Nog voordat het voorstel was aangenomen, leidde het al tot een tamelijk voorspelbare Pavlov-reactie vanuit de marketingwereld. Het Interactive Advertising Bureau waarschuwde voor inkomstenderving. De Britse afdeling van het IAB becijferde dat de maatregel alleen al in Engeland tot een inkomstenderving van 172 miljoen pond zou leiden.

Hoe de IAB aan die hoge cijfers is gekomen, is echter onduidelijk. De advertentiemarkt op internet heeft het afgelopen jaar juist met een enorme terugval te maken gehad.

Ook onder internetgebruikers en webbouwers brak de discussie los. Binnen een mum van tijd was het amendement van Van Velzen uitgegroeid tot een karikatuur van zichzelf: 'de EU wil cookies verbieden'. De werkelijkheid is echter veel genuanceerder: de EU wil alleen ongevraagde cookies verbieden. En niet alleen ongevraagde cookies, maar ook ongevraagde spyware, web-bugs en andere technieken om persoonsprofielen samen te stellen.

Bovendien stond die discussie bol van drogredenen. Zo wees menigeen erop dat je nu al via je browser cookies kunt uitschakelen. Op zich is dat waar, maar dat geldt niet voor spyware en web-bugs. Spyware staat zelfs helemaal los van de browser.

Een andere drogreden is dat we straks een internet zonder cookies gaan krijgen. Ook dat zal meevallen. Cookies mogen best, als de bezoeker van een website er maar expliciet mee akkoord gaat.

Waarschijnlijk zullen we straks extra schermpjes krijgen, waarbij bezoekers bij het betreden van een site eerst het privacybeleid van de site bekijkt. Als de bezoeker op 'ja' klikt, is er niets aan de hand. Dit is te vergelijken met de kleine lettertjes bij het installeren van software.

Cookies zijn niet onmisbaar

Verder was vaak te horen dat cookies onmisbaar zouden zijn. Want probeer het zelf maar uit: schakel cookies via je browserconfiguratie uit en ga maar eens surfen. Binnen de kortste keren loop je vast, met name bij webwinkels die met 'winkelwagentjes' werken en websites die een wachtwoord vereisen.

Saillant detail: de website van het CDA, de partij van Van Velzen, gebruikt ook cookies.

Behalve internetgebruikers wezen ook marketeers op het technische belang van cookies. Het zou anders niet mogelijk zijn om advertenties toe te spitsen op de voorkeuren van gebruikers. Of de gebruikers elke keer een andere advertentie voor te schotelen.

Maar ook deze vermeende onmisbaarheid van cookies is een drogreden. Dat bijna alle professionele websites cookies gebruiken, wil nog niet zeggen dat deze ook onmisbaar zijn. Integendeel: de meeste cookies kunnen vrij goed worden gesimuleerd door andere webtechnieken, die niet in het voorstel van Van Velzen voorkomen.

Een bekende methode is bijvoorbeeld het doorsluizen van gegevens naar andere webpagina's door variabelen aan de URL toe te voegen. En die gegevens kunnen permanent worden opgeslagen door iedere bezoeker een naam en wachtwoord te geven.

Toegegeven, voor een professionele webbouwer betekent dit behoorlijk wat extra rompslomp, maar het gemis aan cookies kan hiermee grotendeels worden opgevangen. Cookies zijn dus helemaal niet zo onmisbaar, ze zijn alleen handig om het leven van een zwoegende webprogrammeur iets dragelijker te maken.

Internationaal

Dit laatste laat duidelijk zien dat de werkelijke discussie niet om cookies draait. Cookies zijn maar een van de vele verschijningsvormen van het verzamelen van persoonsgegevens. Alleen al hierom zou het verbieden van alléén maar cookies tamelijk zinloos zijn. Dat is hier ook niet aan de orde: het EU-voorstel vermijdt heel duidelijk die valkuil.

Wel is de vraag of Van Velzen er goed aan heeft gedaan cookies zo nadrukkelijk in zijn amendement te noemen. Zijn verdienste is dat hij de discussie daarmee op scherp heeft gezet, maar tegelijkertijd heeft dit tot wel erg eenzijdige en meewarige reacties in de internetwereld geleid.

Al met al is het EU-voorstel minder onzinnig dan alom werd gedacht. Het sluit zelfs precies aan op de essentie van privacy: zelf kunnen bepalen welke gegevens je aan wie prijsgeeft.

Maar dat neemt niet weg dat er wel degelijk inhoudelijke kritiek op te leveren is. Zo gaat het amendement totaal voorbij aan het internationale karakter van internet. Wat gebeurt er bijvoorbeeld als een Nederlands bedrijf zijn site op een server in Australië heeft staan? Welke wet- en regelgeving is er dan van toepassing?

Wat te doen als een Amerikaanse internetter een Europese website bezoekt? Of omgekeerd? Al jaren loopt deze discussie tussen Europa en de Verenigde Staten. Vorig jaar leek die even beslecht door het Safe Harbor-akkoord, maar dit EU-voorstel zal ongetwijfeld weer extra olie gooien op het smeulende vuur.

[WZ, 15 november 2001]