Het is alweer bijna twee jaar geleden dat de ‘cookiewet’ in werking trad in Nederland. Deze wet – neergelegd in artikel 11.7a van de Telecommunicatiewet – bepaalt dat voor het plaatsen van cookies voorafgaande en geïnformeerde toestemming van de internetgebruiker nodig is.
De wet bevatte oorspronkelijk twee, beperkt geformuleerde uitzonderingen. Ten eerste was geen geïnformeerde toestemming nodig wanneer de cookie uitsluitend tot doel had om de communicatie over een elektronisch communicatienetwerk uit te voeren (o.a. load balancing cookies). Ten tweede was geen geïnformeerde toestemming nodig wanneer de cookie strikt noodzakelijk was voor het leveren van een door de gebruiker gevraagde dienst (o.a. de shoppingcart cookie en de cookie die je inlog onthoudt).
Voor veel cookies moest dus toestemming gevraagd worden en de banners en pop-ups die dat opleverde werkten gebruikers op de zenuwen. Daarom is er al enige tijd een aanpassing van de wet in de maak, die onder bepaalde voorwaarden ook analytische cookies toestaan zonder voorafgaande toestemming. Het wetsvoorstel sluit van het toestemmingsvereiste uit, cookies die gebruik worden om “informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij”. Echter alleen “mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker”.
Dit wetsvoorstel is aan de Raad van State voorgelegd, die echter minder enthousiast is over de effectiviteit van het wetsvoorstel. Doel van het wetsvoorstel is namelijk om ergernissen bij gebruikers m.b.t. bijvoorbeeld pop-ups en cookiemuren te voorkomen, maar de Raad van State twijfelt of dit doel bereikt kan worden. Volgens de Raad van State is het wetsvoorstel namelijk te vaag:
“Nu enige onzekerheid over de reikwijdte van de zinsnede “geen of geringe gevolgen” niet vermeden kan worden, bestaat het risico dat website-eigenaren het zekere voor het onzekere zullen nemen en daarom om toestemming blijven vragen ongeacht de mate waarin de opslag van gegevens of de toegang tot opgeslagen gegevens privacygevoelig zijn. Dan zou de beoogde gebruikersvriendelijkheid niet bewerkstelligd worden en zou het voorstel zijn doel voorbij schieten.”
Risico zou dus zijn dat website-eigenaren alsnog, voor de zekerheid, toestemming gaan vragen. In de memorie van toelichting worden weliswaar al voorbeelden genoemd van situaties waarin sprake is van ‘geen of geringe gevolgen’ voor de persoonlijke levenssfeer, maar de Raad van State beveelt aan om hier meer aandacht aan te besteden.
Overigens belicht het advies van de Raad van State niet het omgekeerde risico, namelijk dat de vage bepaling tot gevolg heeft dat website-eigenaren er te gemakkelijk van uitgaan dat bepaalde cookies uitgezonderd zijn van het toestemmingsvereiste. Dit geldt bijvoorbeeld bij de bekende Google Analytics cookies, die in sommige gevallen wel onder de nieuwe uitzondering zullen vallen, maar niet in alle gevallen. Vereist is namelijk dat de website-eigenaar een bewerkersovereenkomst heeft gesloten met Google waarin staat dat Google de persoonsgegevens niet voor andere doeleinden mag gebruiken. Juist dit omgekeerde risico lijkt me tot een groter risico van inbreuk op de privacy van gebruikers leiden omdat gebruikers dan niet op de hoogte zijn van de cookies.
Lees hier het hele advies van de Raad van State.
Lees hier het hele wetsvoorstel met toelichting.