Gisteren heeft de Tweede Kamer in een rommelig verlopen stemming ingestemd met een wijziging van de Telecommunicatiewet die leidt tot implementatie van de Europese kaderrichtlijn Telecommunicatie. Twee onderdelen daarvan, netneutraliteit en cookies hebben de pennen de afgelopen tijd beroerd. Over netneutraliteit heeft Rob van den Hoven van Genderen al geschreven, het staat buiten kijf dat dit goed is, juist voor innovatieve ondernemers die op basis van SaaS-verdienmodellen werken. Maar die cookies, wat moet daar nu van gedacht worden?
Cookies zijn een al heel lang bestaand mechanisme door middel waarvan een webserver beperkte hoeveelheden informatie op de computer van een bezoeker kan plaatsen. De geschiedenis van dit mechanisme is onlosmakelijk verweven met die van de commercialisatie van het web: het HTTP protocol wat de fundering van het world wide web is, is altijd uitgegaan van webservers die nauwelijks iets weten van bezoekers van webpagina’s. Zo weinig zelfs dat een webserver in beginsel niet eens zeker weet of twee verzoeken naar twee verschillende pagina-elementen (bijvoorbeeld het Mitopics-logo bovenaan deze pagina en de illustratie in dit blog) vanaf hetzelfde IP-adres wel echt van dezelfde bezoeker afkomstig zijn. Ik schrijf met opzet ‘in beginsel’, want met wat kunst- en vliegwerk kan er veel meer, maar dat is geen onderdeel van de HTTP-standaard. Dat leverde al problemen op bij de eerste webwinkels, want hoe weet je welk winkelmandje bij welke bezoeker hoort. De oplossing waren cookies, die sinds 2000 dan ook onderdeel zijn van de internetstandaarden.
Het lapmiddel op HTTP is een flink eigen leven gaan leiden, tot en met intensief gebruik voor wat ook wel behavioural advertising wordt genoemd. U leest een online artikel over politieke onrust in Egypte, op de volgende pagina die u bezoekt krijgt u advertenties over last-minute boekingen voor duikvakanties in de Rode Zee voorgeschoteld, dat werk. Dit worden ook wel third-party-cookies genoemd omdat deze vaak in feite door advertentiemakelaars worden ingezet om maximale effectiviteit van advertenties te waarborgen. Ook worden ze heel vaak gebruikt om fijnmazige statistieke van bezoeken van websites te kunnen opstellen. En zoals alles wat nuttig en aangenaam kan zijn, kunnen cookies ook een schaduwzijde hebben: mede door het gebruik van cookies weten partijen als Google, Facebook en anderen meer van uw internetgedrag dan uzelf.
Het mag dan ook niet tot verwondering leiden dat uit oogpunt van bewaking van de privacy van ons allemaal de Europese wetgever hier beperkingen aan heeft willen opleggen. De grote discussie spitste zich toe of de eis van toestemming van de websitebezoeker nu aangevuld moest worden met de tekst ‘ondubbelzinnige’ toestemming, zoals in een amendement van PvdA en PVV was voorgesteld (en aangenomen). Want de standaardinstellingen van de webbrowser zouden niet voldoen.
Gerrit-Jan Zwenne van advocatenkantoor Bird & Bird merkte hier al niet onterecht dat het wel degelijk volstrekt legitiem kan zijn om persoonsgegevens te verwerken zonder toestemming van de betrokkene, in beginsel laat de Wbp die ruimte. Toch verdient deze kanttekening een nuancering: de wet voorziet al ruimschoots in mogelijkheden om cookies te gebruiken voor het normale gebruik van een dienst, bijvoorbeeld om winkelmandjes en inloggegevens te bewaren. Het is niet met zoveel woorden gezegd in het wetsvoorstel, maar alles draait in essentie om behavioral advertising. De wetgever heeft in feite ondubbelzinnig de uitspraak gedaan dat deze zeer intensieve vorm van volgen van bezoekers van websites door het plaatsen van informatie op hun randapparatuur niet onder de overige rechtvaardigingsgronden van artikel 8 Wbp valt. In die zin schept het duidelijkheid over hoe eigenlijk of oneigenlijk het gebruik van randapparatuur van bezoekers van websites is voor opslag van gegevens door diezelfde websites.
Ook de kritiek uit de hoek van online mediabedrijven is overtrokken. Als voorbeeld werd de website van De Telegraaf aangehaald, die wel vijftig cookies zou plaatsen en dat de ondubbelzinnige toestemming zou leiden tot vijftig pop-ups. Dat lijkt me tamelijk illustratief voor het feit dat cookies een inbreuk op de persoonlijke levenssfeer kunnen vormen. Als een website niet geëxploiteerd kan worden zonder dat tientallen partijen weten dat ik die bezoek, dan is er mogelijk iets mis met het verdienmodel. De online marketeers zouden best eens bij zichzelf te rade kunnen gaan in hoeverre ze nog waarde genereren voor consumenten en indirect hun opdrachtgevers.
Omgekeerd is het amendement van PvdA en PVV wat nu in de wet zal worden opgenomen naïef. Het probleem is namelijk niet de cookies, maar de onbeperkte aandrang tot gegevensverzameling van zowel private partijen als de overheid zelf. En dat wordt op geen enkele wijze geadresseerd door dit amendement, er zijn namelijk genoeg andere mogelijkheden om aan behavioural advertising te doen. Zo publiceerde de Amerikaanse burgerrechtenorganisatie Electronic Frontier Foundation onlangs nog een onderzoek waarin bleek dat door de unieke combinatie van browsertype, versie, versies van plugins en geïnstalleerde lettertypepakketten men in 97% van de gevallen een individuele computer die gebruikt werd om op het web te surfen kon identificeren. Zonder cookies.
Het echte probleem is dan ook het gebrek aan transparantie op dit vlak. Vroeg of laat zal dit afbreuk doen aan het vertrouwen van consumenten in online dienstverleners. En dat lossen we niet op met wet- en regelgeving die uitsluitend van toepassing is op cookies en daarop gelijkende technieken, althans niet structureel. En al helemaal niet met wetgeving die alleen op Nederlandse aanbieders van toepassing is, terwijl het internet een bij uitstek internationaal fenomeen is.