Actieve toestemming van de internetgebruiker voor het gebruik van cookies is vereist, schrijft de Artikel-29 werkgroep, een gezamenlijk orgaan van nationale privacytoezichthouders dat wordt voorgezeten voor CBP-voorzitter Jacob Kohnstamm. De groep heeft een 24 pagina's lange opinie (pdf) geschreven over de EU-richtlijn die het gebruik van cookies aan banden legt. Over deze richtlijn is nu veel te doen in Nederland.

De Artikel-29 werkgroep vindt niet dat de browserinstellingen afdoende zijn om toestemming te geven van cookies. Sommige critici van de verscherping van de cookieregels voeren juist aan dat browsers al voldoende middelen bieden om cookies te weigeren. De EU-privacywaakhond is het daar niet mee eens. De huidige situatie voor toestemming van cookies is, gezien de standaardinstellingen van browsers, een opt-out beleid. De Artikel 29-werkgroep stelt dat een opt-in methode gebruikers meer keuze biedt.

Elke 12 maanden cookie vernieuwen

Wel vindt de werkgroep dat een al te stugge cookieregeling, zoals adverteerders vrezen, niet werkbaar is. Als internetgebruikers een cookie van een advertentienetwerk accepteren, dan geven ze toestemming aan alle sites waar dat netwerk actief is. De Europese privacygroep stelt wel twee beperkingen voor. Deze toestemming moet iedere 12 maanden verlengd worden door de gebruiker, en op ieder moment opzegbaar zijn.

Ook roepen de Europese privacytoezichthouders, waaronder het College bescherming persoonsgegevens (CBP), advertentienetwerken en browserontwikkelaars op simpele en effectieve mechanismen te ontwikkelen. Daarnee moeten internetgebruikers dan ondubbelzinnige toestemming kunnen geven voor online adverteren op basis van hun surfgedrag (behavioural advertising).

Toegespitste advertenties

Cookies zijn kleine bestanden die informatie verzamelen over individueel surfgedrag en die kunnen dienen om gebruikers speciaal op hen toegespitste advertenties voor te schotelen. Eind 2009 nam Europa een richtlijn aan die websites verplicht voortaan duidelijk en "zo gebruiksvriendelijk mogelijk" permissie te vragen voor het plaatsen van cookies. Lidstaten moeten de nieuwe regels uiterlijk mei 2011 in wetgeving verankerd hebben.

De precieze invulling van de richtlijn is voer voor veel speculatie. Betekent de richtlijn dat website-eigenaren voor iedere cookie toestemming moeten vragen? Of dat internetgebruikers alleen geïnformeerd hoeven te worden, zodat ze cookies via de browserinstellingen zelf kunnen uitschakelen?

Sommige adverteerders opperen dat de browsersinstellingen voldoende zijn om uitvoer te geven aan de Europese richtlijn. De optie om cookies te blokkeren ligt er immers al, dus toestemming voor het gebruik van cookies ligt in die keuze verscholen, argumenteren zij.

Browserinstellingen

Volgens de Artikel-29 werkgroep zijn browsersinstellingen niet afdoende om in te stemmen met cookies, omdat gemiddelde gebruikers zich niet bewust zijn van behavioural advertising. "Ze zijn niet altijd bewust van hoe browserinstellingen gebruikt kunnen worden om cookies te weigeren", schrijft de werkgroep.

Adverteerders en online uitgevers hebben de interpretatie van de Artikel-29 werkgroep direct afgewezen. In een verklaring protesteren het Internet Advertising Bureau Europe, de European Publishers Council en andere belangengroepen. Een opt-in voor iedere cookie, zoals de werkgroep stelt, is anti-bedrijfsleven en onrealistisch, stellen zij in hun schriftelijke reactie.

"Dit is een veel te strikte interpretatie van de ePrivacy-richtlijn", zegt Angela Mills Wade, executive director van de European Publishers Council. Als de lidstaten dit volgen, wordt elke kans van media op online businessmodellen en omzet daaruit de nek omgedraaid, stelt ze.

Ondubbelzinnig

In Nederland deed een eerste conceptversie van een nieuwe cookieregeling al veel stof opwaaien. Daarin stond namelijk dat websites "ondubbelzinnig" toestemming moeten vragen voor het plaatsen van cookies. In het nieuwe - nog niet gepubliceerde - conceptwetsvoorstel is het woord "ondubbelzinnig" verwijderd, bleek vorige week.