De discussie over de cookiebepaling in de Europese richtlijn concentreert zich rondom het begrip ‘toestemming’. Immers, duidelijk is dat de richtlijn voorschrijft dat de gebruiker geïnformeerde toestemming moet hebben verleend voor het plaatsen van cookies. Enkele partijen zijn ervan overtuigd dat de richtlijn de eis stelt dat toestemming vooraf en/of uitdrukkelijk verleend zou moeten worden en/of de gebruiker om toestemming gevraagd moet worden. De richtlijn vereist dit echter niet; de vorm waarin die toestemming moet worden verleend is in de richtlijn niet bepaald. Integendeel: uit een overweging bij deze richtlijn blijkt dat toestemming onder voorwaarden ook impliciet gegeven kan worden.

 

Hoe staat het precies in de richtlijn?

 

Artikel 5 lid 3 (cookies etc.)

Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia about the purposes of the processing……provide the service.

Artikel 5 lid 3 vereist dus slechts ‘consent’(=vormvrije toestemming) én dat de gebruiker wordt voorzien van heldere en uitgebreide informatie. De richtlijn vereist dus géén ‘prior consent’ of ‘explicit consent’ o.i.d. Hieruit is af te leiden dat toestemming ook op een meer impliciete manier gegeven kan worden. Dit in tegenstelling tot het nieuwe artikel 6 lid 3 over e-mailmarketing etc, waarin wel degelijk sprake is van ‘prior consent’. Dit artikel luidt:

 

Artikel 6 lid 3 (e-mailmarketing etc.)
For the purpose of marketing electronic communications services or for the provision of value added services, the provider of a publicly available electronic communications service may process the data……. if the subscriber or user to whom the data relate has given his or her prior consent. Users or subscribers shall be given the possibility to withdraw their consent for the processing of traffic data at any time. 

 

Er is dus een onderscheid in toestemming voor e-mailmarketing en cookies e.d. De Europese Commissie geeft in haar overweging 66 bovendien een belangrijke aanwijzing op welke manier toestemming verleend kan worden: via de browserinstelling In deze overweging benadrukt de Europese Commissie bovendien opnieuw het belang van heldere en uitgebreide informatie voor de gebruiker (‘paramount importance’):
 

Overweging 66

Third parties may wish to store information on the equipment of a user, or gain access to information already stored, for a number of purposes, ranging from the legitimate (such as certain types of cookies) to those involving unwarranted intrusion into the private sphere (such as spyware or viruses). It is therefore of paramount importance that users be provided with clear and comprehensive information when engaging in any activity which could result in such storage or gaining of access. The methods of providing information and offering the right to refuse should be as user-friendly as possible. Exceptions… by the subscriber or user. Where it is technically possible and effective, in accordance with the relevant provisions of Directive 95/46/EC, the user's consent to processing may be expressed by using the appropriate settings of a browser or other application. The enforcement of these requirements should be made more effective by way of enhanced powers granted to the relevant national authorities.

 

Overweging 66 onderstreept opnieuw dat de toestemming voor het plaatsen van cookies wat de Europese Commissie betreft best impliciet gegeven mag worden, mits de gebruiker voldoende is geïnformeerd om een bewuste keuze te kúnnen maken en mits hij alsnog op een gebruikersvriendelijke wijze kan afzien van de opslag van cookies op zijn computer.

Gedragscode en de wet/overweging 66

De Europese partijen uit de online reclamesector, waaronder het NUV, hebben april dit jaar een gedragscode met bijbehorende gebruikerswebsite gelanceerd voor het individueel beheren van privacyvoorkeuren van gebruikers. Op deze website krijgen gebruikers in lekentaal een heldere uitleg wat cookies zijn, hoe ze werken, wat ze wel en niet kunnen en hoe een gebruiker daar zelf eenvoudig controle op kan uitoefenen. Daarnaast kan de gebruiker aangeven op welke manier hij zijn privacy wil beschermen en biedt het de mogelijkheid om online reclame uit te schakelen. Met deze zelfregulering wil de branche een bijdrage leveren aan de bewustwording van de webbezoeker van zijn online privacy. Bedrijven die meewerken aan de zelfregulering zullen een icoon op de websites plaatsen dat de gebruiker de mogelijkheid geeft om online reclame uit te schakelen. Daarbij wordt volledige transparantie geboden over het verzamelen van gegevens en het gebruik daarvan.

 

Deze gedragscode geeft concreet invulling aan de informatieplicht in de richtlijn (zowel artikel 5 lid 3 als overweging 66) en voldoet eveneens aan de eis uit de richtlijn en overwegingen dat de afmeldmogelijkheid zo gebruikersvriendelijk mogelijk moet zijn. Omdat de gebruiker met een cookie icoon en door de website in lekentaal geïnformeerd is of kan raken, is hij immers in staat een keuze te maken over cookies en kan hij die keuze zelf ten uitvoer brengen.

Oproep aan de Tweede Kamer
Hopelijk neemt de Tweede Kamer in mei een weloverwogen besluit waarin zij vooral het einddoel in het oog houdt: een goed geïnformeerde, weerbare webbezoeker die in staat is een bewuste keuze over cookies te maken, deze keuze eenvoudig ten uitvoer kan brengen en kan surfen op een betaalbaar en gebruikersvriendelijk internet. Om dit te bereiken zou de Kamer moeten kiezen voor milde eisen aan toestemming voor het plaatsen van cookies en meer nadruk op de informatieplicht.

NB: Zou Nederland besluiten tot strenge eisen aan de toestemming, dan zou Nederland verder gaan dan de Europese richtlijn vereist en wordt een concurrentienadeel gecreëerd. Vorig jaar werd een conceptwetsvoorstel om die reden al aangepast; destijds werd 'expliciete voorafgaande toestemming' vervangen door het neutralere 'toestemming'. Dit zou het uitgangspunt moeten blijven.