Kun je blindelings akkoord gaan met alle cookies via CookiesOK?

cookie-bril.jpgAutomatisch akkoord gaan met al die stomme cookievragen, het kan met de plugin CookiesOK. Omdat het web beter was vóór de cookiewet, roept de site enthousiast. Het komt erop neer dat deze plugin een database heeft van ‘alle’ sites in Nederland die een cookietoestemmingspopup hebben, en weet waar ie dan op moet klikken om die weg te krijgen. Hoera, weg met die stomme cookiewet, hoor ik overal. Maar wat gebeurt er juridisch als je dit installeert?

In principe mag je blindelings met alles akkoord gaan. Geen wet verplicht je om daadwerkelijk te lézen welke voorwaarden worden gesteld bij een offerte. Bij algemene voorwaarden staat dat zelfs éxpliciet in de wet (art. 6:232 BW). En of je nu akkoord gaat met een cookieverzoek of met een leveringscontract voor elektriciteit, maakt juridisch weinig uit. Rechtshandeling is rechtshandeling.

Het maakt daarbij geen verschil of je zélf akkoord geeft (je handtekening zetten met een stempel of zo, of gewoon niet lezen en op akkoord klikken) of dat het een stukje software is Juristen kunnen in dit verband helemaal los gaan over de juridische betekenis van gepretendeerde rechtshandelingen aangegaan door virtual agents, wat op zich prima is maar volgens mij komt het echt neer op “als jij een proces in gang zet dat tot ‘klik’ leidt, dan is die klik jouw verantwoordelijkheid”.

Alleen: toestemming onder de cookiewet is niet een gewone toestemming. De definitie is iets strenger: er moet sprake zijn van een vrij gegeven, specifieke en geïnformeerde toestemming. Je kunt je afvragen of een automatische klik via CookiesOK wel telt als “geïnformeerd”, immers je hebt geen idéé waar je toestemming voor geeft. Maar heel sterk lijkt me dat niet. Die tekst is vooral bedoeld om de aanbieder te verplichten informatie te géven. Weigert de consument te lézen, dan mag dat geen beletsel zijn om toch van adequate toestemming te spreken.

Mijn plan om op 1 april toestemming te vragen voor afboeken van 100 euro van je rekening blijft staan; eens zien of iedereen het dan ook nog zo leuk vindt dat ze blindelings overal op klikken.

Arnoud

21 reacties

  1. Doet me denken aan de discussie die we hebben gehad over een domeinnaam die automatisch opgezegd(?) was. Daarbij gebruikte ook iemand een plug-in die automatisch z’n username/wachtwoord invulde en verstuurde. Volgens mij was de uitkomst daarvan ook dat het hetzelfde was als dat de gebruiker het zelf zou doen.

    Wat nu als deze plug-in de database niet helemaal op orde heeft en bijvoorbeeld ook een bestelling doet, of iets annuleert. Zou je dan de maker aansprakelijk kunnen stellen? Deze maker impliceert namelijk dat er alleen toestemming gegeven wordt voor de cookies en dat is anders dan de wachtwoord plug-in die verteld dat ie overal een wachtwoord invult en verstuurd.

    1. Ja, als de plugin wat anders doet dan waar jij toestemming voor gaf én jij lijdt schade daardoor dan is die verhaalbaar. En misschien kun je zelfs op die grond zelf de overeenkomst/bestelling annuleren, maar dat zal er vanaf hangen of de wederpartij mocht vermoeden dat dit niet door jou gewenst was. Bij online bestellingen gaat dat niet snel op, tenzij de bug ondertussen het nieuws gehaald heeft en jij pas daarna ‘bestelde’.

  2. Iig een leuke 1 april grap 🙂 Echter, ik vraag me af of bijvoorbeeld de methode van Sanoma wel mag. Die hebben een algemeen iets gemaakt wat door webbouwers geimplementeerd dient te worden. Echter ze vragen toestemming op het moment dat alle cookies al gezet zijn. Of beter gezegd je kan alleen op: ‘Ja ik accepteer’ klikken en vervolgens kan je onderaan via een piepklein mini linkje de instellingen aanpassen dat je ze niet wil. Met als gevolg dat de cookies pas weg zijn wanneer ze verlopen (en dan pas worden de betreffende onderdelen uitgeschakeld). Overigens is er dan nog de discussie of de cookies weg zijn als je zie via firebug niet meer ziet, aangezien ghostery nog wel meldingen geeft over tracking (niet via een cookie).

    PS 1 Het blijft een gedrocht die wet. Ps 2 Ik blijf me afvragen wie die keuze heeft gemaakt om 1 miljard websites aan te passen ipv 10 browsers te dwingen een fatsoenlijke do not track functie te implementeren.

  3. Ondanks dat die hele wet inclusief al zijn gevolgen mij een doorn in het oog is, zou ik niet zo snel een “automatisch-op-ja-klikker” in mijn browser installeren. Wie weet vermomt een malafide website iets als een cookie-melding, klikt mijn “ja-klikker” er op, en vervolgens kan ik weer aan het schoonmaken. Lijkt me toch geen wenselijke situatie.

  4. Dan zouden websites hun cookiewalls moeten uitvoeren met captcha’s, dan weet je redelijk zeker dat een mens en niet een machine toestemming heeft gegeven. Misschien gecombineerd met techniek die vroeger als kopieerbeveiliging werd gebruikt: “wat is het 3de woord op de 12de regel op pagina 17 van de handleiding?”.

    Als alle Nederlandse websites dat nu eens gaan doen, dan is die wet binnen de korste tijd verdwenen. Of er zullen een aantal politici en ambtenaren gelynched worden.

  5. Mijn plan om op 1 april toestemming te vragen voor afboeken van 100 euro van je rekening blijft staan; eens zien of iedereen het dan ook nog zo leuk vindt dat ze blindelings overal op klikken.
    Grote kans dat ik die dag ook bewust erop zal klikken om je statistieken door de war te gooien. 😛 Wie doen er allemaal mee om expres op die knop te klikken! Bedenk: je sponsort Arnoud en zijn blog ermee!!! 🙂

    Toch vraag ik mij af wat de gevolgen zijn van bugs in die CookieOK add-on. Stel voor dat dat ding ook overal automatisch mee accoord gaat, ook al is het geen vraag om cookies? Bijvoorbeeld een knop om, zoals Arnoud al zegt, automatisch geld over te maken op zijn rekening. Of dat deze op OK klikt voor jou terwijl je een bestelling wilt invoeren en de kortingscode niet hebt ingevoerd?

    Ik heb sowieso een hekel aan dit soort add-ins domweg omdat ze soms onbedoeld meer doen.

  6. Maar, Arnoud, er is TEVEEL om te lezen. Tegenwoordig heeft ALLES een disclaimer. En die disclaimers veranderen ook steeds. Dit kost gewoon uren tijd om allemaal te lezen! Dat is niet te doen. Ook heeft niet iedereen de capaciteiten al die juristentaal te doorgronden. Iemand zou daar eens een oplossing voor moeten bedenken. … Eigenlijk is het helemaal nie tmoeilijk: doe het zoals bij de installatie van Android apps. Geef een kort overzicht van dingen waar je toestemming over geeft, 5 woorden max peri item. Skip al die bullshit van “met klant bedoelen wij degene die ons geld geeft bla”.

  7. Kan je er als website eigenaar wel van uit gaan dat een bezoeker die geen andere informatie over zichzelf geeft dan een IP-adres en misschien een forum-pseudoniem met bijpassend hotmail account bij het ‘oke’ klikken op een melding inderdaad de wil had om een (vergaande) overeenkomst af te sluiten zoals het leveren van een bestelling (of het afschrijven van € 100) ? Het lijkt mij wat lastig om wilsovereenstemming aannemelijk te maken terwijl je eigenlijk niets van de andere partij weet.

  8. Begrijp de methode van CookieOK ook niet. De click simuleren is een slecht idee, we maken die slimme Arnoud alleen maar rijk, en hij is al zo rijk van geest.

    We hebben zelf een extensie gemaakt die niet de click simuleert, maar vooraf de cookie zet, dan krijg je helemaal geen scherm. En sinds wanneer mag je geen bestandjes op je eigen PC zetten? @Arnoud wat zouden daar de juridische implicaties van kunnen zijn?

    En de OPTA snapt de wet zelf niet, ons inziens, ze beweren dat Tweakers aan de wet voldoet, terwijl wij toch allerlei cookies van Tweakers krijgen terwijl we buiten de muur blijven, want geen toestemming. http://tweakers.net/nieuws/86973/opta-cookiemuur-is-ongewenst.html?showReaction=6051658#r_6051658

    Tot slot een boel van die cookiesluisen werken met javascript. Kan dat voldoen Arnoud, je kan toch niet je implementatie baseren op het feit dat gebruikers (alle) javascript uitvoeren. Je bespaart mobiel zomaar 50% verbruik als je JS uitzet, (en geen reclame, en geen tracking, en geen cookies, en geen supercookies als de Facebook Like knop)

    En dan een allerlaatste opmerking. Wij gooien cookies altijd weg na afsluiten browsers, soms zit de site nog in de cache en komt weer tevoorschijn. Pas bij een refresh komt de cookiesluis om de hoek kijken, maar voorafgaand lopen soms vrolijk al scriptjes bij Tweakers, en krijg je de melding: “Hiervoor moet je ingelogd zijn”, terwijl je alwel de content ziet 🙂

  9. Ow mooi verhaal, dus dit kan wel rechtstreeks als handeling worden gezien, maar bv een database van een webshop niet? Waar ligt dan de grens? Die webshop kiest toch net zo goed voor een geautomatiseerd systeem, maar volgens de rechtspraak is ie daar niet verantwoordelijk voor. Waarom met zulke dingen dan wel??

    1. Het gaat over opgewekt vertrouwen. Als jij mag vertrouwen op wat een ander zegt, dan kan die ander niet meer zeggen “zo had ik het niet bedoeld”. Als de kassajuffrouw zegt “deze kost 1,95” dan ís dat de prijs ook al is het eigenlijk 195,-.

      De vraag wordt dan, wanneer mag je vertrouwen op een automatisch bericht? En in het OTTO arrest zei het Hof dat dat geen automatisme is wanneer de prijs een kennelijke fout is. Je moet navraag doen bij een mens.

      Waar precies het verschil zit, vind ik moeilijk te duiden. Ik denk omdat CookiesOK specifiek bedoeld is om met cookies akkoord te gaan. Wellicht is de analogie mijn “100 euro”-voorbeeld: als jullie straks op 1 april hier komen en je CookiesOK klikt op mijn “ik beloof 100 euro te doneren”-tekst, dan kan ik me daar niet op beroepen. Ik ga het wel proberen, daar niet van.

    1. Ja.

      De naam “Cookiewetgeving” is misleidend maar het gaat gewoon om alle informatie die je opslaat en waarmee je de bezoeker kunt traceren. Alles waarmee je de privacy van de bezoeker kunt schenden valt hier gewoon onder.

      Volgens mij dan, maar ik ben een (web) developer, geen jurist.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.