Oh, oh Den Haag toch… Antwoorden op Kamervragen cookiewet

Enige tijd geleden heeft ook de Nederlands Publieke Omroep (NPO) gehoor gegeven aan de cookiewet. En niet zomaar: de met publieke gelden betaalde website uitzendinggemist.nl werd op zwart gezet voor bezoekers die geen cookies willen accepteren. Analytics cookies zouden namelijk vereist zijn om te voldoen aan de wettelijke plicht om gebruikersstatistieken te rapporteren naar het Ministerie van Onderwijs, Cultuur en Wetenschap; Reclamecookies zouden nodig zijn voor het genereren van inkomsten; En social media cookies zijn zo geaccepteerd dat dat toch ook geen probleem zou moeten opleveren. Toch? Dus dan maar de hele site, met publieke gelden betaald, op zwart als je geen toestemming geeft voor het plaatsen van cookies. Dit leidde tot kritiek vanuit de branche. Kan de NPO wel een website met een publieke taak op zwart zetten? Is het wel vereist dat er cookies worden geplaatst? Wordt er nog wel “vrije” toestemming gegeven, als toegang wordt ontzegd tot alle content? Deze bezwaren hebben ook geleid tot Kamervragen, welke net voor het weekend nog beantwoord zijn door staatssecretaris Dekker van Onderwijs, Cultuur en Wetenschap. De Kamervragen zijn gesteld door Kees Verhoeven van D66 (16 oktober jl.) en door Gesthuizen en Van Dijk van de SP (12 oktober jl.).

Niet de websitehouder, maar derden zijn verantwoordelijk voor third party cookies
De antwoorden op de Kamervragen zijn echter, op zijn zachts gezegd, tenenkrommend. Grootste punt van ergernis vind ik persoonlijk het volgende:

Voor het gebruik van social media worden door derden via de websites van de NPO op de computers van eindgebruikers cookies geplaatst. Deze cookies kunnen tracking cookies bevatten waarbij de gegevens die worden verzameld ook aan derden kunnen worden verstrekt. Het gebruik van deze gegevens komt voor rekening van de desbetreffende sociale media aanbieder.

Dit staat haaks op het standpunt van de OPTA, die stelt dat de websitehouder zelf ook verantwoordelijk is voor cookies die via haar website worden geplaatst ongeacht of deze door derden worden geplaatst of door haar zelf. Immers, ze kiest er zelf voor om de betreffende derde in staat te stellen cookies te plaatsen / uit te lezen.

Foutje misschien? Nee hoor, in de beantwoording van de andere Kamervragen wordt dit net zo hard (in andere bewoordingen) herhaald:

Ook worden via invoegtoepassingen van social media cookies geplaatst (zodat gebruikers met bijvoorbeeld hun Facebookaccount kunnen reageren onder berichten). Deze (tracking)cookies worden door derden geplaatst en het gebruik van deze cookies en de daarmee gegenereerde data komt voor rekening van deze derdepartijen [sic]. De NPO kiest ervoor deze invoegtoepassingen niet te blokkeren, omdat dit de gebruiksvriendelijkheid niet ten goede komt, bovendien is het complex dit te realiseren.

Het klopt wel in mijn optiek, daar niet van: de wet stelt namelijk dat de plaatser/uitlezer informatie moet bieden / toestemming moet verkrijgen, maar de OPTA zegt toch wat anders. OPTA: pas je beleid daarom aan. En spreek dan wel even de betreffende Amerikaanse reuzen aan (Google, Facebook, Twitter, LinkedIn met name), zodat de cookiewet geen dode letter wordt/blijft.

Gebruiksvriendelijkheid is reden voor inbreuk privacy
Daarbij vind ik het ook ergerlijk dat het blijkbaar een excuus is om inbreuken op de privacy mogelijk te maken als maatregelen daartegen de gebruiksvriendelijkheid van de website niet ten goede zou komen. Oh nee, wacht: er is toestemming gegeven, dus er is geen privacy inbreuk. Laat het College bescherming persoonsgegevens het maar niet horen…. Ik zou het niet aandurven te stellen dat hier “vrije” toestemming is gegeven. Laat staan dat er sprake zou zijn van proportionaliteit/subsidiariteit door de website te blokkeren als je geen toestemming geeft. Een websiteoplossing zonder social media functionaliteit is best gemakkelijk en zonder al te veel kosten te implementeren hoor. Voorbeeld nodig hoe het dan wel anders kan (subsidiariteit) zonder direct toegang te moeten blokkeren (proportionaliteit)? Onze social media functionaliteiten staan standaard uit en worden pas geladen nadat je toestemming hebt gegeven voor het gebruik van cookies. Heb je ze niet geaccepteerd? Dan kan je wel gewoon gebruik maken van de site.

Social media diensten? Cookiewet en Wbp niet van toepassing
Daarnaast wordt tussen neus en lippen door ook gesteld dat partijen die zich met verkopen van reclame bezig houden zich wel moeten houden aan de Telecommunicatiewet en de Wet bescherming persoonsgegevens, maar voor de inzet van social media worden ingezet, is daar geen noodzaak meer toe:

De Ster kan daarom de middelen toepassen die zij noodzakelijk acht bij het verkopen van reclame, mits zij zich daarbij aan de Telecommunicatiewet en de Wet bescherming persoonsgegevens houdt. Voor wat betreft de toepassing van sociale media zie ik, gezien de enorme populariteit van deze sociale media en de kosten en complexiteit die een gedifferentieerde toegang met zich meebrengen, hier niet de noodzaak van in.

Als het om sociale media gaat hoef je je dus niets aan te trekken van Telecommunicatierecht of grondrechten als de bescherming van privacy….? Sorry, dat gaat er niet in bij mij… Dit is vast niet zo bedoeld, maar het staat er wel.

Cookies noodzakelijk voor de werking van de website?
Ook blijkt dat Den Haag zelf nog steeds niet weet wat ze zelf heeft opgeschreven in de cookiewet:

Voor de zogenoemde functionele cookies is op grond van de nieuwe wetgeving geen toestemming vereist. Dit zijn cookies die noodzakelijk zijn voor de werking van de website.

Als ik de cookiewet lees, zie ik niets staan over een uitzondering voor cookies die noodzakelijk zijn voor de werking van de website. Wél lees ik twee andere uitzonderingen, namelijk cookies die uitsluitend dienen om communicatie via internet mogelijk te maken (zoals een load_balancer cookie), en cookies die uitsluitend dienen om een door de gebruiker gevraagde dienst te leveren (zoals voor het gebruik van een winkelmandje, of het onthouden van inloggegevens), en daar strikt noodzakelijk voor zijn. “Noodzakelijk voor de werking van de website” valt daar dus niet (althans niet altijd) onder. Niet dat ik het oneens ben met Den Haag: het zou wel toegestaan moeten zijn om cookies noodzakelijk voor de werking van de website zonder toestemming te kunnen gebruiken, maar dit staat nu (nog) niet zo in de wet, noch in de beleidsregels van de OPTA…

En meer…
En zo valt er nog wel meer op de antwoorden aan te merken. Advertentiecookies kunnen volgens de antwoorden worden gebruikt om reclame af te stemmen op de bezoeker (!), maar al deze gegevens zijn volgens de NPO en de Ster niet herleidbaar tot identificeerbare natuurlijke personen (!). Ik ben dan heel erg benieuwd hoe die reclame kan worden afgestemd op bepaalde bezoekers. IP-adressen en cookie-ID’s worden namelijk ook aangemerkt als persoonsgegevens (lees: (indirect) herleidbaar tot identificeerbare of geïdentificeerde natuurlijke personen)…

Uitzondering voor analytics cookies onderzocht
Gelukkig is niet alles kommer en kwel. Een lichtpuntje:

Zoals bij het Algemeen Overleg Telecommunicatie van 21 november jongstleden is toegezegd wordt momenteel onderzocht of, en zo ja onder welke voorwaarden, analytische cookies kunnen worden beschouwd als noodzakelijke cookies, zodat ook voor deze cookies toestemming achterwege zou kunnen blijven.

Oftewel: analytische cookies kunnen mogelijk binnenkort wel eens toegestaan zijn, zonder dat toestemming (en informatie?) vereist is. Maar dat moet Den Haag nog wel even onderzoeken. Geen nood, Den Haag, de Artikel 29 Werkgroep heeft dit al lang voor je gedaan:

…the European legislator might appropriately add a third exemption criterion to consent for cookies that are strictly limited to first partyanonymized and aggregated statistical purposes. First party analytics should be clearly distinguished from third party analytics, which use a common third party cookie to collect navigation information related to users across distinct websites, and which pose a substantially greater risk to privacy.

Dus, Den Haag: als een cookie (i) uitsluitend dient om (ii) zelf, zonder tussenkomst van een derde, (iii) geanonimiseerde en (iv) geaggregeerde statistieken te verzamelen, dan moet het toegestaan zijn om die cookies te gebruiken zonder toestemming. Dit is alleen nog geen geldend recht, en dus moet je nog wel even met de Europese wetgever overleggen.

Overigens zal dit voor de NPO geen soelaas bieden: zij gebruikt NedStat (ComScore) om analytische gegevens te krijgen over het gebruik van de site. En dat is een derde (waarvan het overigens helemaal niet duidelijk is welke gegevens worden verwerkt, en of dat persoonsgegevens betreffen). Toestemming zal dan dus gewoon nodig blijven – net als voor bijvoorbeeld Google Analytics. Zijn er dan geen alternatieven, zoals je zelf stelt?

Om de bereikdoelstellingen te kunnen toetsen is bereikonderzoek op internet nodig. Hiervoor worden analytische cookies gebruikt. Er zijn op dit moment geen andere technieken die op het huidige detailniveau inzicht bieden in het gebruikersgedrag.

Misschien niet qua techniek: wel qua aanbieder. Het is nietnoodzakelijk om een derde in te schakelen om analytische gegevens van Nederlandse burgers te verkrijgen. Daar zijn ook (open source) first party alternatieven voor, zoals Piwik.

Tot slot
Ik snap dat Den Haag worstelt met de (uitleg van de) cookiewet: het is een draak van een wet. Maar ik vind het echt tergend dat er op deze manier antwoorden worden gegeven op de terechte Kamervragen van Gesthuizen, Van Dijk en Verhoeven. De handelwijze van de NPO kan nooit goed zijn voor de privacy van de bezoekers van haar websites, zoals uitzendinggemist.nl.

Ik ben benieuwd naar jullie kritieken op de antwoorden op de Kamervragen. Je kunt ze hier en hier lezen.



Wouter Dammers
is sinds juni 2012 juridisch adviseur bij ICTRecht. Wouter is gespecialiseerd in IT recht, open source licenties, privacy recht en auteursrechtelijke en octrooirechtelijke vraagstukken met betrekking tot software.

Dit artikel verscheen op 10 december 2012 op cookierecht.nl en is met toestemming overgenomen op deze website.