Cookiewetgeving: Hoe staat het met de implementatie in Europa?

De invoering van de nieuwe Cookiewet heeft in Nederland voor veel onduidelijkheid gezorgd. De cookiewet is een onderdeel van de Europese e-Privacyrichtlijn waarin ook bijvoorbeeld netneutraliteit wordt behandeld. In de richtlijn staat onder andere dat websites toestemming moeten krijgen van bezoekers om informatie op te slaan of op te halen op een computer of een andere web aangesloten apparaat, zoals een smartphone of tablet. Het gaat bij deze richtlijn dus niet enkel om cookies maar ook bijvoorbeeld om een techniek als fingerprinting.

De richtlijn is ontworpen voor de bescherming van online privacy van burgers in Europa. Er wordt gestreefd naar het bewust maken van de consument hoe informatie over hen wordt verzameld door websites. Om uiteindelijk de consument in staat te stellen een welingelichte keuze te maken of ze hier toestemming voor verlenen. De EU-richtlijn moet door alle EU staten geïmplementeerd worden voor 25 mei 2011. In deze update bekijken we hoe de implementatie in de belangrijkste Europese landen er voorstaat.

Deze gastblog is geschreven door Saskia Delfgaauw. Saskia is content manager bij DQ&A Media Groep.

Nederland: Uitdrukkelijke toestemming

In Nederland is de Telecommunicatiewet aangepast overeenkomstig de bepalingen in de e-Privacyrichtlijn; de wijzigingen in de Telecommunicatiewet zijn op 5 juni 2012 in werking getreden. Websites moeten vanaf 5 juni 2012 volgens de Nederlandse wet ondubbelzinnig toestemming krijgen van hun bezoekers om niet-noodzakelijke cookies te plaatsen. Vanaf die datum gaat de vernieuwde telecomwet in. Door de wet versneld in te voeren (na reeds eerder uitstel) ontloopt Nederland een boete van de Europese Commissie vanwege het te laat opnemen van Europese richtlijnen in Nederlandse wetgeving.

Maar was is nu een noodzakelijke cookie? Uit een eerdere discussie op Marketingfacts bleek dit erg onduidelijk. De e-Privacyrichtlijn bepaalt dat de gebruiker goed moet worden geïnformeerd en op basis hiervan toestemming moet geven voor het plaatsen van cookies. De opinie van de Europese privacytoezichthouders bespreekt voor welke cookies onder bepaalde voorwaarden geen toestemming van de gebruiker nodig is. Zo is toestemming niet nodig voor het plaatsen van functionele cookies. Dit zijn cookies die strikt noodzakelijk zijn voor het leveren van een door de gebruiker gevraagde dienst. Denk daarbij aan cookies die nodig zijn voor het onthouden van de artikelen in een online winkelmandje.

Volgens de wet zoals deze nu is vormgegeven moeten publishers (websites) vooraf toestemming vragen voor het plaatsen van niet-noodzakelijke cookies, zoals tracking cookies van advertentienetwerken. Marktautoriteit OPTA en de CBP zijn aangesteld als de handhavers van deze wet. De onofficiële verwachting is dat vanwege beperkte mankracht de OPTA alleen grote gevallen zal aanpakken. Het CBP is alleen gemachtigd dwangsommen op te leggen.

Duitsland: huidige wet weerspiegelt reeds e-Privacyrichtlijn

De Duitse wetgever heeft nog niet bekendgemaakt hoe ze de nationale wetgeving gaan aanpassen aan de e-Privacyrichtlijn vanuit Europa. De Duitse regering heeft wel een wetsontwerp om de Duitse telecommunicatiewet te wijzigen. Deze wijziging gaat met name in op andere richtlijnen vanuit de EU. De huidige Telemediawet (Telemediengesetz) stelt dat gebruikers geïnformeerd moeten worden in het geval dat service providers gebruik maken van methoden die mogelijk de gebruiker achteraf kunnen identificeren. Voor website-eigenaren lijkt het onder de huidige wetgeving het beste om hun bezoekers te informeren over het gebruik van cookies in hun privacybeleid. De wet bepaalt ook dat gebruikers het recht hebben om het gebruik van hun gebruikersgegevens te weigeren voor het genereren van gebruikersprofielen of voor andere marketingdoeleinden. Het zijn deze gebruikersprofielen die grotendeels worden gebruikt voor online behavioral advertising.

Het probleem is dat de e-Privacyrichtlijn al toestemming vereist voordat informatie wordt opgeslagen op de apparatuur van de gebruiker. Hoogstwaarschijnlijk is dit niet vereist als de opgeslagen informatie niet is te herleiden naar een individu. De e-Privacyrichtlijn lijkt strenger te zijn dan de huidige Duitse wetgeving. Transparantie en duidelijke informatie over cookies is al een vereiste in Duitsland. Het is mogelijk dat aanvullende regels voor het gebruik van spyware en malware nodig zijn. Echter, een wijziging van het wetboek lijkt logischer dan aanvullende eisen voor toestemming.

Frankrijk: Toestemming via browserinstellingen

Frankrijk heeft nog geen wijzigingen ten gevolge van de e-Privacyrichtlijn doorgevoerd. Waarschijnlijk zal Frankrijk de doorvoering van de wijzigingen van de e-Privacyrichtlijn met betrekking tot cookies invoeren door middel van een besluit dat ook betrekking heeft op wijzigingen van andere EU-communicatierichtlijnen. Een openbare raadpleging over het ontwerp van deze aanpassing werd gelanceerd door de Franse regering, samen met de relevante Franse regelgevende instanties, zoals de CNIL (Franse gegevensbescherming).

Indien dit voorstel doorgaat in zijn huidige vorm houdt dit in dat de consument toestemming geeft door middel van passende instellingen van de browser. Indien deze toestemming is gegeven heeft de website toestemming om informatie en cookies op de apparatuur van de internetgebruiker op te slaan en te gebruiken. Tot dan moeten website-eigenaren en advertentienetwerken voldoen aan artikel 32.II van de Franse Data Privacy wet van 6 januari 1978. Op grond waarvan internetgebruikers duidelijke en volledige informatie over het gebruik van cookies en de middelen om bezwaar te maken tegen de instelling van cookies gegeven wordt.

Spanje: Voorafgaande geïnformeerde toestemming, maar browserinstellingen afdoende

Voorafgaande geïnformeerde toestemming zal nodig zijn voordat cookies worden geplaatst en gelezen in Spanje. Voor gebruikers kan dit betekenen dat ze deze toestemming verlenen door middel van het veranderen van hun browserinstellingen. Ze moeten dan hierin wel de mogelijkheid hebben om cookies van elkaar te kunnen onderscheiden, bijvoorbeeld first en third party cookies. Aangezien de meeste browsers over standaardinstellingen beschikken voor het accepteren van cookies, blijft Spanje nu afhankelijk van wijzigingen in de instellingen van browsers. De wijzigingen gaan ervan uit dat de belangrijkste cookiegebruikers, zoals reclamenetwerk providers, vrijwillige gedragscodes gaan implementeren op dit gebied. In het bijzonder moet deze code erin voorzien dat gebruikers duidelijke, volledige en gemakkelijk toegankelijke informatie over het gebruik van cookies krijgt. Tevens moet de wijze waarop de informatie wordt verstrekt en het weigeren hiervan zo eenvoudig mogelijk zijn voor de gebruiker. Dit bevordert ook de ontwikkeling van pictogrammen om aan te geven dat er cookies worden gebruikt. Website-eigenaren en reclamenetwerk aanbieders moeten voldoen aan de richtlijnen uitgegeven door het Spaanse bureau voor gegevensbescherming. Bij gebrek aan een dergelijke richtlijn moeten zij initiatieven overnemen vergelijkbaar met het Britse voorstel of andere Europese instanties voor gegevensbescherming zodra deze beschikbaar zijn.

Italië: Opt-in principe via de instellingen van software

Op 28 mei 2012 nam de Italiaanse regering het besluit aan tot uitvoering van de e-Privacyrichtlijn in Italië. In het decreet, dat in werking is getreden op 1 juni 2012, introduceerde de Italiaanse Data Protection Code (DPA) nieuwe eisen voor de aanbieders van openbare elektronische-communicatiediensten. Deze gaan in op de inbreuk van persoonsgegevens en de nieuwe bepalingen inzake het gebruik van cookies door website-exploitanten. Het decreet voorziet duidelijk in een opt-in principe om cookies te gebruiken. Het ophalen en plaatsen van informatie in de vorm van cookies is pas rechtmatig na het behalen van de toestemming van de gebruiker. Toestemming moet geïnformeerd worden gegeven. Toestemming kan worden gegeven door middel van de instellingen van een software-of andere apparaten zoals de browserinstelling. De DPA is nog niet duidelijk over hoe providers de gebruikers vooraf toestemming moeten vragen om cookies te gebruiken. De verwachting is dat de DPA de komende maanden met een aankondiging komt die hierover meer duidelijkheid verschaft.

Verenigd Koninkrijk: Impliciete toestemming

Vanaf 26 mei 2012 moeten alle Britse websites toestemming krijgen van bezoekers voor het gebruik van cookies en andere tracking-technologieën op hun website. De Britse regering heeft een update van de privacy en elektronische communicatie uitgegeven in reactie op de e-Privacyrichtlijn. De Information Commissioners Office (ICO) is in het Verenigd Koninkrijk de instantie die verantwoordelijk is voor de handhaving van de wetgeving met de bevoegdheid om website-eigenaren tot € 500.000 boete op te leggen voor ernstige inbreuken. Van sites die nu nog niet voldoen aan deze eisen wordt verwacht dat ze de vooruitgang die zij boeken en de implementatie hiervan duidelijk zichtbaar maken.

In theorie kunnen niet EU gebaseerde bedrijven door de invoering van de e-Privancyrichtlijnen toestemming krijgen voor het plaatsen van cookies die voor EU-bedrijven niet afdoende is. Dit kan de Europese online retailers en andere bedrijven nadeel opleveren.

Europese Commissie

De EU commissaris van de Digitale Agenda, Neelie Kroes, benadrukt het belang van een oplossing die geïmplementeerd is binnen de technologie zelf. Dat zou de 'Do Not Track' (DNT) browser-functie kunnen zijn, die gebruikers de mogelijkheid biedt om cookie-voorkeuren in de browser in te stellen. In plaats van voor iedere specifieke site deze toestemming te moeten verlenen. Alle website aanbieders dienen deze voorkeuren te respecteren. Google, Yahoo, AOL, Mozilla, Microsoft, Apple en Twitter hebben reeds aangegeven mee te werken en deze DNT standaard te implementeren. Facebook heeft nog geen medewerking toegezegd.

Advertenties

Hoe ga je hier als advertentienetwerk nu mee om? Met een aantal partners kijken wij op dit moment zelf naar wat de beste technische oplossing is die voldoet aan de nieuwe wetgeving in Nederland. Tot die tijd raden wij onze partners aan dat ze hun site aanpassen zodat de informatie over het plaatsen van cookies op een apparaat gemakkelijk, toegankelijk en begrijpelijk voor de gebruikers is. Dit houdt in dat een duidelijk zichtbare link naar de informatie zeer waarschijnlijk voldoende is, echter een privacybeleid als enige bron van informatie is onvoldoende onder de huidige Nederlandse wetgeving. De toestemming van de gebruiker moet een duidelijke indicatie van zijn wensen zijn. Een pop-up scherm of een top-advertentie met duidelijke en volledige informatie en een tick-box met de keuze om wel of niet cookies te accepteren lijkt op dit moment de enige manier om te voldoen aan de nieuwe cookie wetgeving. De regelgevende instanties hebben aangegeven dat de toestemming niet vereist is voor elke individuele cookie. Zodra de gebruiker instemt met cookies van een bepaalde advertentienetwerk provider, is dit advertentienetwerk niet verplicht extra toestemming te verkrijgen voor cookies die hetzelfde doel dienen. Gebruikers moeten wel altijd de mogelijkheid hebben voor een opt-out.

Afbeelding: Jimbotfuzz (cc)