Er is sinds het indienen van het wetsvoorstel terzake de implementatie van de herziene Europese telecommunicatierichtlijnen veel geschreven over de onduidelijkheid en praktische onwerkbaarheid van de inmiddels beruchte ‘Cookie-wet’. Vele websitehouders vragen zich dan ook terecht af waaraan ze (straks) dienen te voldoen om te handelen in overeenstemming met de wettelijke vereisten terzake het plaatsen en gebruiken van cookies. Is het waar dat ze voor het gebruik van elke cookie een pop-up moeten laten verschijnen op hun website om de informed consent te vragen van hun gebruikers alvorens tot plaatsing en gebruik van cookies en andere vergelijkbare software applicaties over te gaan? Betekent dit in feite het einde van hun webdienst? Hoe om te gaan met het nieuw gelanceerde ‘volg-me-niet-register’?  In deze bijdrage probeer ik orde in de chaos te scheppen. Hierbij besteed ik zowel aandacht aan de huidige wetgeving als de op handen zijnde ‘cookie-wet’.

In de eerste plaats is er een onderscheid te maken tussen zogenaamde First Party cookies en Third Party cookies. First Party cookies zijn kort gezegd cookies die door de website die de gebruiker bezoekt worden geplaatst op de randapparatuur van hun gebruikers. Third Party cookies zijn cookies die door derden (denk hierbij bijvoorbeeld aan advertentieaanbieders) worden geplaatst om bijvoorbeeld gerichte reclames te kunnen aanbieden.

Om cookies op de randapparatuur van een gebruiker te mogen plaatsen is volgens de huidige telecomwetgeving voorafgaande toestemming vereist (opt-in) alvorens tot plaatsing kan worden overgegaan tenzij het gebruik van deze cookies uitsluitend ertoe strekt en noodzakelijk is om de door gebruiker gevraagde dienstverlening te kunnen verlenen dan wel nodig is om de communicatie over het internet uit te kunnen voeren of te vereenvoudigen. De op handen zijnde cookiewet brengt hier nauwelijks verandering in. De opt-in blijft opt-in en de voornoemde uitzonderingen op het vereiste van voorafgaande toestemming blijven hetzelfde. Ook de koppeling met de Wet bescherming persoonsgegevens bestond al voordat het wetsvoorstel werd ingediend.

Wat echter wel veranderd is, is dat de gebruiker zich beter bewust is geworden van de regelgeving op het terrein van cookies. De huidige wetgeving werd/wordt nauwelijks tot niet nageleefd, als men al wist dat deze wetgeving bestond. Deze bewustwording gaat hand in hand samen met de op handen zijnde nieuwe ‘cookie-wet’, bijgevoed door het toenemend gebruik van cookies voor bijvoorbeeld behavioural advertising waarbij vanuit privacybeschermingsbelangen steeds meer aandacht wordt gevraagd voor de negatieve impact daarvan op de (achteloze) gebruiker.

Op het verwerken van persoonsgegevens door middel van cookies is naast de relevante telecommunicatiewetgeving, ook de Wet bescherming persoonsgegevens van toepassing. Voor het verwerken van persoonsgegevens waarvoor geen andere rechtsgeldige grondslag in de zin van de Wet bescherming persoonsgegevens is dan de toestemmingsgrondslag, is ondubbelzinnige toestemming vereist. Er mag met andere woorden geen twijfel bestaan over het feit dat er sprake is van een vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat zijn/haar betreffende (persoons)gegevens worden verwerkt. Bestaat er wel twijfel dan rust op de aanbieder/verwerker de plicht om te verifiëren of er inderdaad toestemming is gegeven voor de specifieke doeleinden waarvoor aanbieder de gegevens wil gebruiken. Deze toestemming hoeft niet (e-)schriftelijk te geschieden maar kan ook blijken uit gedrag. Een verdergaande toestemming kan vereist zijn naar gelang de aard van de te verwerken persoonsgegevens (denk hierbij aan bijzondere gegevens zoals medische gegevens). Het verwerken van Third Party cookies zal in het algemeen gegrond zijn op ondubbelzinnige toestemming van de gebruiker. De andere rechtvaardigingsgronden van artikel 8 Wbp zullen bij het gebruik van Third Party cookies niet snel aan de orde zijn.

Hoe de praktijk dient om te gaan met het ‘informed consent’ vereiste voor het plaatsen en gebruiken van Third party cookies blijft een valide vraag aan het adres van wetgever en toezichthouders. Third Party cookies vallen immers niet onder de uitzondering van de huidige telecommunicatiewet- en regelgeving noch zullen deze cookies snel gebaseerd kunnen worden op een rechtsgeldige verwerkingsgrond in de zin van de Wet bescherming persoonsgegevens.  Daarbij komt dat in het laatste amendement op het wetsvoorstel een bepaling is opgenomen dat bij het gebruik van Third Party cookies men uitgaat van het vermoeden dat het een persoonsgegeven betreft. Hetgeen met zich brengt dat ondubbelzinnige toestemming is vereist en aan de informatieplichten in de zin van de Wet bescherming persoonsgegevens dient te zijn voldaan. De gebruiker dient geïnformeerd te worden over het plaatsen en het gebruik dat van de cookies wordt gemaakt. Deze informatieplicht omvat in ieder geval informatie over het feit dat cookies worden geplaatst, wie de cookies plaatst en gebruikt, voor welke doeleinden de cookies worden gebruikt en over de periode dat de cookies actief zijn.

Voor het plaatsen en gebruiken van Third Party cookies zal dus voorafgaande ondubbelzinnige toestemming van de gebruiker vereist zijn. Uit de nota naar aanleiding van het verslag van het Tweede Kamer debat betreffende de op handen zijnde cookie-wet, blijkt dat toestemming niet is af te leiden uit de browserinstellingen als deze default zijn ingesteld op acceptatie van cookies (zoals thans bij de meeste browsers het geval is). Dit zou pas anders zijn indien de browserinstellingen default op non-acceptatie staan en de gebruiker derhalve een handeling zou moeten verrichten om een cookie te accepteren.

Hoewel de default instelling van browsers in de toekomst wellicht gewijzigd zal worden om tegemoet te komen aan de vraag in de markt naar een handzaam middel die het mogelijk maakt voor website exploitanten om te kunnen handelen in overeenstemming met de cookie-wetgeving, is het thans de vraag hoe de praktijk tot dat moment vorm dient te geven aan het toestemmingsvereiste. Onlangs is in het kader van zelfregulering het zogenaamde ‘volg-me-niet-register’ gelanceerd. Partijen die gebruik maken van Third Party cookies kunnen een ‘cookiezegel/cookie-icoon’ op hun website plaatsen en na doorklikken komt men op een site waarop informatie wordt geboden over door bepaalde marktpartijen gebruikte cookies en hun doelstellingen en wordt aan de gebruiker de mogelijkheid geboden per deelnemende marktpartij aan te geven dat het plaatsen en gebruiken van cookies niet is toegestaan. Als nadeel van dit initiatief wordt genoemd dat alsnog niet wordt tegemoet gekomen aan het bezwaar dat ervan wordt uitgegaan dat de gebruiker zijn/haar toestemming heeft verleend zonder dat daarvoor een handeling van diens zijde vereist is. Met andere woorden, het register gaat uit van een opt-out systeem en niet van een opt-in systeem. Wellicht is het een idee om het register om te bouwen tot een volg-me-wel-register in plaats van een volg-me-niet-register. Met andere woorden een register waarin gebruikers kunnen aangeven aan wie ze wel toestemming geven tot het plaatsen en gebruik van cookies. Hiervoor is immers een handeling vereist van de gebruiker waaruit naar mijn idee wel de vereiste toestemming kan blijken.

Voor nadere informatie kunt u zich wenden tot Irvette Tempelman.