De marketingbranche stelt ten onrechte dat voor het plaatsen van cookies in browsers geen toestemming nodig is van de eindgebruiker. Daarmee reageert TNO (en het IViR) op de reactie van de marketingbranche over het rapport 'A bite too big' waarin TNO het gebruik van cookies onderzocht, waarover ik recente blogde. In een brief legt TNO/IViR uit dat er toch écht nu al opt-in voor tracking cookies nodig is (en dat de onderzochte groep representatief is.
De discussie spitst zich toe op het Nederlandse Besluit universele dienstverlening en eindgebruikersbelangen, een op de Telecommunicatiewet gebaseerd besluit waarin nadere regels staan over onder de privacy van eindgebruikers van telecommunicatiediensten.
Artikel 4.1 van het Bude regelt het opslaan van gegevens op hun randapparatuur en vormt de basis voor de stelling dat voor tracking cookies opt-in nodig is en niet slechts opt-out. Kort gezegd: wie een cookie wil plaatsen, moet
De bewoording "weigeren" in item 2 wijst op het eerste gezicht op opt-out. Immers, opt-in dat iets pas mag gebeuren nadat er toestemming is, en opt-out dat iets mag gebeuren totdat de betrokkene bezwaar maakt. Oftewel de mogelijkheid moet er zijn - maar dat is niet hetzelfde als dat men vooraf moet vragen dat de gelegenheid wordt geïnspecteerd en desgewenst wordt gebruikt. De gelegenheid moet er zijn, maar men hoeft niet af te dwingen dat de bezoeker langs deze gelegenheid gaat en actief ja dan wel nee zegt.
TNO en IViR wijst er echter op dat de formulering toch een opt-in is:
Immers er dient voorafgaand geïnformeerd te worden en expliciet gelegenheid tot weigeren te worden geboden. Dit is een substantieel andere situatie dan 'opt-out' waar nadat gegevens worden toegestuurd of geplaatst aan de gebruiker de mogelijkheid moet worden geboden het verder plaatsen van gegevens te verbieden.
Het 'voorafgaand' (item 1) maakt van de cookieregel dus een opt-inregel: of je nu vraagt "wilt u dit" of "wilt u dit niet", het blijft een voorafgaande vraag. Men baseert zich op de memorie van toelichting bij de invoering van deze regel, waarin onder meer is gezegd dat de gebruiker "zelf [dient] te kunnen beslissen of hij een dergelijke gebruik voorstaat". En die formulering neigt inderdaad naar informed consent oftewel instemming verkrijgen voordat je het gaat doen.
Ik moet zeggen dat ik wel heel veel moeite heb met deze wetsuitleg, al was het maar omdat het de eerste keer is sinds het Bude is ingevoerd (2004) dat ik deze interpretatie tegenkom. En ik vraag me dan meteen af, waarom staat er "weigeren" en niet "accepteren" of andere ondubbelzinnige terminologie die wijst op toestemming?
Een uitleg gebaseerd op opt-out acht ik echter zonder meer ook houdbaar. Wie in een privacystatement toelicht dat er tracking cookies worden geplaatst en hoe deze kunnen worden geweigerd, komt al een heel eind. Om het heel netjes te doen, zouden de tracking cookies pas na de eerste pageview geplaatst mogen worden zodat mensen een kans hebben het statement te lezen en de cookies te weigeren.
Er is momenteel een heftig debat gaande over een nieuw wetsvoorstel waarbij expliciet toestemming nodig is voor tracking cookies. De centrale vraag is of die toestemming gegeven kan worden via browserinstellingen en zo ja aan welke eisen die instellingen moeten voldoen. De DDMA -die het TNO-rapport bekritiseerde- bepleit een systeem waarbij advertenties voorzien worden van een duidelijk icoon waarmee tracking uitgeschakeld kan worden.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.