Europese Parlement breekt cookie walls af
Het Europese Parlement stemde op 26 oktober 2017 in met het voorstel voor de ePrivacy Verordening. De vereisten voor het mogen plaatsen van cookies worden verder aangescherpt. Cookie walls waarbij de gebruiker pas de site of app kan gebruiken als hij met één klik akkoord geeft op alle cookies, inclusief behavioral cookies, zijn straks niet meer mogelijk.
De ePrivacy Verordening reguleert de verwerking van persoonsgegevens in het kader van elektronische communicatie. De verordening heeft daarmee consequenties voor websites, voor social media, voor browsers, voor apps, voor operating systems van tablets en pc’s en voor alle andere apparatuur die online kunnen communiceren, zoals smartphones, game consoles, mediaplayers, navigatiesystemen en huishoudelijke apparaten. Het oorspronkelijke voorstel voor de verordening scherpte de bescherming van de gebruiker al aan ten opzichte van de huidige Europese ePrivacy richtlijn en artikel 11.7a van onze Telecommunicatiewet. Het Europese Parlement doet hier nu een schep bovenop met een reeks van amendementen. Wat betekent de geamendeerde tekst voor cookies?
Geen toestemming vereist
Een aantal soorten cookies mag – net als nu – zonder voorafgaande toestemming worden geplaatst. Dit geldt voor functionele cookies die echt nodig zijn om een bericht te versturen of om de dienst te kunnen leveren waarom de gebruiker specifiek vraagt. Een voorbeeld is een session cookie die de informatie onthoudt die de gebruiker op de verschillende pagina’s van een online formulier heeft ingevuld. Een cookie mag ook worden geplaatst als dit nodig is om informatie te verkrijgen over de kwaliteit of effectiviteit van de geleverde dienst of over de functionaliteit van het apparaat waarmee de gebruiker online gaat, mits dit geen of nauwelijks impact heeft op de privacy van de gebruiker. Security updates mogen zonder voorafgaande toestemming worden geplaatst als deze de functionaliteit niet wijzigen en mits hij de automatische installatie van de update kan uitzetten of uitstellen. Tracking blijft ook zonder toestemming toegestaan als dit wordt gedaan om het bereik van de dienst te meten (bijvoorbeeld Google Analytics), mits de data alleen in geaggregeerde vorm verder worden verwerkt, er geen persoonsgegevens aan derden worden verstrekt en de fundamentele rechten van de gebruiker niet negatief worden beïnvloed. De gebruiker moet verder kunnen opt outen zonder dat dit consequenties heeft voor de door de dienst geboden functionaliteit. In arbeidsverhoudingen is voorafgaande toestemming tenslotte niet nodig als de cookie technisch nodig is om de werknemer zijn werk te laten doen en de cookie verder niet wordt gebruikt om de werknemer te monitoren. In alle gevallen is het wel nodig de gebruiker vooraf te informeren over het gebruik van de cookies.
Wel toestemming vereist
Voor cookies met andere functies is wel voorafgaande toestemming nodig. Nieuw is dat de gebruiker van een website of app per soort cookie de mogelijkheid moet krijgen om akkoord te geven. Als soorten cookies worden onderscheiden: tracking voor behavioral advertising, cookies om gepersonaliseerde content te kunnen bieden, cookies voor analyses, cookies voor het tracken van locatiegegevens en cookies die gegevens naar derde partijen sturen, daaronder mede begrepen cookies die unique identifiers plaatsen.
Dit vereist een andere benadering. De gebruiker moet de mogelijkheid hebben om per soort cookies te beslissen of hij toestemming geeft. De doorsnee gebruiker wil dat echter niet iedere keer bij iedere website hoeven te doen. De instellingen van de browser, app of operating system moeten het daarom mogelijk maken dat de gebruiker zijn privacy voorkeuren opgeeft. De voorkeuren moeten automatisch worden doorgeven aan websites en andere apparatuur waarmee contact wordt gemaakt, zodat de gebruiker niet steeds opnieuw zijn voorkeuren hoeft op te geven. De default instelling is “niet akkoord”, zodat de gebruiker actief akkoord moet geven. Als de gebruiker geen cookies toestaat, moet hij voor specifieke websites kunnen aangeven dat hij wel cookies accepteert (white listing). Als hij wel cookies accepteert, moet hij voor bepaalde websites een uitzondering kunnen maken (black listing). De gebruiker moet de instellingen ook op ieder moment kunnen wijzigen.
Voor het geval de gebruiker cookies niet via de browser heeft geaccordeerd, zal de website zelf een toestemmingsmogelijkheid moeten bieden. Veel websites doen dat op dit moment door middel van een pop up scherm of banner waarin de gebruiker op akkoord kan klikken. Onder de Verordening wordt dit lastig als er verschillende soorten cookies worden geplaatst, omdat de gebruiker de mogelijkheid zal moeten hebben om voor de ene soort cookie wel en voor de andere geen toestemming te geven. De uitdaging is om hiervoor een interface te ontwerpen waarmee de gebruiker op een gebruiksvriendelijke manier zijn voorkeuren kan aangeven.
Cookie walls
Kan de site toegang ook afhankelijk maken van toestemming? Veel gratis websites doen dat op dit moment. Om op de site te komen, moet men eerst met één klik toestemming geven voor cookies, inclusief behavioral cookies. Met deze cookie walls bewaken websites hun business model waarbij een deel van de inkomsten worden gehaald uit de verstrekking van gebruikersgegevens aan derden ten behoeve van targeted advertising. Cookie walls zijn bij websites van de overheid in de ban gedaan door een wijziging van de Telecommunicatiewet in 2015. Voor andere websites zijn cookie walls op dit moment nog wel toegestaan, tenzij de gebruiker zonder toegang niet kan voldoen aan zijn wettelijke verplichtingen, zijn wettelijke rechten niet kan uitoefenen of slechts suboptimale gezondheidszorg kan ontvangen. In de geamendeerde tekst van het Europese Parlement mogen cookie walls helemaal niet meer: als de gebruiker cookies voor behavioral advertising weigert, mag dat geen reden zijn om hem toegang tot de dienst te verbieden.
Triloog
Met de stemming in het Europese Parlement is de Verordening nog niet definitief. De Europese Commissie, Raad en Parlement moeten nu in een zogenaamde triloog tot een definitieve tekst komen. Er is vanuit de diverse industrieën fel gereageerd op de amendementen van het Europese Parlement en dit zal ongetwijfeld doorklinken in de triloog. De oorspronkelijke bedoeling was dat de ePrivacy Verordening in mei 2018 in werking zou treden gelijk met de Algemene Verordening Gegevensbescherming. Dit kan in theorie nog steeds, maar de datum is wel uit de tekst van de verordening geschrapt.
De huidige regels zoals vastgelegd in artikel 11.7a van de Telecommunicatiewet blijven intussen van kracht. Vanaf 25 mei 2018 zullen alle verwerkingen van persoonsgegevens in ieder geval ook moeten voldoen aan de Algemene Verordening Gegevensbescherming. Voor meer informatie over deze Verordening klik hier.