Oh jee, de cookiewet is erdoor

11 mei 2012, 12:00

Grote consternatie in reclameland: de cookiewet is erdoor. Vanaf 1 juli is het verplicht om voor tracking cookies toestemming te vragen, en bovendien geldt daarop de privacywet zodat je eyeballs inzage kunnen eisen in 'hun' interesseprofiel. Er is hard gelobbyd tegen deze wet, maar uiteindelijk bleek ook de Eerste Kamer niet gevoelig voor de diverse aangedragen argumenten. We zouden uit de pas lopen met deze Nederlandse wet, toestemming via browserinstellingen werkt toch prima en we hebben een opt-out: het mocht niet baten. Cookiezettend Nederland moet dus nu héél snel gaan nadenken over hoe zij toestemming gaat vragen van bezoekers wiens surfgedrag zij wil profilen. En ja, dat geldt ook als het cookie van een netwerk van een derde komt.

De dinsdag aangenomen Telecommunicatiewet regelt niet alleen dat netneutraliteit wettelijk vastgelegd wordt. Ook wat wel “de cookiewet” heet, is onderdeel van deze wet. En de cookiewet komt erop neer dat vanaf 1 juli toestemming moet worden gevraagd voor het plaatsen van cookies, tenzij deze alleen maar bedoeld zijn voor het technisch goed laten werken van een dienst. Een winkelwagentje mag dus met cookies blijven werken, en ingelogd blijven dankzij een sessiecookie is en blijft prima zonder aparte toestemming. Maar een cookie dat ingezet wordt om bij te houden wat je voorkeuren of interesses zijn, mag vanaf 1 juli alleen nog met toestemming.

Het grote debat (met name bij marketeers die de bui wel zagen hangen dat dit nooit zou gaan werken) is hoe je die toestemming krijgt. Je zou met browserinstellingen kunnen werken, alleen zijn die veel te grofmazig – je kunt cookies aan en uit zetten, en dat is het wel zo’n beetje. Geen enkele browser biedt vandaag de dag een optie om te kunnen zeggen “Ga weg met je DoubleClick cookie, maar ach Sanoma mag me best volgen”. En dat is wat volgens de wet nodig is bij een browsergebaseerde toestemming.

Daar komt bij dat apart duidelijk moet worden gevraagd om toestemming om een profiel op te bouwen aan de hand van een cookie. Of nou ja, apart, het kán allemaal wel in één vraag (“Wij willen middels een cookie een interesseprofiel over u opbouwen zodat we u gepaste advertenties kunnen tonen, wilt u dat ja/nee”) maar het grote probleem is dat geen hond dit snapt. En vervelend is wel dat de wet eist dat je het uitlegt op dat niveau.

We hebben al een tijdje het cookie-icoon, gekoppeld aan Your Online Choices. Hiermee kunnen mensen aangeven welke netwerken hen wel en niet mogen volgen. Prima, alleen standaard staan er de nodige netwerken áán. Dus van toestemming kun je hier niet spreken: dit is een opt-out. Een prima opt-out, daar niet van, maar wél een opt-out. En de wet eist een opt-in. (Overigens ken ik 99% van die netwerken niet, terwijl ik de namen mis van de sites waar ik regelmatig kom. Zo heb ik géén idee wie ik wel en niet wil opt-innen. Een gemiste kans, wat mij betreft.)

De marketeers en designers mogen dus aan de slag: hoe vraag je aan een websitebezoeker toestemming voor iets dat hem volstrekt niet interesseert?

Soms kan dit vrij eenvoudig: als mensen zich moeten registreren, is dat het moment om meteen even een verplicht vinkje te laten zetten bij de cookievraag. En mensen die denken dat enquêtepopups effectief zijn, kunnen hetzelfde mechanisme gebruiken voor cookiepopups. Enkele durfallen zullen misschien hun site op zwart gaan zetten als je geen trackingcookietoestemming geeft, maar daar durf ik geen geld op te zetten.

Waar ik wél geld op durf te zetten is dat een groot deel van de branche gaat doen of de toestemmingseis niet bestaat. Men zal de privacyverklaring wat aanscherpen (u kunt de teksten gratis copypasten van mijn bedrijfsblog) en cookie-iconen toevoegen, en dan hopen dat er inderdaad tot 2013 niet gehandhaafd wordt zoals de minister heeft aangekondigd. En rond december gaan we dan wéér het cookiedebat voeren, met mogelijk een nieuwe richtlijn uit Europa. Maar reken er niet te hard op.

Arnoud Engelfriet is ICT-jurist, blogger en partner bij juridisch adviesbureau ICTRecht. Sinds 2001 beheert hij de site Iusmentis.com met meer dan 350 artikelen over internetrecht.

Categorie
Tags

21 Reacties

    Jasper

    Hoe gaat Google daarmee om icm derde netwerken waar bijvoorbeeld AdSense advertenties worden getoond?

    Zal Google dan een waarschuwing geven of is de persoon die advertenties van Google toont dit verplicht te doen?


    11 mei 2012 om 21:58
    ArnoudEngelfriet

    Google gaat zich weinig aantrekken van onze cookiewet vermoed ik. Of ze gaan zeggen dat zij geen namen en adressen opslaat en “dus” buiten de privacywet valt (dat zeggen ze ook bij andere privacygerelateerde kwesties).

    In principe moet Google de toestemming vragen als Google het cookie plaatst. Maar als die dat niet doet, is het goed denkbaar dat de site-eigenaar alsnog aansprakelijk wordt voor de ontbrekende toestemming.

    En omgekeerd, de site-eigenaar kan de toestemming vragen en dan hoeft Google dat niet ook nog een keer te doen.


    12 mei 2012 om 06:31
    Bauke

    Kun je niet gewoon in je algemene voorwaarden een zinnetje opnemen als:

    “Bij gebruik van deze website geeft u ons toestemming om tracking cookies te gebruiken”.

    Er is toch niemand die de voorwaarden leest :p


    12 mei 2012 om 11:38
    ArnoudEngelfriet

    Nee, de privacywet verbiedt elke constructie waarbij je via algemene voorwaarden toestemming vraagt. Precies omdat niemand die leest.

    De privacywet eist volstrekte duidelijkheid en transparantie. Dus niet “Zorgvuldig geselecteerde partners mogen langs elektronische communicatiemiddelen conform RFC 5321 verkoopbevorderende uitingen sturen” maar “Marketingfacts en ICTRecht mogen mij reclamemail sturen”.


    12 mei 2012 om 11:52
    Ruud

    concreet : Google vanuit Amerika houdt zich niet aan de Nederlandse wetgeving, zodat elkeen die een Google advertentie plaatst een grote kans loopt om als wetsovertreder de gevolgen te dragen ?

    1 -Dan dus beter om onverkort alle Google uitingen te schrappen ?

    2 – meestal is een wet van kracht na plaatsing in de Staatscourant, geldt dat hier ook of is de instemming van de Eerste Kamer voldoende ?


    13 mei 2012 om 09:04
    ArnoudEngelfriet

    Dat is de grote vraag nu. Formeel is Google de eerste aansprakelijke, omdat zij de cookies plaatst en uitleest. Maar als uitgever heb je een afgeleide aansprakelijkheid wanneer jij willens en wetens cookies laat plaatsen door een derde die de privacywet structureel negeert. (Net zoals sites die linken naar illegale inhoud bij derden.)

    De wet is formeel pas van kracht nadat deze in het Staatsblad is geplaatst, maar dat gaat 100% zeker gebeuren als de Eerste Kamer deze goedgekeurd heeft.


    13 mei 2012 om 09:07
    Jan-Willem Sanders

    Wat mij nog niet duidelijk is: aan wie geef je als bezoeker toestemming, aan de uitgever, of aan de technische partij die het cookie plaatst? Anders gezegd als ik op een e-commerce site komt die gebruik maakt van Criteo, geef ik daar dan toestemming aan criteo of aan de e-commerce partij? “wie is eigenaar van de opt-in”. Ik zou het logisch vinden als de site owner de toestemming vraagt, krijgt en daar verantwoordelijk voor is. Maar feitelijk worden de meeste cookies geplaatst door hun leveranciers.


    14 mei 2012 om 09:35
    ArnoudEngelfriet

    Formeel is de adverteerder verantwoordelijk voor de toestemming, en hij heeft dus de opt-in.

    De site-eigenaar kan een collectieve opt-in vragen, daarmee hoeven de adverteerders dat niet meer. Op die site dan. Dus Marketingfacts kan opt-in vragen voor alle cookies die haar adverteerders zetten. Dan krijg je hier maar één vraag en niet van elk netwerk eentje.

    Andersom kan ook: een adverteerder kan meteen voor al zijn sites toestemming vragen. “Mogen wij een cookie plaatsen zodat we u over elke site waar onze advertenties staan, kunnen volgen”.


    14 mei 2012 om 09:49
    Jan-Willem Sanders

    dus iedereen moet gaan adverteren op de grote titels?


    14 mei 2012 om 09:57
    Willie

    Hoe zit het met de handhaving, Gaan ze kijken waar de server staat, of het een NL onderneming is? En als het een NL onderneming is die is het buitenland verkoopt moet hij daar ook aan deze wet voldoen? Of is het voldoende om sites die vanuit NL opereren te Blokken voor de Nederlandse bezoeker…..


    14 mei 2012 om 11:15
    Willie

    Als iemand hier betaald op wil reageren, welkom!

    Dit is voor mij belangrijk!


    15 mei 2012 om 17:44
    Arnoud Engelfriet

    Een onderneming valt onder de Nederlandse wet als zij tracking cookies zet op een Nederlandse computer. Ook geldt de Nederlandse wet wanneer de website die de cookies zet, zich “duidelijk richt op Nederland”.

    Het land van vestiging, de extensie in de domeinnaam en de teksten in de algemene voorwaarden zijn compleet irrelevant.


    15 mei 2012 om 18:09
    Pieter Overbeeke

    Hoe het toestemmingsvereiste ingevuld moet worden laat de wet in het midden, zie punt 4 van artikel 11.7a:

    Bij algemene maatregel van bestuur kunnen in overeenstemming met Onze Minister van Veiligheid en Justitie nadere regels worden gegeven met betrekking tot de in het eerste lid, onder a en b, genoemde vereisten. Het College bescherming persoonsgegevens wordt om advies gevraagd over een ontwerp van bedoelde algemene maatregel van bestuur.

    Zie ook de toelichting in de motivering van het wetsontwerp:

    In overleg met het college, consumentenorganisaties en het bedrijfsleven zal verder worden bekeken hoe het toestemmingsvereiste en de informatieplicht in het eerste lid praktisch kunnen worden vormgegeven. Indien dat uit het oogpunt van rechtszekerheid gewenst is kunnen bij algemene maatregel van bestuur nadere voorschriften worden gegeven omtrent de wijze waarop de toestemming moet worden verkregen en informatie moet worden verstrekt. Aangezien een dergelijke algemene maatregel van bestuur een nadere invulling van een begrip uit de Wbp kan inhouden, wordt deze regeling vastgesteld in overeenstemming met de Minister van Justitie en wordt daarop een advies gevraagd aan het College bescherming persoonsgegevens. Overigens bestaat thans niet het voornemen om nadere voorschriften te geven. Op dit moment worden namelijk door de Europese Commissie initiatieven ontplooid om met het bedrijfsleven te komen tot zelfregulering waarin binnen de grenzen van de e-Privacyrichtlijn – wordt gekomen tot een praktische invulling van de toestemmingseis.


    16 mei 2012 om 12:33
    Willie

    Dank je. We gaan aan de slag 🙂


    16 mei 2012 om 12:37
    Erik Stenhuis

    Bezoekers wier, niet bezoekers wiens.

    Verder helder en belangrijk artikel, compliment.


    18 mei 2012 om 11:54
    Gerard

    Bij wie kan ik hier eigenlijk over klagen? Ik heb m’n browser al jaren zo ingesteld dat ‘ie aan het eind van elke sessie alle cookies weg knikkert, maar nu kan ik daardoor dus elke dag een banner verwachten op alle sites die ik bezoek? Het enige alternatief wat ik heb is cookies juist weer AAN te zetten, hoe belachelijk kan het worden! Wat een stelletje digibeten daar in Den Haag zeg, het is echt te gek voor woorden.


    5 juni 2012 om 07:10
    Pieter Overbeeke

    Als ik de inhoud van de geplaatste cookies bekijk lijkt het er toch zeer sterk op dat ik zonder toestemming wordt getracked op http://www.rijksoverheid.nl


    5 juni 2012 om 11:41
    DannyOosterveer

    Klopt.


    18 juni 2012 om 07:37

Marketingfacts. Elke dag vers. Mis niks!