Nog dit jaar wil het ministerie van Economische Zaken, Landbouw en Innovatie een opt-in bepaling voor cookies implementeren. Controle op naleving daarvan ligt bij de OPTA. Die heeft nu door TNO en het Amsterdamse instituut IViR laten onderzoeken hoe site-eigenaren nu omgaan met het plaatsen van cookies onder de huidige wetgeving en komt tot schrikbarende conclusies. De huidige wet wordt vrijwel collectief overtreden door site-eigenaren. Daardoor lijkt een nieuwe strengere wetgeving al bij aanvang tot mislukken gedoemd.

In de huidige wetgeving, het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE) is vastgelegd dat degene die cookies plaatst in de browser van sitebezoekers, een informatie- en toestemmingsplicht heeft. Vaak is die regelgeving onbekend bij zowel site-eigenaren als consumenten.

Daardoor overtreden site-eigenaren massaal de wet, terwijl de eindgebruikers niet weten welke rechten ze hebben. Consumenten hebben zelfs niet eens de kennis om onderbouwde keuzes te maken over het wel of niet accepteren van cookies, zo concludeert TNO.

Nieuwe cookiewet onnodig

De onderzoekers vragen zich nu af of er wel nieuwe wetgeving nodig is. Het ministerie wil op basis van een Europese richtlijn de wet verder aanscherpen, maar volgens TNO voorziet de huidige regelgeving voldoende in de rechten van eindgebruikers. De onderzoekers pleiten voor een duidelijkere verdeling van de verantwoordelijkheden bij alle partijen in deze kwestie.

TNO zegt op te merken dat in de privacy policy van veel websitehouders niet of slechts summier wordt verwezen naar het plaatsen van third party cookies. Die cookies zijn niet noodzakelijk voor het functioneren van de website en vallen dus onder de informatie- en toestemmingsplicht.

Waar ligt de verantwoordelijkheid

Niemand neemt echter verantwoordelijkheid voor deze cookies, wordt concludeerd. Ook wat handhaving betreft zijn de rollen onzeker. De meeste partijen die betrokken zijn bij het plaatsen van cookies zijn gevestigd in Nederland of in ieder geval in Europa. Daardoor zijn ze juridisch binnen handbereik.

Daarnaast zegt het onderzoek dat er in de wet duidelijker onderscheid moet worden gemaakt tussen cookies die weinig privacyproblemen opleveren, zoals session cookies, en de zogheten peristent cookies, die op de computer achterblijven. In die laatste categorie is eveneens veel variatie. TNO vindt dat de eisen die aan dat soort cookies moeten worden gesteld, afgestemd moeten worden op de aard van de cookies.

Gevaar voor spyware

Als sluitstuk van het onderzoek wordt geconcludeerd dat er zowel in de Europese e-Privacyrichtlijn als in de Nederlandse nieuwe cookiewet wordt gesproken over het plaatsen van of toegang krijgen tot gegevens op apparatuur die is verbonden met internet (bijvoorbeeld een computer). “Daarbij wordt geen onderscheid aangebracht naar de aard van de gegevens”, zeggen de onderzoekers. Zij wijzen erop dat cookies dus in beginsel niet worden onderscheiden van spyware en andere malware.

Gebruikers dienen in het geval van spyware of malware expliciet toestemming geven, ook volgens de nieuwe regelgeving. Maar als de wetgever besluit dat kan worden volstaan met browserinstellingen voor het geven van toestemming aan het plaatsen van cookies, dan impliceert dat dat ook voor spyware en malware kan worden volstaan met browserinstellingen. “Dit kan substantiële effecten hebben voor de risico’s die gebruikers lopen, maar ook voor toezicht en handhaving.”

Het wetsvoorstel waarin de cookies-regelgeving is verwerkt, wordt volgende week in de Tweede Kamer behandeld. OPTA zegt met het rapport een bijdrage te willen leveren aan dat debat.