Vanaf 1 januari 2013 nieuw onderdeel cookiewet van kracht

Op 1 januari 2013 treedt een nieuw deel van de cookiewet in werking. De wijziging staat ook bekend als het amendement 39 van Van Bemmel en Van Dam. De rest van de cookiewet is op 5 juni 2012 al in werking getreden en heeft sindsdien tot veel vragen en discussie geleid. Zeker is dat eenieder die informatie wil plaatsen en/of uitlezen van de computer of randapparatuur van de gebruiker de gebruiker daarover moet informeren en zijn toestemming moet verkrijgen. Vanaf 1 januari 2013 komt daar een extra regeling bij: vanaf die datum worden trackingcookies vermoed persoonsgegevens te bevatten waarop de Wet bescherming persoonsgegevens (Wbp) van toepassing is.

Trackingcookies verwerking persoonsgegevens, tenzij…

De partij die trackingcookies wil plaatsen of uitlezen moet dus niet alleen informeren en toestemming verkrijgen, maar daarnaast aan de vereisten in de Wbp voldoen. Hij moet dan onder meer het cookiebestand aanmelden bij het College bescherming persoonsgegevens (CBP). Wie in dat bestand staan, hebben bovendien het recht op inzage en correctie van deze gegevens. Doordat ervan wordt uitgegaan dat er bij trackingcookies persoonsgegevens worden verwerkt, ligt de bewijslast dus vanaf 1 januari bij de gebruiker van de cookies. Wie trackingcookies plaatst en leest, zal moeten bewijzen dat hij geen persoonsgegevens verwerkt. Tot 1 januari 2013 moet het CBP zelf bewijzen dat er persoonsgegevens worden verwerkt. Met andere woorden: een omgekeerde bewijslast.

Cookiewet nog altijd ter discussie

Over de cookiewet zelf is het laatste woord nog niet gesproken. Het ministerie van EZ zal binnenkort komen met een reactie op het voorstel van Kamerlid Kees Verhoeven (D66) om first party statistiekencookies uit te zonderen van de informatieplicht en het toestemmingsvereiste. Daarvoor was brede steun in de Kamer, maar volgens de Europese richtlijn is dit feitelijk niet toegestaan. Een gedoogbeleid van OPTA zou dan soelaas kunnen bieden, en omdat de Artikel 29-werkgroep (commissie van Europese toezichthouders) geadviseerd heeft de volgende richtlijn op dit punt aan te passen is het wellicht best haalbaar.

Wie is aansprakelijk?

Bovendien zal minister Kamp antwoord geven op de zeer terechte vraag van Kees Verhoeven wíe er eigenlijk verplicht is gebruikers te informeren en toestemming te verkrijgen: de feitelijke plaatser/uitlezer van de cookies of de website-eigenaar. Voor websites die worden gefinancierd door advertenties en die gebruikmaken van social media plug-ins is dit een zeer belangrijke vraag. OPTA ziet website-eigenaren volgens haar eigen FAQ als eerste aanspreekpunt zonder dat zij uitlegt wat dit precies inhoudt, maar het heeft er alle schjin van dat zij hiermee bedoelt dat website-eigenaren zélf boetes tegemoet kunnen zien, zowel voor eigen cookies als voor de cookies van derden, zoals advertentienetwerken. De interpretatie van OPTA dat websites actief moeten vrágen om toestemming voor alle cookies (in plaats van deze ‘hebben verkregen’ zoals de wet voorschrijft) ook die van derden, én dat gebruikers actief op akkoord of JA moeten klikken, veroorzaakt momenteel een woud aan irritante pop-ups, die hoogstwaarschijnlijk zeer weinig doen voor de privacy en bovendien de verantwoordelijkheden bij de verkeerde partij leggen. Zie ook deze analyse waarom de derde partij aansprakelijk is voor zijn eigen cookies.

Hopelijk maakt minister Kamp snel een einde aan deze foutieve interpretatie van de OPTA, zodat gebruikers voortaan slechts eenmaal per plaatser/uitlezer toestemming moeten verlenen voor alle cookies van die partij tegelijk. De website-eigenaar kan deze verplichtingen overigens wel overnemen, maar is daartoe niet verplicht. Staatssecretaris Dekker (OCW) was Kamp trouwens al voor met de beantwoording van de vraag over third party cookies toen hij in een antwoord op Kamervragen van Kees Verhoeven over cookies van de NPO bevestigde dat derde partijen verantwoordelijk zijn voor hun eigen cookies. Helaas bevatten de antwoorden van de staatssecretaris ook een aantal opmerkelijke redeneringen over de populariteit van sociale media, de gevolgen voor gebruikersvriendelijkheid en complexiteit wanneer de NPO cookies van sociale media zou moeten blokkeren, waarmee hij de geloofwaardigheid van zijn antwoord over de verantwoordelijkheidverdeling ondermijnde.

Toestemming: welke eisen?

Helaas heeft Verhoeven of een ander Kamerlid niet aan de minister gevraagd aan welke eisen toestemming precies moet voldoen. De OPTA hanteert tot nu toe strengere eisen dan de wet en richtijn voorschrijven, waardoor Nederlandse bedrijven worden benadeeld ten opzichte van buitenlandse. Echter, zolang de boetebevoegde OPTA (450.000 euro per overtreding!) vasthoudt aan haar eigen strikte eisen aan toestemming durven plaatsers/uitlezers van cookies – begrijpelijkerwijs – niet te vertrouwen op de wettelijke regels. In een volgend Kamerdebat zou ook dit onderwerp ter tafel moeten komen. Duidelijkheid over het toestemmingsbegrip kan voorkomen dat bedrijven kostbare investeringen doen die achteraf overbodig blijken.

DDMA iLounge ‘Het cookiedebat 2.0’

Op woensdag 30 januari passeren tijdens de DDMA iLounge ‘Het cookiedebat 2.0’ de belangrijkste onderwerpen nog eens de revue. Niet-DDMA-leden betalen voor deelname 50 euro.

Informatie over ‘Het cookiedebat 2.0’