Inleiding
Vorige week werd de nieuwe Telecommunicatiewet aangenomen. Het deel van die wet dat vooral in het nieuws is gekomen, de wettelijke garantie op netneutraliteit, overschaduwde een ander deel: de regels voor het plaatsen van cookies, door lobbygroepen ook wel het 'cookieverbod' genoemd. De gevolgen van de nieuwe regels zijn van belang voor iedereen die een website heeft en er geld mee verdient, maar er heerst nog veel onduidelijkheid, blijkt uit een rondgang onder het expertpanel van Tweakers.net. Hoe de regels geïmplementeerd moeten worden, is voor veel mensen de grote vraag. Tweakers.net neemt de nieuwe regels onder de loep.
Het cookie-deel van de nieuwe Telecomwet legt bepaalde cookies aan banden. Overigens komt het woord 'cookies' in de wet niet voor; er wordt gesproken over het opslaan en benaderen van gegevens in randapparatuur van een gebruiker via een elektronisch communicatienetwerk. Daarmee worden dus ook Flashcookies, html5-local storage en eventuele andere technieken bedoeld. Voor het gemak zullen we het op 'cookies' houden.
De nieuwe cookieregels zijn, anders dan sommigen wellicht denken, geen Nederlandse uitvinding. In feite is het overgrote deel van de Telecomwet niets anders dan de Nederlandse implementatie van de nieuwe, Europese Telecomrichtlijn. De nieuwe cookieregels zijn in die richtlijn vastgelegd, netneutraliteit overigens niet, dat is wel een Nederlandse toevoeging. Overigens moest de Telecomrichtlijn een jaar geleden al geïmplementeerd zijn, maar dat terzijde.
Alleen voor niet-noodzakelijke cookies
De regels gelden voor bijna alle cookies, behalve de cookies die 'noodzakelijk' zijn, bijvoorbeeld voor het opslaan van taalvoorkeuren en de inhoud van winkelwagentjes. "Het gaat daarbij om functionele cookies", zegt advocate Milica Antic van Solv.
Voor niet-essentiële cookies, zoals voor Google Analytics, dat wil zeggen: trackingcookies voor advertenties, moet vanaf 1 juli toestemming worden gevraagd en bovendien moeten gebruikers goed worden geïnformeerd over het doel van die cookies.

Foto: Gravity X9
Verplichtingen
De nieuwe cookieregels omvatten twee verplichtingen voor websites die niet-essentiële cookies plaatsen. Ten eerste is er de informatieplicht; gebruikers moeten worden voorgelicht over de soort niet-essentiële cookies die een website wil plaatsen. Lastiger te implementeren is de toestemmingsplicht; websites moeten gebruikers om toestemming vragen om die cookies te mogen plaatsen.
Het Ministerie van Economische Zaken laat schriftelijk weten dat idealiter de browser zelf het proces van toestemming geven afhandelt. Die zou gebruikers dan om toestemming moeten vragen, in plaats van de websites. "Hierover vinden op Europees niveau en met het samenwerkingsverband W3C al enige tijd gesprekken plaats", aldus het ministerie. Op dit moment kan echter nog onvoldoende op de browsers worden geleund, omdat de instellingen weinig fijnmazig zijn en alle cookies standaard worden geaccepteerd. Daarom moeten websites om toestemming gaan vragen voor alle niet-essentiële cookies.
Handhaven
De OPTA gaat in de gaten houden of websites zich aan de regels houden. OPTA-woordvoerder Tim Rosendahl zegt dat de OPTA de regels vanaf 1 juli daadwerkelijk zal handhaven. "Maar zoals altijd bekijken we hoe we die handhaving gaan inzetten. We kunnen niet tegen elke overtreding optreden en daarom zullen we ons vooral op de meest schadelijke richten, de grootste probleemgevallen."
Het Ministerie van Economische Zaken laat weten dat naleving mogelijk eerder al gebeurt: 'zo snel mogelijk', wellicht al begin juni. De hoogte van de boetes die de OPTA dan kan opleggen is nog niet bekend. De maximale boete die de OPTA kan opleggen bij een overtreding van de Telecomwet bedraagt 450.000 euro per overtreding. Of de boetes voor overtreding van de cookieregels ook zo hoog kunnen worden, moet nog worden besloten. Om de nieuwe cookieregels te kunnen handhaven, heeft de waakhond extra mankracht gekregen.
Strenger regime
Voor bepaalde cookies geldt een nog strenger regime, namelijk als er sprake is van de verwerking van persoonsgegevens. In dat geval moet de website zich houden aan de Wet bescherming persoonsgegevens, waarbij moet worden aangetekend dat dit eigenlijk al zo was, want elke verwerking van persoonsgegevens valt per definitie onder die wet. De PvdA en PVV wilden dit strengere regime echter graag expliciet aan de Telecomwet toevoegen.
Om persoonsgegevens te mogen verwerken is een van de zes 'grondslagen' voor verwerking uit de WBP vereist. Een daarvan is 'ondubbelzinnige toestemming'. Volgens Antic willen PvdA en PVV het doen voorkomen alsof ondubbelzinnige toestemming altijd vereist is voor dergelijke cookies. "Maar er zijn nog meer grondslagen, bijvoorbeeld het gerechtvaardigd belang", zegt ze. Als deze grondslag, waarbij ook een commercieel belang gerechtvaardigd kan zijn, zwaarder weegt dan de privacy-inbreuk, hoeft niet om 'ondubbelzinnige toestemming' te worden gevraagd.
In de praktijk zal dit strengere regime dan ook weinig verschil betekenen, want in het algemeen moet voor niet-essentiële cookies al toestemming worden gevraagd en zal 'ondubbelzinnige toestemming' in veel gevallen niet nodig zijn. Als een website zich op een andere grondslag kan beroepen, volstaat het om 'gewoon' toestemming te vragen.
Vanaf 1 januari komt daar echter een 'omgekeerde bewijslast' bij. Dan geldt het rechtsvermoeden ten aanzien van tracking cookies. Vanaf dan mag het College bescherming persoonsgegevens ervan uitgaan dat bij het plaatsen en uitlezen van tracking cookies persoonsgegevens worden verwerkt, tenzij de plaatser kan bewijzen dat dat niet zo is. Dat maakt het makkelijker voor het CBP om op te treden.
De omgekeerde bewijslast zou aanvankelijk samen met de overige regels worden ingevoerd, maar is uitgesteld, omdat er op Europees niveau nog een debat over privacy wordt gevoerd. De Eerste Kamer wilde de uitkomst hiervan afwachten, maar dat wordt een probleem. Het kan nog wel twee jaar duren voordat er consensus bestaat over eventuele nieuwe cookieregels, laat woordvoerder Ryan Heath van Neelie Kroes weten aan Tweakers.net.
Implementatie
Hoe websites zich aan de regels moeten gaan houden, is onduidelijk. Gekozen zou kunnen worden voor een lay-over die gebruikers om toestemming vraagt. Bij first-party-cookies, die door een website zelf worden geplaatst, is dat ook wel te doen. De wet maakt echter geen onderscheid tussen cookies die een website zelf serveert en cookies die worden geplaatst door een derde partij, zeg: een advertentienetwerk. "Bij tracking cookies ben jij verantwoordelijk voor alle cookies, ook die van derde partijen", laat ict-jurist Arnoud Engelfriet tegenover Tweakers.net weten.
Dat betekent bijvoorbeeld dat een website toestemming moet vragen om cookies van AdSense of DoubleClick te plaatsen. "En dat is een probleem, want Google (dat beide diensten beheert, red.) gaat dat echt niet voor jou faciliteren", stelt Engelfriet. Er is op dit moment geen infrastructuur om AdSense, DoubleClick of een ander netwerk te laten weten of er wel of geen toestemming is gegeven. Of dat framework er komt, is onduidelijk. Google-woordvoerder Mark Jansen kan nog geen inhoudelijk commentaar op de kwestie geven.
"Hoe de bedrijven de regels moeten implementeren staat niet in de wet", zegt Lisa Neves Gonçalves, woordvoerster van het Ministerie van Economische Zaken. "Er staat enkel in wat er moet gebeuren. Hoe bedrijven dat doen, is aan hen."
Het ministerie laat in een schriftelijke reactie weten: "De partij die cookies plaatst en leest, kan, bijvoorbeeld door middel van een pop-up, in één keer toestemming vragen voor het plaatsen en lezen van cookies via verschillende sites, voor de duur van bijvoorbeeld een jaar." Technisch is dat mogelijk, hoewel er momenteel nog geen framework voor bestaat.
Aangedikt door de lobby
Volgens Martijn van Dam van de PvdA, een van de voorstanders van de cookieregels, vallen de problemen mee: "Er wordt gewerkt aan een manier om toestemming te geven. Het probleem wordt aangedikt door de lobby. Dat is logisch, er zijn wezenlijke belangen in het spel."
Volgens Van Dam kunnen websites bijvoorbeeld collectief om toestemming vragen voor het plaatsen van tracking cookies, zodat niet elke site afzonderlijk om toestemming hoeft te vragen. Op dit moment bestaat er al een framework voor opt-out, YourOnlineChoices; dat zou ook voor opt-in kunnen. "Ook kunnen websites kiezen voor een advertentienetwerk dat niet aan tracking doet", stelt Van Dam. Volgens Van Dam zijn er genoeg advertentieaanbieders die gebruikers niet volgen, maar hij kan niet direct op voorbeelden komen.
Tot slot
Het liefst hadden we ontwikkelaars een handleiding gegeven die beschrijft hoe ze de cookieregels het beste kunnen implementeren, maar daarvoor is nog te veel onduidelijk over de implementatie. Voor first party-cookies is er overigens geen probleem; daarvoor is het mogelijk om gebruikers toestemming te vragen en hun keuze op te slaan in een functionele cookie.
Lastiger is het vragen van toestemming voor third party-cookies, die door vrijwel elke website met advertenties worden geserveerd. Er is op dit moment nog geen framework voor het vragen van toestemming en of dat er op tijd komt, is onduidelijk. Website-eigenaren blijven dus voorlopig zitten met de nodige onduidelijkheid; hoe kunnen zij op tijd voldoen aan de regels als de advertentienetwerken die zij gebruiken die cookies gewoon blijven plaatsen?
Los daarvan is het de vraag hoe effectief de regels zullen zijn. De OPTA is, ook met nieuwe mankracht, niet in staat om alle websites te controleren op hun cookiegebruik. Of websites buiten de Europese Unie zich aan de regels zullen houden, is al helemaal de vraag.