De Publieke Omroep plaatst cookies zonder adequate toestemming te vragen, en dit moet stoppen op straffe van een dwangsom van maximaal € 125.000. Dat bepaalde de Autoriteit Consument en Markt gisteren. De toezichthouder valt met name over de “toestemming door verder gaan”-constructie die de NPO hanteert. Wie verder bladert of binnen een uur terugkomt, krijgt automatisch cookies. Dit is geen geldige manier om toestemming te krijgen, aldus de ACM.
Mijn eerste gedachte bij het besluit: éindelijk gebeurt er eens wat met die wet. Maar rijkelijk laat mag je deze handhaving gerust noemen – hoewel ik snap dat je als toezichthouder niet zomaar 2 dagen na wetsinvoering een willekeurige cookiedropper bij het juridische nekvel mag grijpen en 2 ton boete door de strot duwen omdat de stagiair een cookie op zijn pc zag.
Waarom de NPO precies gekozen is, is me niet helemaal duidelijk. Je zou denken dat een grote commerciële partij als Nu.nl (Sanoma) meer voor de hand ligt. Misschien de voorbeeldfunctie van de toch Publieke omroep?
In ieder geval, de motivatie staat los van een eventuele speciale positie die de NPO zou hebben. Het bezwaar van de ACM gaat over de wijze waarop de NPO concludeert dat er toestemming is:
In het geval een gebruiker de pagina ververst, of geen keuze maakt maar wel binnen een uur terugkomt op de eerder bezochte pagina, leidt de NPO toestemming af uit deze gedraging van een gebruiker. (…) Een gebruiker heeft op dat moment echter geen gedraging verricht waaruit redelijkerwijs een wilsuiting kan worden afgeleid; verversen en/of wegsurfen (en later terugkomen) zijn naar het oordeel van ACM dan ook geen wilsuitingen waaruit redelijkerwijs toestemming kan worden afgeleid (zie ook randnummer84).
De tekst bij 84 gaat over de specifieke situatie dat de gebruiker doorsurft naar de “Meer informatie over cookies” of de privacyverklaring; het is evident dat mensen dan nog geen toestemming willen geven maar eerst meer informatie willen voordat ze beslissen. Maar het lijkt erop dat men in het algemene geval wél toestaat dat doorsurfen toestemming oplevert.
Doorsurfen, want specifiek “later terugkomen” of “de pagina verversen” merkt men aan als niet genoeg om toestemming op te baseren. Helaas wordt niet nader onderbouwd welke handelingen nu wel genoeg zouden zijn. Nergens staat expliciet dat doorsurfen/doorklikken op de site wél genoeg zou zijn. Behalve daar waar staat dat doorsurfen naar “Meer over cookies” niet genoeg is, dus dat zou je dan als omgekeerd bewijs kunnen lezen: dat is de uitzondering, dus de hoofdregel is dat het wel mag.
Een aanverwant punt is dat je als gebruiker niet duidelijk kon zien dat de NPO je doorsurfen als toestemming opvat. De cookiebalk bleef hetzelfde (met knop “Geef toestemming”). Deze tekst zal nu veranderen in
Door verder gebruik te maken van deze website, heb je toestemming gegeven voor het plaatsen en uitlezen van cookies op de websites van de Nederlandse Publieke Omroep.
De ACM verwacht dat het actief op deze manier informeren van gebruikers een effectieve oplossing kan zijn, zegt ze in het besluit. Ik ben heel benieuwd. Ik zou zelf graag zien dat er ook een “Toestemming intrekken” knop bij zit, maar op zich kun je dat ook via je browser weggooien.
Dus tsja. Eindelijk eens een actieve handhavingstap, maar het voelt nogal laat. Het verbaast me een tikje dat men mee lijkt te gaan in “doorklikken is toestemming” hoewel dat er dus niet heel letterlijk staat. Maar het is denk ik de enige werkbare optie. De constructie met de cookiebalk die dan moet verschieten naar “u heeft toestemming gegeven” vind ik wel een creatieve: dan valt het op dat een site zo redeneert en kun je daar als bezoeker wat mee.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.