Nadat ik vorige week in vogelvlucht het voorstel voor de ePrivacyverordening behandeld heb, ga ik in deze blog iets dieper in op een onderdeel van de ePrivacyverordening: de aanpassing van de regels met betrekking tot cookies en device fingerprinting.
Gewijzigd regime
In de verordening wordt voorgesteld dat het plaatsen of uitlezen van informatie op de randapparatuur van een eindgebruiker slechts toegestaan is op één van de volgende vier gronden:
· Het is noodzakelijk voor het doel om de communicatie over een elektronisch communicatienetwerk mogelijk te maken;
· De eindgebruiker heeft toestemming gegeven;
· Het is noodzakelijk om een door de eindgebruiker gevraagde dienst te leveren; of
· Het is noodzakelijk voor, kort gezegd, analyticsdoeleinden.
Wie een beetje op de hoogte is van de huidige Nederlandse cookieregels herkent in de laatste grond de ‘nieuwe’ Nederlandse uitzondering onder de geldende cookieregels. Deze uitzondering, die in 2016 in werking is getreden, geldt voor analytics-, A/B-testing- en affiliatecookies, voor zover dat geen of geringe gevolgen heeft voor de privacy van de eindgebruiker.
Het is de vraag of de vierde grond zich ook uitstrekt voor het gebruik van affiliate cookies, wat naar Nederlands recht wel onder de huidige uitzondering valt. In het voorstel en de bijbehorende overwegingen wordt enkel gesproken over ‘measuring web traffic to a website’. Daar lees ik niet in dat het gebruik van affiliate cookies onder deze grond is toegestaan.
Ook interessant is het gegeven dat de informatieverplichting die nu nog geldt (via de welbekende cookie statement) komt te vervallen. Als je op grond 1, 3 of 4 cookies plaatst, heb je dus én geen toestemming nodig, én hoef je de gebruiker daarover niet apart te informeren. Let wel op: wanneer cookies persoonsgegevens bevatten (wat vrijwel altijd het geval zal zijn), moet je op grond van de Privacyverordening natuurlijk alsnog informeren over de verwerking van persoonsgegevens.
Browserinstellingen
Belangrijk is dat met het voorstel voor de ePrivacyverordening de mogelijkheid gecreëerd wordt dat de eindgebruiker zijn toestemming geeft door middel van zijn browserinstellingen. Om dat mogelijk te maken, wordt er in het voorstel een verplichting geïntroduceerd voor partijen die software op de markt zetten die de mogelijkheid tot elektronische communicatie bieden om bij de installatie van die software de optie te bieden om het plaatsen van third party cookies of het uitlezen van cookies door third parties te weigeren.
Die verplichting is op dit moment naar mijn mening nog niet duidelijk genoeg geformuleerd, want 95% van alle apps op een smartphone voldoet aan deze omschrijving. Daarmee wordt het allemaal niet gebruiksvriendelijker, en blijkens de toelichting op het voorstel zou de verplichting (i) moeten zien op de makers van internet browsers en (ii) toch ook vooral gebruiksvriendelijk moeten zijn.
Zeker geen panacee
Daar komt bij dat de geboden optie van browsertoestemming zeker geen oplossing voor alle bestaande cookiekwalen is. Het valt te verwachten dat veel gebruikers hun standaardinstellingen immers op het weigeren van third party cookies zullen zetten. Maar, het feit dat een eindgebruiker via zijn browserinstellingen geen toestemming geeft, betekent niet dat websites niet afzonderlijk alsnog om toestemming mogen vragen. Websites die voor hun verdienmodel afhankelijk zijn van third party tracking cookies zullen wel moeten. Daarmee blijft de bestaande, irritante praktijk van cookiewalls natuurlijk volledig intact. Sterker nog, de kans is aanwezig dat eindgebruikers juist om die cookiewalls te vermijden, hun browserinstellingen op ‘alles accepteren’ zetten en daarmee zijn we wat privacybescherming betreft alleen maar verder van huis.
Kortom: er is nog voldoende werk aan de winkel voor bijvoorbeeld het Europees Parlement om de cookieregels te verbeteren.