De 25e van deze maand is het zo ver: dan moeten officieel de wetten in alle Europese landen zijn aangepast op de nieuwe cookierichtlijn. Er moet dan opt-in voor tracking cookies worden gevraagd, hoewel onduidelijk is wat voor opt-in en hoe deze kan worden verkregen. Bij ons is het wetsvoorstel nog niet eens voorbij de Tweede Kamer, dus die deadline gaan we niet halen. En dan?
De Europese e-Privacyrichtlijn, zoals de wet formeel heet, eist een expliciete opt-in voor cookies, maar hoe die precies moet gaan werken geeft veel beroering bij marketeers. En de formulering laat juridisch flink te wensen over, zodat iedereen kan gaan pleiten voor zijn of haar eigen lezing. Ik heb interpretaties gezien van "alles blijft bij het oude want je kunt opt-in via browserinstellingen geven" tot "voor elk cookie moet een pop-up komen die toestemming vraagt" en zelfs "tracking cookies zijn te allen tijde verboden."
Je zou hopen dat de Nederlandse wet een duidelijke regel bevat, maar door al die onduidelijkheid en gelobby er omheen zie ik dat niet snel gebeuren. En nu hebben we dus een probleem, want de wet had er 25 mei moeten zijn maar dat gaat echt niet gebeuren.
Praktisch gezien heeft het missen van deze deadline weinig gevolgen. De huidige wet (die alleen een informatieplicht bevat) blijft van kracht. Pas als de nieuwe wet in werking treedt, gaan eventuele nieuwe, strengere regels gelden - maar dat hangt dus af van wat de Tweede Kamer ervan maakt en wat de Eerste Kamer daarvan vindt.
Iemand die meent schade te lijden door de te late implementatie, kan een schadeclaim indienen bij de Nederlandse Staat. Maar zoals zo vaak bij privacyzaken is dat een vrijwel kansloze claim: bewijs maar eens dat je schade hebt geleden door een tracking cookie dat zonder opt-in op je harde schijf verscheen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.