In december 2009 keurde het Europese Parlement de zogenaamde “telecom package” goed. In deze richtlijn (2009/136/EG) worden een aantal eerdere richtlijnen aangepast, waaronder de diensten richtlijn, en de e-privacy richtlijn. In de aangepaste e-privacy richtlijn worden de regels rondom ‘cookies’ verscherpt. De implementatie van deze richtlijn in Nederlandse wetgeving had wel beter gekund.

Cookies zijn kleine tekstbestanden. De eerste keer dat een bezoekster een website bezoekt, kan de website zo’n cookie op haar computer opslaan. Bij een volgende bezoek aan dezelfde website stuurt de webbrowser die cookies terug naar de website. Omdat cookies vaak unieke nummers en andere gegevens bevatten, kan de website zo een terugkerende bezoeker herkennen. Websites die met elkaar samenwerken kunnen door middel van cookies zeer gedetailleerde profielen over het surfgedrag van individuele bezoekers opstellen. Deze profielen worden bijvoorbeeld gebruikt voor behavioural advertising. Deze vorm van adverteren past de reclame op een website aan op het individuele surfgedrag van website bezoekers.

Volgens de nieuwe e-privacy richtlijn mag een dienstenaanbieder niet langer informatie lezen van of schrijven op de computer (of andere apparatuur) van een gebruiker, zonder toestemming van die gebruiker, en alleen als de gebruiker juist en volledig is geïnformeerd over het doel van het lezen of schrijven van die informatie. Deze toestemming is niet vereist als de toegang om puur technische redenen noodzakelijk is voor het implementeren van de dienst.

Met andere woorden: voor het bijhouden van informatie om een Internet verbinding in stand te houden is geen toestemming nodig. Dit is immers een technisch noodzakelijke voorziening. Echter voor het plaatsen van een cookie voor behavioural advertising heeft een website wel degelijk toestemming nodig: puur voor de technische inrichting van de website zijn al die advertenties immers niet nodig. In een zeer strikte interpretatie van het begrip “toestemming geven” zou dit betekenen dat iemand die op het web surft om de haverklap gevraagd wordt of hij een cookie wil accepteren.

Dit heeft de nodige stof doen opwaaien. In de publieke opinie is vooral de nadruk gelegd op de negatieve impact die deze interpretatie van de richtlijn zou hebben op de webeconomie. Ook in de P&I van april 2010 wordt een lans gebroken voor het vinden van de juiste balans.

Na een consultatieronde dit voorjaar is het kabinet vrijdag 2 juli akkoord gegaan met een wijziging van de Telecommunicatiewet om de Europese richtlijn in de nationale wetgeving te implementeren. De wijziging is nog niet openbaar, maar volgens een toelichting op de website van het Ministerie van Economische Zaken is de bepaling rondom cookies zo uitgewerkt dat “… als het internetbedrijf de gebruiker goed heeft geïnformeerd, de toestemming van de gebruiker kan blijken uit de instellingen van het programma waarmee de gebruiker het internet op gaat.” Er is dus niet gekozen voor een strikte interpretatie van het begrip toestemming. In plaats daarvan is gekozen voor de huidige status quo waarin gebruikers hun browser instellingen moeten aanpassen om geen cookies te accepteren. Standaard accepteren browsers namelijk alle cookies. Er is dus gekozen voor een ‘opt-out’ regime.

Dit is in tegenspraak met het recente advies van de Europese privacytoezichthouders (verenigd in de zogeheten Artikel 29-werkgroep) van 22 juni 2010. Daarin wordt gepleit voor een opt-in regime (en wordt expliciet vermeld dat het gebruik van browser instellingen gezien moet worden als opt-out). Daarnaast adviseert de werkgroep om de toestemming voor het accepteren van cookies beperkt geldig te laten zijn, en om het eenvoudig te maken een toestemming weer in te trekken.

Er zitten echter nog wel meer haken en ogen aan de implementatie van de e-privacy richtlijn waar het kabinet kennelijk voor kiest.

Ten eerste focust de nieuwe wet op gewone cookies (laten we zeggen web-cookies), zoals die door browser instellingen worden beheerd. Er zijn echter nog andere manieren waarop informatie achter de rug van de gebruiker om op haar computer gelezen of geschreven kunnen worden. Zo biedt Adobe Flash websites de mogelijkheid om informatie op de computer van de gebruiker op te slaan – de zogenaamde flash-cookies. En deze kunnen (behalve voor de allernieuwste versie van Flash player) alleen beheerd worden via de Adobe Flash instellingen, niet via de browser instellingen. Web-bugs (in feite onzichtbare plaatjes op websites of in emails)
worden ook op de computer van een nietsvermoedende gebruiker geladen, en maken het mogelijk te controleren of een gebruiker een bepaald bericht gelezen heeft.

Ten tweede, en meer fundamenteler: de wet legt de verantwoordelijkheid voor het correct bijhouden van de beslissing over het al dan niet accepteren van cookies bij de verkeerde partij. Volgens het kabinet ligt die nu namelijk bij de browser fabrikanten, en niet bij de website beheerders of de advertentie netwerken die de cookies plaatsen. Als deze laatsten niet verantwoordelijk zijn, staat het ze vrij om de beperkingen van het vragen om toestemming te omzeilen, bijvoorbeeld door gebruik te maken van flash cookies. (En als die ook onder het regime vallen kunnen ze weer een andere manier bedenken). Dit lijkt mij in strijd met de geest van de e-privacy richtlijn.

Als laatste is het gebruik van de browser instellingen niet erg fijnmazig. Het is niet eenvoudig om er voor te kiezen om standaard cookies te weigeren, en vervolgens voor een site die je op een bepaald moment toevallig bezoekt de cookies van die site wel te accepteren: daarvoor moet je de naam van de site handmatig aan de lijst met uitzonderingen toevoegen. Dat is niet erg gebruikersvriendelijk.

Daarnaast is er eigenlijk een probleem met de nieuwe e-privacy richtlijn zelf.
De richtlijn is van toepassing op alle informatie die
gelezen of geschreven wordt, ongeacht de aard van die informatie en het doel van de toegang tot die informatie (behalve dat toegang tot informatie die technisch noodzakelijk is niet onder het regime van de richtlijn valt). De richtlijn is dus ook van toepassing op het lezen en schrijven van informatie die de privacy niet schendt. Denk bijvoorbeeld aan een cookie die anoniem een bepaalde voorkeur (bijvoorbeeld de voorkeur om verder geen cookies te accepteren) administreert. Hetzelfde geldt voor software updates op je digitale televisie ontvanger. Misschien dat dergelijke toegang gereguleerd moet worden, maar niet onder het mom van privacybescherming.

Ook is er een risico dat er discussie gaar ontstaat over de vraag welke toegang tot informatie wat voor technisch noodzakelijk is. Zijn log files altijd technisch noodzakelijk? Of gegevens over eerdere activiteiten (de zogenaamde “History”) in browsers, word processing software, en het operating systeem zelf?

Al met al rijst de vraag of met de nieuwe e-privacy richtlijn, en de implementatie daarvan in Nederland, onze privacy beter beschermd wordt. Het lijkt er niet echt op.