Vergaande spraakverwarring over opt-in en opt-out

Op Netkwesties is afgelopen jaar nog een hele boeiende discussie gevoerd over de vraag of je bij cookies naar een opt-in of opt-out principe zou moeten gaan. Dat is gevolgd door een kabinetsvoorstel. De voorwaarden voor cookieplaatsing om surfdta op pc's te verzamelen leek min of meer geregeld. Maar daarmee is de kous niet af. Het ligt niet zo eenvoudig.

Even terug naar m'n boek De Macht van Google. Daarin vertaal ik opt-in met 'actieve toestemming' en opt-out met 'passieve toestemming', teneinde de discussie toegankelijker te maken. In datzelfde boek zegt Alma Whitten, net nadat ze had getuigd namens Google tijdens een hoorzitting van het Congres:

"Bedrijven zullen voor een opt-in toch een ijsje beloven en de meeste mensen zeggen: ja, graag, doe maar. Wat je veel beter kunt bewerkstelligen, is begrip bij de gebruiker kweken van de voor- en nadelen van de methoden die in marketing worden toegepast."

Met andere woorden: je kunt wel wettelijk eisen dat consumenten eerst actieve toestemming moeten verlenen voor hun gegevens te verzamelen, maar bedrijven zullen slim genoeg zijn om die toestemming te verkrijgen; bijvoorbeeld tegen de belofte van wat spiegels en kraaltjes.

U wint een prijs!

Dus, vindt Whitten, dat moet niet de kern zijn van je regeling. Je moet consumenten goed informeren wat hun te wachten staat als ze meedoen aan marketingmethoden. Eén zo'n methode is het plaatsen van cookies op pc's om surfdata te verzamelen. Je hebt ze in soorten en maten.

We zagen bijvoorbeeld de afgelopen maanden veel prijsvragen en kortingsacties voorbij komen waarbij tegen het invullen van persoonsgegevens mooie beloften werden gedaan. Of u dan ook nog even het kruisje wilde zetten bij de voorwaarden die uiteraard ongelezen bleven. Want daarin staat dat je gegevens vrij zijn om te verhandelen. En daar gaat het uiteindelijk om, de handel in gegevens.

Publieke omroep aan kop

De Consumentenbond deed onderzoek naar cookies, dus (nog) niet naar de datahandel. De resultaten waren niet minder opvallend. De top-10 aan grote Nederlandse websites die cookies plaatsen, met tussen haakjes de 'third party cookies', dus van derden, meestal adverteerders:

1. TVgids.nl 71 (68)
2. Telegraaf.nl 52 (43)
3. Nos.nl 36 (31)
4. RTL.nl 30 (29)
5. Sunweb.nl 40 (29)
6. Live.com 22 (18)
7. Fok.nl 18 (13)
8. Hyves.nl 34 (11)
9. Geenstijl.nl 17 (9)
10. Dumpert.nl 14 (7)

Met 71 cookies waarvan 68 van derde partijen, meest adverteerders is TVgids.nl cookiekampioen. Is de samenwerking tussen Sanoma, Avro, KRO en NCRV nog semi-commercieel, de NOS vormt het hart van de publieke omroep, en plaatst meer cookies dan RTL.

De privacyverklaring van de NOS onderaan weggestopt op de site, stelt over de reden om cookies te plaatsen: "Hierdoor blijven uw instellingen behouden als u opnieuw inlogt op de website. Cookies zullen niet voor andere doeleinden worden gebruikt."

Liegt de NOS? De woordvoerster: "Wellicht hebben we bepaalde verplichtingen van de Ster. De inhoud van de voorwaarden is iets dat we periodiek opnieuw tegen het licht houden en aanpassen aan nieuwe omstandigheden."

Nadat ik de NOS hiermee benaderde ging de omroep snel aan de slag om de third party cookies te verwijderen. De NOS overtrad de regels, het viel verder niemand op, er volgden geen sancties. Het is kenmerkend voor deze markt waarin het College Bescherming Persoonsgegevens (CBP) te traag acteert om een vuist te kunnen maken.

Cookiemonster Adatus

De Consumentenbond waarschuwde voor het nieuwe bedrijf Adatus dat extreem veel data zou verhandelen, verzameld met cookies op een groot aantal websites van derden. Adatus koppelt deze gegevens aan die van zoekopdrachten op websites, wat nog rijkere interesseprofielen oplevert. Die profielen helpen de reclameomzet verhogen. Als afnemers noemt Adatus ondermeer WebAds, Doubleclick (Google), de Ster, Click District, BannerConnect en Adfab. Adverteerders van deze bedrijven kunnen campagnes 'targeten' op de Adatus-profielen.

Adatus begon intern onder de werktitel 'Cookiemonster', als vette knipoog om de privacyzorgen over cookies. "Adatus loopt erg op het lijntje", zei de woordvoerster van de Consumentenbond. Adatus is opgericht door Johan van Mil, voorheen eigenaar van de grootste e-mail adressen- en profielenhandel Mailmedia, en Auke van den Hout, ex-directeur van database marketingbedrijf Acxiom. Van Mil vindt de aantijging van de bond overdreven:

"We lopen duidelijk binnen die lijn. Over cookies heersen grote misverstanden. Het is een stukje tekst op een pc om surfdata te verzamelen. Dat heeft een uniek nummer. Het enige dat wij zien is dat unieke nummer. En dat dit nummer interesse heeft om op reis te gaan of een auto te kopen. Niet wie er achter het scherm zit. We koppelen geen namen, adressen, e-mail adressen of andere persoonlijke gegevens."

Adatus bezweert ook dat er op geen enkel niveau koppeling plaatsvindt aan persoonsgegevens, ook niet bij webexploitanten die de data verzamelen. Surfers kunnen binnenkort hun eigen profiel inzien en het volgen met cookies 'uitzetten', beloofde Adatus. Daar is nog niet in voorzien.

Het CBP noemde een IP-nummer eerder wel een persoonsgegeven. De discussie daarover is niet uitgewoed. Zoals de hele discussie over online privacy nog wordt gevoerd. Dat wekt verwarrend in de hand, omdat verschillende initiatieven vanuit Brussel elkaar opvolgen, terwijl ondertussen de Nederlandse wetgever de Europese interpreteert terwijl het bedrijfsleven met zelfregulering probeert om al te strenge wetgeving te voorkomen en 'kaf en koren' te scheiden.

Cookie-icoon op Nederlandse sites

Eurocommissaris Reding bepleit 'opt-in' of actieve toestemming voor elke cookieplaatsing en wil dit mogelijk gaan vastleggen in de nieuwe Europese Privacywet. De industrie hoopt dit dus nu te kunnen voorkomen met een heldere mogelijkheid voor 'opt-out', ergens aangeven dat een site geen cookies mag plaatsen (van derden).

Een voorstel voor zelfregulering onder de titel Online Behavioural Advertising (zie hiernaast van de Europese reclamebranche (European Advertising Standards Alliance of EASA) werd tijdens Europees overleg in Brussel te licht bevonden door de consumentenorganisaties. Vooral de machtige Britse consumentenbond, Which? geheten, wantrouwt het voorstel. Which eist een principiële invulling van de door Brussel verordonneerde 'uitdrukkelijke toestemming' voor het plaatsen van cookies, mede in het licht van flash cookies die volgens Which het verzet van gebruikers tegen cookies omzeilen.

De Europese mislukking weerhield de Nederlandse marktpartijen niet om door te gaan met hun zelfregulering. Adverteerders en uitgevers zullen met een icoontje en achterliggende website hun bezoekers moeten attenderen op dataverzameling met cookies. Vanuit Nederland doen de brancheclubs DDMA, IAB, NUV (uitgevers), BvA (adverteerders), Google, Thuiswinkel.org, RCC en TIBN (hosting) eraan mee.

Het moet als volgt gaan werken: websites van waaruit cookies worden geplaatst op pc's om surfdata van bezoekers te verzamelen moeten dit straks met een herkenbaar icoontje tonen. De surfer kan erop klikken en ontdekken wat er aan data wordt verzameld door welke partijen. Hij moet vervolgens zich kunnen vrijwaren van verder gebruik van die cookies.

Dit alles wordt vervat in een heldere code en klachtenregeling, die in Nederland door de Reclame Code Commissie overgenomen moet worden. Op de Britse site Youronlinechoices.com is te zien hoe het moet werken, met het Britse voorbeeld. In Nederland is het domein Uwonlinekeuze.nl vastgelegd, maar het kan nog een ander worden. Ook Google, Yahoo en Microsoft doen Europees mee, en ook in Nederland.

Het is een equivalent van het Network Advertising Initiative
in de VS. Het doel is de transparantie en daarmee betrouwbaarheid van webmarketing op te voeren. Te vergaande praktijken wil de branche uitbannen.
Het is geen vrijwillige maar afgedwongen zelfregulering, vanuit een Europese Richtlijn de aanpassing van de Telecomwet.

Deze voorziet globaal in twee vereisten: consumenten moeten toestemming geven voor cookieplaatsing op hun pc en adverteerders moeten surfers goed informeren over cookiegebruik. In de praktijk gaat het om een evenwicht vinden tussen bescherming van consumenten en marketingvrijheid.

'Nee, tenzij' of 'ja, mits'

Op 25 mei moet de eerdere Richtlijn voor nieuwe telecomregels nationale wet zijn, met daarin een bepaling voor cookiegebruik. Dat halen lidstaten niet. In Nederland komt het EZ-voorstel daarover nog deze maand in de Tweede Kamer. Als dat soepel gaat en de Eerste Kamer vindt dat de Europese regels goed worden vertaald, dan zou het per 1 juli nog ingevoerd kunnen worden. Vooral de Eerste Kamer wa kien op privacyzaken de afgelopen maanden.

Recent kwam minister Maxime Verhagen van Economische Zaken met zijn eerste nota voor 'Bescherming van persoonsgegevens en de persoonlijke levenssfeer', met antwoorden op vragen van de Tweede Kamer geuit in een debat in december 2010. Ook dit gaat over twee zaken: de informatieplicht van de adverteerder over cookies en toestemming voor gebruik door consumenten.

De grote vraag, gesteld door D66, is of consumenten die cookies niet standaard kunnen weren met hun browserinstelling, en als ze dat nalaten dan ook (passief) toestemming hebben verleend voor plaatsing van cookies. Verhagen vindt dit in feite niet langer het geval, anders dan zijn voorganger Maria van der Hoeven.

Echter, Verhagen komt ook niet tegemoet aan de eis van de PvdA voor ‘uitdrukkelijke’ toestemming' voor cookieplaatsing op een pc. Dit 'nee, tenzij' voor cookies van de PvdA vinden VVD en CDA te ver gaan. Ze zijn meer in voor 'ja, mits' toestemming, waarop ook de industrie aanstuurt in Brussel. De ruimte is er als gevolg van onduidelijkheid in de Europese richtlijn.

Die speelruimte is er ook voor de twee vereiste, de informatieplicht. Want hoe leg de vereiste van 'goed informeren' van consumenten uit in de praktijk? Verhagen: "Degene die cookies wil plaatsen mag er niet zomaar van uitgaan dat hij te maken heeft met een goed geïnformeerde gebruiker. Hij zal dat in een voorkomend geval moeten kunnen aantonen."

De marges van 'goed informeren' bepaalt Brussel uiteindelijk. Dat is geen zelfregulering, zegt Verhagen, maar praktische invulling van de wet. Verhagen kan dit overigens nu open laten en later met een Algemene Maatregel van Bestuur detailregels vastleggen voor het plaatsen van cookies.

Privacywet weer anders

In een tweede route probeert de Europese Commissie momenteel om de makers van browsers te bewegen om met een uniforme knop te komen om gebruikers per website met één klik cookies al dan niet te laten accepteren. De nieuwere versies van IE, FireFox en Chrome zullen 'do not track' opties bevatten om cookies eenvoudiger te weren dan nu het geval is met de 'instellingen'. Maar vooralsnog doen ze dat op verschillende manieren.

Om het nog ingewikkelder te maken: de Europese Commissie is bezig om de bestaande Europese Privacywet te herzien. Zij willen dat dit wetsvoorschrift (uit 1995) beter bescherming biedt bij nieuwe technologieën, zoals sociale netwerken en cookies. Het zal nog enkele jaren duren voor het proces is afgerond. Belangrijke speler op dit toneel is de Europese WP-29 (verzamelde nationale privacychefs) onder leiding van Jacob Kohnstamm (directeur CBP).

Dit wordt een Verordening, zoals dat heet, geen regulering die een nationale invulling toestaat zoals de Richtlijn die nu wordt omgezet in wetgeving. Dat gaat dus zwaarder wegen en kan de afspraken die we nu maken over cookies in de wielen rijden. Maar de totstandkoming neemt nog een jaar of twee in beslag wellicht.

List traders

Ook de komende jaren blijft die discussie inderdaad nog steeds om dezelfde twee elementen te draaien: toestemming geven of verkrijgen, en het informeren. Echter, de wijze van informeren van consumenten is ondertussen belangrijker geworden ten opzichte van een jaar geleden. Hij moet weten wat er gebeurt. Dat maakt het overigens niet eenvoudiger. Immers, wanneer wordt de gemiddelde consument geacht goed te zijn geïnformeerd? Hebben we het over de SBS-mediaconsument of de Vpro-luisteraar?

Er is echter een derde element, dat gemakkelijk ondersneeuwt: de handel in gegevens zoals van Adatus? Moeten daar aparte regels voor komen, moet transparantie worden afgedwongen of moet handhaving veel stringenter worden?

Immers, genoemde verzameling via bijvoorbeeld prijsvragen en kortingsacties neemt flinke vormen aan. Het is direct gericht op handel in data door de zogenaamde 'list traders'. In Engeland kan sinds april 2010 het illegaal handelen in persoonsgegevens bestraft worden met een boete van maximaal 500.000 pond.

Brancheorganisatie voor marketing DDMA vindt het belangrijk dat de privacyregels beter worden nageleefd met controle. Daar schort het aan bij het CBP volgens de DDMA. CBP-directeur Jacob Kohnstamm zei tijdens het privacydebat in de Eerste kamer dat het ondermaats functioneren een kwestie is van veel te weinig middelen.

De bezetting van het CBP zou te kort schieten en de organisatie heeft als zwaarste middel slechts een dreigement, het opleggen van een last onder dwangsom om naleving alsnog af te dwingen. De Opta kan wel boetes opleggen. De organisaties werken sinds een samenwerkingsovereenkomst in 2005 waar mogelijk samen bij de bestrijding van illegale handel.

Nu al spraakverwarring

Het was de Opta die TNO en Ivir vroeg te onderzoeken of de wetgeving voor het verzamelen van persoonsgegevens, onder meer met cookies tijdens het surfen, goed wordt nageleefd. De uitkomst ‘A bite too big, Dilemma’s bij de implementatie van de cookiewet in Nederland’ (persbericht en rapport) is vooral gebaseerd op het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE) dat reeds een opt-in systeem voorschrijft. De conclusie van TNO/Ivir luidt dat "...de meerderheid van de ondervraagde partijen de gebruiker niet informeert over het plaatsen van het cookie en over het doel van de daarmee verkregen gegevens, en de gebruiker ook niet om toestemming hiervoor vraagt.

De informatie- en toestemmingsplicht zoals in vastgelegd in de huidige wetgeving, Artikel 4.1 BUDE, wordt dan ook door de meerderheid van de ondervraagde partijen niet nageleefd. Dit roept vraagtekens op over de nalevingsbereidheid van partijen ten aanzien van de nieuwe wetgeving."

Op de publicatie volgde felle kritiek van de brancheorganisaties NUV (uitgevers), BvA (adverteerders), DDMA (direct marketing) , IAB (online marketing) en Thuiswinkel.org die zeiden dat er het rapport stoelt op grove fouten. Ze meldden dit ook aan de Tweede Kamer.

Op de eerste plaats zou het onderzoek niet representatief zijn. Het onderzoek richtte zich op Hyves, Marktplaats, Telegraaf en Sanoma, de grootste website-exploitanten in Nederland en grote reclamepartijen als Google/Doubleclick, WebAds, Adfactor, Tradedoubler en Wunderloop/Revenue Science.

TNO en Ivir leggen de kritiek naast zich neer en stuurden dit ook naar de Tweede Kamer. Het onderzoek was gehouden "...onder de grote en belangrijke spelers die voorop lopen in deze branche en samen een groot marktaandeel hebben. De selectie is gebaseerd op verschillende bronnen, zoals de websites met het grootste bereik in Nederland en de top twintig grootste online adverteerders in Nederland."

Echter, volgens de brancheclubs is het inhoudelijk helemaal fout: er is geen voorafgaande toestemming nodig om cookies te plaatsen. Ivir en TNO legt de BUDE-regel verkeerd uit. En daar splitsen de geesten zich. Ivir (die het juridische deel draagt): "... artikel 4.1 BUDE...bevat nadrukkelijk het vereiste van voorafgaandheid. Artikel 4.1 BUDE spreekt van het voorafgaand in de gelegenheid stellen van gebruikers om - in casu cookies - te weigeren. Dit wordt door de onderzoekers als een opt-in gekarakteriseerd (een voorafgaande handeling is vereist) en geen opt-out zoals de brancheorganisaties suggereren."

Het BUDE zegt in Artikel 4.1 dat het plaatsen van cookies gebonden is aan het voorafgaand op een duidelijke en nauwkeurige wijze informeren omtrent de doeleinden, en aan het gelegenheid te bieden om plaatsing te weigeren.

Gelegenheid geven tot 'weigeren' is naar de letter van de wet dus een opt-out. Dat is niet alleen letterlijk zo, maar ook de praktijk waartegen de Europese Commissie nu verandering wil brengen. De conclusie van Ivir en TNO dat de marktpartijen de wet overtreden is te fors, want er is geen harde opt-in verplichting. Moest er gescoord worden?

Immers, zonder die boude conclusie dat de hele branche de wet overtreedt, had de teneur van het onderzoek niet minder helder geweest: dat de positie van consumenten ten opzichte van adverteerders en exploitanten te zwak is en dat daar node iets aan gedaan moet worden. TNO en Ivir hebben hun pleidooi afdoende onderbouwd, maar van zo'n kapitale fout als een opt-in/opt-out verwarring maakt de reclamebranche natuurlijk gaarne gebruik bij de Tweede Kamer.

Het is ook vreemd daar TNO en Ivir met die conclusie ook de opdrachtgever bekritiseren, al is dat wel weer charmant uit oogpunt van onafhankelijkheid: de Opta zou immers als handhaver van het BUDE al die wetsovertreders moeten straffen en laat dat na.

Dat bleek ons nadat we (weer traag) antwoord kregen van het CBP op de vraag hoe deze club staat in deze discussie over het Bude: "Het rapport waaraan je refereert is opgesteld in opdracht van Opta. Het is niet aan het CBP om hierover een oordeel te geven. Ik verwijs je naar de woordvoerders van Opta.

Voorts vraag je of het CBP gaat handhaven op het bepaalde in artikel 4.1 BUDE. Dit besluit hoort bij de Telecommunicatiewet. Niet het CBP maar Opta houdt toezicht op het plaatsen en uitlezen van cookies. Ook voor deze vraag verwijs ik je derhalve naar Opta."

Wat moet er gebeuren?

Het antwoord op die vraag laten we graag aan onze experts. Moet het principieel zo zijn dat consumenten moeten instemmen met het verzamelen van persoonsgegevens (ook onder IP-nummer) op grond van heldere informatievoorziening? En ten alle tijden hun profielen kunnen verwijderen? En moet de datahandel transparant worden en aan banden worden gelegd met zwaardere straffen?

Is ook gerichte reclame echter minder irritant en minder ongewenst dan irrelevante reclame? Naar de laatste kijk je niet, terwijl de eerste je aandacht trekt. Moet ieder niet zelf bepalen wanneer welk reclame welkom is, op tijdstippen wanneer hij behoefte heeft aan commerciële informatie omdat hij iets wil aanschaffen? Of moet online reclame gewoon net zo vrij als via drukwerk, zonder nader gezeur?