Cookieverbod aangenomen, verwarring blijft

Het cookie-amendement voor de wijziging van de Telecomwet is dinsdag door de Tweede Kamer aangenomen. Daarbij is er ook gestemd over diverse andere amendementen, waaronder die voor netneutraliteit. De eigenlijke wetswijziging is woensdag afgehandeld.

Streng, breed en onduidelijk

De daarmee in de wet opgenomen cookie-bepaling krijgt enkele aanpassingen dankzij het amendement van Kamerleden Van Bemmel (PVV) en Van Dam (PvdA). Er komt nu dus een cookieverbod, zelfs in de oorspronkelijk voorgestelde strenge vorm. Het blijft echter een onduidelijk, breed geformuleerd verbod in politieke bewoordingen.

De strengere regels voor de cookie-bepaling vereisen dat websites en ads-aanbieders ondubbelzinnige toestemming vragen (en krijgen) voor het plaatsen van cookies op de pc's van bezoekers. Via het amendement is opgenomen dat dit geldt voor cookies die dienen om "gegevens te verzamelen over het gebruik van verschillende diensten van de informatiemaatschappij door de abonnee of gebruiker". Het verbod is ook van toepassing op cookies die dat gebruik van diensten in verband met elkaar kunnen brengen.

Ook niet-cookies

Verder voegt het amendement nog een verduidelijkende zin toe die uitleg geeft over het soort cookies dat onderhevig is aan de nieuwe regelementen. Dit zijn gegevens opgeslagen in de computer of randapparatuur van een gebruiker. Naast de eigenlijke cookies omvat dit dus ook andere elementen. Dit zijn: Flash-cookies, JavaScript-scripts (in de toelichting op de Telcomwet Java-scripts genoemd), webtaps, spyware en soortgelijke software (waaronder ook dialerprogramma's). Alternatieve cookies, zoals de bijna onverwijderbare Evercookie van de Amerikaanse hacker Samy Kamkar, vallen er dus ook onder.

In alle gevallen gaat het om zowel 'first party' cookies (van de website zelf) als 'third party' (van bijvoorbeeld ads-netwerken) cookies. Er zijn echter weer uitzonderingen voor cookies die ervoor zorgen dat de geboden internetdienst goed werkt. Dit zijn bijvoorbeeld cookies die persoonlijke gebruikersvoorkeuren, zoals een taalinstelling, onthouden. Ook cookies voor het plaatsen van een bestelling in een webwinkel zijn toegestaan. Daarbij mag de cookie dan alleen dienen voor dat ene, oorspronkelijke doel.

Interpretatie en handhaving

Hoe verstrekkend de nieuwe cookieregels in de praktijk zullen zijn, is een kwestie van interpretatie. Uiteindelijk is dat dan aan toezichthouders, waarvan er meerdere hierover gaan. Privacyschending door cookies is een kwestie voor het College bescherming Persoonsgegevens (CBP), toezicht op naleving van het cookieverbod is aan het Agentschap Telecom. Ook de Opta is al betrokken.

Naast de onduidelijkheid over interpratie van de politieke fomulering en de wirwar aan toezicht, is er nog een andere complicerende factor. Er wordt namelijk veel overgelaten aan de hiermee te reguleren sector zelf. Die moeten zelf technische invulling geven aan de maatregelen, zegt een woordvoerder van D66 tegen de Financial Times.

'Ondoordacht, onnodig, onzinnig'

De eerste reacties zijn dan ook niet mals. Juriste Milica Antic blogt dat het aangenomen amendement voor de cookiewet niet alleen onduidelijk is, maar ook "ondoordacht, onnodig, onzinnig en schadelijk". Zij hekelt onder meer de ruime, vage omschrijving voor wat in wezen alleen gaat om 'behavorial advertising'. Bovendien zou de Wet bescherming persoonsgegevens volgens haar al beschermen tegen die vorm van cookiegebruik; voor gedragsgericht adverteren.

Ook het wel technische deel van zowel het wetsvoorstel als het amendement krijgt kritiek van Antic. "Eerlijk is eerlijk, daar kunnen de indieners niets aan doen want is een gevolg van de Europese richtlijn", schrijft zij. "Maar het is wel onwenselijk. De technische ontwikkelingen gaan zo snel dat het wetsvoorstel over een jaar alweer verouderd is."

"Cookies zijn maar één manier om gegevens over ons te verzamelen in het kader van adverteren. Zo hebben de aanbieders van digitale televisie geen cookies nodig om over een goudmijn van interessante gegevens voor adverteerders te beschikken."

'Nederland gaat te ver'

Antic concludeert ook dat Nederland hiermee flink verder gaat dan wat de Europese richtlijn voorschrijft. "Dat is slecht voor de Nederlandse concurrentiepositie. Eurocommissaris Kroes heeft duidelijk aangegeven dat een gebruiksvriendelijke oplossing - toestemming via browserinstellingen en zelfregulering door de branche - wenselijk is. Ze heeft zich inmiddels al uitgesproken tegen de strenge Nederlandse variant."

De Tweede Kamer heeft met het amendement de Nederlandse wetswijziging alsnog aangescherpt. Het cookieverbod vereiste eerst namelijk toestemming, maar bood websites en adverteerders de mogelijkheid om dat impliciet te verkrijgen. Bezoek aan een website zou dan automatisch kunnen neerkomen op akkoord gaan met voorwaarden, zoals die voor het plaatsen van tracking cookies.

Het College bescherming Persoonsgegevens (CBP) heeft het kabinet daar vorig jaar al voor op de vingers getikt. Het oorspronkelijke cookievoorstel vereiste namelijk wel ondubbelzinnige toestemming, maar dat is onder druk van de online-reclamebranche gewijzigd in slechts 'toestemming'.

Onduidelijkheid

Diezelfde branche van online-adverteerders en -marketeers, vertegenwoordigd door het IAB (Interactive Advertising Bureau), slaat nu dan ook alarm. Het merkt op dat er nog altijd veel onduidelijk is over het cookieverbod. Dat geldt volgens het IAB voor alle soorten cookies, die nu ook onder de Wet Bescherming Persoonsgegevens komen te vallen.

Voor het plaatsen (en dan benutten van) cookies moet toestemming worden gegeven, nádat de aanbieder ervan duidelijke en volledige informatie erover heeft verstrekt. "Of deze toestemming straks per website of per cookie gevraagd moet worden is vooralsnog onduidelijk", meldt het IAB in een persbericht gelijk na het aannemen van het cookie-amendement.

Zelfregulering, keuze consument

Het kondigt aan samen met andere brancheorganisaties, waaronder DDMA en NUV, door te gaan met de door hun geprefereerde zelfregulering, in Europees verband. Daarbij introduceren zij een cookie-icoon, dat websitebezoekers moet informeren over reclamecookies. Websurfers krijgen verder een opt-out mogelijkheid, via een volg-me-niet register. Deze zelfregulering moet uiterlijk juni 2012 zijn doorgevoerd voor alle online-reclame die wordt gevoerd op basis van surfgedrag, dus middels cookies.

Ook het Nederlands Uitgeefverbond (NUV) is somber over het cookieverbod. Het dinsdag aangenomen amendement voor die cookiebepaling is volgens deze brancheorganisatie schadelijk voor zowel het bedrijfsleven als de consument. Laatstgenoemde wordt volgens het NUV namelijk gedwongen tot moeilijke keuzes, onder meer doordat een algemene instelling via de browser nu wordt uitgesloten.

Het websurfen wordt hierdoor flink belemmerd en het eigenlijk doel wordt toch niet bereikt: "Ervaring leert dat als consumenten steeds wordt gevraagd om toestemming, dan lezen ze de boodschap niet meer; zij klikken gewoon op JA en maken geen bewuste of afgewogen keuzes meer: strenge eisen aan toestemming levert dus vooral schijnveiligheid op", schrijft het uitgeefverbond. Daarnaast wijst het op de (financiële) noodzaak voor advertenties, en ook gerichte ads. Paywalls dreigen dus.

Allang geschonden

Ondertussen wordt echter de huidige, milde regelgeving voor cookies allang en massaal overtreden. Dat blijkt uit onderzoek van begin dit jaar, uitgevoerd door TNO en het Amsterdamse instituut IViR. De huidige wet (het Besluit Universele Dienstverlening en Eindgebruikersbelangen, BUDE) wordt vrijwel collectief overtreden door site-eigenaren.

Voornaamste struikelpunt is de plicht websitebezoekers te informeren over en vragen naar cookies van derde partijen. Die dienen veelal voor advertenties en dus niet voor het functioneren van de bezochte website. Voor dergelijke cookies geldt onder BUDE al een informatie- en toestemmingsplicht.

De branche heeft toen al verontwaardigd gereageerd op die constatering van grootschalige en stelselmatige overtredingen, waar overigens geen enkele site of cookie-aanbieder op is gepakt. Het rapport bevat volgens het IAB "grove fouten" en is niet representatief. De branchevereniging voor online-adverteerders stelt dat er helemaal geen toestemmingsplicht geldt. Bovendien is het volgens het IAB onmogelijk om vóór bezoek aan een website toestemming te vragen voor cookies, omdat niet "is vast te stellen welke site wordt bezocht".

Cookie-alternatief

Buiten de brede formulering van 'cookies' in het verbod en de vaagheid van de praktijk straks, is er nog een punt waarop de wet de plank misslaat. Webgebruikers zijn namelijk ook te identificeren en traceren zonder informatie op hun computer of smartphone te plaatsen. De optelsom van hun browser, plugins, besturingssysteem compleet met apparaat zorgt ook voor een unieke 'vingerafdruk'. Deze nieuwe methode wordt al commercieel uitgebaat door het Amerikaanse bedrijf BlueCava.