Liggen cookies de wetgever terecht zo zwaar op de maag?

Webwereld bericht dat er een "felle lobbystrijd" aan de gang zou zijn rond de wetgeving over het gebruik van cookies. Wat is er precies aan de hand? En wordt wellicht niet te zeer ingezoomd op een klein deelonderwerp van het privacyrecht, terwijl de grote lijn uit het oog wordt verloren?

Cookieverbod of niet?

Nu cookies toegestaan mits transparant

Dankzij de zogenaamde ePrivacy richtlijn geldt sinds 31 oktober 2003 in de EU de regel dat cookies alleen mogen worden geplaatst "op voorwaarde dat de betrokken gebruiker voorzien wordt van duidelijke en volledige informatie (...) en het recht krijgt aangeboden (...) een dergelijke verwerking te weigeren". Cookies mogen dus worden geplaatst, mits de gebruiker maar duidelijk wordt geinformeerd en de cookies kan weigeren.

Straks toestemming voor cookies vereist

Die ePrivacyrichtlijn is onlangs herzien. In de nieuwe regels over het plaatsen van cookies staat dat dit alleen is toegestaan "op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie". De informatieverplichting is dus gebleven, maar voortaan is volgens de herziene richtlijn toestemming vooraf nodig voor het plaatsen van een cookie.

Toestemming ook mogelijk via browserinstelling?

Normaalgesproken wordt met het begrip toestemming een actieve, uitdrukkelijke handeling bedoeld van degene aan wie om toestemming wordt gevraagd. In diezelfde herziene ePrivacyrichtlijn staat in de overwegingen echter dat die toestemming voor plaatsen van een cookie kan "worden uitgedrukt door gebruik te maken van de desbetreffende instellingen van een browser". Dat is best opvallend. Enerzijds wordt - ter bescherming van de privacy van de computergebruiker - een actieve toestemming verlangd, terwijl anderzijds die toestemming afgeleid mag worden uit computerinstellingen waarvan de gemiddelde computergebruiker zich waarschijnlijk niet bewust is.

Nederlandse wetgever vindt toestemming via browser voldoende

De richtlijn zelf biedt dus interpretatieruimte wat er onder die toestemming moet worden verstaan. Die ruimte is door de Nederlandse regering aangegrepen. Zij schreef namelijk in de toelichting bij het wetsvoorstel naar aanleiding van deze richtlijn dat zij voorstelt "de browserinstelling van de gebruiker bepalend te laten zijn voor de vraag of de gebruiker de vereiste toestemming voor het plaatsen en lezen van cookies heeft gegeven".

Raad van State betwijfelt of toestemming via browser voldoende is

De Raad van State is echter kritisch over deze opvatting van de regering. In zijn rapport over dit wetsvoorstel schrijft de Raad namelijk dat "aandacht dient te worden besteed" aan het rapport van de gezamenlijke Europese privacytoezichthouders over online adverteren. In dat rapport betogen de gezamenlijke privacytoezichthouders dat toestemming voor het plaatsen van een cookie niet mag worden afgeleid uit de browserinstellingen. De Raad van State beveelt dan ook aan het wetsvoorstel aan te passen.

Kamerleden kritisch

Uit het verslag van de kamercommissie die het wetsvoorstel behandelt blijkt dat de verschillende fracties heel uiteenlopend denken over de vraag hoe om te gaan met cookies. De regering moet nog reageren op dit verslag. Of in Nederland nu wel of niet een cookieverbod komt, is dus vooralsnog niet duidelijk.

Algemeen privacyrecht

De vraag is echter of de discussie over online privacy (ePrivacy) niet aldus verzandt in een gedetailleerde discussie over cookies.

Cookies symbool voor volgen internetter

Een van de aandachtspunten bij privacy op internet is dat het in een online omgeving erg eenvoudig is om het gedrag van personen te volgen en volledig te analyseren. Cookies zijn hiervoor een veelgebruikt hulpmiddel en het lijkt er dan ook op dat cookies symbool zijn geworden voor dergelijk online volgen van internetters.

Vele manieren om internetter te volgen

Er zijn echter legio manieren waarop het internettende publiek in de gaten kan worden gehouden. Zo is het mogelijk om, geheel buiten medeweten van de internetter om en zonder iets op te slaan op diens computer, kenmerken van diens computer en internetverbinding uit te lezen en vervolgens te verzenden naar de exploitant van de website die deze techniek gebruikt (zie voor verdere uitleg hier). Uit onderzoek blijkt dat een dergelijk profiel met alleen maar feitelijke en technische gegevens, in de regel dusdanig uniek is dat een internetter hiermee geidentificeerd kan worden. De privacyvoorvechters van het Electronic Frontier Foundation hebben een online tool gemaakt waarmee u zelf kunt testen hoe uniek uw online profiel is. Grote kans dat blijkt dat ook u een uniek profiel heeft en dus, zonder dat u hiervan iets hoeft te merken, eenvoudig online te volgen bent.

Volgen van internetter valt meestal binnen bereik privacywetgeving

Wanneer sprake is van een uniek profiel dat gevolgd wordt, zal dit volgen in de regel vallen onder de werkingssfeer van de privacywetgeving. Er is immers sprake van een online profiel dat in de regel direct (als de naam bekend is) of indirect (na wat speurwerk) te koppelen is aan een uniek persoon. Daarmee is sprake van verwerking van persoonsgegevens als bedoeld in de Wet bescherming persoonsgegevens (WBP).

Gevolgen privacvywetgeving

Dat betekent bijvoorbeeld dat gebruikmaken van deze technieken alleen is toegestaan wanneer daarvoor uitdrukkelijke toestemming is gegeven (vgl. artikel 8a WBP) of wanneer hiervoor een gerechtvaardigd belang van de websitehouder die deze techniek gebruikt aanwezig is en het belang van de betrokkene niet prevaleert (vgl. artikel 8f WBP). Van verkregen uitdrukkelijke toestemming zal in de regel geen sprake zijn. Het is bovendien de vraag of er wel sprake is van een gerechtvaardigd belang om internetters zo gedetailleerd te volgen. Doeleinden als het optimaliseren en onderhouden van de website zijn ook met andere, minder privacygevoelige, technieken na te streven.

Als al zou moeten worden aangenomen dat de websitehouder in de basis een gerechtvaardigd belang heeft deze technieken te gebruiken, dan geldt bovendien dat hoe meer persoonsgegevens middels deze techniek worden verzameld, hoe groter de kans dat het belang van de betrokkene (uiteindelijk toch) prevaleert en de verwerking niet is toegestaan. De kans is dan dus groot dat zodra de techniek een tijdje door de websitehouder is gebruikt en deze voor een hernieuwde afweging staat of er wel een grondslag voor deze persoonsgegevensverwerking is, de websitehouder moet concluderen dat hij geen gerechtvaardigd belang heeft om dusdanig veel privacygevoelige geegvens te verzamelen, althans in ieder geval dat het belang van de betrokkene dan prevaleert en dat de betreffende verwerking dus niet (langer) is toegestaan.

Als er al een grondslag voor de verwerking zou bestaan, geldt bovendien dat de persoon die op deze wijze online wordt gevolgd hierover in beginsel vooraf moet worden geinformeerd (vgl. artikel 33 WBP). Voor zover mij bekend gebeurt dit op dit moment nog niet of nauwelijks. Het roept ook de vraag op hoe die informatie dan aan de internetgebruiker zou moeten worden verstrekt. Daarbij vraag ik mij af of een internetter die tijdig en op goede en begrijpelijke wijze wordt geinformeerd over de informatie die over hem wordt verzameld, niet ogenblikkelijk zijn recht van verzet zal inroepen tegen deze persoonsgegevensverweringen (vgl. artikel 40 en artikel 41 WBP).

Ook zullen de met het systeem verkregen gegevens goed moeten worden beveiligd (vgl. artikel 13 WBP). Het is maar de vraag of aan deze beveiligingseisen voldaan wordt, bijvoorbeeld omdat het uitlezen en verzenden van de profielinformatie in de regel gebeurt via onbeveiligde internetverbindingen. Verder roept de techniek ook andere privacyrechtelijke vragen op, die ik omwille van de lengte van dit artikel verder niet zal uitwerken.

Conclusie

De vraag is dus of in de discussie over het gebruik van cookies niet het kader van het algemene privacyrecht uit het oog wordt verloren. Waarom immers heel specifiek cookies verbieden, als het algemene privacyrecht in feite al lang kaders heeft gesteld voor het gebruik van technieken waarmee internetters te volgen zijn? Zodra een specifieke techniek wordt verboden, is de kans immers groot dat een nieuwe techniek opkomt waarmee hetzelfde bereikt kan worden. Het lijkt dan ook veel eenvoudiger om in wetgeving niet de specifieke techniek te reguleren, maar meer algemeen de verwerking van persoonsgegevens (zoals het privacyrecht nu al doet). Dat betekent immers dat moet worden voldaan aan alle privacyrechtelijke beginselen, zoals een rechtvaardiging (grondslag) voor de verwerking, transparantie, doelbinding, dataminimalisatie, etc.