Cookiewet is aangepast
[:nl]De Telecommunicatiewet is per direct vernieuwd. De wet bevat nu een omstreden bepaling over tracking cookies. Dat zijn kleine tekstbestandjes die een website op de computer van een bezoeker plaatst. Handig, omdat de website de inloggegevens van de bezoeker kan bewaren en voorkeuren in kaart kan brengen. De cookies kunnen ook het surfgedrag van een gebruiker bijhouden. Nuttig voor adverteerders, die zo precies kunnen achterhalen welke websites een gebruiker bezoekt. Op deze manier kan de adverteerder custom-made advertenties aanbieden (behavioral targeting).
De Nederlandse wet moest op basis van een herziening van de Europese ePrivacyrichtlijn worden aangepast. Dat is echter op een strengere manier gebeurd dan dat de richtlijn voorschrijft. Volgens de richtlijn is het plaatsen en uitlezen van cookies toegestaan als de internetgebruiker vooraf daarover is geïnformeerd. En als hij daarvoor toestemming heeft gegeven. Onduidelijk is nog hoe dat moet. Kan bijvoorbeeld toestemming via de browserinstellingen worden gegeven (opt-out)? Of moet de gebruiker via een actieve handeling aangeven dat hij cookies toestaat voordat ze worden geplaatst (opt-in)?
De Cookiewet bepaalt: worden cookies geplaatst ter analyse van surfgedrag? Dan wordt er vanuit gegaan dat de plaatser persoonsgegevens verzamelt. Tegenbewijs is echter wel mogelijk.
Op gegevensverzameling is de Wet Bescherming Persoonsgegevens van toepassing. Die wet bevat allerlei extra verplichtingen zoals ondubbelzinnige toestemming - tenzij kan worden bewezen dat geen persoonsgegevens worden verzameld. Cookie-plaatsers moeten dus ondubbelzinnige toestemming krijgen van internetgebruikers voor het verzamelen van hun gegevens. Voorlopig geldt nog dat de toezichthouder moet bewijzen dat cookies persoonsgegevens bevatten. Vanaf 1 januari 2013 verandert dit: dan moet de cookie-plaatser dit zelf bewijzen. De reden voor dit ‘uitstel’ is omdat het lastig is aan te tonen of er daadwerkelijk persoonsgegevens worden verzameld. De branche werkt aan een Do-Not-Track standaard waarmee internetgebruikers in één keer kunnen aangeven dat adverteerders geen tracking cookies mogen gebruiken. Wanneer die standaard klaar is, is echter de vraag.
Daan van Eek, privacy advocaat[:en]The Dutch Telecommunications Act was recently amended. The Act now includes a controversial provision on tracking cookies. These are small text files that a website can place on the computer of a visitor. Handy, because the credentials or preferences of the website visitors can be mapped. The cookies can also track the surfing habits of a user. Useful for advertisers, who can precisely identify which websites a user visits. By doing so, the advertiser can offer custom-made ads (behavioral targeting).
The 'update' of the Act is based on the European ePrivacy Directive. The adjustment was done by the Netherlands in a stricter way than the Directive requires. Under the Directive, placing and reading cookies is allowed if the Internet user has been informed in advance. And if he has given permission. However, it remains unclear how this permission should be given. For example, is it possible to grant permission in the browser settings (opt-out)? Or should the user via an active act indicate that he allows cookies before they are placed (opt-in)?
The Cookiewet states: in case cookies are placed and used for the analysis of surfing behaviour, it is assumed that the installer collects personal information. Evidence against this presumption is however possible.
The Data Protection Act applies to the collection of data. This Act contains several additional obligations such as unambiguous consent - unless it can be proved that no personal information is being collected. Parties that unstall cookies must get explicit permission of internet users in order to be allowed to collect their data. For now, the Dutch Regulatory Authority must provide evidence that the cookies collect personal data. From 1 January 2013 this will change: then the cookie-provider itself must prove the cookie does not collect data. The reason for this 'delay' is because it is difficult to demonstrate whether the cookies really collect personal information. The industry is working on a Do-Not-Track standard that allows Internet users to indicate at once that advertisers may not use tracking cookies. When that standard is ready, is the question.
Daan van Eek, intellectual property lawyer[:]