Met een cookie is het mogelijk bezoekers te herkennen en te volgen. Daarmee is gedragsafhankelijke of afgestemde reclame mogelijk, een nuttig mechanisme maar wel privacytechnisch lastig. Op dit moment geldt voor cookies een opt-out regime: bezoekers moeten worden geïnformeerd en ze kunnen het ontvangen van cookies weigeren. Een Europees wetsvoorstel wil hier verandering in brengen door een opt-in regime in te voeren, waarbij toestemming moet worden gegeven voordat (tracking) cookies mogen worden geïnstalleerd.
Met name in Nederland is er een heftig debat gaande over de cookiewet. Het eerste Nederlandse wetsvoorstel sprak namelijk van "ondubbelzinnige toestemming", wat zorgde voor veel beroering. Met een dergelijke formulering zou eigenlijk alleen een dialoogvenster met "Dit cookie volgt uw surfgedrag. Wilt u dit installeren?" aan de wet voldoen. Het moge duidelijk zijn dat dat niet gaat werken en door niemand gewenst is.
Het huidige wetsvoorstel houdt het bij "toestemming", en merkt daarbij op dat met de browserinstellingen die toestemming gegeven kan worden. Dat biedt dus mogelijkheden, zoals de DDMA signaleert:
Volgens de Wet Bescherming Persoonsgegevens kan je toestemming ook uitdrukken door gedrag. Dus door browserinstellingen. Mits een webbezoeker maar goed geïnformeerd is.
Het venijn zit hem echter in die browserinstellingen. De minister heeft al gezegd
In een situatie waarin de eindgebruiker op de website naar behoren wordt geïnformeerd omtrent de op de website aangeboden cookies, zou een browser die standaard zo is ingesteld dat hij geen cookies plaatst tenzij de gebruiker voor de specifieke website in de browser heeft aangegeven de cookies te accepteren, kunnen worden gebruikt om toestemming te verlenen. ... Hierbij zij opgemerkt dat de meeste huidige browsers momenteel niet geschikt zijn voor het verlenen van toestemming.
Daarmee zijn we toch weer terug bij af: als de browser standaard "nee" zegt, moet de gebruiker dus elke keer om "ja" gevraagd worden. En hoe je dat gaat implementeren op een gebruikersvriendelijke manier, is een heel lastige vraag.
De DDMA beschrijft verder het model dat in Europees verband wordt gepromoot door de industrie. Door elke gedragsafhankelijke advertentie te koppelen aan een centrale opt-out pagina (met een universeel icoon) en mensen duidelijk voor te lichten, kunnen gebruikers eenvoudig kiezen waar ze prijs op stellen. Dit voorstel blijkt positief ontvangen te zijn door de Europese Commissie. Emerce ontdekte alvast de opt-out site die ook voor Nederland gebruikt gaat worden.
Er kleeft echter een groot nadeel aan dit model: het is toch weer gebaseerd op opt-out. Het is dus juridisch nog maar de vraag of dit legaal zal worden geacht als het wetsvoorstel in ongewijzigde vorm wordt doorgevoerd. Wij zouden niet weten hoe je een wet die opt-in eist, kunt naleven door een opt-out aan te bieden. Het opt-out mechanisme lijkt ons zeker sympathiek, daar niet van, maar een (Europese) wetswijziging lijkt wel noodzakelijk.
Het wetsvoorstel staat nu op de agenda van de Tweede Kamer. Hopelijk krijgen we dus binnenkort meer duidelijkheid.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.