[divider]
Onderzoek bij de publieke omroep
Het College Bescherming Persoonsgegevens (CBP) heeft onderzoek gedaan naar het gebruik van cookies bij de Nederlandse Publieke Omroep (NPO). Uit het rapport blijkt dat dit onderzoek al enige tijd loopt. Op verschillende momenten is door het CBP onderzocht welke cookies er op de verschillende NPO websites worden gebruikt en welke informatie er over die cookies op de websites is te vinden. Dit alles wordt uitvoerig beschreven in de rapportage. Deze precieze details van de rapportage laat ik voor dit bericht verder even voor wat het is.
Uitgangspunten CBP
Interessanter vind ik om te zien welke uitgangspunten het CBP hanteert bij het beoordelen van het cookiegebruik. Ik som deze even kort op:
- (nagenoeg) alle individualiseerbare gegevens zijn te beschouwen als persoonsgegevens, directe herleidbaarheid tot een persoon is niet vereist;
- indien de mogelijkheid van heridentificatie blijft bestaan is de WBP nog steeds van toepassing;
- zo is ook het verwijderen van het laatste octet van een IP-adres nog geen anonimisering;
- niet-functionele cookies mogen pas worden geplaatst na het geven van informatie en verkrijging van toestemming van de gebruiker (dus tot het akkoord geen cookies);
- toestemming voor het plaatsen van een cookie is nog geen toestemming voor het verder verwerken van persoonsgegevens met behulp van dat cookie;
- gegevens over surfgedrag zijn gevoelige gegevens, die een indringend beeld kunnen geven van iemands (communicatie)gedrag en belangstelling en soms ook iets zeggen over de inhoud van de communicatie.
Overigens geldt voor veel van de uitgangspunten dat het CBP hierbij verwijst naar eigen opinies of opinie van de artikel 29 werkgroep (voortgezeten door het CBP). De aangehaalde rechtspraak wordt op sommige punten opvallend ruim uitgelegd.
De boodschap van het CBP is in ieder geval helder: de privacywetgeving heeft wat het college betreft een ruime strekking en het College acht zich bevoegd om die (ruim geinterpreteerde) wet te handhaven.
Aandachtspunten bij statistiekdiensten
Veel websites maken gebruik van een of meer diensten voor webstatistiek. Veelal wordt die dienst door een externe leverancier geleverd, zoals bij comScore of Google Analytics. Uit het rapport volgt dat het CBP zeer kritisch is op dergelijke diensten. Ik licht er vier punten uit.
1. Statistische cookies niet functioneel
Het CBP stelt allereerst vast dat statistische cookies niet functioneel van aard zijn. Zie in dat kader dit citaat:
5.4 Het CBP merkt op dat de NPO geen beroep kan doen op de (huidige) uitzonderingen in artikel 11.7a van de Tw op het toestemmings- en informatievereiste. Het plaatsen en uitlezen van ten minste de comScore, Mediamath, Google Analytics analytische cookies en de overige advertentie, en sociale media cookies is niet strikt noodzakelijk om gebruik te kunnen maken van de NPO-websites (de websites werken goed zonder deze cookies).
Dat is in lijn met een eerdere opinie van wp29 over functionele cookies, zij het dat toen nog wel werd opgemerkt dat first party statistische cookies zo weinig privacy-impact hebben dat het gerechtvaardigd zou kunnen zijn deze in de toekomst ook als functioneel te beschouwen.
Voor het plaatsen en uitlezen van niet-functionele cookies is toestemming vereist. Ik verwacht niet dat er veel mensen zullen zijn die de vraag "wilt u gevolgd worden?" met "ja" zullen beantwoorden. Dat zou betekenen dat veel bezoekers niet meer gemeten kunnen worden, hetgeen de statistiek in een klap waardeloos maakt. Goede statistiek veronderstelt immers dat alle potentiele meetobjecten daadwerkelijk gemeten worden.
2. Verwerking statistische gegevens toestemming vereist
Vervolgens overweegt het CBP dat er voor het verwerken van persoonsgegevens op basis van cookies toestemming vereist is. Zie wederom het citaat:
Gelet op de samenloop van het grondslagartikel in de Wbp met artikel 11.7a van de Tw en gelet op de bedoeling van de Europese wetgever om een gelijk beschermingsniveau te bieden onder de beide wettelijke normen én gelet op de overlap van de definities van toestemming/ondubbelzinnige toestemming kan de NPO naar het oordeel van het CBP voor de met de cookies samenhangende (daaronder mede begrepen: de daaruit resulterende) verwerking van persoonsgegevens alleen een beroep doen op de grondslag ondubbelzinnige toestemming.
Het CBP legt de lat hiermee in een klap heel erg hoog. Het betekent immers dat voor veel vormen van online marketing, zodra een cookie gebruikt wordt, opeens toestemming is vereist. Waar het CBP dat vandaan haalt is me niet duidelijk. Ik kan het bovendien niet goed rijmen met het gegeven dat het CBP zelf eerder in de opinie aanhaalt dat gerechtvaardigd belang ook een grondslag voor de verwerking van persoonsgegevens kan zijn. Zie in dat kader ook een eerder kritisch bericht van mij over de cookiewet.
3. Statistiekdiensten gebruiken meetgegevens verder, privacy betrokkene in het geding
Vervolgens stelt het CBP ook nog vast dat bij cookies van Google Analytics en comScore de gegevens verder worden gebruikt. De privacy van de betrokkenen zou hiermee verder in het geding zijn.
Bij Mediamath is dit het geval omdat het een tracking cookie betreft die wordt gebruikt om het surfgedrag over meerdere websites te volgen. Ten aanzien van Google Analytics heeft de NPO weliswaar gesteld dat de omroepen die deze cookies gebruiken, een bewerkersovereenkomst hebben ondertekend met Google, maar niet gesteld of onderbouwd dat de analytische gegevens niet worden gecombineerd met gegevens van andere Google cookies, zoals van de (gads) DoubleClick cookies. In dat geval mag Google de gegevens conform haar privacybeleid voor allerlei eigen doeleinden gebruiken.196 De NPO kan daarom voor deze cookies evenmin een beroep doen op de grondslag van artikel 8, aanhef en onder e, van de Wbp.
Voor het gebruik van de tracking cookies van comScore voor het meten van het publieksbereik en van de tracking cookies van andere derde partijen voor het tonen van gepersonaliseerde advertenties en het delen van informatie via sociale media komt alleen de grondslag ondubbelzinnige toestemming in aanmerking. Dat komt omdat het gebruik van tracking cookies een grote privacyinbreuk oplevert voor de betrokken gebruikers. Het gaat bij tracking cookies om veelvuldige waarnemingen van individueel surfgedrag, die bovendien overwegend onzichtbaar zijn voor gebruikers. Hiermee kan een grote hoeveelheid gevoelige persoonsgegevens worden verzameld - gegevens over iemands surfgedrag - zonder dat de betreffende internetgebruiker dit weet.
Er lijkt voor Google Analytics nog wel een uitweg te zijn voor dit bezwaar, namelijk wanneer wordt ingesteld dat Google de betreffende gegevens juist niet mag combineren:
De NPO heeft niet verklaard dat hij (ten aanzien van Analytics) Google opdracht heeft gegeven het laatste octet van het IP-adres te verwijderen, noch dat hij de standaard instelling heeft gewijzigd die ertoe leidt dat de Analytics-gegevens worden gecombineerd met gegevens over de (gads) DoubleClick cookies voor het doeleinde van retargeting en met gegevens over gebruik van sociale media (Social Analytics).195 Voor zover de NPO niet voor deze opties kiest, heeft de verwerking van persoonsgegevens meer dan geringe gevolgen voor de persoonlijke levenssfeer van de betrokken gebruikers.
4. Bewerkersovereenkomst vereist
Het CBP is op verschillende momenten in het rapport ook kritisch over de (al dan niet gesloten) bewerkersovereenkomsten. Op grond van artikel 14 WBP moet bij de uitbesteding van een verwerking van persoonsgegevens - zoals bij externe statistiekdiensten - namelijk een bewerkersovereenkomst worden gesloten. Daarover heb ik ook al eerder geblogd. De door de NPO met Google en comScore gesloten overeenkomsten voldoen wat het CBP betreft niet.
Resume, en waar ligt de oplossing?
Uit het voorgaande volgt dat het gebruik van standaard statistiekdiensten als Google Analytics volgens het CBP in beginsel in strijd is met de wet. Er worden immers cookies gebruikt waarvoor toestemming moet worden gevraagd. Statistiek wordt echter, naar zijn aard, waardeloos als een deel van de meetobjecten de meting kan weigeren. Alleen al hierom zal, vermoed ik, geen websitehouder die toestemming gaan vragen, hetgeen het gebruik van de meetdienst al illegaal maakt (in de visie van het CBP).
Ook het verder verwerken en combineren van meetgegevens door de aanbieder van de statistiekdienst zou in strijd zijn met de wet. Indien dat Europabreed de lijn wordt, gaan aanbieders van statistiekdiensten vermoedelijk hun beleid herzien. Een van de kerndiensten van dergelijke online statistiek is nu vaak het kunnen vergelijken van meetresultaten. Bovendien is een dienst als Google Analytics vermoedelijk niet voor niets gratis; deze bestaat juist bij de gratie van het kunnen volgen van internetters (vermoedelijk om advertenties te kunnen targeten).
Verder betwijfel ik of commerciele aanbieders van grootschalige (standaard) statistiekdiensten er snel toe geneigd zullen zijn een bewerkersovereenkomst te sluiten die voldoet aan de eisen die het CBP daaraan stelt. Die eisen zijn immers kostprijsverhogend, hetgeen niet zo goed past bij een relatief goedkope (bulk)dienst als statistiek.
Waar ligt dan de oplossing? Wellicht toch terug naar server-side statistiek, zoals met open source alternatieven als Piwik. Daarbij worden weliswaar ook cookies gebruikt, maar aangezien de gegevens niet worden gedeeld met derden, is de privacy-impact hiervan veel kleiner. Sterker nog, de toezichthouders hebben in het verleden als laten doorschemeren met dergelijke cookies waarschijnlijk weinig moeite te zullen hebben. De discussie wordt ongetwijfeld vervolgd.
