ook wordt bevestigd dat de informatie moet bepalen (i) welke cookies worden geplaatst, (ii) welke informatie wordt verzameld, en (iii) voor welke doeleinden de cookies worden geplaatst. Opmerkelijk vind ik wel dat er je mag verwijzen naar de voorwaarden van de betreffende derde op haar eigen site. Ook moet je contractueel bewijs hebben welke informatie de derde partij mag verzamelen. Het is dus aan te raden om goede afspraken te maken met derden die cookies plaatsen via jouw site.
