Internetrecht door Arnoud Engelfriet

Het cookieicoon is leuk, maar wie zich aan de nieuwe privacywet wil gaan houden heeft er niets aan. Dat is ongeveer de samenvatting van het advies dat de Europese privacytoezichthouders (pdf) vorige week uitbrachten.

Al een hele tijd wordt er gesteggeld over de nieuwe privacywet, met name op het gebied van cookies. Doel van de nieuwe privacyrichtlijn is namelijk onder meer het tracken en profilen van burgers aan banden te leggen. Daar is straks altijd toestemming voor nodig, ook (juist!) als dat langs indirecte weg gebeurt. Precies, via cookies dus.

Wie de privacyrichtlijn letterlijk leest - en zeker het Nederlandse wetsvoorstel dat erop gebaseerd is - ziet dat het er eigenlijk op neerkomt dat je voor elk cookie toestemming moet vragen als dat cookie ingezet wordt bij profiling of tracking. En dat gaat dus niet werken.

De marketingbranche heeft een alternatief ontwikkeld, en wel het icoon rechtsboven. Dit komt dan op of bij een advertentieblokje te staan. Wie zo’n advertentie ziet, kan op het icoon klikken en gaat dan naar Your Online Choices, waar hij kan zien welke cookies er al bezig zijn hem te tracken en welke firma’s dat allemaal (willen) doen. Tevens kan daar dan een einde aan worden gemaakt.

Volgens de privacytoezichthouders is dit echter absoluut onvoldoende. Ten eerste snapt op dit moment niemand wat dat icoon betekent, dus je wordt niet (zoals wettelijk vereist) adequaat geïnformeerd over wat er allemaal gebeurt. Ten tweede wordt alleen gesproken van “advertenties” terwijl er eigenlijk “gepersonaliseerde advertenties” zou moeten staan.

Maar, het allerbelangrijkste: zo’n icoon is natuurlijk een opt-out terwijl de wet een opt-in eist. Je bent al gedragsmatig geprofileerd tegen de tijd dat je dat icoon ziet, en daar heb je op dat moment nog geen toestemming voor gegeven.

Daar is natuurlijk wel een draai aan te geven: toon eerst alleen generieke advertenties, en bied het icoon als optie om expliciet het profileren/tracken aan te zetten zodat je alleen nog maar relevante advertenties kunt zien. Maar is “geen Libresseadvertenties meer voor mannen” genoeg incentive om naar zo’n site te gaan?

Nog even afgezien van het praktische punt dat de opt-out op die site niet adequaat blijkt te werken, en dat als ie dat wél doet mensen (net als bij het Bel-me-nietregister) massaal gaan opt-outen zonder aanziens des persoonsadvertentienetwerks zodat dan effectief het hele targeted advertising op z’n gat gaat.

Hebben jullie jezelf al ontvolgd op Your Online Choices? Of juist expliciet een volging aangezet?

Arnoud

Een lezer vroeg me:

Op menig website zie je tegenwoordig de Facebook ‘Like’-knopjes. Nu had ik gelezen dat Facebook je daarmee ook trackt als je er niet op drukt, dus ook als je geen lid bent en niet akkoord bent gegaan met hun Terms of Service of privacyverklaring. Mag dat zomaar?

De Facebook ‘Like’-knop bevat inderdaad een trackingcookie dat in alle gevallen wordt gezet, ook als je niet ingelogd bent of zelfs geen Facebook account hebt.

Bij onze Eerste Kamer ligt nu een wetsvoorstel dat gaat eisen dat tracking cookies alleen mogen worden geplaatst met uitdrukkelijke toestemming, en dat zou de Facebook cookies bij de Like-knop dus in strijd met de wet maken. Zaterdag las ik dat in de Duitse deelstaat Sleeswijk-Holstein al een verbod op dit knopje geldt binnen de overheid.

De grote vraag is dan: is Facebook te houden aan die Europese wet? In het verleden heeft de Artikel 29-Werkgroep geconcludeerd dat dat inderdaad het geval is. Uit hun analyse:

De Groep is daarom van mening dat de nationale wetgeving van de lidstaat waar de pc van de gebruiker zich bevindt, van toepassing is op de vraag onder welke voorwaarden de persoonsgegevens van de gebruiker kunnen worden verzameld door cookies op zijn harde schijf te plaatsen.

Dit baseert men op artikel 4 van de privacyrichtlijn, dat bepaalt dat nationaal recht van een lidstaat geldt als

de voor de verwerking verantwoordelijke persoon niet gevestigd is op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde Lid-Staat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.

Het plaatsen van cookies is geen ‘doorvoer’, en daarmee is dus aan deze eis voldaan.

Praktisch gezien is het natuurlijk een beetje moeilijk om Facebook te dwingen zich te houden aan Europese regels als ze niet daadwerkelijk actief zijn in Europa. Wie ga je de boete opleggen, en hoe incasseer je die?

Niet verrassend is in de VS al iemand over dit onderwerp aan het procederen. Ik ben heel benieuwd wat voor schikking hieruit komt en of Facebook dan ook daadwerkelijk haar knopje gaat aanpassen. In de tussentijd is het met Adblock blokkeren van het Like-knopje de handigste optie denk ik.

Arnoud
Foto: How to add a DisLike button on facebook in firefox?

Wat mag er nu wel en niet onder de nieuwe cookiewet? Die vraag kreeg ik vele malen de afgelopen week. Het was ook een onoverzichtelijk zootje, de procedure rond de aanpassing van de Telecommunicatiewet. En er is nog geen geconsolideerde tekst beschikbaar met de definitieve versie van dit wetsartikel. Je moet echt het dossier door en dat naast de apart gepubliceerde stemmingsuitslagen leggen om te zien wat nu concreet het wetsvoorstel wordt.

Het cookieartikel in de Telecommunicatiewet heeft als nummer 11.7a gekregen, en komt daarmee direct na het spamverbod. Volgens mijn reconstructie gaat het er dan als volgt uitzien (met onderstreept en doorgehaald de wijzigingen):

Artikel 11.7a

1. Onverminderd de Wet bescherming persoonsgegevens dient een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker:

a. de gebruiker duidelijke en volledige informatie te verstrekken overeenkomstig de Wet bescherming persoonsgegevens, en in ieder geval omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en
b. van de gebruiker ondubbelzinnige toestemming te hebben verkregen voor de desbetreffende handeling.

Een handeling als bedoeld in de aanhef, die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden, wordt vermoed een verwerking van persoonsgegevens te zijn, als bedoeld in artikel 1, onderdeel b, van de Wet bescherming persoonsgegevens.

2. De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het geval op een andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk gegevens worden opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen gegevens.

3. Het bepaalde in het eerste en tweede lid is niet van toepassing, voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel:

a. de communicatie over een elektronisch communicatienetwerk uit te voeren, of
b. de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is.

4. Bij algemene maatregel van bestuur kunnen in overeenstemming met Onze Minister van Veiligheid en Justitie nadere regels worden gegeven met betrekking tot de in het eerste lid, onder a en b, genoemde vereisten. Het College bescherming persoonsgegevens wordt om advies gevraagd over een ontwerp van bedoelde algemene maatregel van bestuur.

Het stuk over ondubbelzinnige toestemming was de kern van de zaak. Punt was hier dat de Europese richtlijn spreekt van ‘toestemming’ maar de ministerraad in eerste instantie koos voor “ondubbelzinnige” toestemming. Dat leverde felle protesten op, waarna het wetsvoorstel formeel werd ingediend met alleen “toestemming”.

Uiteindelijk is de wet toch aangenomen met een expliciet toestemmingsvereiste, maar dan indirect vastgelegd. De crux zit hem in het feit dat artikel 11.1(g) Telecommunicatiewet bepaalt dat onder «toestemming» in de Telecommunicatiewet moet worden verstaan «toestemming» als bedoeld in de Wet bescherming persoonsgegevens. Oftewel:

elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;

Dat biedt iets meer ruimte dan de originele tekst die expliciet ondubbelzinnig toestemming wilde hebben. Echter, er zal wel degelijk nog iets gevraagd moeten worden. De cookieinstellingen van huidige browsers voldoen niet, zo verklaarde de minister eerder. Met name omdat ze standaard alle cookies accepteren, maar ook omdat je vaak alleen grofmazig wel/geen cookies kunt accepteren of alleen heel moeilijk de cookies van zeg DoubleClick of Facebook kunt weren. (En Flashcookies vaak al helemaal niet.)

Een sprankje hoop voor de marketingbranche:

De toestemming hoeft slechts eenmalig verkregen te worden en dus niet bij elke handeling opnieuw. De aanbieder kan die toestemming zelfstandig verkrijgen van de gebruiker, maar ook collectief. Dat laatste vergt voor de gebruiker slechts een enkele handeling, waarna ongestoord gebruik kan worden gemaakt van het internet en andere diensten. Het is aan de sector zelf om dit slim te organiseren. Essentieel is dat de toestemming ondubbelzinnig is, zoals bedoeld in de Wet bescherming persoonsgegevens.

Er mag dus niet worden gewerkt met een puur passief systeem waarbij de gebruiker zelf maar moet ontdekken of er wellicht cookies op zijn PC staan en wat daarmee gebeurt. Maar een actief systeem van informeren zodra het gebeurt in combinatie met een knop “hou daarmee op” zou er denk ik wel onder kunnen vallen.

De zinsnede “onverminderd de Wet bescherming persoonsgegevens” komt uit amendement 39 (aangenomen 21 juni) en

voorkomt dat de indruk ontstaat dat met het verkrijgen van toestemming voor het plaatsen of lezen van een cookie op grond van artikel 11.7a Tw ook een grond voor verwerking van de met deze cookie verzamelde persoonsgegevens in de zin van de Wbp ontstaat. Dat is uitdrukkelijk niet het geval.

Er moet dus naast het plaatsen van cookies apart (uitdrukkelijke) toestemming worden gevraagd voor het aanmaken van profielen en dergelijke waarmee persoonsgegevens van gebruikers kunnen worden vergaard. Het onderstreepte blok tekst (uit datzelfde amendement) legt daarbij de bewijslast ook nog eens bij de site, die moet bewijzen dat het cookie níet wordt ingezet om persoonsgegevens te verwerken. Kan hij dat bewijs niet rondkrijgen, dan wordt zijn cookie geacht wél een privacyschending op te leveren.

Uitgezonderd van dit alles zijn de cookies die vallen onder lid 3, oftewel de cookies met als doel communicatie mogelijk te maken of die noodzakelijk zijn om een dienst te leveren. Daaronder vallen volgens de minister onder meer cookies die instellingen onthouden:

Deze functie zorgt er bijvoorbeeld voor dat de door de gebruiker zelf gekozen persoonlijke instellingen en voorkeuren van een site (zoals de taal) worden «onthouden» bij het browsen binnen het bezochte internetdomein en bij herhaald bezoek aan dit domein. … zonder deze technische opslag of toegang tot gegevens, is communicatie met gebruik van voorkeuren en instellingen niet mogelijk dan wel uitermate moeilijk.

Hetzelfde geldt voor cookies die de bekende virtuele winkelwagentjes en bijbehorende transacties mogelijk maken of die onthouden dat je echt niet mee wilt doen aan die enquête over die website. Zolang deze cookies nergens anders voor worden gebruikt, vallen ze onder lid 3 en is er dus geen aparte toestemming voor nodig.

Overigens geldt de eis van toestemming niet alleen voor cookies. De minister noemde:

(flash)cookies, Java-scripts (sic), webtaps, spionagesoftware of soortgelijke programmatuur (waaronder zogeheten dialerpprogramma’s en inbelprogramma’s)

Met name de Javascripts fascineren me. Ik zie even niet hoe je met een Javascript meer kunt doen dan een dienst mogelijk maken. Worden er daadwerkelijk JS-applicaties gebruikt om gebruikers te tracken, of om überhaupt iets meer te doen dan alleen functionaliteit van de site mogelijk te maken?

Arnoud

Naar aanleiding van de recente discussie over het cookierapport van TNO en IViR verscheen bij Netkwesties het artikel Vergaande spraakverwarring over opt-in en opt-out. In het kader van de discussie over de nieuwe Europese cookiewet had TNO ontdekt dat veel bedrijven de huidige wet schenden, omdat volgens hen het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE) een opt-in voor cookies zou eisen.

Netkwesties vroeg mijn commentaar op de spraakverwarring, en enige frustratie gaf het volgende antwoord:

Persoonlijk geloof ik niet in opt-in en maar gedeeltelijk in opt-out. De meeste mensen weten niet hoe dit soort systemen werken, en zóuden dit ook niet hoeven weten. Het idee van opt-in = controle vind ik een illusie. Want met de simpelste belofte krijgen bedrijven wel een opt-in, maar mensen hebben geen idee wat de implicaties van hun toestemming zijn.

Als bepaald gedrag als fundamenteel ongewenst ervaren wordt, dan moet de wet worden aangepast om het gedrag op het juiste spoor te krijgen. Dus niet een opt-in voor tracking cookies voor het volgen van surfgedrag maar een verbod op tracking cookies.

Als we vinden dat tracking moet kunnen maar dat de getrackte persoon invloed moet hebben, dan moet de wet voorschrijven dat er zo’n invloedmechanisme komt.

De wet moet dan over de implicaties gaan en niet over die illusie.

Wat vinden jullie?

Arnoud

Branchepartijen BVA, DDMA, IAB, NUV en Thuiswinkel.org hebben grote kritiek op het door TNO en IViR opgestelde rapport ‘A bite too big, Dillema’s bij de implementatie van de cookiewet in Nederland’, las ik bij Marketingfacts. Het rapport bevat volgens de branchepartijen grove fouten en is met slechts acht respondenten niet representatief voor de sector. We pakken het rapport er dus eens bij.

Bij Marketingfacts zegt de DDMA:

DDMA voorzitter Henry Meijdam staat versteld: “dat men in de samenvatting zegt dat toestemming voor cookies op basis van de huidige wetgeving is vereist, is onbegrijpelijk. Het schetst bovendien het onterechte beeld dat organisaties nu illegaal bezig zijn wanneer zij cookies plaatsen.’

In de samenvatting van het rapport zie ik staan

De regels over het plaatsen van cookies zijn op Europees niveau gewijzigd van een op-out naar een opt-in procedure. Hierdoor is degene die een cookie plaatst verplicht de internetgebruiker voor of tijdens het plaatsen van een cookie te informeren over het plaatsen van het cookie en het doel van de gegevensverzameling. Ook dient hij hiervoor toestemming te vragen.

Dit gaat echter duidelijk over de nieuwe regels omtrekt cookies, die wet moeten worden maar dat nu nog niet zijn. Bij lezing van het rapport valt me op dat men de oude en de nieuwe situatie regelmatig door elkaar bespreekt en niet duidelijk aangeeft of men met “verboden” bedoelt “onder de huidige wet” of “onder de Richtlijn waar we binnenkort wet van gaan maken”.

Voor mij erg verrassend was de volgende opmerking in het rapport:

Door de implementatie van deze wijziging in de Telecommunicatiewet verandert er weinig in de Nederlandse situatie aangezien de huidige implementatie van de oude regels in het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE) reeds een opt-in systeem kent.

Een opt-in voor cookies was nieuw voor mij, dus gauw het huidige BUDE erbij gepakt. Artikel 4.1 BUDE noemt deze eisen:

• op een duidelijke en nauwkeurige wijze te informeren omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan
• op voldoende kenbare wijze gelegenheid te bieden de desbetreffende handeling te weigeren.

(Deze regels gelden niet als de cookies de verzending van communicatie over een openbaar elektronisch communicatienetwerk uit te voeren of te vergemakkelijken, of nodig zijn om een dienst te leveren - dus login cookies, shoppingcartcookies en sessiecookies vallen buiten deze regels en mogen ook zonder nadere toelichting of opt-out.)

Ik ben toch geneigd dat eerder als een informatieplicht en een opt-outmogelijkheid te lezen. De woordkeuze voor “weigeren” wijst er volgens mij op dat er niet echt om toestemming moet worden gevraagd. Of nou ja, het is semantiek uiteindelijk - is er verschil tussen zelf aanvinken “ja ik wil” of juist het weghalen van een vinkje bij die tekst?

Ook kreeg ik vragen van de passage over respawning cookies, waarbij een weggehaald HTTP cookie wordt hersteld via een kopie daarvan uit de Flash-cookiejar. Het rapport zegt:

Opvallend is dat een klein aantal respondenten aangeeft gebruik te maken van respawning, terwijl dit in strijd is met artikel 4.1 van het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE).

Waar deze strijd zit, wordt niet toegelicht. Ik vermoed dat men bedoelt dat niemand uitlegt dat men respawning gebruikt, laat staan dat gebruikers het kunnen weigeren. Maar dat zou ik niet formuleren als “respawnen is verboden”. Overigens staan Flash cookies bij Adobe in een slecht licht, en heeft ook de IAB zich hiertegen verklaard. Ik mag hopen dat dat betekent dat ze bij inwerkingtreding van de nieuwe telecommunicatiewet verboden worden.

Oh ja, en dat van die acht respondenten: in een gedetailleerde reactie wordt dit toegelicht (pdf) als

Het aantal (relevante) respondenten in dit onderzoek bedraagt n=56. Bij de vragen die zich specifiek richten op Online Behavioral Advertising is de steekproef heel klein, namelijk n=7. In totaal geven vijf respondenten aan de gegevens verkregen via cookies te gebruiken om bezoekers te segmenteren.

En dat klopt wel, zie figuur 2, pagina 31 van het rapport waar men toelicht hoe de (overigens 74) respondenten zijn opgebouwd. Zeven is inderdaad best klein. Maar zijn er zo veel advertentienetwerken dan?

Alles bij elkaar vind ik het rapport nogal een gemiste kans. Tijd dus voor een nieuw onderzoek als de nieuwe wet er is.

Arnoud

Enigszins boos meldde Out-law onlangs dat “cookies verboden gaan worden” in Europa. Of nou ja, ze mogen wel maar een website moet vooraf expliciet om toestemming vragen. Dat zou blijken uit de gewijzigde regels uit het Telecompakket dat onlangs door het Europees Parlement gegaan is.

Artikel 5 van de Universeledienstenrichtlijn 2002/22/EC wordt namelijk aangepast, en in dat artikel staat geregeld onder welke voorwaarden een aanbieder informatie mag opslaan (of inzien) op de computer van een gebruiker. Er staat nu dat dit alleen mag als:

the subscriber or user concerned is provided with clear and comprehensive information in accordance with Directive 95/46/EC, inter alia about the purposes of the processing, and is offered the right to refuse such processing by the data controller

en dat gaat worden:

the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia about the purposes of the processing.

“Consent” is een heel stuk sterker dan “information”. Je kunt als website dus niet meer volstaan met een standaardriedel “Wat zijn cookies en waarom slaan we die op op uw PC” in je privacyverklaring. Je moet nu ook toestemming hebben om dit te mogen doen. En het aanbieden van een privacystatement is onvoldoende om toestemming te mogen claimen.

En het is zeker de bedoeling dat cookies vallen onder het kopje “information”, zo blijkt uit de aanhef van de gewijzigde richtlijn. Daarin staan namelijk cookies expliciet genoemd als voorbeeld.

Maar toch denk ik dat Out-law een beetje te paniekerig is. In diezelfde aanhef staat namelijk:

Where it is technically possible and effective, in accordance with the relevant provisions of Directive 95/46/EC, the user’s consent to processing may be expressed by using the appropriate settings of a browser or other application.

Wanneer een browser dus afdoende controle biedt over het accepteren en opslaan van cookies, hoeft een site daar niet meer elke keer om te vragen. Ik vraag me wel af wat de EU hieronder gaat verstaan.

Iemand een suggestie hoe je op een niet-irritante manier om toestemming gaat vragen om cookies op te slaan?

Arnoud

Een datacentrum in Groningen is juridisch hetzelfde als een cookie op een PC in Eindhoven, vindt de Artikel 29-werkgroep. Dit samenwerkingsverband van Europese privacytoezichthouders (met de op het OHIM na onwaarschijnlijkste naam voor een overheidsinstelling) heeft een Opinie over zoekmachines en privacy uitgegeven met als doel het verzamelen van persoonsgegevens van Europeanen door Amerikaanse zoekmachines (u mag drie keer raden wie) aan banden te leggen.

Uitgangspunt is dat iemands zoekgeschiedenis (natuurlijk) persoonsgebonden informatie is, en daarmee onderworpen aan de privacywetgeving. Ook als er geen naam aan vast zit: via een cookie of e-mailadres zijn mensen ook te herkennen. En de mogelijkheid dat je een stukje informatie tot iemand kunt herleiden, is genoeg om die informatie tot persoonsgegeven te maken.

Maar hoe kan Europese privacywetgeving nu van toepassing zijn op een Amerikaans bedrijf? Simpel, omdat het bedrijf apparatuur en computersystemen in Europa gebruikt. Een datacentrum in Groningen bijvoorbeeld. Of een cookie op een PC van een Europeaan.

Inderdaad, het plaatsen van een cookie op een Europese PC is genoeg om je aan de Europese wetgeving te binden. Dat concludeerde deze werkgroep al in 2002 maar toen luisterde niemand, dus zegt men het nu nog maar een keer:

The use of cookies and similar software devices by an online service provider can also be seen as the use of equipment in the Member State’s territory, thus invoking that Member State’s data protection law. … [T]he user’s PC can be viewed as equipment in the sense of Article 4 (1) c of Directive 95/46/EC. It is located on the territory of a Member State.

De specifieke regels die zoekmachines vervolgens voor hun kiezen krijgen, zijn niet verrassend: men moet blokkades zoals robots.txt respecteren, duidelijk aangeven welke informatie men verzamelt en deze zo snel mogelijk, maar uiterlijk na zes maanden weer weggooien (waar Google het niet mee eens is). Of anonimiseren, maar dat is een vrijwel onmogelijke opgave. En wie dat wil, kan zoekmachines aanschrijven met een verzoek tot inzage in het over hem opgebouwde profiel.

Wat nog opvalt, is dat het document vooral ingaat op het verzamelen van persoonsgegevens van gebruikers van de dienst (zoekopdrachten en andere informatie over zoekgedrag). Het feit dat bij indexatie van webpagina’s ook persoonsgegevens worden hergepubliceerd en op nieuwe manieren wordt gekoppeld, komt slechts heel kort aan bod. Maar dat is natuurlijk ook een vele malen complexer probleem.

Via Tweakers.

Arnoud