In mei dit jaar berichtte ik al over mogelijke maatregelen van Europa tegen ongewenst gebruik van cookies. Het hele pakket waar die maatregelen onderdeel van waren werd verworpen, maar, het voorstel stierf geen stille dood: Het ging terug naar de tekentafel en op 4 november zijn de Europese Raad en het Europese Parlement tot een akkoord gekomen, waarna het Europese Parlement vorige week het voorstel heeft aangenomen.
Dit voorstel heeft mij aanleiding gegeven om de nieuwe cookie-maatregelen te bespreken tijdens onze interne jurisprudentielunch. Wat gaat er veranderen? Waar moeten we rekening mee houden?
Het voorstel gaat onder meer artikel 5 lid 3 van de ePrivacy richtlijn (2002/58/EG) wijzigen. Het huidige artikel stelt dat voor de opslag van cookies, of het verkrijgen van informatie uit die cookies, het noodzakelijk is dat de betrokken gebruiker wordt voorzien van duidelijke en volledige informatie over onder andere de doeleinden van de verwerking van persoonsgegevens, en het recht krijgt om dergelijke verwerking te weigeren. Dit geldt overigens niet, indien de cookies met uitsluitend doel dienen voor de uitvoering of vergemakkelijking van de verzending van een communicatie, of, indien strikt noodzakelijk, voor de levering van een uitdrukkelijk door de gebruiker gevraagde “dienst van de informatiemaatschappij”.
De voorgestelde wijziging vraagt echter ook de toestemming van de gebruiker, na te zijn voorzien van duidelijke en volledige informatie. Volgens voorgestelde overweging (66) mag zo’n toestemming ook worden verkregen door middel van de instellingen van de browser of andere toepassing. Dit geldt dus, vreemd genoeg, niet voor de informatie-verstrekking. De informatie verstrekking mag slechts achterwege blijven, indien strikt noodzakelijk voor het wettelijk doel, of om te zorgen voor de levering van de uitdrukkelijk gevraagde dienst van de informatiemaatschappij.
Oftewel:
Voor de opslag van cookies of toegang tot opgeslagen cookies is de toestemming nodig van de gebruiker welke ook mag worden verkregen door middel van de instellingen van de browser of andere software. Voor het verkrijgen van die toestemming – al dan niet via standaardinstellingen – moet de gebruiker zijn voorzien van informatie, op een zo gebruiksvriendelijk mogelijke wijze. Het verstrekken van informatie hoeft niet indien de opslag van cookies of de toegang tot opgeslagen cookies strikt noodzakelijk is voor het wettelijk doel, of voor bijvoorbeeld een online bestel-procedure waar de gebruiker om heeft gevraagd.
Wat houdt dit praktisch gezien nu in?
Men bezoekt een website, krijgt direct een pop-up of een floater met informatie over de verwerking, en er wordt eventueel nog naar toestemming gevraagd als dat al niet uit de browserinstellingen blijkt. Immers, informatie moet worden verstrekt voordat toestemming wordt verkregen. En aangezien toestemming nodig is om de rest van de website te raadplegen, kan een eventuele privacyverklaring die daar op staat niet meer voldoen aan dit vereiste.
Het is hopen dat dit geen praktijk wordt. Maar uit de tekst er nu bij ligt, lijkt dat wel realiteit te worden. En dat is, naast ongewenst, ook bijzonder vreemd te noemen. Immers, overweging (66) stelt dat “De wijze waarop informatie wordt gegeven en een recht van weigering wordt aangeboden moet zo gebruikersvriendelijk mogelijk zijn”. Pop-ups en gebruiksvriendelijkheid gaan wat mij betreft niet samen. Zeker niet als dat bij elke website die je bezoekt het geval zal zijn. Bovendien wordt het gebruik van uiterst gebruiksvriendelijke privacyverklaringen zoals P3P-policies hierdoor niet gestimuleerd.
Ik denk dan ook dat de Raad en het Parlement geen rekening hebben gehouden met het verschil tussen de twee vereisten “toestemming” en “informatie” en het moment waar die op worden verkregen. Het lijkt er dan ook op dat ze zoveel mogelijk bij de oude teksten wilden blijven, en niet hebben nagedacht bij de uitzonderingen voor beide vereisten. Hopelijk wordt (positief) vervolgd…