Voorstel cookiewet is ondoordacht, onnodig en schadelijk

Een voorstel dat het gebruik van cookies aan banden legt schiet zijn doel voorbij, betoogt juriste Milica Antic. Een bezwaar in zes punten.

Na een vergissing van de PvdA – die gisteren per ongeluk voor het SGP amendement over netneutraliteit had gestemd – wordt het hele wetsvoorstel aangepaste Telecommunicatiewet vandaag opnieuw in de Tweede Kamer in stemming gebracht. Dat betekent dat de Kamer vandaag ook stemt over het inmiddels derde amendement over de nieuwe cookie regels.

De leden Van Bemmel (PVV) en Van Dam (PvdA) hebben gisteren een nieuw amendement ingediend dat hun amendement van vorige week vervangt. Het wordt van kwaad tot erger. Het amendement is onduidelijk, ondoordacht, onnodig, zelfs schadelijk en daarmee volstrekt onzinnig.

Bescherming

Uit het nieuwe amendement volgt dat de cookie regels geen afbreuk doen aan de Wet bescherming persoonsgegevens. Dat lijkt me logisch, maar vooruit, om misverstanden te voorkomen kan het geen kwaad dit nog eens te benadrukken.

Het gaat mis bij het tweede deel van het amendement. Voorafgaande aan het plaatsen van cookies moet de gebruik zijn geïnformeerd en moet hij toestemming hebben verkregen, dat volgt uit de Europese richtlijn.

Maar in het amendement is opgenomen dat cookies waarmee gegevens worden verzameld over – kort gezegd – het gebruik van verschillende diensten van de informatiemaatschappij de Wet bescherming persoonsgegevens (‘Wbp’) sowieso van toepassing is.

Ondubbelzinnige toestemming

In de toelichting leggen de indieners vervolgens uit dat de Wbp voorschrijft dat er ondubbelzinnige toestemming moet worden verleend. Gebruikers zouden zo volledige controle krijgen over hun gegevens. De indieners slaan om diverse redenen de plank mis.

Zes redenen om tegen het amendement te stemmen:
1) De tekst is onduidelijk. Wat wordt bedoeld met ‘gegevens over het gebruik van diensten van de informatiemaatschappij’? Blijkens de toelichtingen lijken de indieners het gemunt te hebben op behavioral advertising. Maar de tekst is ruimer en nogal cryptisch: een recept voor rechtsonzekerheid.

2) Het wetsvoorstel en ook het amendement zijn techniek specifiek geformuleerd. Eerlijk is eerlijk, daar kunnen de indieners niets aan doen want is een gevolg van de Europese richtlijn. Maar het is wel onwenselijk. De technische ontwikkelingen gaan zo snel dat het wetsvoorstel over een jaar alweer verouderd is. Cookies zijn maar één manier om gegevens over ons te verzamelen in het kader van adverteren. Zo hebben de aanbieders van digitale televisie geen cookies nodig om over een goudmijn van interessante gegevens voor adverteerders te beschikken.

3) De indieners zijn bezorgd over onze privacy, maar voor zover er persoonsgegevens over ons worden verzameld, is de Wbp al van toepassing. Daar hebben we het amendement niet voor nodig. Let wel, er worden lang niet altijd persoonsgegevens verzameld via cookies, ook niet als het gaat om behavioral advertising.

4) Het amendement is gebaseerd op juridisch fundamenteel onjuiste uitgangspunten. De indieners stellen dat er altijd persoonsgegevens worden verzameld in het geval van behavioral advertising. Onjuist. Ze stellen ook dat de Wbp dan voorschrijft dat er ondubbelzinnige toestemming moet worden gegeven. Niet waar, de Wbp kent naast toestemming nog vijf andere grondslagen op basis waarvan persoonsgegevens mogen worden verzameld. Een daarvan is het hebben van een gerechtvaardigd belang, en dat kan ook een commercieel belang zijn.

Bovendien kan deze toestemming ook impliciet worden gegeven, volgt uit de toelichting op de wet. Alleen in het geval van bijzonderdere persoonsgegevens (bijvoorbeeld over ziekte of strafbare feiten) geldt het vereiste van uitdrukkelijke toestemming. De eis van ondubbelzinnig toestemming sluit het geven van toestemming via browserinstellingen dus strikt genomen niet uit, terwijl dat nu juist is waartegen de indieners zich hebben uitgesproken.

5) De grote vraag is waarom de indieners het regime van de Wbp al op voorhand en per definitie van toepassing verklaren op cookies die worden ingezet voor behavioral targetting. Daarmee sluit je alle ruimte voor een pragmatische benadering uit. Het echte probleem, namelijk hoe moet de toestemming dan worden gegeven, los je hiermee niet op. De internetter wordt geconfronteerd met allerlei pop-ups met privacy statements die gelezen en geaccepteerd moeten worden alvorens kan worden verder gegaan.

Dat wekt irritatie op terwijl uit de Europese richtlijn juist volgt dat er gezocht moet worden naar een gebruiksvriendelijke oplossing. Gevolg, de toegang tot informatie wordt beperkt en de gebruiker verkrijgt niet meer controle over zijn gegevens maar zal cookies zonder de privacy informatie te hebben gelezen accepteren.

6) Als het amendement wordt aangenomen heeft Nederland een aanzienlijk strengere wet dan de Europese richtlijn voorschrijft. Dat is slecht voor de Nederlandse concurrentiepositie. Eurocommissaris Kroes heeft duidelijk aangegeven dat een gebruiksvriendelijke oplossing – toestemming via browserinstellingen en zelfregulering door de branche – wenselijk is.

Ze heeft zich inmiddels al uitgesproken tegen de strenge Nederlandse variant. De branche heeft Europees breed al een gedragscode klaar liggen. En de indieners van het amendement stellen wel dat de huidige browsers ongeschikt zijn, maar om een wet daar op aan te passen is ridicuul. Nieuwe browsers zijn binnen nu en paar maanden op de markt.

Merkwaardig

Het is op zijn zachts gezegd merkwaardig dat de indieners van het amendement zo hardnekkig blijven volhouden aan volstrekt onjuiste wettelijke uitgangspunten. En met welk doel? Privacy bescherming van de consument.

Maar het amendement schiet zijn doel voorbij. De Wbp is al van toepassing en het amendement draagt niet bij aan het daadwerkelijke probleem, hoe moet toestemming praktisch worden gegeven.

Als het amendement wordt aangenomen is Nederland het braafste jongetje van de klas. Te braaf, want Kroes heeft al aangegeven met argusogen naar de Nederlandse ontwikkelingen te kijken, en maatregelen te zullen nemen indien de wetgeving te ver gaat.

Milica antic is advocaat bij SOLV en is gespecialiseerd in privacyrecht en e-commerce