Vanuit diverse hoeken krijgen wij vragen over de cookiewet die beginnen met “op 1 januari moeten we écht aan de bak” of “als straks in januari de cookiewet in werking treedt”. Waar is dat op gebaseerd? De wet is echt al sinds juni van dit jaar van kracht. Je moet dus ook nu al toestemming hebben verkregen om cookies te mogen plaatsen. Het enige dat in januari gaat gebeuren, is dat een aparte regel over omgekeerde bewijslast van kracht wordt.
De regel over de omgekeerde bewijslast (bij tracking cookies) is het controversieelste stuk van de wet. Als Neelie Kroes boos fronst dat Nederland de Europese regels niet goed naleeft, dan gaat het hierover. Dat wij strenger zijn met het criterium “toestemming” is dus níet de kern van het bezwaar. Dat staat zo in de Europese richtlijn, en Nederland wijkt daarbij geen letter af met haar cookiewet.
Wel wijken we af met dit stuk:
[Het plaatsen van een cookie], die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden, wordt vermoed een verwerking van persoonsgegevens te zijn, als bedoeld in artikel 1, onderdeel b, van de Wet bescherming persoonsgegevens.
Dit is een ‘rechtsvermoeden’ oftewel een omkering van de bewijslast. Kort gezegd: wie tracking cookies plaatst die over meerdere diensten heen gebruiksgegevens verzamelen, valt onder de Wet bescherming persoonsgegevens tenzij hij kan bewijzen dat er geen enkele persoonsgebonden informatie wordt vergaard.
Hoe je dat doet, zal nog een flinke kluif worden want een cookie dat een gebruiker een unieke ID geven máákt dat cookie een persoonsgegeven. Alles dat je opslaat geassocieerd aan dat cookie valt dus onder de Wet bescherming persoonsgegevens. Tegenbewijs leveren lijkt me zo goed als onmogelijk.
Heel misschien als het een generiek cookie is dat alleen gekoppeld is aan de dienst of zeer algemene informatie levert (terugkerende bezoeker versus first-time bezoeker, heeft dienst A gebruikt en gaat nu naar B). Zoiets generieks is niet aan een persoon te koppelen, en daarmee zou het vermoeden te weerleggen moeten zijn.
Of dit bewijsvermoeden mag van Europa, is discutabel. De richtlijn bepaalt niets over bewijslast, dus je kunt dan zeggen “dan zijn wij vrij dit te regelen”. Maar je kunt ook redeneren: alleen de Europese richtlijnen bepalen wanneer sprake is van een verwerking van persoonsgegevens, dus deze Nederlandse regel wijkt af. Maar daartegen heb je dan weer het argument dat het alleen een vermoeden is, oftewel de werkelijke situatie volgt nog steeds uit de Europese regels alleen moet de site-exploitant bewijzen hoe het zit.
In de praktijk kan ik me nauwelijks voorstellen dat dit een punt wordt. Zodra een cookie een bezoeker een uniek getal geeft, is dat cookie een persoonsgegeven en geldt de wet. Je kunt dan bewijslast verschuiven wat je wilt maar je valt onder de Wbp.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.