Blogtekst geplaatst op

Transcriptie

1 Blogtekst geplaatst op Is het bij de cookie bepaling in de Telecommunicatiewet nu in alle gevallen toestemming of ondubbelzinnige toestemming? Of is het wellicht enkel bij de beharioral advertising third party cookies ondubbelzinnige toestemming? Het is in de Telecommunicatiewet in alle gevallen gewoon en simpelweg toestemming! En brengt deze constatering ons nu heel erg veel verder? Nog niet eens zo veel eigenlijk. 1 De discussie De discussie over wat bekend staat als de cookie-bepaling van de nieuwe Telecommunicatiewet gaat onder andere over de vraag of er in de nieuwe tekst van de Telecommunicatiewet (art. 11.7a) nu sprake moet zijn van toestemming of van ondubbelzinnige toestemming, waarbij de ondubbelzinnige toestemming dan eventueel enkel voor bepaalde gevallen zoals behavioral advertising cookies zou moeten gelden. Het zal voor de lezer duidelijk zijn dat de vraag of het nu toestemming of ondubbelzinnige toestemming moet zijn, het onderwerp van dit stuk is, althans het belangrijkste onderwerp. En de titel maakt al duidelijk wat mijn opvatting is. Maar laat ik de lezer ook meteen maar waarschuwen. Het is een lang stuk, op onderdelen is het een erg technisch juridisch verhaal en de vraag wat dan bijvoorbeeld precies het verschil is tussen toestemming en ondubbelzinnige toestemming, komt niet eens aan de orde. Dat de cookie-bepaling (art. 11.7a) niet enkel betrekking heeft op cookies, maar bijvoorbeeld ook op spyware, en dat er een tweedeling voor cookies is waarbij de regeling (informeren en toestemming) niet van toepassing is op bijvoorbeeld cookies die noodzakelijk zijn bij een bestelling (bestelmandje) via internet, laat ik hier verder buiten beschouwing. Dat raakt de (juridische) vraag of er sprake moet zijn van toestemming of van ondubbelzinnige toestemming immers niet inhoudelijk. In een eerste concept wetsvoorstel (consultatieversie van april 2010) was er voor alle gevallen sprake van ondubbelzinnige toestemming (art. 11.3a). Na commentaar is dat in het voorstel van wet van november 2010 gewijzigd in toestemming (art. 11.7a). In maart 2011 was er vervolgens een brief van het College bescherming persoonsgegevens (Cbp) met daarin de stelling dat het toch in alle gevallen ondubbelzinnige toestemming moet zijn. Een opvatting die, ongetwijfeld in navolging van de brief van het Cbp, opgenomen was in een amendement van 7 juni 2011 van PVV, D66 en PvdA (TK 2010/2011, , nr. 14). Het amendement wilde er in de Telecommunicatiewet (weer) in alle gevallen ondubbelzinnige toestemming van maken bij cookies (art. 11.7a). Inmiddels is het amendement van 7 juni op 14 juni vervangen door een aangepast amendement (nr. 34). Het gewijzigde amendement is daarbij afgestapt van de opvatting dat het bij cookies in alle gevallen om ondubbelzinnige toestemming zou moeten gaan. Volgens de toelichting is toestemming voldoende als bijvoorbeeld een first party cookie gebruikt wordt om de bezoeker te herkennen bij een herhaalbezoek. Het gewijzigd amendement stelt nu dat er, kort gezegd, ondubbelzinnige toestemming moet zijn bij behavioral advertising bij met name third party cookies omdat in die gevallen enkel en alleen de ondubbelzinnige toestemming van artikel 8a Wbp een grondslag voor het verwerken van persoonsgegevens zou kunnen zijn. En in die zin lijkt het gewijzigde amendement toch vooral een wat onnodige (en daardoor ook wat verwarrende) dubbeling van wat in artikel 8a Wbp al geregeld is.

2 Dat het om ondubbelzinnige toestemming moet gaan staat (vooral) in de al genoemde brief van het Cbp aan de Tweede Kamer van 14 maart Een brief die overigens pas op 22 april openbaar gemaakt is op de website van het Cbp met als kop Cbp stuurt Tweede Kamer brief over wetsvoorstel Telecommunicatiewet (moet dat dan niet zijn stuurde?). Het gaat mij dan vooral om de tekst bovenaan blz. 3 van die brief van het Cbp. De gehele juridische redenering zit daar, als ik het goed zie, eigenlijk in (maar) twee zinnetjes: De richtlijn burgerrechten bevat niet voor niets een glasheldere verwijzing naar de algemene privacyrichtlijn. De enige conclusie die uit beide richtlijnen getrokken kan worden is dat er ondubbelzinnige toestemming is vereist voor het plaatsen en uitlezen van cookies omdat dat in vrijwel alle gevallen leidt tot een verwerking van persoonsgegevens. Volgens mij zegt de Richtlijn (de Richtlijnen) eenvoudigweg dat het gaat om toestemming en niet om ondubbelzinnige toestemming. Het Cbp stelt dus een te zware vorm van toestemming verplicht en daarbij is de mening van het Cbp volgens mij eenvoudigweg in strijd met de Richtlijnen. De Cbp-opvatting dat het in alle gevallen om ondubbelzinnige toestemming moet gaan, is inmiddels overigens ook door de indieners van het gewijzigde amendement (nr. 34) verlaten. In die zin is dit stukje deels al een beetje achterhaald door het gewijzigde amendement. Want het is nu wel duidelijk dat de voor 21 juni geplande stemming niet als resultaat zal hebben dat het bij cookies in alle gevallen om de door het Cbp bepleite ondubbelzinnige toestemming zal gaan. Er is thans immers geen amendement meer dat pleit voor ondubbelzinnige toestemming in alle gevallen. Tenzij er natuurlijk alsnog weer een amendement komt dat inhoudelijk gelijk zou zijn aan het eerdere amendement van 7 juni (nr. 14). Hieronder geef ik niettemin aan waarom de opvatting van het Cbp strijdig is met de Richtlijnen en waarom het dus toestemming moet zijn. Ook geef ik aan dat het gewijzigde amendement (nr. 34) niet in alle gevallen juist lijkt te zijn en tevens dat het daarnaast een wat overbodige dubbeling van artikel 8a Wbp zou zijn voor de gevallen waarin de ondubbelzinnige toestemming van artikel 8a Wbp inderdaad de enige grondslag voor het verwerken van persoonsgegevens zou zijn. Bij de vraag of het toestemming of ondubbelzinnige toestemming is, gaat het om een nogal technisch juridische discussie. De lezers die al dat technisch juridisch gedoe wel geloven, kunnen wat mij betreft direct doorgaan naar het slot (onderdeel 7) en de oproep (onderdeel 8) aan het eind. Daarin komen de verschillende soorten toestemming en de onduidelijkheden nog een keer aan de orde en wordt, zo neem ik aan, duidelijk dat er bij de komende aanpassing van de Algemene Privacyrichtlijn nog eens goed nagedacht zou moeten worden over de elementen van toestemming en de toepassing daarvan in de praktijk. Het is bij de nogal technisch juridische discussie nodig om eens heel nauwkeurig met de verschillende wetsteksten aan de gang te gaan. Daarbij is wat mij betreft op voorhand duidelijk dat de tekst van de Telecommunicatiewet voor wat toestemming aangaat precies aan moet sluiten bij de tekst van de etelecomrichtlijn. Die Richtlijn geeft bij het begrip toestemming in artikel 5, lid 3, geen ruimte voor afwijking door de lidstaten. De Richtlijn geeft volgens mij dan ook geen ruimte aan de lidstaten om bijvoorbeeld in het nationale recht de toestemming van de etelecomrichtlijn te verzwaren door er ondubbelzinnige toestemming van te maken. En ook artikel 15 van de etelecomrichtlijn, dat de mogelijkheid biedt om in bepaalde gevallen rechten en verplichtingen te kunnen beperken, wijst juist in een tegengestelde richting dan het kunnen verzwaren van de voorwaarden. 2 De Richtlijnbepalingen

3 De relevante artikelen van de richtlijnen worden hieronder weergeven en deels van opmerkingen voorzien. Als eerste komt daarbij de etelecomrichtlijn aan de orde en vervolgens de Algemene Privacyrichtlijn. 2.1 De etelecomrichtlijn De etelecomrichtlijn is DIRECTIVE 2002/58/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications). Deze etelecomrichtlijn uit 2002 is in 2006 en in 2009 gewijzigd. Article 2 Definitions (f) consent by a user or subscriber corresponds to the data subject's consent in Directive 95/46/EC; Deze definitie van consent is in 2002 opgenomen in de etelecomrichtlijn. De aanpassing van de etelecomrichtlijn door de Richtlijn van 25 november 2009 wijzigt deze definitie niet. De Richtlijn uit 2009 heeft dan ook geen betrekking of invloed op deze definitie van consent. De consent wordt sinds 2002 al gebruikt voor bijvoorbeeld de prior consent bij van art. 13 etelecomrichtlijn. Article 5 Confidentiality of the communications (het cookie artikel) 3. Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia, about the purposes of the processing. This shall not prevent any technical storage or access for the sole purpose of carrying out the transmission of a communication over an electronic communications network, or as strictly necessary in order for the provider of an information society service explicitly requested by the subscriber or user to provide the service. Het is dit artikel 5, lid 3, dat door de Richtlijn van 25 november 2009 is gewijzigd. Zie daarvoor artikel 2, onderdeel 5) van de DIRECTIVE 2009/136/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 25 November 2009 amending Directive 2002/22/EC on universal service and users rights relating to electronic communications networks and services, Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector and Regulation (EC) No 2006/2004 on cooperation between national authorities responsible for the enforcement of consumer protection laws. Kort gezegd is de oude opt-out voor cookies uit 2002 in 2009 vervangen door een opt-in. Dat is overigens de enige wijziging van het artikel. Dat de toestemming overigens voorafgaand moet zijn volgt uit de zinsnede has given. De verwijzing naar de Algemene Privacyrichtlijn was ook in 2002 al opgenomen in het artikel. De verwijzing naar de Algemene Privacyrichtlijn is dan ook niet nieuw of toegevoegd door de Richtlijn uit De verwijzing heeft al sinds 2002 betrekking op het informeren van betrokkenen. De door het Cbp gemelde glasheldere verwijzing heeft daarom geen, zoals het Cbp de lezer toch wel een beetje wil doen geloven, betrekking op de toestemming die (pas) in 2009 in de tekst is opgenomen. Dit alleen al omdat de verwijzing in 2002 simpelweg ook nog geen betrekking op toestemming kon hebben. In 2002 was er immers enkel sprake was van het informeren en het bieden van opt-out (right to refuse).

4 Dat het Cbp nu in de brief van 17 maart 2011 stelt dat de enige conclusie die door deze verwijzing naar de Algemene Privacyrichtlijn getrokken kan worden is dat er dus ondubbelzinninge toestemming vereist is, kan ik eerlijk gezegd dan ook niet zo goed volgen en het lijkt ergens toch meer iets weg te hebben van het spreekwoord van de appels en peren, dan dat het gaat om een uitleg van bepalingen vanuit onder andere een historisch perspectief. Article 13 Unsolicited communications (het artikel) 1. The use of automated calling and communication systems without human intervention (automatic calling machines), facsimile machines (fax) or electronic mail for the purposes of direct marketing may be allowed only in respect of subscribers or users who have given their prior consent. Zoals al is aangegeven, wordt consent al sinds 2002 gebruikt voor bijvoorbeeld de prior consent bij (art. 13. Lid 1, etelecomrichtlijn). Daarbij is er ook in de Telecommunicatiewet overigens geen sprake van ondubbelzinnige toestemming (art Telecommunicatiewet), terwijl het volgens de tekst van de etelecomrichtlijn toch om dezelfde definitie van toestemming gaat. Dat er bij in de tekst van art. 13 etelecomrichtlijn sprake is van prior consent doet daar niet aan af. Uitgangspunt bij alle vormen van toestemming is dat deze vooraf plaatsvindt. In die zin geeft het prior in art. 13 etelecomrichtlijn geen onderscheidende inhoudelijke voorwaarde ten aanzien van andere vormen van consent die ook voorafgaand zijn door met name de zinsnede has given. In een boetebesluit van de OPTA van 19 april 2011 (OPTA/ACNB/2011/200904_OV, / ) geeft de OPTA een uitgebreide uitwerking van wat toestemming bij spam betekent (zie ook en vooral de Bijlage bij dat besluit). In het gehele stuk is er geen sprake van ondubbelzinnig. Dus voor wat betreft is de toestemming van de etelecomrichtlijn niet een ondubbelzinnige toestemming, maar gewoon toestemming. Interessant, of zelfs opmerkelijk, is nr. 106 van dit OPTA-besluit. Daarin wordt aangegeven dat de OPTA de interpretatie van toestemming voorgelegd heeft aan het Cbp en dat het Cbp ingestemd heeft met de toepassing door de OPTA van het begip toestemming. Een vraag die dan onwillekeurig toch in gedachten komt is: hoe kan het Cbp verklaren dat het bij toestemming is (zie de OPTA-zaak) en dat het bij cookies volgens de brief van maart 2011 dan (ineens) ondubbelzinnige toestemming zou moeten zijn? 2.2 De Algemene Privacy Richtlijn De Algemene Privacy Richtlijn is DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. De Algemene Privacy Richtlijn geeft een definitie van toestemming (art. 2) en geeft een regeling over de toestemming als grond voor het verwerken van gegevens (art. 7) en over de toestemming om het verbod op het verwerken van bijzondere gegevens op te heffen (art. 8). Article 2 Definitions (h) the data subject's consent shall mean any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed. Article 7 (CRITERIA FOR MAKING DATA PROCESSING LEGITIMATE) Member States shall provide that personal data may be processed only if: (a) the data subject has unambiguously given his consent;

5 Article 8 The processing of special categories of data 2. Paragraph 1 shall not apply where: (a) the data subject has given his explicit consent to the processing of those data, except where the laws of the Member State provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject's giving his consent; Dat er bij de toestemming van zowel art. 7 als die van art. 8 eveneens sprake is van voorafgaande toestemming (voorafgaande aan het verwerken van gegevens) volgt uit de zinsnede has given. Voor zover mij bekend, staat het feit dat er voorafgaande toestemming moet zijn niet ter discussie en is er daarover in privacyland ook geen onduidelijkheid. 3. De verschillende soorten consent Als je de verschillende regelingen bekijkt, dan zijn er diverse soorten consent te ontdekken. Bij alle gevallen is er overigens sprake van opt-in. Omdat er in alle gevallen sprake is van opt-in, is de kritiek van de branche dat er onvoldoende gelet wordt op de toch vooral opt-out achtige initiatieven zoals bijvoorbeeld te vinden op ook wel een beetje mosterd na de maaltijd. Wellicht is een dergelijk opt-out systeem met een soort van verplicht cookie-me-niet-register aantrekkelijker of beter uitvoerbaar dan de huidige voorafgaande consent, maar zo n verplicht opt-out register is sinds de wijzing van de cookie-bepaling in 2009 toch een (wat) gepasseerd station. De etelecomrichtlijn spreekt thans nu eenmaal van consent (opt-in) en niet meer van refuse (optout). Maar goed, de komende wijziging van de Algemene Privacyrichtlijn is wellicht een aangewezen moment om, zeker ten aanzien van het wereldwijde internet, nog eens goed na te denken of strategieën zoals cookie-me-niet, track-me-niet, behavioural-market-me-niet, wifi-router-me niet of locatie-track-me-niet, wellicht niet geschikter zijn dan het (verder) volgen van een weg met verboden en allerlei opt-in-en met eventueel zelfs voorafgaande ondubbelzinnige toestemming. De verschillende vormen van consent zijn: - consent in definitie in de etelecomrichtlijn. In de Algemene Privacyrichtlijn omschreven als the data subject s consent. Stikt genomen gaat het hierbij enkel om een definitie en in die zin is deze definitie geen bepaling die een inhoudelijke regeling bevat. Definities zijn ook niet bedoeld om een inhoudelijke regeling te geven; ze worden gebruikt om een begrip dat meerdere keren voorkomt niet iedere keer helemaal uit te moeten schrijven. Om die reden is enkel de definitie geen echte vorm van consent. - consent als voorwaarde om cookies etc. te (mogen) plaatsen of uitlezen (5, lid 3, etelecomrichtlijn). Deze consent van artikel 5 Telecomrichtlijn vult het element informed van de definitie van de Algemene Privacyrichtlijn wat nader in als je naar de tekst van lid 3 kijkt. Door enkel van consent te spreken, heeft de niet-inhoudelijke definitie in art. 5, lid 3 een inhoudelijke betekenis gekregen. Deze toestemming moet, zoals gezegd, voorafgaand zijn. Dit volgt uit de zinsnede has given. Deze consent bij cookies is inhoudelijk gezien hetzelfde als de prior consent bij omdat er in beide gevallen geen sprake is van unambiguously given of explicit. - the data subject s unambiguously given consent als grond voor het verwerken van persoonsgegevens uit artikel 7, onder a, van de Algemene Privacyrichtlijn. Deze consent is een grondslag voor het verwerken van persoonsgegevens en heeft als extra voorwaarde c.q. als extra element (een extra voorwaarde c.q. extra element bovenop de definitie) dat er sprake moet

6 zijn van unambiguously given consent. Ook deze toestemming moet, zoals gezegd, voorafgaand zijn. Dit volgt uit de zinsnede has given. - the data subject s explicit consent van artikel 8, lid 2, onder a, van de Algemene Privacyrichtlijn als een mogelijkheid om het verbod op het verwerken van bijzondere persoonsgegevens op te heffen. Hier is de extra voorwaarde bovenop de definitie het begrip explicit. Vast staat dat explicit zwaarder is dan unambiguously. In die zin is de drempel bij explicit hoger. En ook deze toestemming moet voorafgaand zijn. Je zou ook kunnen zeggen dat er bij toestemming een aantal drempels of trappen zijn. Trap 1: de definitie van consent in beide richtlijnen en, als inhoudelijke bepaling, in de etelecomrichtlijn ten aanzien van en cookies. Dit is de (voorafgaande) toestemming van bijvoorbeeld artikel 11.7 Telecommunicatiewet bij . Trap 2: consent als grondslag voor verwerken van gegevens uit art. 7 van de Algemene Privacyrichtlijn: de definitie + unambiguously given. Dit is de ondubbelzinnige toestemming van artikel 8, onder a, Wbp. Trap 3: consent als een voorwaarde om het verbod op het verwerken van bijzondere gegevens op te heffen uit artikel 8 van de Algemene Privacy Richtlijn: de definitie + explicit. Dit is de uitdrukkelijke toestemming van artikel 23, lid 1, onder a, Wbp. 4 De Telecom-samenvoeging Om de precieze betekenis van een artikel (hier artikel 5 lid 3) te bezien is het vaak een voordeel om, zeker als daarin een al eerder gegeven definitie gebruikt wordt, de volledige tekst inclusief definitie toch maar eens volledig uit te schrijven. Dat gebeurt hieronder in twee stappen. 4.1 Eerste stap samenvoegen Omdat artikel 2 van de etelecomrichtlijn verwijst naar (corresponds to) de definitie uit de Algemene Privacyrichtlijn, kun je die twee definities samenvoegen. Door het samenvoegen krijg je een uitgeschreven tekst voor de definitie van artikel 2 van de etelecomrichtlijn. Het wordt dan: consent shall mean any freely given specific and informed indication of his wishes by which the subscriber or user signifies his agreement to personal data relating to him being processed. Hierbij is dan het begrip data subject uit de Algemene Privacyrichtlijn vervangen door subscriber or user. Dat is omdat de definitie van de etelecomrichtlijn al over subscriber or user spreekt. 4.2 Tweede stap samenvoegen Vervolgens kun je ook nog die uitgeschreven definitie samenvoegen met de regeling van artikel 5, lid 3, van de etelecomrichtlijn. Dit om zo precies te beschrijven wat de consent in artikel 5, lid 3, nu eigenlijk inhoudt. Dan krijg je de volledige beschrijving van consent zoals bedoeld in artikel 5 lid 3: consent shall mean any freely given specific and informed (i.e having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia, about the purposes of the processing) indication of his wishes by which the subscriber or user concerned signifies his agreement to the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber.

7 Het bijzondere bij deze samenvoeging is dat een verwijzing naar het element personal data uit de consent van artikel 5, lid 3, etelecomrichtlijn verdwenen is. En dat is ook de bedoeling. Want artikel 5, lid 3, is nadrukkelijk ook van toepassing als er geen sprake is van persoonsgegevens. Je zou in die zin kunnen zeggen dat het element personal data vervangen is door the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber. 5 Conclusie Als je de hierboven samengestelde tekst van artikel 5, lid 3, van de Telecom Richtlijn beziet, dan komt de term unambiguously given daar dus simpelweg niet in voor. De stelling van het Cbp dat er t.a.v. de cookies in de tekst van de Telecommunicatiewet sprake moet zijn van ondubbelzinnige toestemming miskent dan ook de structuur van de EG-Richtlijnen. Het Cbp leest de consent uit artikel 5 lid 3 van de Telecomrichtlijn kennelijk als the data subject's unambiguously given consent. Daarmee verwart het Cbp de definitie van consent uit artikel 2 van de etelecomrichtlijn, artikel 2 van de Algemene Privacyrichtlijn en de toepassing van die definitie in artikel 5, Lid 3, van de etelecomrichtlijn aan de ene kant met de unambiguously given consent als grond voor het verwerken van gegevens uit artikel 7 van de Algemene Privacyrichtlijn aan de andere kant. Anders gezegd: het Cbp hanteert ten onrechte artikel 7 van de Algemene Privacyrichtlijn, daar waar de etelecomrichtlijn in zowel artikel 2 als in artikel 5 (enkel) naar de definitie in artikel 2 van de Algemene Privacyrichtlijn verwijst. En daarbij komt nog, het is hierboven al aangegeven, dat het Cbp de consent ten aanzien van kennelijk anders opvat en uitlegt dan (dezelfde) consent ten aanzien van cookies. Inmiddels is het aangepaste amendement (nr. 34) ook afgestapt van de Cbp-opvatting dat het in alle gevallen om ondubbelzinnige toestemming zou moeten gaan. 6 Heeft het Cbp het nu helemaal bij het verkeerde eind? Als ik het goed zie, dan kunnen er drie situaties spelen bij de cookies. 1) Er is bij the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber geen sprake van persoonsgegevens. Dan gaat het (enkel) om de consent van de etelecomrichtlijn. In deze situatie is de opvatting van het Cbp dan ook wetsystematisch (lees: richtlijnsystematisch) onjuist. 2) Er is bij the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber wel sprake van persoonsgegevens én de verantwoordelijke kan zich beroepen op een andere verwerkingsgrond dan de unambiguously given consent. Ook in deze situatie gaat het (enkel) om de consent van de etelecomrichtlijn en is de opvatting van het Cbp ook in dit geval wetsystematisch onjuist. 3) Er is bij the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber wel sprake van persoonsgegevens én de verantwoordelijke kan zich enkel beroepen op de unambiguously given consent als grondslag voor het verwerken van die persoonsgegevens (c.q. kan zich niet op een andere verwerkingsgrond dan de unambiguously given consent beroepen). Hierbij is de unambiguously given consent nodig als grondslag voor het verwerken van persoonsgegevens. In deze situatie slokt de unambiguously given consent die benodigd is als grondslag voor het verwerken van persoonsgegevens de gewone consent van artikel 5, lid 3, etelecomrichtlijn voor de cookies als het ware op. Het voor die gevallen ook in de Telecommunicatiewet voorschrijven van ondubbelzinnige toestemming zou een wat overbodige en ook wat verwarrende dubbeling zijn lijkt me.

8 In de brief van het Cbp lijkt het er op, dat het Cbp enigszins van mening is dat het eigenlijk over deze derde situatie zou gaan. Ik herhaal de relevante passage nog een keer. Het Cbp stelt: De richtlijn burgerrechten bevat niet voor niets een glasheldere verwijzing naar de algemene privacyrichtlijn. De enige conclusie die uit beide richtlijnen getrokken kan worden is dat er ondubbelzinnige toestemming is vereist voor het plaatsen en uitlezen van cookies omdat dat in vrijwel alle gevallen leidt tot een verwerking van persoonsgegevens. Uit de passage blijkt dat volgens het Cbp een belangrijke reden waarom het cookie-artikel over ondubbelzinnige toestemming zou moeten spreken het feit is dat het in vrijwel alle gevallen gaat om het verwerken van persoonsgegevens. Maar ja, denk ik dan: in vrijwel alle gevallen is niet helemaal hetzelfde als in alle gevallen. En dat er in vrijwel alle gevallen sprake is van het verwerken van persoonsgegevens, wil volgens mij nog niet als vanzelf zeggen dat de grondslag van ondubbelzinnige toestemming van art. 8a Wbp dan ook de enig mogelijke grondslag zou zijn. Dat er in de praktijk bij cookies in vrijwel alle gevallen sprake is van de derde situatie waarbij het gaat om het verwerken van persoonsgegevens en waarbij de toestemming van artikel 7 van de Algemene Privacyrichtlijn nodig is als grondslag om de persoonsgegevens te verwerken, is overigens ook een wat boude bewering lijkt me. Wat bijvoorbeeld te denken van de cookies op PC s van bedrijven met bijvoorbeeld enkel het bedrijfs IP-adres? Is dat niet situatie 1? Helemaal geen sprake van persoonsgevens, ook niet als de cookie gebruikt wordt voor bijvoorbeeld behavioral advertising? En waarom zou bijvoorbeeld artikel 8f Wbp (het gerechtvaardigde bedrijfsbelang) geen grondslag voor verwerken kunnen zijn (situatie 2)? In de inmiddels bekende Google zaak kwam het Cbp immers tot het standpunt dat het verzamelen en verwerken van MAC-adressen en lokatiegegevens van wifirouters door Google gebaseerd kan worden op het gerechtvaardigd bedrijfsbelang van Google (art. 8f Wbp), mits er maar extra waarborgen (opt-out) zouden zijn. Het lijkt me dat er dan ook wel cookiesituaties kunnen zijn waarbij het bedrijfsbelang van de cookie-plaatser een voldoende grond voor het verwerken van persoonsgegevens oplevert. En dat dan ook bij third party of behavioral advertising cookies omdat Google bij het verzamelen van de MAC-adressen tijdens het maken van streetview foto s toch meer vergelijkbaar is met een third party cookie plaatser dan met een first party cookie plaatser zou ik zo zeggen. In die zin is de ondubbelzinnige toestemming van artikel 8a Wbp als grondslag bepaald niet de enge grondslag die mogelijk is. Artikel 8f Wbp kan ook een grondslag zijn voor zowel first als third party cookies. En artikel 8f Wbp kan volgens mij ook een grondslag zijn bij behavioral advertising. Dit dan net zoals art. 8f een grondslag kan zijn bij andere vormen van marketing. Om de betekenis van de etelecom-consent bepaling die op drie verschillende situaties van toepassing is, dan geheel gelijk te stellen aan een praktische uitwerking in één van die drie situaties (namelijk de 3e) is niet helemaal juist lijkt me. En daar komt nog bij dat bij cookies waarbij er a) persoonsgegevens verwerkt worden en waarbij b) alleen de ondubbelzinnige toestemming van artikel 8a Wbp als grondslag voor het verwerken kan dienen (situatie 3), de toestemming in de Telecommunicatiewet (art. 11.7a) helemaal niet ondubbelzinnig hoeft te zijn omdat de dan benodigde grondslag van artikel 8a al over ondubbelzinnig spreekt. Het aangepaste amendement (nr. 34) is dan toch vooral een wat overbodige dubbeling van wat al in artikel 8a Wbp geregeld is. En zo n dubbeling maakt het er ook weer niet duidelijker op. Daarnaast miskent het aangepaste amendement, zoals gezegd, dat ook bij third party of bij behavioral advertising cookies het gerechtvaardigd bedrijfsbelang van artikel 8f een passende grondslag kan zijn. Anders gezegd: het aangepaste amendement houdt in ieder geval geen of toch onvoldoende rekening met situatie 2. 7 Slot En dan kom ik als slot zo ongeveer tot het volgende.

9 Het is bij cookies volgens mij simpelweg toestemming en het Cbp heeft het met de ondubbelzinnige toestemming die in het nieuwe artikel 11.7a van de Telecommunicatiewet zou moeten komen toch bij het verkeerde eind zou ik zo zeggen. Het bij cookies opnemen van de voorwaarde dat het altijd om ondubbelzinnige toestemming gaat is volgens mij in strijd met artikel 5, lid 3, van de etelecomrichtlijn. Het miskent tevens dat bijvoorbeeld ook het gerechtvaardigd bedrijfsbelang van artikel 8f Wbp een grondslag voor het verwerken van persoonsgegevens bij cookies kan zijn; zelfs en ook bij third party cookies of bij behavioral advertising cookies. Om deze laatste reden is ook het aangepaste amendement (nr. 34) niet juist lijkt me. Het aangepaste amendement lijkt er, als ik het goed lees, nogal vanuit te gaan dat het bij marketing altijd om de grondslag van toestemming moet gaan en dat artikel 8f Wbp geen adequate grondslag voor marketing of behavioral advertising zou kunnen zijn. Daarnaast is het gewijzigde amendement een wat onnodige en verwarrende, en alleen al daardoor dus een onwenselijke, dubbeling van artikel 8a Wbp ten aanzien van toestemming als grondslag voor het verwerken van persoonsgegevens. Het is wellicht voorstelbaar dat er inderdaad redenen zijn om te bepalen dat internetmarketing of behavioral advertising alleen (nog) toelaatbaar is of toelaatbaar zou mogen zijn als er sprake is van ondubbelzinnige toestemming en dat deze ondubbelzinnige toestemming dan ook de enig mogelijk grondslag voor het verwerken van persoonsgegevens is. Maar de Algemene Privacyrichtlijn en de etelecomrichtlijnen bieden daarvoor op dit moment nog geen afdoende juridische basis. Anders gezegd: het gewijzigde amendement (nr. 34) is volgens mij juridisch pas mogelijk als een dergelijke bepaling eerst op Europees niveau opgenomen wordt in de Algemene Privacyrichtlijn of in de etelecomrichtlijn. Dat er in de privacywetgeving inmiddels ten minste drie inhoudelijk verschillende vormen van toestemming omstaan zijn en dat de cookie-toestemming in de etelecomrichtlijn geheel gelijk is aan de definitie van toestemming (geen extra voorwaarden), heeft het er allemaal niet duidelijker op gemaakt. Wat nu inhoudelijk precies het verschil is tussen - de toestemming bij de cookies, - de ondubbelzinnige toestemming als grondslag voor verwerken van artikel 8a Wbp, en - de uitdrukkelijke toestemming van artikel 23, lid 1, onder a, Wbp om het verbod op het verwerken van bijzondere gegevens op te heffen, is hier nog niet eens aan de orde geweest en in de discussie over de cookies ook niet echt aan de orde geweest. En daarmee kom ik wat mij betreft op het echte onderwerp van discussie. Wat zijn nu, zeker voor de praktijk, de inhoudelijke en ook in de praktijk toepasbare verschillen tussen die drie toestemmingen? Wanneer is een toestemming ondubbelzinnig? Wanneer is een toestemming uitdrukkelijk? En wanneer is (al) voldaan aan de vereisten van gewone toestemming? En in die zin had ik het toch prettiger gevonden als het Cbp in de brief van 14 maart juist dat als onderwerp gekozen zou hebben. Dan hadden we wellicht wat meer zicht gehad op de verschillen tussen de drie inhoudelijke vormen van toestemming. De nu in die brief opnieuw aangezwengelde discussie of het bij cookies om toestemming of ondubbelzinnige toestemming moet gaan heeft aan die inhoudelijke discussie helaas niet zo veel bijgedragen lijkt me. 8 Oproep

10 Sluit ik af met de oproep dat het me nuttig lijkt om, zeker ook in verband met de komende wijziging van de Algemene Privacyrichtlijn, eens goed uit te zoeken en na te denken hoeveel inhoudelijk verschillende vormen van toestemming we willen hebben, hoeveel verschillende vormen van toestemming nog zinvol is en ook wat dan precies de verschillen zijn tussen die toestemmingen. En dat dan op een manier dat de verschillen ook in de praktijk uitvoerbaar en toepasbaar zijn zou ik zo zeggen. En of we bij de aanpassing van de Algemene Privacyrichtlijn de industrie moeten volgen met opt-out achtige scenario s zoals cookie-me-niet, track-me-niet, behavioural-market-me-niet, wifirouter-me niet of locatie-track-me-niet, of dat we de privacyridders moeten volgen door bijvoorbeeld in de toekomst alleen nog de ondubbelzinnige toestemming als grondslag toe te staan, weet ik zo net nog niet. Wel lijkt me een door de industrie breed gedragen scenario dat dan ook daadwerkelijk en netjes gevolgd wordt en waarbij misbruik flink wordt afgestraft, zeker op het wereldwijde internet, op het eerste zicht toch wel wat aantrekkelijker dan zware juridische vereisten die lastige en moeilijk afdwingbare extraterritoriale werking hebben en waar de industrie niets in ziet. En dit niet omdat de industrie het morele gelijk aan haar kant zou hebben of dat privacywetgeving niet belangrijk meer zou zijn, maar simpelweg omdat strenge, niet gedragen en niet goed afdwingbare regels uiteindelijk voor de gemiddelde internetgebruiker zelf toch minder opleveren dan minder strenge en wel werkende scenario s. Een beetje plat gezegd: misschien maar beter een half industrie-ei dan een lege privacy-dop. Eric Schreuders, 16 juni 2011