YES!! Vraagtekens bij Cookiewet door weldenkenden

Waarbij de besluitvorming in de tweede kamer rondom de telecomwet vrijwel volledig draait om politieke compromissen en stemmingsmakerij zijn het de heren in de eerste kamer die wetten op inhoud en uitvoerbaarheid moeten controleren. Twee punten die natuurlijk alles behalve op gaan bij de recent door de tweede kamer ingevoerde cookiewet. Wat voornamelijk opvalt is het inhoudelijke verweer van het CDA, deze vragen komen zeer veel overeen met het juridische verweer van Milica Antic in recente artikelen. Eindelijk wordt er dus eens goed geluisterd naar adviezen van ‘de markt’ en het lijkt het erop dat ‘de markt’ nu maar moet hopen dat deze vragen van het CDA de doorslag gaan geven tot het cancellen van deze wet.

De volgende vragen heeft de VVD bij de cookiewet:

• Welke invloed heeft de cookiebepaling op het gebruiksgemak voor internetgebruikers?
• Welke partij moet ondubbelzinnig toestemming vragen aan de gebruiker voor verwerking van zijn persoonsgegevens?
• Is overdracht van de toestemming aan derden, van bijvoorbeeld de uitgever van een website aan een adverteerder op die website, toegestaan en hoe dient deze overdracht te worden vormgegeven?
• Is het op dit moment technisch mogelijk om gebruikers collectief en eenmalig ondubbelzinnige toestemming te laten geven voor de verwerking van zijn persoonsgegevens, zo vragen deze leden
• Valt het gebruik van cookies ten behoeve van historisch, statistisch en wetenschappelijk onderzoek buiten het bereik van de cookiebepaling, zodat dit zonder ondubbelzinnige toestemming van de deelnemers aan onderzoek mogelijk is?
• Wat is de (economische) impact van de cookiebepaling op de concurrentiepositie van Nederlandse aanbieders enerzijds en op aantrekkelijkheid van Nederland voor ondernemingen om zich hier te vestigen anderzijds?

De volgende vragen heeft de PVDA bij de cookiewet:

• De leden van de PvdA-fractie vragen wat de gevolgen voor consumenten zullen zijn wanneer deze wet, en in het bijzonder het zogenaamde ‘cookie-amendement’5, wordt geïmplementeerd.
• Kan de regering met name ingaan op de gevolgen voor het gebruiksgemak voor de internetgebruiker?
• Kan de regering aangeven of een internet zonder cookies kan bestaan en als dit niet kan, welk maatschappelijk c.q. commercieel doel cookies volgens de regering dienen?
• Kan de regering nader ingaan op de reikwijdte van de wet? Welke soorten cookies vallen onder het toestemmingsvereiste. En is het zo dat per website meerdere malen, want per aanbieder, toestemming moet worden verkregen?

En nu de echte klappers. De vragen van het CDA:

• De leden van de CDA-fractie constateren dat het voorgestelde artikel 11.7a lid 1 sub b Telecommunicatiewet bepaalt dat het plaatsen van een cookie met het doel om informatie te verzamelen over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker wordt vermoed een verwerking van een persoonsgegevens te zijn in de zin van de Wbp. Dit betekent dat de Wbp van toepassing is. Dit lijkt verder te gaan dan de reikwijdten en het doel van artikel 5 lid 3 van de ePrivacy Richtlijn (2009/136/EC), welke zich exclusief richt op de opslag van informatie in de randapparatuur en/of het verkrijgen van toegang tot informatie die is opgeslagen in de randapparatuur van een abonnee of gebruiker. Artikel 5 lid 3 lijkt dus niet bedoeld te zijn voor de uitleg van regels van de Data protectie richtlijn (95/46/EC), of de interpretatie van het begrip persoonsgegeven. Zien de leden van de CDAfractie dit juist?

• Verder vermeldt de uitleg bij het tweede lid van artikel 11.7a, tweede lid6, dat zelfs wanneer niet kan worden bewezen dat in de strikte zin van het woord persoonsgegevens worden verzameld of verwerkt, deze handelingen tóch worden aangemerkt als het verzamelen of verwerken van persoonsgegevens in de zin van de Wbp. De leden van de CDA-fractie vragen zich af of dit niet een vergaande oprekking is van het begrip persoonsgegeven en daarmee van de reikwijdte van de Wbp. Wat is het oordeel van de regering hierover?

• Het begrip toestemming levert bij de toepassing van de Wbp – naar het de leden van de CDAfractie voorkomt – ook vragen op. Uit artikel 1 sub i van de Wbp blijkt, dat onder toestemming moet worden verstaan: “elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt”. Dit is in lijn met artikel 5 lid 3 van de geamendeerde ePrivacy Richtlijn. Deze uitleg lijkt echter niet consistent te zijn met de uitleg van het nieuwe artikel 11.7a Tw, nu hierin staat dat in de gevallen dat dit artikel van toepassing is, ondubbelzinnige toestemming de enige legitieme grond lijkt te zijn voor de verwerking van persoonsgegevens. Echter, de Wbp kent verschillende andere wettelijke gronden die als basis kunnen dienen waarop persoonsgegevens verwerkt mogen worden. Zo kan de verwerking van persoonsgegevens ook toegestaan zijn, indien dit noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (artikel 8b Wbp), of voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke (artikel 8f Wbp). Door een ondubbelzinnige toestemming voor de verwerking van persoonsgegevens te vereisen doorkruist de wetgever het systeem van de Wbp en stelt een zwaardere eis dan artikel 5(3) van Richtlijn 2009/136/EG. Zien de leden van de fractie van het CDA dit juist?

• De leden van de CDA-fractie vragen zich af of Nederland met het strenge opt-in regime niet een geïsoleerde positie in Europa zal innemen, omdat in nagenoeg alle lidstaten voor ‘zachtere’ opt-in varianten wordt gekozen. Ook lijkt Nederland het enige land te zijn waar de Wbp van toepassing wordt verklaard op het gebruik van cookies, óók als hierbij geen persoonsgegevens worden verwerkt.

Het antwoord op deze vraag luidt als volgt: Ja, Nederland zal in deze een onnodige geïsoleerde positie innemen, waarbij een groeiende markt als affiliate marketing die niets van doen heeft  met persoonsgegevens zijn concurrentiepositie tegenover andere landen zal zien verslechteren.

• De leden van de CDA-fractie stellen het op prijs een overzicht te ontvangen van de wijze waarop deze problematiek in andere lidstaten van de EU is geregeld. In dit verband is van belang, dat de Eurocommissaris voor de Digitale Agenda zich in een speech in december 2010 heeft uitgesproken over de invulling van een opt-in voor cookies. Ze pleitte voor een gebruiksvriendelijke oplossing, waarbij de nadruk ligt op informeren, zoals in Nederland ook door de Consumentenbond wordt bepleit. De toestemming zou ook gegeven kunnen worden door middel van de browserinstelling. Is dat laatste inmiddels verwezenlijkt of binnen afzienbare tijd te verwezenlijken?

• Volgens de indieners van het amendement met nummer 398, zijn de huidige browser settings niet voldoende om daar een (ondubbelzinnige) toestemming aan te ontlenen. Dit kan mogelijk in de toekomst veranderen stellen de ondertekenaars, maar vooralsnog is dit niet het geval, zodat een ondubbelzinnige toestemming wordt geëist. Het ondubbelzinnige toestemmingsvereiste houdt in dat er geen onduidelijkheid bestaat over de vraag of de consument zijn/haar toestemming heeft gegeven. De bewijslast hiervoor ligt bij de verantwoordelijke. Deze moet dus aanvullende stappen nemen om zich van de ondubbelzinnige toestemming te verzekeren. De implementatie van een dergelijke ondubbelzinnige toestemming zal waarschijnlijk afbreuk doen aan het surfgemak van consumenten en leiden tot administratieve en technische kosten bij de verantwoordelijken. Zien de leden van de CDA-fractie dit juist?

• Het komt de aan het woord zijnde leden tevens voor, dat door de aanvullende eis van ondubbelzinnige toestemming Overweging 66 van de Richtlijn grotendeels buitenspel wordt gezet. De vraag is of dit wenselijk is, nu de ontwikkeling van browsers naar alle waarschijnlijkheid sneller gaat dan de ontwikkeling van wetgeving of de aanpassing daarvan.

• Kan de regering aangeven of de eis van ondubbelzinnige toestemming uiteindelijk wel het meest geëigende instrument is om de privacy van de gebruiker te beschermen? De kans is aanwezig dat de consument geconfronteerd wordt met vele pop-upschermen waarin gevraagd wordt om toestemming. Hierdoor ontstaat waarschijnlijk ‘pop-up moeheid’ bij de consument en zal de consument mogelijk geneigd zijn om zomaar schermen weg te klikken. Dit is problematisch omdat niet alleen in deze schermen toestemming kan worden gevraagd voor veel verder gaande vormen van gegevensverwerkingen, maar ook kunnen dergelijke schermen als aanvalsvector voor virus en malware besmettingen worden gebruikt. Verder lijkt het voor de hand te liggen dat naarmate bedrijven consumenten beter voorlichten en hen meer privacybeschermende opties geven, zij aan minder strenge toestemmingseisen hoeven te voldoen.

 

• De leden van de CDA-fractie vermoeden, dat door het van toepassing verklaren van de Wbp op het plaatsen van cookies in de zin van artikel 11.7a lid 1 sub b Tw er onduidelijkheid bestaat over de vraag wie het primaat heeft bij het handhaven van de cookiebepaling: de OPTA of het College bescherming persoonsgegevens (CBP). Dit leidt tot rechtsonzekerheid. Wat is het oordeel van de regering hieromtrent?

• Er zijn toepassingen van cookies die niet strikt noodzakelijk zijn voor de technische werking van een website (de uitzondering van artikel 11.7a lid 3 Tw), maar desondanks belangrijk zijn voor de goede en veilige werking van websites. Hierbij kan onder andere gedacht worden aan het gebruik van ‘analytic cookies’ die in kaart brengen hoe bezoekers door een website navigeren en welke pagina’s populair zijn. Deze cookies zijn nodig om de website te verbeteren, maar niet strikt technisch noodzakelijk. Een ander voorbeeld is het gebruik van cookies voor veiligheidsdoeleinden, bijvoorbeeld om fraude met de accounts van gebruikers te detecteren. Welk regime op deze cookies van toepassing is, is onduidelijk; hetgeen leidt tot rechtsonzekerheid. Het ligt voor de hand om dit type gebruik onder de uitzondering van artikel 11.7a lid 3 Tw te scharen nu de inbreuk op de privacy met dit soort cookies gering is. Deelt de regering deze opvatting?

• Wat is de opvatting van de regering over de stelling dat het volgen van het gedrag van de gebruiker door middel van het plaatsen van een cookie lang niet altijd is te herleiden tot één geïdentificeerde of identificeerbare natuurlijke persoon, zodat er door het plaatsen van cookies geen sprake is van een verwerking van persoonsgegevens als bedoeld in de Wbp? Zo ja, moet het bij amendement9 geïntroduceerde rechtsvermoeden dan niet worden geregeld in de Wbp? De vraag doet zich ook voor of dit vermoeden wel kan worden weerlegd. Uit de toelichting op het amendement blijkt dat ook wanneer er niet kan worden bewezen dat er in de strikte zin van het woord persoonsgegevens worden verzameld, de bedoelde handelingen worden aangemerkt als het verzamelen of verwerken van persoonsgegevens.

Posted by Jochem on 20 oktober 2011. Gearchiveerd onder Affiliate Marketing, Netwerken, Onderzoek, Overig, Regulering / IAB. You can follow any responses to this entry through the RSS 2.0. You can leave a response or trackback to this entry