Clouddiensten zonder cookie-technologie?

  1. 3 mrt 2017
  2. 0 reacties

Victor de Pous

Het wil al jaren niet vlotten met de juridische normering van cookies. Sinds de inwerkingtreding van de Europese wetgeving op 5 juni 2012 zwalkt Den Haag voortdurend. En het einde van de wijzigingen is nog niet in zicht. Op grond van de aankomende e-Privacy verordening - die de huidige e-Privacy richtlijn gaat vervangen en waarvan op 10 januari 2017 het ontwerp werd gepubliceerd - gaat de cookiewet namelijk opnieuw op de schop. Ondertussen onderzocht het Adviescollege toetsing regeldruk (Actal) het effect van de huidige regeling. De cookiebepaling uit de Telecommunicatiewet is niet effectief en de regeldruk van deze bepaling is daardoor disproportioneel hoog. Een klip en klare conclusie.

Het voorschrift houdt zowel een informatieplicht (hoe gaan wij met cookies om?) als een toestemmingsplicht in. Websites, die cookies willen plaatsen om persoonsgegevens te verwerken, moeten vóóraf toestemming krijgen van de Internetgebruiker. Dat werkt echter in z’n huidige vorm niet, omdat de meesten cookiemeldingen routinematig wegklikken. Ze accepteren het plaatsen en gebruiken van de cookies, zonder dat ze weten wat dit betekent voor hun privacy, aldus Actal, maar levert wel veel regeldruk en ergernis op.

De technologie is in 1994 bedacht door de jonge Amerikaan Lou Montulli, die als college drop-out programmeerde voor zijn werkgever, de startup Netscape. Kleine tekstbestandjes, die websites geautomatiseerd in het geheugen van de PC (en later tablet en smartphone) van de Internetgebruiker kunnen plaatsen, beschikken onder meer over de functionaliteit om hen te individualiseren. Daarnaast kunnen ze het surfgedrag registeren en langs deze weg gebruikers individueel volgen. Bingo. Netscape nam deze functionaliteiten op in de eerste versie van de browser Navigator. Daarmee werd de technologie spoorslags een de facto webstandaard. Het was echter zijn landgenoot Kevin O'Conner, oprichter van het advertentiebedrijf DoubleClick, die als eerste een eclatant financieel succes met cookies behaalde. Hij cashte bij beursgang en door de latere overname door Google.

Dat de inzet van cookies de privacy van online-gebruikers kan raken, laat zich raden. Vaak gaat het immers om de verwerking van persoonsgegevens. Vandaar de Europese regelgeving. Een cookie bestaat wettelijk bezien uit ‘gegevens die zijn opgeslagen in de randapparatuur van een gebruiker’, dan wel gegevens die een aanbieder ‘wenst op te slaan in de randapparatuur van de gebruiker’. In beginsel is voorafgaand aan plaatsing, toestemming nodig.

Onderzoek van Actal toont aan dat zowel gebruikers als websiteaanbieders veel last hebben van de cookiebepaling. De regeldruk voor bedrijven bedraagt minimaal EURO 74 miljoen eenmalig en vervolgens EURO 7,1 miljoen per jaar. Verplicht zijn onder meer de melding aan de Autoriteit Persoonsgegevens, het bewijs dat men geen persoonsgegevens verwerkt en de technisch-inhoudelijke aanpassingen aan websites. Bij gebruikers gaat het vooral om de ergernis over het steeds moeten wegklikken van de meldingen. Als de cookiemelding direct gebeurt, bedraagt de regeldruk EURO 27 miljoen per jaar. Als iedereen zich telkens actief zou informeren over het privacybeleid van de websiteaanbieder, dan loopt de regeldruk op tot maar liefst EURO 1,6 miljard per jaar. Toch geld.

Als oplossing wijst het adviescollege op doorontwikkelde, intelligente browsers die ‘leren’ welke cookievoorkeuren iemand heeft. Je kunt de problematiek ook omdraaien. Websiteaanbieders kunnen natuurlijk het gebruik van toestemmingsplichtige cookies beperken; vooral als het om heuse verkoopsites draait. Waarom wil bijvoorbeeld KLM tracking cookies blijven plaatsen (en uitlezen), zelfs indien de koop van een vervoersbewijs al heeft plaatsgevonden en de passagier alleen wil inchecken?

Mr. V.A. de Pous is sinds 1983 strategisch-juridisch adviseur voor digitale technologie, gegevensverwerking en de informatiemaatschappij (www.newsware.nl).