OPTA Postbus LK Den Haag. Geachte heer/mevrouw,

Maat: px
Weergave met pagina beginnen:

Download "OPTA Postbus 90420 2509 LK Den Haag. Geachte heer/mevrouw,"

Transcriptie

1 OPTA Postbus LK Den Haag Geachte heer/mevrouw, Platform Internet Bureaus Nederland (hierna PIBN ) is de branchevereniging van internetbureaus. PIBN heeft met interesse kennis genomen van de door OPTA recent gepubliceerde Veelgestelde vragen over de nieuwe cookiebepaling (hierna Q&A ) en Verslag rondetafelbijeenkomst over cookiebepaling (hierna Verslag ). PIBN spant zich in om haar leden zoveel mogelijk behulpzaam te zijn bij het voldoen aan het op 5 juni j.l. in werking getreden artikel 11.7a Telecommunicatiewet (hierna Tw ). In dat kader wendt PIBN zich tot u met het verzoek enkele aspecten van de wijze waarop dit artikel door OPTA zal worden gehandhaafd, te verduidelijken danwel te bevestigen of aan te passen. Ten behoeve van de leesbaarheid zal in deze brief gebruik worden gemaakt van de term cookies wanneer wordt gesproken over het gebruik van technologie waarop artikel 11.7a Tw van toepassing is. 1. Cookies Meegestuurde informatie Artikel 11.7a Tw is onder meer van toepassing wanneer gegevens worden uitgelezen van randapparatuur van eindgebruikers. Browsers zijn doorgaans echter zodanig geprogrammeerd dat zij automatisch bepaalde informatie meesturen wanneer door de eindgebruiker een website wordt bezocht. Het gaat dan bijvoorbeeld om welke bestandstypes wel en niet worden geaccepteerd. Aangezien er door de bezochte website geen enkele handeling wordt verricht om toegang te verkrijgen tot die informatie, maar de informatie juist ongevraagd wordt toegezonden door de browser van de eindgebruiker, kan het verkrijgen van deze informatie naar de mening van PIBN niet worden aangemerkt als uitlezen in de zin van artikel 11.7a Tw. Graag ontvangt PIBN een bevestiging dat OPTA deze zienswijze tevens is toegedaan. Intranet Artikel 11.7a Tw is van toepassing op het plaatsen op of uitlezen van randapparatuur van eindgebruikers. Van een intranet wordt doorgaans gebruik gemaakt door middel van eindapparatuur die niet aan de eindgebruiker, maar aan de werkgever toebehoort. Indien bij het gebruik van intranet cookies worden geplaatst op en/of gelezen van de randapparatuur van de werkgever, gaat PIBN ervan uit dat artikel 11.7a Tw hierop niet van toepassing is. Graag ontvangt PIBN hiervan een bevestiging van OPTA.

2 2. Functionele cookies Op grond van artikel 11.7a lid 3 Tw bestaan er twee uitzonderingen op de vereisten die artikel 11.7a lid 1 Tw stelt aan het gebruik van cookies. Het betreft cookies met als uitsluitend doel: a. de communicatie over een elektronisch communicatienetwerk uit te voeren; of b. de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is. In het Verslag geeft OPTA aan voor de beoordeling van de vraag of bepaalde cookies onder deze uitzonderingen vallen, te zullen kijken naar de opinie van Werkgroep 29 te dien aanzien (hierna Opinie ). 1 De Opinie laat echter een veelheid aan cookies die naar de mening van PIBN onder bovengenoemde uitzonderingen vallen, onbesproken. PIBN verzoekt OPTA in ieder geval van het gebruik van cookies voor de volgende doeleinden te bevestigen dat dit valt binnen de werkingssfeer van artikel 11.7a lid 3 Tw. Noodzakelijk uitlezen van de combinatie van instellingen en kenmerken Het uitlezen van de combinatie van instellingen en kenmerken van het apparaat van de eindgebruiker met als uitsluitend doel de met dat apparaat opgevraagde dienst te leveren, valt evident onder de uitzondering genoemd onder b hierboven. Als een eindgebruiker een bepaalde website bijvoorbeeld wil bezoeken vanaf een mobiel apparaat, zal het noodzakelijk zijn deze gebruiker aan de hand van de instellingen en kenmerken door te sturen naar de mobiele versie van de website. Deze activiteit valt ook volledig binnen door Werkgroep 29 omschreven vereisten voor de toepasselijkheid van de onder b genoemde uitzondering (paragraaf 2.2 Opinie). De dienst is immers expliciet verzocht door de eindgebruiker door middel van een positieve handeling (het bezoek aan de website) en het uitlezen van de informatie is strikt noodzakelijk om de dienst te kunnen leveren. Zonder de gebruiker door te sturen naar de mobiele website, zou hij de website niet kunnen bezoeken. Statistieken In de Q&A geeft OPTA aan dat een cookie dat gebruikt wordt om webstatistieken bij te houden, niet valt onder de uitzonderingen van artikel 11.7a lid 3 TW en dus niet geplaatst mag worden zonder toestemming van de eindgebruiker. Dat is echter niet in lijn met de Opinie, waar OPTA in het Verslag stelt vanuit te gaan. In de Opinie geeft Werkgroep 29 juist aan dat first party analytics cookies geen grote privacy risico s opleveren als deze strikt beperkt worden tot first party geaggregeerde statistische doeleinden en als zij gebruikt worden door websites die over het gebruik van deze cookies duidelijke informatie verstrekken in hun privacy policy alsmede adequate privacy waarborgen bieden (zoals een gebruiksvriendelijke opt-out mogelijkheid en mechanismen om andere verzamelde informatie te anonimiseren). 1. Opinion 04/2012, 7 June 2012.

3 PIBN verzoekt OPTA te bevestigen dat zij hierin de Opinie zal volgen. A/B tests Websites worden vanzelfsprekend zodanig ingericht dat het bezoek van de eindgebruiker optimaal is. Om de website zoveel mogelijk naar wens van bezoekers te kunnen inrichten, moeten websitehouders weten wat de voorkeuren van bezoekers zijn. De standaard methode om die informatie te verkrijgen is door middel van zogenaamde A/B tests. Door gebruikers te verdelen in twee groepen, die elk een ander concept te gebruiken krijgen, kan er op basis van de onderzoeksresultaten beslist worden welke opzet het gewenste doel het best benadert. Ten behoeve van A/B tests worden cookies gebruikt. Omdat A/B tests en ander manieren om het gebruikersgemak van websites te verhogen, noodzakelijk zijn voor het leveren van een uitdrukkelijk gevraagde dienst, dienen deze onder de uitzondering sub b te vallen. Ook uit overweging 66 van de eprivacy richtlijn, waarvan artikel 11.7a Tw de implementatie vormt, blijkt al dat gebruiksvriendelijkheid bij de uitvoering van de nieuwe cookie regels van groot belang wordt geacht. 2 In de Memorie van Toelichting bij artikel 11.7a Tw, wordt tevens benadrukt dat de uitzonderingen in lid 3 het gebruiksgemak ten goede komen. 3 Ook wordt aangegeven dat er situaties zijn waarin de communicatie met behulp van voorkeuren en instellingen uitermate moeilijk zou zijn zonder cookies en dat cookies in die zin een nuttig hulpmiddel zijn om te zorgen dat de dienstverlening via internet naar behoren functioneert. Cookies kunnen een legitiem en nuttig hulpmiddel zijn om ervoor te zorgen dat de dienstverlening via internet naar behoren functioneert. Deze functie zorgt er bijvoorbeeld voor dat de door de gebruiker zelf gekozen persoonlijke instellingen en voorkeuren van een site (zoals de taal) worden «onthouden» bij het browsen binnen het bezochte internetdomein en bij herhaald bezoek aan dit domein. Deze cookies worden alleen geplaatst en gelezen door de website (het domein) die de gebruiker zelf bezoekt. Er zijn met andere woorden situaties waarin de technische opslag of toegang tot gegevens inherent is aan de toegepaste techniek voor de communicatie over een elektronisch communicatienetwerk: zonder deze technische opslag of toegang tot gegevens, is communicatie met gebruik van voorkeuren en instellingen niet mogelijk dan wel uitermate moeilijk. 4 Geen verplichting tot informatieverstrekking bij toepasselijkheid lid 3 2. Richtlijn 2009/136/EG van 25 november Kamerstukken II 2010/11, , nr. 7, p Kamerstukken II 2010/11, , nr. 3, p. 78.

4 In de Q&A geeft OPTA aan dat eindgebruikers geïnformeerd dienen te worden over cookies die vallen onder de uitzonderingen van artikel 11.7a lid 3 Tw. Dat is echter niet juist. Artikel 11.7a lid 3 Tw bepaalt immers uitdrukkelijk dat het bepaalde in lid 1 en 2 niet van toepassing is als een van de uitzonderingssituaties zich voordoet. Dat betekent dat ook de verplichting tot informatieverstrekking in dat geval niet van toepassing is. Nu OPTA terecht aangeeft dat no-follow cookies vallen onder de uitzondering sub b, bestaat er voor die cookies geen informatieverplichting. Dat blijkt ook uit de Memorie van Toelichting, waarin dit uitdrukkelijk is aangegeven: Over het opslaan van en toegang verkrijgen tot dergelijke gegevens hoeft de gebruiker dus op basis van het derde lid niet te worden geïnformeerd, noch behoeft toestemming te worden verkregen. 5 PIBN verzoekt OPTA de Q&A overeenkomstig aan te passen. 3. Verantwoordelijke partij In de Q&A geeft OPTA aan dat de eigenaren van websites het aanspreekpunt zijn voor welke informatie hun site biedt en welke gegevens de websites wensen op te slaan. De verplichtingen in verband met het gebruik van cookies worden door de wet echter niet aan de eigenaar van een website opgelegd, maar aan de partij die toegang wenst te krijgen tot gegevens die in de randapparatuur van eindgebruikers zijn opgeslagen danwel gegevens wenst op te slaan in de randapparatuur van eindgebruikers. Alleen in het geval van first party cookies rusten de verplichtingen ex artikel 11.7a lid 1 dus op de eigenaar van een website. Waar het third party cookies betreft, rusten de verplichtingen op de betreffende third party. Dat wordt ook aangegeven in de Memorie van Toelichting: De verplichtingen op grond van artikel 11.7a rusten op degene die verantwoordelijk is voor het plaatsen van gegevens in de randapparatuur en het verkrijgen van toegang tot de in de randapparatuur opgeslagen gegevens. Dit is niet altijd degene die verantwoordelijk is voor de door de gebruiker bezochte site (domein) of gevraagde dienst. Het komt veel voor dat de bezochte site zich als frame voor andere sites voordoet, met andere woorden via zijn eigen site een andere site vertoont. Een voorbeeld hiervan is een adverteerder die via een banner op een andere site zijn site, bestaande uit een advertentie, toont. Deze adverteerder kan bij het vertonen van de banner een cookie gebruiken. Op de adverteerder rusten dan de verplichtingen bedoeld in het eerste lid voor de door de adverteerder gebruikte cookie Kamerstukken II 2010/11, , nr. 3, p Kamerstukken II 2010/11, , nr. 3, p. 80.

5 Omdat de informatieplicht in artikel 11.7a lid 1 sub a voor een adverteerder lastig uit te voeren kan zijn, kan de adverteerder overeenkomen met de verantwoordelijke voor de site waarop zijn banner is te zien, dat de laatste de informatieverplichting namens de adverteerder zal uitvoeren. 7 Werkgroep 29 heeft ook aangegeven dat er in die zin sprake kan zijn van een gedeelde verantwoordelijkheid van websitehouder en adverteerder. 8 Het volledig verleggen van de verantwoordelijkheid naar de eigenaar van de website is echter in strijd met de wet en onredelijk. PIBN gaat er dan ook vanuit dat OPTA heeft willen aansluiten bij de mening van de uitleg van de minister en Werkgroep 29 en ontvangt daarvan graag een bevestiging. Een andere situatie doet zich voor wanneer partijen op verzoek van hun klanten diensten uitvoeren waarbij voor rekening en risico van de klant cookies worden geplaatst en/of uitgelezen. Het betreft hier het leveren van puur technische diensten. PIBN ontvangt graag bevestiging van OPTA dat de opdrachtgever in dat geval verantwoordelijk is voor naleving van artikel 11.7a Tw. 4. Do Not Track PIBN benadrukt dat het vereiste van opt-in, zoals de verplichtingen op grond van de wetswijziging door OPTA worden geïnterpreteerd (p. 6 Q&A), geenszins uit de eprivacy Richtlijn volgt. Sterker nog, de eprivacy Richtlijn bepaalt juist in overweging 66 dat toestemming door middel van browsers mogelijk is. Ook de Nederlandse minister van Economische Zaken, Landbouw en Innovatie heeft tijdens de implementatie aangegeven dat de toestemming op verschillende wijzen kan worden gegeven, zowel expliciet als meer impliciet. 9 Zowel Eurocommissaris Kroes 10 als de Nederlandse minister 11 hebben bovendien de voorkeur gegeven aan het ontwikkelen van zogenaamde Do Not Track standaarden. Dat heeft Kroes ook zeer recent nog bevestigd. 12 Reden waarom de minister de voorkeur heeft uitgesproken dat OPTA vooralsnog terughoudend toezicht houdt en er daarbij zorg voor draagt dat Nederland niet uit de pas loopt met de overige EU-landen. Zodra er wel consensus is, kan OPTA zo nodig met beleidsregels een nadere invulling geven. 13 PIBN ontvangt van OPTA graag bevestiging dat zij aan dit verzoek zal voldoen en dat de voorkeur van OPTA ook uitgaat naar het implementeren van Do Not Track standaarden. 7. Kamerstukken II 2010/11, , nr. 3, p Opinion 2/20120, 22 June Kamerstukken II 2010/11, , nr. 7, p Speech/11/ Handelingen I 28 mei 2012, EK Speech/12/ Kamerstukken I 2011/12, , nr. G, p. 2-3.

6 PIBN verzoekt u dringend rekening te houden met het voorgaande bij handhaving van artikel 11.7a Tw en ziet uw reactie graag tegemoet. PIBN is vanzelfsprekend ook graag bereid een bespreking te plannen waarin bovenstaande punten nader kunnen worden toegelicht. Bij voorbaat dank voor uw aandacht. Met vriendelijke groet, Jonas Nouwen, Directeur PIBN