Wednesday, October 23, 2013

Plannen Europees Parlement laten cookiewet onverlet

Op Emerce verscheen vandaag een bericht dat de plannen van het Europees Parlement inzake de nieuwe Europese Verordening Bescherming Persoonsgegevens de regels voor cookies zouden versoepelen. Dat is echter niet het geval.

Artikel 11.7a Telecommunicatiewet vereist nu dat voor het plaatsen en uitlezen van niet-functionele cookies toestemming wordt gevraagd en verkregen (opt-in). Minister Kamp werkt momenteel aan een aanpassing van de wet. Daarin wil Kamp beter uitleggen hoe die opt-in in de praktijk kan werken, zodat er geen behoefte meer is aan een 'cookiemuur' op websites. Daarmee moet de gebruikerservaring worden verbeterd.

Het is interessant om na te gaan of de nieuwe Verordening invloed heeft op de plannen van minister Kamp. Hieronder een analyse.

Voorstel Europese Commissie
Vorig jaar januari presenteerde de Europese Commissie een voorstel voor een Europese Verordening ter bescherming van persoonsgegevens. Deze Verordening zal naar verwachting volgend jaar de Wet bescherming persoonsgegevens (WBP) gaan vervangen. Omdat de Telecommunicatiewet verwijst naar de WBP als het gaat om toestemming, is het dus de vraag of de Verordening invloed heeft op de Telecommunicatiewet (cookies, spam, etc). De voor cookies relevante bepalingen in de Verordening zijn artikel 4 (definities) en artikel 20 (profiling).

Toestemming wordt door de Europese Commissie gedefinieerd als: (Artikel 4(8)) "elke vrije, specifieke, op informatie berustende en uitdrukkelijke wilsuiting, door middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling aanvaardt dat hem betreffende persoonsgegevens worden verwerkt" (onderstreping JT). Artikel 8 sub a WBP spreekt nu nog van "ondubbelzinnige toestemming". Daarmee lijkt de eis van de Verordening strenger te zijn dan die van de WBP. Echter, Overweging 25 van de Verordening laat echter zien dat de soep niet zo heet gegeten wordt en dat er in het begrip 'expliciet' wel enige rek zit. Wat in ieder geval duidelijk is, is dat 'stilzitten' niet voldoende is; de betrokkene moet wel iets doen of verklaren waaruit zijn wil blijkt (zie ook de Opinie van de Artikel 29 Werkgroep inzake toestemming). Deze zienswijze is recentelijk nog nader gespecificeerd voor toestemming voor cookies.

De plannen van minister Kamp inzake een nadere uitleg van het toestemmingsbegrip in artikel 11.7a Telecommunicatiewet sluiten aan bij deze zienswijzen van de Artikel 29 Werkgroep. Dit betekent dat toestemming voor cookies kan worden verkregen door een handeling van de gebruiker (bijv. het aanklikken van een link op de website), mits hij eerst op een duidelijke wijze van informatie over het gebruik van cookies is voorzien (bijv. via een banner).

Daarnaast stelt de Commissie voor om profiling te verbieden, tenzij daarvoor toestemming was verkregen, de profiling nodig was voor de nakoming van een contract met de betrokkene of nodig was voor de nakoming van een wettelijke plicht. Daarmee leek profiling met behulp van cookies te worden beperkt, zeker als toestemming "expliciet" moest zijn. Dat was echter niet zo, zoals hiervoor al is geconcludeerd.

Voorstellen Europees Parlement
Allereerst breidt het Europees Parlement de reikwijde van de Verordening uit naar identifiers zoals IP-adressen, cookies of RFID-tags in de OV-chipkaart (zie Overweging 24). Daarmee gaan de regels voor toestemming en profiling ook gelden voor dit soort gegevens.

Daarnaast introduceert het EP een nieuwe categorie gegevens, waarvoor de toepassing van sommige onderdelen van de Verordening onder omstandigheden is uitgezonderd, te weten pseudoniemen. Pseudoniemen zijn gegevens die kunnen worden gekoppeld aan een niet nader te identificeren persoon zonder het gebruik van additionele informatie, zoals 'echte' persoonsgegevens als naam, adres, etc. Hieronder kunnen ook cookies worden verstaan.

Het Europees Parlement stelt voorts voor om het voorstel van de Europese Commissie om profiling aan strengere regels te onderwerpen wat af te zwakken. In de visie van het Europees Parlement is profiling in het algemeen toe te staan (categorie 1), mits de gebruiker duidelijk geïnformeerd is en het recht van bezwaar heeft (opt-out). Echter, als de profiling significante effecten heeft op de belangen, rechten of vrijheden van de betrokkene, mag profiling alleen plaatsvinden als de betrokkene daarvoor toestemming heeft gegeven, of als de profiling nodig is voor de nakoming van een wettelijke plicht of overeenkomst met de betrokkene (categorie 2). Ten slotte is profiling op basis van bijzondere gegevens (bijv. enticiteit, gezondheid) die leidt tot discriminatie verboden (categorie 3).

In Overweging 58a stelt het EP dat profiling die uitsluitend plaatsvindt met behulp van pseudoniemen geacht wordt geen significante effecten te hebben op de belangen, rechten en vrijheden van de betrokkene. Daarmee lijkt het EP dus te zeggen dat profiling met behulp van cookies onder de opt-out valt (categorie 1). Dat is echter niet het geval. Artikel 89 van de Verordening stelt namelijk dat de e-Privacy Richtlijn 2002/58/EG, waarop artikel 11.7a Telecommunicatiewet is gebaseerd, onverkort van kracht blijft. Daarmee blijft dus ook de verplichting om toestemming te vragen voor het plaatsen en uitlezen van cookies bestaan.

Kortom....
Profiling met behulp van cookies is in de plannen van het Europees Parlement toegestaan op grond van artikel 20 AVBP (categorie 1), maar kan alleen in de praktijk worden gebracht als de bezoeker van de website zijn/haar toestemming heeft gegeven op grond van art. 11.7a Telecommunicatiewet (opt-in). De Verordening heeft dus geen invloed op de cookieregels en er is dus zeker geen sprake van een versoepeling.

Er is echter wel één lichtpuntje.
De Commissie moet uiterlijk 2 jaar na de inwerkingtreding van de Verordening plannen presenteren om Richtlijn 2002/58 in overeenstemming te brengen met de Verordening, aldus artikel 89(2) van het EP-voorstel. Dat zou zomaar eens kunnen betekenen dat de opt-in voor cookies - gelet op Overweging 58a - alsnog wordt afgeschaft.

NB. Het Europese Parlement moet nog in onderhandeling met de Raad Van Ministers over een definitieve tekst van de Verordening. Deze zullen naar verwachting binnenkort starten en moeten uiterlijk volgend jaar april zijn afgerond, wil het Europees Parlement nog kunnen stemmen vóór de Europese verkiezingen.