Er komt een nieuwe ‘cookiebepaling.’ In navolging van de Tweede Kamer is nu ook de Eerste Kamer akkoord met de wijziging van artikel 11.7 van de Telecommunicatiewet. De nieuwe bepaling is vooral symptoombestrijding en maakt nog eens duidelijk dat we een goed debat moeten voeren over de grenzen van tracking en profiling.

De oorspronkelijke bepaling verplichtte aanbieders van diensten in de informatiemaatschappij (zoals websites) om toestemming aan bezoekers te vragen voor het plaatsen van bestanden (zoals cookies) of het uitlezen van informatie voor het volgen van die bezoekers. Op die manier beschermt de wet jou tegen bedrijven die zonder jouw medeweten of toestemming bijhouden wat je online doet. In het debat over de nieuwe bepaling spreekt men over de ‘cookiewet.’ Hoewel de wet verder strekt dan alleen het volgen via cookies, zal ik voor nu ook deze term hanteren.

The Good

De wet probeert een oplossing vinden voor de overdaad aan cookie-vragen waar de gemiddelde internetgebruiker mee geconfronteerd wordt. Door de nieuwe bepaling hoeft voor het gebruik van cookies die bedoeld zijn voor analytische doeleinden (zoals webstatistieken) en ‘geen of een geringe invloed hebben op de persoonlijke levenssfeer van de eindgebruiker’, geen toestemming meer worden gevraagd. Daar is wat voor te zeggen, al blijft de vraag of het resultaat niet onveranderd blijft: Google Analytics schuilt achter elke website en kan dus gebruikers over meerdere websites volgen. Die gegevens zijn dan geen webstatistieken meer maar geven een uitgebreid beeld over iemands surfgedrag.

Verder wordt er opgetreden tegen cookiemuren. Kamerlid Klever (PVV) diende een amendement in dat er voor zorgt dat websites van publieke instellingen je geen toegang tot de website mogen weigeren als je de cookies niet accepteert. Dat is een goede zaak: die websites moet je af en toe bezoeken in verband met een wettelijke plicht en zijn bovendien met belastinggeld gefinancierd. Dan hoef je niet ook nog eens met je data te betalen.

The Bad

Zorgelijk is dat Kamp heeft aangegeven dat toestemming voor alle andere cookies ook impliciet mag. Het gaat volgens de minister om een uiting van toestemming en daaronder valt ook het doorsurfen en -klikken als je op een website bent. Dat is natuurlijk onzin. Toestemming moet expliciet verkregen worden om de controle bij de gebruikers te houden. Daarnaast is het de vraag of dit straks verenigbaar is met de nieuwe Europese verordening gegevensbescherming. Die zegt namelijk dat toestemming aan meer eisen moet voldoen en ondubbelzinnig moet zijn.

Impliciete toestemming betekent dat er dus geen cookies mogen worden geplaatst bij een initieel bezoek, maar pas bij het doorklikken. Hoe zien we daar op toe? Hoe trek je die toestemming dan weer in? Volgens Kamp kan dat door het verwijderen van cookies op je computer. Dat is een omweg en voor veel mensen ingewikkeld. D66 probeerde nog via een amendement expliciete toestemming in de wet te krijgen, maar dat haalde het helaas niet.

The Ugly

En dat brengt ons bij ‘the Ugly.’ Het is belangrijk dat we zorgen dat bedrijven jou niet zomaar in de gaten mogen houden online zonder jouw toestemming. Helaas is de nu gekozen oplossing nog hoofdzakelijk symptoombestrijding. Het is nog steeds niet gebruiksvriendelijk en biedt bedrijven nog steeds een vrijkaart om te profileren wat ze willen.

Wij willen meer debat

Wat we eigenlijk moeten doen is op zoek naar gebruiksvriendelijke alternatieven. Een ‘do not track’ instelling die gerespecteerd wordt, bijvoorbeeld. Helaas zijn door de industrie gelanceerde initiatieven op dit vlak nog een farce. ‘Your online choices‘, bijvoorbeeld, zou je via één website de mogelijkheid bieden om al je toestemmingen te regelen. Helaas geldt daar dat je alsnog wordt gevolgd als je geen toestemming geeft, maar alleen geen targeted advertising meer krijgt. Maar het kán dus wel gecentraliseerd en met een mooi overzichtelijk systeem. Waarom is dat nu dan zo moeilijk? De privacyverklaringen die veel gebruikers onder ogen krijgen zijn vaak vaag zijn en kosten nodeloos veel tijd.

Wat we dus verder nodig hebben is transparantie: bedrijven moeten eerlijker en opener zijn over de gegevens die ze verzamelen, wat ze ermee doen en dat op een duidelijke wijze communiceren. Geen wollig taalgebruik en geen ‘legalese.’ Dan moeten we kijken naar cookiemuren en keuzevrijheid in bredere zin. Om sommige bedrijven kunnen we haast niet heen. Is er dan wel echt sprake van keuzevrijheid? En is het juist dat we voor het gebruik van die diensten persoonlijke gegevens moeten inleveren? Vervolgens moeten we de discussie over de grenzen van tracking en profiling aangaan. Wat mag er worden opgeslagen, en hoe mag die informatie worden gebruikt? Pas als we deze fundamentele vragen beantwoord hebben kunnen we voorbij de symptoombestrijding en richting wetgeving die daadwerkelijk de privacy van de burgers beschermt.