Waarom de cookiewet zou moeten worden afgezwakt en de privacywet zou moeten worden aangescherpt.

Over de nieuwe cookiewet is erg veel te doen geweest. De meeste berichten gaan over (allerlei technische details rondom) de uitleg van die wet. In deze korte bijdrage wil ik laten zien dat er vraagtekens geplaatst kunnen worden bij het bestaan en de achterliggende gedachte van de cookiewet.

Cookies zelf zijn passief

Over cookies doen allerlei (spook)verhalen de ronde. Het is van belang de feiten niet uit het oog te verliezen. Cookies zijn kleine tekstbestandjes waarin een beperkte hoeveeelheid informatie kan worden opgeslagen (ongeveer 4 kilobyte). Cookies doen uit zichzelf helemaal niets. Ze zijn daarmee ook niet te vergelijken met virussen, troyans of andere (kwaadaardige) programma's.

Analyse van cookies vindt op servers plaats

Cookies worden geplaatst, en later weer uitgelezen of bewerkt, door de software van een webserver. Het is op die server waar de inhoud van het cookie (vaak niet meer dan een uniek getal of een gebruikersnaam) verder kan worden geanalyseerd. En het is die verdere analyse - die dus op de server van de websitehouder plaatsvindt en niets meer met het oorspronkelijke cookie te maken heeft - die mogelijk  privacyrechtelijke implicaties heeft. Ik zal dat hierna uitwerken.

Voor analyse persoonsgegevens bestaat al lang een wettelijk kader

In een marketingcontext worden cookies veelal gebruikt om advertenties toe te spitsen op de individuele behoeften van de betreffende internetter. Die herleidbaarheid naar individuele behoeften, brengt waarschijnlijk met zich mee dat de betreffende verwerking dient te voldoen aan de Wet bescherming persoonsgegevens (Wbp). Uit de opinie van de gezamenlijke privacytoezichthouders over het begrip persoonsgegevens blijkt immers (kort samengevat) dat al van persoonsgegevens wordt gesproken als de gegevens individualiseerbaar zijn (identificeerbaarheid is niet vereist). Het analyseren van die individualiseerbare gegevens is dus aan te merken als een verwerking van persoonsgegevens en die verwerking dient daarmee (dus) te voldoen aan de Wbp.

Hoewel dat kader niet uitblinkt in duidelijkheid

De Wbp bevat al vanaf dag 1 een juridisch kader voor het verwerken van persoonsgegevens voor marketingdoeleinden. Algemeen wordt aangenomen dat de grondslag voor het verwerken van persoonsgegevens in het kader van marketingdoeleinden is gelegen in artikel 8 sub f WBP. In de memorie van toelichting bij de WBP staat zelfs letterlijk dat 'wanneer een bedrijf zijn cliëntgegevens wil benutten voor het doen van een mailing om een nieuw product onder hun aandacht te brengen (directmarketing)' in beginsel kan worden aangenomen dat dit gerechtvaardigde belang voor de gegevensverwerking bestaat.

Het lastige is echter: de grondslag van artikel 8 sub f Wbp (het gerechtvaardigd belang) is de meest vage grondslag die er is voor het verwerken van persoonsgegevens. Deze grondslag vereist namelijk dat bij een concrete verwerking moet worden afgewogen of het belang van de betrokkenen niet prevaleert boven het belang van de verantwoordelijke. Daarbij moeten alle relevante omstandigheden van het geval, waaronder ook de proportionaliteit en de subsidiariteit, worden meegewogen. Dat is voor een abstracte regel wellicht nog wel logisch om zo te bepalen, maar dit maakt dit wetsartikel in de praktijk wel verdraaid lastig toepasbaar. Waar ligt immers de grens? Wanneer moet je aannemen dat een marketingactie te ver gaat en het privacybelang van de betrokkenen moet prevaleren?

In plaats van duidelijke norm, strenge regels over gebruikte hulpmiddelen

In plaats van deze vage norm aan te scherpen, heeft de wetgever ervoor gekozen om een veelgebruikt middel voor het uitvoeren van dergelijke online marketinganalyses te verbieden (het cookieverbod), kennelijk in de gedachte dat hiermee de privacy van de internetter beter wordt geborgd. Wat mij betreft een hele vreemde keuze, omdat het cookie zelf niet zo veel doet en de privacyimplicaties juist gelegen zijn in de achterliggende verwerking op de server. Het is alsof (de productie van) de videorecorder wordt verboden omdat met een dergelijk apparaat inbreuk op intellectuele eigendomsrechten gemaakt zou kunnen worden.

Voorts wordt maar tot op zekere hoogte erkend dat cookies (om allerlei technische redenen) ook zeer nuttige toepassingen hebben. Cookies die "functioneel" van karakter zijn mogen zonder toestemming worden geplaatst. Dit leidt dan ook tot hele lastige discussie over welke cookies als functioneel zijn te beschouwen en dus niet onder het cookieverbod zouden moeten vallen. Het is nu al wel te voorzien dat die discussie over het al dan niet functioneel zijn van een handeling die onder het cookieverbod valt of zou kunnen vallen, bij de ontwikkeling van iedere nieuwe techniek steeds opnieuw weer zal opspelen. Alleen al omwille van de rechtszekerheid, maar ook omwille van de verdere innovatie in de ICT, lijkt me dit niet wenselijk.

Onverklaard verschil tussen online en offline marketing

Bovendien leidt dit verbod tot lastig te verklaren verschillen in normen voor online en offline marketing. Bij offline marketing worden immers, net zo goed als bij online marketing, uitgebreide profielen van consumenten opgebouwd en gebruikt voor diverse marketingacties. Het enkele bestaan van initieven als Postfilter om je uit te schrijven voor de ontvangst van dergelijke offline (veelal gepersonaliseerde) reclame, evenals het gegeven dat in adressenbestanden wordt gehandeld, bevestigt dit. Deze offline verwerking van persoonsgevens moet nog steeds worden getoetst aan de vage norm van artikel 8 sub f WBP.

Was het niet veel logischer geweest om de norm van artikel 8 sub f Wbp te concretiseren, zodat zowel voor online als offline marketing duidelijk is wat er wel en wat er niet in het kade van marketingactiviteiten met persoonsgegevens mag worden gedaan? Nu moet immers zowel voor offline als online marketing worden getoetst of wordt voldaan aan artikel 8 sub f Wbp, zij het dat bij online marketing ook om toestemming aan de betrokkenen moet worden gevraagd wanneer in dat marketingproces cookies als hulpmiddel zijn gebruikt.

Wanneer daarbij ook nog bedacht wordt dat de cookiewet door de OPTA en de Minister in de in de praktijk wordt uitgelegd als het verbod op het online volgen (zie daarvoor over eerdere blogberichten), dan zou zelfs kunnen worden geconcludeerd dat eigenlijk sprake is van een normverschuiving: voor profielenopbouw in online marketing is toestemming nodig, terwijl voor profielenopbouw bij offline marketing een gerechtvaardigd belang volstaat. Dat verschil is naar mijn idee niet goed te verklaren c.q. te rechtvaardigen. Verdient de privacy van de burger bij offline marketing volgens de wetgever dan geen bescherming?