Tag: Cookie

About Cookie

Subscribe Feeds

Kun je blindelings akkoord gaan met alle cookies via CookiesOK?

Geplaatst op in Informatiemaatschappij, 21 reacties

cookie-bril.jpgAutomatisch akkoord gaan met al die stomme cookievragen, het kan met de plugin CookiesOK. Omdat het web beter was vóór de cookiewet, roept de site enthousiast. Het komt erop neer dat deze plugin een database heeft van ‘alle’ sites in Nederland die een cookietoestemmingspopup hebben, en weet waar ie dan op moet klikken om die weg te krijgen. Hoera, weg met die stomme cookiewet, hoor ik overal. Maar wat gebeurt er juridisch als je dit installeert?

In principe mag je blindelings met alles akkoord gaan. Geen wet verplicht je om daadwerkelijk te lézen welke voorwaarden worden gesteld bij een offerte. Bij algemene voorwaarden staat dat zelfs éxpliciet in de wet (art. 6:232 BW). En of je nu akkoord gaat met een cookieverzoek of met een leveringscontract voor elektriciteit, maakt juridisch weinig uit. Rechtshandeling is rechtshandeling.

Het maakt daarbij geen verschil of je zélf akkoord geeft (je handtekening zetten met een stempel of zo, of gewoon niet lezen en op akkoord klikken) of dat het een stukje software is Juristen kunnen in dit verband helemaal los gaan over de juridische betekenis van gepretendeerde rechtshandelingen aangegaan door virtual agents, wat op zich prima is maar volgens mij komt het echt neer op “als jij een proces in gang zet dat tot ‘klik’ leidt, dan is die klik jouw verantwoordelijkheid”.

Alleen: toestemming onder de cookiewet is niet een gewone toestemming. De definitie is iets strenger: er moet sprake zijn van een vrij gegeven, specifieke en geïnformeerde toestemming. Je kunt je afvragen of een automatische klik via CookiesOK wel telt als “geïnformeerd”, immers je hebt geen idéé waar je toestemming voor geeft. Maar heel sterk lijkt me dat niet. Die tekst is vooral bedoeld om de aanbieder te verplichten informatie te géven. Weigert de consument te lézen, dan mag dat geen beletsel zijn om toch van adequate toestemming te spreken.

Mijn plan om op 1 april toestemming te vragen voor afboeken van 100 euro van je rekening blijft staan; eens zien of iedereen het dan ook nog zo leuk vindt dat ze blindelings overal op klikken.

Arnoud

Websites publieke omroep gaan achter ‘cookiemuur’

Geplaatst op in Privacy, 46 reacties

cookies-publieke-omroep.pngAlle websites van de Nederlandse Publieke Omroep zijn binnenkort alleen nog maar te bereiken als de gebruikers cookies accepteren, meldde Tweakers dinsdag. In een verklaring legt men uit dat de PO hiertoe verplicht zou zijn omdat men verantwoording moet afleggen over deze met publiek geld geleverde dienst.

Op zich is het inderdaad legaal dat een website mensen weert die geen cookies wensen te accepteren, maar bij de Publieke Omroep voelt dat toch een beetje gek. Het gaat immers om publieke dienstverlening van een soort-van overheidsclub (jaja, formeel zijn ze geen overheid) en je zou verwachten dat die niet zomaar mensen uit gaan sluiten.

Aanleiding voor deze stap lijkt te zijn dat de OPTA enige tijd terug zo’n 120 overheidsdiensten heeft aangeschreven omdat die de cookiewet schenden. Dit dan weer omdat eerder Rijksoverheid.nl had geroepen dat ze niet onder deze wet zou vallen omdat ze niet commercieel was of iets dergelijks. Maar dat boeit niet: elk cookie vereist toestemming, ongeacht wie het zet en ongeacht of het iets met tracking of privacy doet. Alleen strikt technisch noodzakelijke cookies mogen zonder toestemming.

Wat doet de NPO nu met cookies?

Het is verder onderdeel van de wettelijke taak om van de Publieke Omroep om te rapporteren over onze prestaties. Daarvoor is het nodig om webstatistieken bij te houden. Ook nemen wij deel aan het landelijke internetbereiksonderzoek STIR. Hiervoor gebruiken wij cookies, zodat wij je browser kunnen herkennen en op die manier het aantal unieke bezoekers aan onze website kunnen meten.

Op zich klopt dat, de PO moet rapporteren over hoe zij het doet. En in de televisiecontext is het vrij logisch dat je dan ook rapporteert hoe veel mensen kijken naar je programma’s. Vertaal je dat naar internet, dan moet je inderdaad rapporteren hoe veel unieke bezoekers je op Uitzendinggemist krijgt en dat vereist cookies. Ja, of browser fingerprinting of iets dergelijks maar dat valt óók onder de cookiewet.

Wel weer mooi vind ik de oneclick oplossing van de dienst: wie op de ene site van de PO cookies accepteert, geeft automatisch ook toestemming voor cookies op de andere sites. Dat mag, zolang maar duidelijk is voor welke sites je allemaal ineens toestemming geeft.

Arnoud

Valt browser fingerprinten wel onder de cookiewet?

Geplaatst op in Informatiemaatschappij, 33 reacties

De cookiewet heeft eigenlijk een foute naam: het gaat niet specifiek om cookies, maar om alle gegevens die je uitleest of plaatst bij randapparatuur (computers telefoons etc) van bezoekers. Voor dat lezen en plaatsen is toestemming nodig. Omdat je bij device fingerprinting (of browser fingerprinting) allerlei gegevens uitleest, wordt aangenomen dat dit ook onder de cookiewet valt. Maar is dat eigenlijk wel zo?

Het idee achter de wet is dat de eigenaar van die apparatuur mag beslissen wat er op zijn apparaat gebeurt. Door toestemming te vragen, blijft de eigenaar in control. En het gaat dan zowel om opgeslagen gegevens die worden uitgelezen, als om nieuwe gegevens die moeten worden opgeslagen. Een app die je adresboek uitleest is immers net vervelend als een website die een zoekbalk (toolbar) wil toevoegen aan je browser. En ja, die twee vallen dus ook onder de cookiewet.

Device fingerprinting of browser fingerprinting is een herkenningstechniek waarbij de browser of het apparaat uniek herkend wordt aan de hand van allerlei instellingen en voorkeuren. Heel veel mensen gebruiken Firefox 13.0 op Windows 7, maar ik ben kennelijk toch uniek met mijn configuratie. Bij Panopticlick (een testsite van de EFF) hebben ze namelijk nog niemand anders gezien die mijn combinatie van browserplugins, tijdzone, schermresolutie, geïnstalleerde fonts en cookieinstellingen heeft.

Bij Browserspy is meer te lezen over wat er allemaal kan op dit gebied. Daarbij valt me op dat er eigenlijk twee soorten gegevens zijn: dingen die je browser meestuurt, en dingen die ze zelf verzamelen met een scriptje. Zo is zonder meer te achterhalen welke bestandstypes je wel en niet accepteert, maar moeten geïnstalleerde fonts worden gedetecteerd met Flash. Mijn schermresolutie wordt bepaald met Javascript.

En nu vraag ik me af: is er wel sprake van “uitlezen” van die bestandstypes? Want die website weet dat omdat mijn browser zo geprogrammeerd is om die elke keer mee te sturen. Dat is namelijk handig: dan weet de site wat ze wel en niet mag sturen. Net zoals de browserversie automatisch mee gaat, zodat ik eventueel een Firefox-specifieke pagina kan krijgen of op mijn pad de mobiele versie (dat ik dat irritant vind even daargelaten).

Dit is cruciaal want als je niet “uitleest” dan val je buiten de cookiewet.

We hebben bij een eerdere blog hierover gezien dat de minister heeft verklaard dat ook browser fingerprinting er onder valt. In de comments kwam toen een blog van Dirkzwager advocaten langs waar dit in twijfel werd getrokken. Want, inderdaad, lees je wel uit als een browser zelf gegevens meestuurt? Als ik zeg, “hoi ik ben Arnoud” achterhaal jij dan mijn naam? Ik zou zeggen van niet.

Maar wat moeten we dan met die opmerking van de minister? Het juridische spel is namelijk dat de minister eigenlijk altijd gelijk heeft bij dergelijke discussies. En als het niet letterlijk klopt wat hij zegt, dan mogen wij juristen gaan verzinnen hoe de wet zo te lezen is dat het figuurlijk of qua strekking toch klopt.

Als soort van compromis zou ik dan zeggen dat er sprake is van uitlezen als je als site zélf iets doet om gegevens te krijgen. Daarmee vallen de bestandstypes en de “referrer” header buiten de cookiewet, want die stuurt de browser zelf al mee. Maar ga je Flash- of Javascriptscriptjes sturen om zo extra dingen te weten te komen, dan is dat wél een vorm van “uitlezen” waar toestemming voor nodig is (tenzij het functioneel is maar dat even terzijde).

En met die aanpak is er dus ook geen toestemming nodig voor het uitlezen van cookies. Die worden immers vanzelf meegestuurd door de browser. Het plaatsen vereist wel toestemming natuurlijk.

Mag Google Analytics nog onder de cookiewet?

Geplaatst op in Ondernemingsvrijheid, Privacy, 314 reacties

analytics-cookie.pngWeinig onderwerpen waar ik zó over platgemaild werd als de vraag “Mag Google Analytics nog als de cookiewet in werking treedt”. Analytics is een handige tool voor webmasters maar het perfide Google maakt er meteen ook gebruikersprofielen mee – én plaatst cookies. Wij hadden ooit een oplossing gevonden voor het profileren (anonimiseer het IP-adres) maar dat levert geen oplossing voor de cookiewet. Ik heb er uitgebreid over zitten peinzen en dacht eerst dat het wel moest kunnen, maar ik loop steeds vast op de tekst van de wet.

Je kunt, aldus Google, met Analytics werken zonder dat deze persoonlijke gegevens opslaat. Allereerst zeg ik daar meteen bij dat Google een geheel eigen definitie heeft van “persoonlijke gegevens”, kort door de bocht moet je naam en je adres erbij staan anders vinden zij het niet persoonlijk. Dat gaat lijnrecht in tegen de Europese privacyregels, die het al “persoonlijk” vinden als je er twee personen mee kunt onderscheiden, ongeacht of je weet welke personen het zijn. Het getal 461 is dus een persoonsgegeven – voor mij, want dat identificeert een klant in mijn klantenbestand (hoi Erik).

Maar zelfs als de Analyticsdata die wordt verzameld compleet geaggregeerd wordt en totaal niet naar individuele users te herleiden is (ok ok maar stél), dan nog helpt ze dat helemaal niets. Want cookie zetten is toestemming vragen, punt. First party, third party, persoonsgebonden of niet; compleet irrelevant. Behalve dus als het cookie strikt noodzakelijk is voor het goed functioneren/leveren van een dienst. De wet wil met één zin zowel cookies als dialers, toolbars en dergelijke meuk afdekken. Vandaar de brede bewoordingen. Een toolbar trackt op zichzelf niets (kan wel) maar het installeren van een toolbar vereist toestemming. En een cookie dus ook.

De standaardvoorbeelden van toestemmingsloze cookies zijn de houd-me-ingelogdcookies en de webwinkelwagentjescookies. Zonder die cookies moet je continu je wachtwoord invullen of kun je niet fatsoenlijk een serie producten in één keer bestellen, dus dat moet gewoon kunnen. Maar iedere meelezende techneut zal nu uitroepen “nou, noodzakelijk, noodzakelijk, dat kan prima op een andere manier hoor”. Maar omdat het de bedoeling is dat dergelijke cookies zonder toestemming gezet moeten worden, mag je “strikt noodzakelijk” dus lezen als “net zo noodzakelijk als een webwinkelwagentjescookie”. Leuk hè, rechten?

Hoe noodzakelijk is een cookie voor Google Analytics? Niet zó noodzakelijk, vond de minister in de Eerste Kamer:

Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.

Hm. Minder snel. Dus het zóu kunnen.

… voor diensten waarbij wordt ingelogd op een persoonlijk account, kan het noodzakelijk zijn om met gebruik van cookies te controleren of er niet met deze accounts wordt gefraudeerd.

Ook hier: nee, hij bedoelt niet “noodzakelijk” als in “geen andere technische oplossing is mogelijk”. (En nee ik weet ook niet hoe ik met een cookie -clientside info- kan controleren of een client fraudeert.) Waar het om gaat is of het cookie het belang van de gebruiker dient en dan ook alléén diens belang. Bij een houd-me-ingelogd-cookie of een rot-op-met-je-enquête-cookie is dat duidelijk. Maar bij Analytics? Wat heeft de bezoeker aan Analytics?

Iets later:

Wanneer van het gebruik van analytics cookies in een bepaald geval gezegd kan worden dat dit noodzakelijk is voor het goed kunnen functioneren van de door de gebruiker bezochte site, valt dit gebruik van analytics cookies onder de uitzondering in het derde lid van artikel 11.7a.

Soms voel ik me net een oude Griek die het orakel van Delphi moet duiden. Wanneer is aan de uitzondering voldaan? Nou, als aan de eis genoemd in de uitzondering is voldaan dan gaat de uitzondering op. Eh. Ja.

Goed. Welk nut heeft Analytics voor de eindgebruiker? Wat ik van Google lees, gaat alleen over de voordelen van de webmaster. Die krijgt mooie plaatjes met statistieken en kan op allerlei niveaus draaitabellen, filters en meerdere dimensies visualiseren. En ja, dat is leuk maar als eindgebruiker merk je niet of Analytics aan of uit staat. Het Analyticscookie draagt op geen enkele manier bij aan de dienst die de gebruiker afneemt en is ook niet in diens belang.

Ik ontkom dus niet aan de conclusie dat je voor Google Analytics écht toestemming nodig hebt onder de cookiewet. Ja, ook als je de IP-adressen anonimiseert en ook als je geen Adsense draait. Dat dat niet gaat werken, moge duidelijk zijn – maar wishful thinking of roepen dat je er geen last van hebt, is geen juridisch argument.

Arnoud

“Volg-me-nietregister voldoet niet aan nieuwe privacywet”

Geplaatst op in Privacy, 9 reacties

Het cookieicoon is leuk, maar wie zich aan de nieuwe privacywet wil gaan houden heeft er niets aan. Dat is ongeveer de samenvatting van het advies dat de Europese privacytoezichthouders (pdf) vorige week uitbrachten.

Al een hele tijd wordt er gesteggeld over de nieuwe privacywet, met name op het gebied van cookies. Doel van de nieuwe privacyrichtlijn is namelijk onder meer het tracken en profilen van burgers aan banden te leggen. Daar is straks altijd toestemming voor nodig, ook (juist!) als dat langs indirecte weg gebeurt. Precies, via cookies dus.

Wie de privacyrichtlijn letterlijk leest – en zeker het Nederlandse wetsvoorstel dat erop gebaseerd is – ziet dat het er eigenlijk op neerkomt dat je voor elk cookie toestemming moet vragen als dat cookie ingezet wordt bij profiling of tracking. En dat gaat dus niet werken.

De marketingbranche heeft een alternatief ontwikkeld, en wel het icoon rechtsboven. Dit komt dan op of bij een advertentieblokje te staan. Wie zo’n advertentie ziet, kan op het icoon klikken en gaat dan naar Your Online Choices, waar hij kan zien welke cookies er al bezig zijn hem te tracken en welke firma’s dat allemaal (willen) doen. Tevens kan daar dan een einde aan worden gemaakt.

Volgens de privacytoezichthouders is dit echter absoluut onvoldoende. Ten eerste snapt op dit moment niemand wat dat icoon betekent, dus je wordt niet (zoals wettelijk vereist) adequaat geïnformeerd over wat er allemaal gebeurt. Ten tweede wordt alleen gesproken van “advertenties” terwijl er eigenlijk “gepersonaliseerde advertenties” zou moeten staan.

Maar, het allerbelangrijkste: zo’n icoon is natuurlijk een opt-out terwijl de wet een opt-in eist. Je bent al gedragsmatig geprofileerd tegen de tijd dat je dat icoon ziet, en daar heb je op dat moment nog geen toestemming voor gegeven.

Daar is natuurlijk wel een draai aan te geven: toon eerst alleen generieke advertenties, en bied het icoon als optie om expliciet het profileren/tracken aan te zetten zodat je alleen nog maar relevante advertenties kunt zien. Maar is “geen Libresseadvertenties meer voor mannen” genoeg incentive om naar zo’n site te gaan?

Nog even afgezien van het praktische punt dat de opt-out op die site niet adequaat blijkt te werken, en dat als ie dat wél doet mensen (net als bij het Bel-me-nietregister) massaal gaan opt-outen zonder aanziens des persoonsadvertentienetwerks zodat dan effectief het hele targeted advertising op z’n gat gaat.

Hebben jullie jezelf al ontvolgd op Your Online Choices? Of juist expliciet een volging aangezet?

Arnoud

Mag Facebook je tracken met hun Like-knopje?

Geplaatst op in Privacy, 19 reacties

facebook-dislike-like.pngEen lezer vroeg me:

Op menig website zie je tegenwoordig de Facebook ‘Like’-knopjes. Nu had ik gelezen dat Facebook je daarmee ook trackt als je er niet op drukt, dus ook als je geen lid bent en niet akkoord bent gegaan met hun Terms of Service of privacyverklaring. Mag dat zomaar?

De Facebook ‘Like’-knop bevat inderdaad een trackingcookie dat in alle gevallen wordt gezet, ook als je niet ingelogd bent of zelfs geen Facebook account hebt.

Bij onze Eerste Kamer ligt nu een wetsvoorstel dat gaat eisen dat tracking cookies alleen mogen worden geplaatst met uitdrukkelijke toestemming, en dat zou de Facebook cookies bij de Like-knop dus in strijd met de wet maken. Zaterdag las ik dat in de Duitse deelstaat Sleeswijk-Holstein al een verbod op dit knopje geldt binnen de overheid.

De grote vraag is dan: is Facebook te houden aan die Europese wet? In het verleden heeft de Artikel 29-Werkgroep geconcludeerd dat dat inderdaad het geval is. Uit hun analyse:

De Groep is daarom van mening dat de nationale wetgeving van de lidstaat waar de pc van de gebruiker zich bevindt, van toepassing is op de vraag onder welke voorwaarden de persoonsgegevens van de gebruiker kunnen worden verzameld door cookies op zijn harde schijf te plaatsen.

Dit baseert men op artikel 4 van de privacyrichtlijn, dat bepaalt dat nationaal recht van een lidstaat geldt als

de voor de verwerking verantwoordelijke persoon niet gevestigd is op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde Lid-Staat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.

Het plaatsen van cookies is geen ‘doorvoer’, en daarmee is dus aan deze eis voldaan.

Praktisch gezien is het natuurlijk een beetje moeilijk om Facebook te dwingen zich te houden aan Europese regels als ze niet daadwerkelijk actief zijn in Europa. Wie ga je de boete opleggen, en hoe incasseer je die?

Niet verrassend is in de VS al iemand over dit onderwerp aan het procederen. Ik ben heel benieuwd wat voor schikking hieruit komt en of Facebook dan ook daadwerkelijk haar knopje gaat aanpassen. In de tussentijd is het met Adblock blokkeren van het Like-knopje de handigste optie denk ik.

Arnoud<br/> Foto: How to add a DisLike button on facebook in firefox?

Puzzelen met de cookiewet: wat is het nou geworden?

Geplaatst op in Privacy, 67 reacties

Wat mag er nu wel en niet onder de nieuwe cookiewet? Die vraag kreeg ik vele malen de afgelopen week. Het was ook een onoverzichtelijk zootje, de procedure rond de aanpassing van de Telecommunicatiewet. En er is nog geen geconsolideerde tekst beschikbaar met de definitieve versie van dit wetsartikel. Je moet echt het dossier door en dat naast de apart gepubliceerde stemmingsuitslagen leggen om te zien wat nu concreet het wetsvoorstel wordt.

Het cookieartikel in de Telecommunicatiewet heeft als nummer 11.7a gekregen, en komt daarmee direct na het spamverbod. Volgens mijn reconstructie gaat het er dan als volgt uitzien (met onderstreept en doorgehaald de wijzigingen):

Artikel 11.7a

1. Onverminderd de Wet bescherming persoonsgegevens dient een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker:

a. de gebruiker duidelijke en volledige informatie te verstrekken overeenkomstig de Wet bescherming persoonsgegevens, en in ieder geval omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en
b. van de gebruiker ondubbelzinnige toestemming te hebben verkregen voor de desbetreffende handeling.

Een handeling als bedoeld in de aanhef, die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden, wordt vermoed een verwerking van persoonsgegevens te zijn, als bedoeld in artikel 1, onderdeel b, van de Wet bescherming persoonsgegevens.

2. De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het geval op een andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk gegevens worden opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen gegevens.

3. Het bepaalde in het eerste en tweede lid is niet van toepassing, voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel:

a. de communicatie over een elektronisch communicatienetwerk uit te voeren, of
b. de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is.

4. Bij algemene maatregel van bestuur kunnen in overeenstemming met Onze Minister van Veiligheid en Justitie nadere regels worden gegeven met betrekking tot de in het eerste lid, onder a en b, genoemde vereisten. Het College bescherming persoonsgegevens wordt om advies gevraagd over een ontwerp van bedoelde algemene maatregel van bestuur.

Het stuk over ondubbelzinnige toestemming was de kern van de zaak. Punt was hier dat de Europese richtlijn spreekt van ’toestemming’ maar de ministerraad in eerste instantie koos voor “ondubbelzinnige” toestemming. Dat leverde felle protesten op, waarna het wetsvoorstel formeel werd ingediend met alleen “toestemming”.

Uiteindelijk is de wet toch aangenomen met een expliciet toestemmingsvereiste, maar dan indirect vastgelegd. De crux zit hem in het feit dat artikel 11.1(g) Telecommunicatiewet bepaalt dat onder «toestemming» in de Telecommunicatiewet moet worden verstaan «toestemming» als bedoeld in de Wet bescherming persoonsgegevens. Oftewel:

elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;

Dat biedt iets meer ruimte dan de originele tekst die expliciet ondubbelzinnig toestemming wilde hebben. Echter, er zal wel degelijk nog iets gevraagd moeten worden. De cookieinstellingen van huidige browsers voldoen niet, zo verklaarde de minister eerder. Met name omdat ze standaard alle cookies accepteren, maar ook omdat je vaak alleen grofmazig wel/geen cookies kunt accepteren of alleen heel moeilijk de cookies van zeg DoubleClick of Facebook kunt weren. (En Flashcookies vaak al helemaal niet.)

cookie-icoon.pngEen sprankje hoop voor de marketingbranche:

De toestemming hoeft slechts eenmalig verkregen te worden en dus niet bij elke handeling opnieuw. De aanbieder kan die toestemming zelfstandig verkrijgen van de gebruiker, maar ook collectief. Dat laatste vergt voor de gebruiker slechts een enkele handeling, waarna ongestoord gebruik kan worden gemaakt van het internet en andere diensten. Het is aan de sector zelf om dit slim te organiseren. Essentieel is dat de toestemming ondubbelzinnig is, zoals bedoeld in de Wet bescherming persoonsgegevens.

Er mag dus niet worden gewerkt met een puur passief systeem waarbij de gebruiker zelf maar moet ontdekken of er wellicht cookies op zijn PC staan en wat daarmee gebeurt. Maar een actief systeem van informeren zodra het gebeurt in combinatie met een knop “hou daarmee op” zou er denk ik wel onder kunnen vallen.

De zinsnede “onverminderd de Wet bescherming persoonsgegevens” komt uit amendement 39 (aangenomen 21 juni) en

voorkomt dat de indruk ontstaat dat met het verkrijgen van toestemming voor het plaatsen of lezen van een cookie op grond van artikel 11.7a Tw ook een grond voor verwerking van de met deze cookie verzamelde persoonsgegevens in de zin van de Wbp ontstaat. Dat is uitdrukkelijk niet het geval.

Er moet dus naast het plaatsen van cookies apart (uitdrukkelijke) toestemming worden gevraagd voor het aanmaken van profielen en dergelijke waarmee persoonsgegevens van gebruikers kunnen worden vergaard. Het onderstreepte blok tekst (uit datzelfde amendement) legt daarbij de bewijslast ook nog eens bij de site, die moet bewijzen dat het cookie níet wordt ingezet om persoonsgegevens te verwerken. Kan hij dat bewijs niet rondkrijgen, dan wordt zijn cookie geacht wél een privacyschending op te leveren.

Uitgezonderd van dit alles zijn de cookies die vallen onder lid 3, oftewel de cookies met als doel communicatie mogelijk te maken of die noodzakelijk zijn om een dienst te leveren. Daaronder vallen volgens de minister onder meer cookies die instellingen onthouden:

Deze functie zorgt er bijvoorbeeld voor dat de door de gebruiker zelf gekozen persoonlijke instellingen en voorkeuren van een site (zoals de taal) worden «onthouden» bij het browsen binnen het bezochte internetdomein en bij herhaald bezoek aan dit domein. … zonder deze technische opslag of toegang tot gegevens, is communicatie met gebruik van voorkeuren en instellingen niet mogelijk dan wel uitermate moeilijk.

Hetzelfde geldt voor cookies die de bekende virtuele winkelwagentjes en bijbehorende transacties mogelijk maken of die onthouden dat je echt niet mee wilt doen aan die enquête over die website. Zolang deze cookies nergens anders voor worden gebruikt, vallen ze onder lid 3 en is er dus geen aparte toestemming voor nodig.

Overigens geldt de eis van toestemming niet alleen voor cookies. De minister noemde:

(flash)cookies, Java-scripts (sic), webtaps, spionagesoftware of soortgelijke programmatuur (waaronder zogeheten dialerpprogramma’s en inbelprogramma’s)

Met name de Javascripts fascineren me. Ik zie even niet hoe je met een Javascript meer kunt doen dan een dienst mogelijk maken. Worden er daadwerkelijk JS-applicaties gebruikt om gebruikers te tracken, of om überhaupt iets meer te doen dan alleen functionaliteit van de site mogelijk te maken?

Arnoud