Op 8 mei 2012 is de Eerste Kamer akkoord gaan met het wetsvoorstel tot herziening van de Telecommunicatiewet. Kort gezegd houdt dit in dat Nederland het tweede land ter wereld is dat netneutraliteit in de wet verankerd heeft, er een meldplicht geldt voor datalekken bij aanbieders van elektronische netwerken en dat voor het plaatsen van (bepaalde) cookies voorafgaande toestemming is vereist.

Netneutraliteit

Het nieuwe artikel 7.4 van de Telecommunicatiewet verbiedt het telecommunicatie- en internetaanbieders om elektronisch verkeer af te knijpen of te vertragen. Dit is in de toekomst nog slechts toegestaan in enkele uitzonderlijke gevallen. Deze uitzonderingen zien vooral op het goed laten functioneren van de diensten, en dan moet de genomen maatregel wel gelden voor al het elektronisch verkeer. Alleen een website als YouTube afknijpen omdat deze nu eenmaal veel bandbreedte opslokt, is niet toegestaan. Doordat het beginsel van netneutraliteit nu wettelijk is vastgelegd, is het simpelweg verboden om diensten zoals WhatsApp, Viber en Skype te blokkeren of te vertragen. Een ontwikkeling die innovatie ten goede zal komen.

Een ander onderdeel van netneutraliteit is het verbod om zonder toestemming elektronisch verkeer af te tappen. De omstreden ‘deep packet inspection’, waarvan KPN gebruik maakte om het verkeer op hun netwerk te analyseren, is hiermee verleden tijd. De privacy van de gebruikers van een elektronisch netwerk wordt hierdoor verder geborgd.

Meldplicht datalekken

Sinds, onder andere, de ‘KPN-Hack’ en het ‘dossier DigiNotar’, is iedereen ermee bekend dat ook deze bedrijven het slachtoffer kunnen worden van computercriminaliteit. Daarbij is bekend wat de gevolgen zijn van een hack of datalek bij een groot bedrijf of provider. Door de systemen van een dergelijk bedrijf te kraken, kunnen criminelen ineens in het bezit komen van een enorme hoeveelheid data en persoonsgegevens. De Telecommunicatiewet legt in het nieuwe artikel 11.3a aan aanbieders van internettoegang en telefoonnetwerken de verplichting op om doorbraken van hun beveiliging welke nadelig zijn voor de beveiliging van persoonsgegevens direct te melden. Een hack of lek onder de radar houden is er dus niet meer bij.

Cookies

Omstreden is de zogenaamde cookie regelgeving in de Telecomunnicatiewet. Ook ik zet mijn vraagtekens bij de werkbaarheid van deze regelgeving. De cookie regelgeving komt er op neer dat er toestemming moet worden gevraagd voor het plaatsen van cookies, tenzij deze alleen bedoeld zijn voor het juist laten functioneren van een website. Denk hierbij bijvoorbeeld aan het automatisch ingelogd blijven na bezoek aan Twitter of Facebook. Cookies die worden gebruikt voor niet noodzakelijke onderdelen, zoals voor het tonen van gepersonaliseerde advertenties, mogen voortaan alleen nog worden geplaatst nadat hiervoor toestemming is verleend.

Met andere woorden: als er met of door de cookie persoonsgegevens worden verwerkt, is toestemming vereist. Hierbij komt dat de wet aanneemt dat cookies die tot doel hebbe “gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden” te verzamelen altijd persoonsgegevens verwerken. De bewijslast wordt dus omgekeerd: het is aan degene die een cookie gebruikt om aan te tonen dat deze geen persoonsgegevens verwerkt, wat met het oprekken van het begrip persoonsgegeven een behoorlijke opgave is.

Hoe toestemming te verkrijgen is en blijft vooralsnog ook lastig. Browsers kunnen worden ingesteld om cookies wel of niet te accepteren maar maken geen onderscheid in het soort cookies dat geplaatst wordt. Wat dat betreft is het dus alles of niets. Momenteel wordt gewerkt aan een Europese do not track standaard maar deze is nog verre van uitgewerkt. Of de regelingen nu die door de e-marketing sector zelf zijn opgesteld afdoende zijn, is ook nog onduidelijk. Wat de omkering van de bewijslast (die juist vanwege deze onduidelijkheden pas geldt per januari 2013) hieraan bijdraagt is niet duidelijk.

Aangezien de OPTA heeft aangekondigd dat handhaving van de cookieregels een speerpunt wordt, is het wenselijk dat er snel een duidelijk beleid omtrent het verlenen en verkrijgen van toestemming voor het plaatsen van cookies wordt ontwikkeld.

Lees de wijzigingen in de wet hier.