NETKWESTIES ---- MAGAZINE OVER VRIJHEID, RECHTEN EN REGELS OP INTERNET

Kees Jan Kuilwijk

HOE "COOKIES" WORDEN GEBAKKEN IN BRUSSEL

Over één richtlijn van de nieuwe internet regelgeving, die betreffende de verwerking van persoonsgegevens in deze sector, debatteert Brussel nog hevig. Het ontwerp bevat een aantal controversiële bepalingen - over onder meer "spam", "data retentie", en "cookies" - waarover men het maar niet eens kan worden. Op 15 mei is het woord weer aan het Europees Parlement, vervolgens weer aan de Raad van Ministers.

Deze zomer zullen ze er wel uit zijn, dat is al het geval met betrekking tot het grootste deel van een nieuw Europees regelgevingskader voor elektronische communicatienetwerken- en diensten. Het nieuwe stelsel - vijf richtlijnen, een verordening en een beschikking - vervangt het oude systeem bestaande uit een twintigtal richtlijnen en andere instrumenten.

Dit commentaar beperkt zich tot "cookies": die kleine stukjes tekst die soms door een website worden geplaatst op de computer van degene die de site bezoekt. Aan de hand van zo'n cookie kan de site de gebruiker herkennen als deze met dezelfde computer weer op visite komt. Over het algemeen maken cookies het surfen en vooral online winkelen gemakkelijker, sneller, persoonlijker - kortom leuker.

Toch is de kans levensgroot aanwezig dat zij door de EU uit Europa "verbannen" worden. "Verbannen" tussen aanhalingstekens, omdat het gebruik van cookies niet verboden zal worden - het risico bestaat echter dat de nieuwe regels hen het leven zo zuur zullen maken dat zij bijna al hun nut verliezen en vrijwillig het veld zullen ruimen.

Uw commentator vindt dit een heel slecht plan en hij zal uitleggen waarom. Kort verslag over het bakken van cookies in Brussel:

Wat wil de EU nu eigenlijk met cookies? Wel, het is maar wie je het vraagt. Over cookies wordt in het oorspronkelijk voorstel van de Commissie niet gerept. Ook enkele jaren later bevat de ontwerp-richtlijn geen enkele bepaling die het gebruik van cookies betreft.

Het ongelukkige voornemen om dit gebruik aan de ketting te leggen is een recente, afkomstig van het Parlement, meer in het bijzonder van de Nederlandse parlementariër Wim Van Velzen. Zijn amendement stelt dat cookies een "serieuze inbreuk" maken op de privacy van webgebruikers en dat daarom "uitdrukkelijke toestemming" van de gebruiker noodzakelijk is voor het plaatsen van cookies.

De Raad van Ministers vond dit eigenlijk wel een goed idee en voegde er "volledigheidshalve" nog maar even aan toe dat deze toestemming uiteraard van te voren moest worden verkregen, niet achteraf.

Wat doen cookies dan precies?

Zoals ik al aanstipte, worden de meeste cookies gebruikt in de elektronische handel en wel om het online winkelen te vergemakkelijken. Als ik een boek koop op Amazon hoef ik alleen de eerste keer mijn persoonlijke gegevens in te typen. Een cookie zorgt voor een verbinding tussen Amazon en mijn computer zodat ik dit de volgende keer niet meer hoef te doen en ik in 10 seconden een boek kan kopen in plaats van in 3 minuten.

Cookies zorgen er ook voor dat mijn bestelling wordt onthouden en dat bij mijn volgende bezoek nieuwe boeken in dezelfde categorie aan mij worden gepresenteerd.

Natuurlijk, zoals de schaar en het keukenmes, kunnen cookies ook worden misbruikt. Malafide adverteerders kunnen gegevens die je her en der achterlaat opkopen en vervolgens koppelen. Hierdoor kan een bepaald profiel van jou ontstaan en dat heb je misschien liever niet.

Het grappige is, het hoeft ook niet. Cookies zijn niet verplicht. Je kunt de cookie-functie op een simpele wijze in/uitschakelen in de jongste browser-versies. Ook kun je je laten waarschuwen wanneer een site een cookie probeert te plaatsen. Een pop-up raam geeft je dan de mogelijkheid ja of nee tegen cookies te zeggen. Je kunt het gebruik van cookies dus zelf op verschillende eenvoudige manieren regelen.

Nog grappiger misschien (als het in werkelijkheid niet zo triest zou zijn) is je te bedenken wat er ergste zou zijn dat je zou kunnen overkomen door toedoen van cookies en dan te horen wat het Parlement hierover te zeggen heeft.

Het ergste uiteraard (want ze komen echt niet bij je aanbellen) is wanneer cookies worden gebruikt om een "profiel" van je op te stellen en dat scrupuleuze marketeers je vervolgens op basis daarvan per email allerhande nutteloze waren gaan aanprijzen.

Volgens het Parlement is dergelijke "spam" echter geen probleem. Regulering daarvan kan rustig aan de lidstaten overgelaten worden. Een door de Commissie voorgesteld algemeen verbod op "spam" werd zonder veel omhaal van tafel geveegd.

Wat ging er dan toch allemaal mis in Brussel?

De privacy-wetgeving in Europa kent twee verschillende vormen van het geven van toestemming voor de verwerking van persoonsgegevens. Over het algemeen dient voor de verwerking van dergelijke gegevens de gebruiker zijn ondubbelzinnige toestemming te geven.

Dat wil zeggen, grof gezegd, dat mits de gebruiker voldoende informatie tot zijn beschikking heeft betreffende het onderwerp waarover hem zijn toestemming wordt gevraagd, verondersteld wordt dat deze toestemming aanwezig is.

Je kunt haar natuurlijk intrekken, maar daar moet je dan wel iets voor doen - bijvoorbeeld een email sturen waarin je zegt dat je niet wilt dat van je gegevens gebruikt wordt gemaakt. In internettermen heet dit een "opt-out" (je was binnen, maar je verkiest naar buiten te gaan).

De tweede vorm van toestemming is de zwaardere vorm. Uitdrukkelijke toestemming is vereist wanneer het gaat om de verwerking van gevoelige persoonsgegevens, zoals gegevens betreffende je gezondheid, huidskleur of sexleven. Uitdrukkelijke toestemming mag niet zomaar worden verondersteld.

Het moet ontegenzeggelijk vaststaan dat deze toestemming bestaat, dus de persoon in kwestie moet zich hebben uitgesproken hierover, zich hebben "uitgedrukt", bijvoorbeeld middels het sturen van een email - een "opt-in" (je bent buiten, maar wilt naar binnen).

Het amendement Van Velzen stelt dat voor "cookies" uitdrukkelijke toestemming vereist is, de zwaardere vorm dus. Maar waarom eigenlijk? Het gaat hier toch vrijwel nooit om gevoelige gegevens? Ik kan mij wel gevallen voorstellen, en dan dient een website uiteraard wel uitdrukkelijke toestemming te hebben voordat het dergelijke gegevens kan verwerken.

Maar het gaat toch veel te ver iedereen zo'n algemene verplichting op te leggen? "Gevoelig' zijn toch niet de gegevens die worden gevraagd bij het kopen van een boek of CD?

Deze onduidelijkheid, of liever gezegd "fout", in het amendement kan grote gevolgen hebben.

Zoals ik eerder vertelde, heeft de Raad van Ministers aan het amendement het woord "vooraf" toegevoegd. Inmiddels is het velen duidelijk geworden dat dit in ieder geval onzin is. Oh ja, dus iedere site moet op de eerste pagina waar een gebruiker belandt (niet altijd de home page) onmiddellijk een pop-up raam laten opspringen met de vraag of cookies worden geaccepteerd of niet.

Dat wil zeggen verschillende pop-ups want er dient ook nog volledige informatie te worden gegeven over die cookies. Zij die snel van site naar site willen, zullen binnen luttele minuten verstrikt raken in een net van pop-up screens en gillend hun computer te lijf gaan. Dat wil niemand natuurlijk, dus dan maar helemaal geen cookies. Dan maar weer steeds de hele lijst invulllen wanneer je een boek wilt kopen ...

Maar goed, op 18 april jl. oordeelde de commissie "vrijheden en rechten van de burger, justitie en binnenlandse zaken" van het Parlement, die deze kwestie voorbereidt voor de plenaire vergadering, dat "vooraf toestemming" te ver gaat - daar ging op die dag een voorlopige streep doorheen.

"Uitdrukkelijke toestemming" bleef echter staan. Toch kan ik mij niet goed voorstellen hoe je iemand je uitdrukkelijke toestemming kunt geven, wanneer die niet vooraf wordt gevraagd. Je ondubbelzinnige toestemming wel, voldoende informatie over het gebruik van cookies kan in de Algemene Voorwaarden van een site worden opgenomen. Maar uitdrukkelijke toestemming?

Op 15 mei is het woord dus aan het Europese Parlement. De kans is groot dat zij wat betreft de cookies haar eigen commissie volgt en dus kiest voor de optie "het vereisen van uitdrukkelijke toestemming, maar niet vooraf." Hier denkt men dan de oplossing mee gevonden te hebben.

De Raad deelt het standpunt van het Parlement echter niet en waarschijnlijk zal er dan een compromis uit de bus rollen, nadat misschien wat koehandel heeft plaatsgevonden over cookies en spam.

Het resultaat zal ongetwijfeld nog slechter zijn dan de al slechte optie voorgesteld door de parlementaire commissie. Maar al zou de Raad de optie zoals die er nu ligt overnemen dan blijft de situatie nog steeds op zijn minst onduidelijk en kunnen we er eigenlijk wel zeker van zijn dat iedere lidstaat zijn eigen zin zal doordrijven bij de omzetting van de richtlijn in nationaal recht. De één zal het zus regelen, de ander zo.

Er is maar één oplossing: weg met het amendement Van Velzen!

Mag nu echt niet van de gebruiker die zijn bedenkingen heeft bij cookies verwacht worden dat hij er gewoon zelf voor zorgt dat hij voor cookies gewaarschuwd wordt? Dat is echt niet veel moeilijker dan het aanzetten van de computer. Dan is het doel toch bereikt?

Toestemming wordt gevraagd - pop-up raampje: ja of nee? Jawel, uitdrukkelijke toestemming zelfs. Maar nee, de gebruiker wordt - zoals de consument in het algemeen wel vaker - weer eens als het domste jongetje van de klas beschouwd.

Eén van de meest fundamentele aspecten van privacy betreft het respect voor de waardigheid van de menselijke persoon. Indien de EU straks het gebruik van cookies verbiedt, tenzij uitdrukkelijke toestemming werd verkregen, dan is het tegenovergestelde bereikt van wat men heeft trachten te bereiken. Bescherming van de persoonlijke levenssfeer was het doel, maar inbreuk daarop het resultaat.

Kees Jan Kuilwijk

[2 mei 2002]