Behavioral Targeting & Cookies

Fall 11 Behavioral Targeting & Cookies Bianca Hoogkamer (0454206) Masterscriptie Informatierecht

INHOUDSOPGAVE INLEIDING 3 BEHAVIORAL TARGETING 5 BEHAVIORAL TARGETING 5 ANDERE VORMEN VAN GERICHT ADVERTEREN 5 COOKIES 6 BROWSER FINGERPRINTING 8 PRIVACY 9 VOORDELEN 10 JURIDISCH KADER 11 E-PRIVACYRICHTLIJN 11 OVERWEGING 66 12 TOESTEMMING 13 PRIVACYRICHTLIJN 14 GRONDSLAGEN 14 ARTIKEL 8 EVRM 16 ARTIKEL 29 WERKGROEP OVER TOESTEMMING 17 BUDE 18 TELECOMMUNICATIEWET 18 TOESTEMMING 19 WBP 20 ONDERSCHEID 20 VERGELIJKING 21 VERGELIJKING MET EUROPA 21 CONSEQUENTIES 22 JURIDISCHE CONSEQUENTIES 22 ANDERE CONSEQUENTIES 23 HET WETSVOORSTEL 24 IS HET GEAMENDEERDE WETSVOORSTEL IN STRIJD MET DE WBP? 24 IS DE WET IN STRIJD MET EUROPESE REGELS? 24 NIEUWE TECHNIEKEN? 25 CONCLUSIE 27 BIBLIOGRAFIE 29 2

Inleiding Op het internet worden vele diensten gratis aangeboden, deze diensten moeten hun inkomsten dan ook ergens anders vandaan halen. Deze inkomsten genereren zij veelal uit reclame en dan recentelijk vooral via behavioral targeting. Veel sites, zoals sociale netwerk sites, maken gebruik van cookies om het gedrag van hun gebruikers te volgen. Deze gegevens worden onder andere gebruikt voor behavioral targeting. Ook zijn er een aantal grote ad network providers die gebruik maken van de techniek behavioral targeting en die door aansluiting van veel websites grote hoeveelheden gegevens van internet gebruikers hebben. Deze manier van adverteren is dan ook veelvuldig voorwerp van discussie geweest, voornamelijk vanwege vermeende gevaren met betrekking tot de privacy. Technologische veranderingen en de toename van de beschikbaarheid van persoonsgegevens op internet heeft de discussie vooral doen aanwakkeren. Er kunnen gevaren voor de privacy en de bescherming van persoonsgegevens bij het gebruik van behavioral targeting ontstaan. Veelal wordt hierbij gebruik gemaakt van cookies, die het surfgedrag van internetgebruikers registreren. Dit is niet de enige manier om mensen te volgen via het internet, dit kan namelijk ook via browser fingerprinting. De e-privacy richtlijn is in 2009 aangepast om deze nieuwe gevaren met betrekking tot de privacy aan te pakken. Het artikel dat (onder andere) over cookies gaat is geamendeerd en er zijn strengere eisen gekomen voor het plaatsen van cookies. Het artikel is niet alleen gericht op cookies, doch deze is wel gericht op een bepaalde manier om surfgedrag van mensen te volgen. In Nederland is er een wetsvoorstel aanhangig die de richtlijn implementeert, maar dit voorstel komt niet helemaal overeen met de gewijzigde e-privacyrichtlijn. Wat is behavioral targeting? Wat zijn cookies en hoe worden deze gebruikt? Zijn er ook andere technieken waarbij er gericht geadverteerd wordt en/of waarbij gebruikers worden gevolgd via het internet? Welke regels gelden er volgends de privacywetten in Europa en in Nederland? Wat houdt het nieuwe wetsvoorstel voor wijziging van de telecommunicatiewet in? Hoe heeft het cookiedebat zich in Nederland voltrokken en wat is het resultaat hiervan? Zijn er verschillen met andere landen in Europa? Is de e-privacy wet goed geïmplementeerd in Nederland? Is de nieuwe cookiewet, met name na het amendement van Dam van Bemmel, in strijd met de Wbp en/of de privacyrichtlijnen? In hoofdstuk één worden de begrippen behavioral targeting en cookies uitgelegd. Ook zal worden gekeken naar andere vormen van gericht adverteren waarbij geen gebruik van cookies wordt gemaakt. In hoofdstuk twee wordt het juridische kader geschetst met betrekking tot het plaatsen van cookies in het algemeen en het plaatsen van cookies ten behoeve van behavioral targeting in het bijzonder. De beide privacy richtlijnen worden besproken, alsmede de Nederlandse telecommunicatiewet en de Wbp. Ook zal 8 Europees Verdrag voor de Rechten van de Mens (EVRM), besproken worden, de privacy richtlijnen en de Wbp moeten namelijk in het licht van dit artikel gelezen worden. Ook zal de opinie van de artikel 29 werkgroep over toestemming behandeld worden, deze is van belang bij uitleg van de richtlijnen. In dit hoofdstuk zal ook het wetsvoorstel voor de wijziging van de telecommunicatiewet aan de orde gesteld worden. In het vierde hoofdstuk zullen de consequenties van het wetsvoorstel behandeld worden. In het laatste hoofdstuk zal gekeken worden of het huidige wetsvoorstel daadwerkelijk in strijd is met 3

de Wbp en de privacyrichtlijnen. 4

1. Behavioral targeting 1.1 Bahavioral targeting Behavioral targeting is een vrij controversiële vorm van online adverteren. Deze vorm van adverteren is de afgelopen jaren flink toegenomen, vooral door de voortgang van de techniek, alsmede de grotere hoeveelheden persoonlijke gegevens die online beschikbaar zijn. De voornaamste reden voor het gebruik ervan is om de effectiviteit van reclamecampagnes te vergroten. Bij behavioral targeting wordt onder andere gebruik gemaakt van informatie die wordt verzameld over het surfgedrag van een internetgebruiker. Dit gedrag kan bestaan uit sites die worden bezocht of zoekopdrachten die een gebruiker heeft gegeven. Aan de hand hiervan worden advertenties gekozen die aan de gebruiker getoond worden. Doordat gedrag van internetgebruikers gevolgd en geanalyseerd wordt, is de getoonde reclame gebaseerd op persoonlijke voorkeuren. 1 Hierdoor is de kans groter dat de gebruiker zich interesseert voor de reclame. De reclame is gebaseerd op persoonlijke interesses en zal effectiever zijn en dus een grotere economische waarde bezitten. Er kan ook andere informatie in combinatie met behavioral targeting gebruikt worden, zoals demografie en geografie. Door gebruik te maken van op internet gebaseerd adverteren is de advertentiemarkt veranderd en gegroeid, voornamelijk door te voorzien in efficiënte methoden om adverteerders en consumenten te matchen. 2 Bedrijven kunnen een goed beeld krijgen van welke websites welke gebruikers bezoeken, op welke artikelen of items deze mensen klikken, hoe vaak zij de sites bezoeken en hoe lang, hierdoor kan een nauwkeurig beeld van de interesses van een gebruiker verkregen worden. 3 Ten dienste van behavioral targeting kunnen er ook cookies geplaatst worden. Dit zijn kleine tekstbestandjes die het surfgedrag van gebruikers kunnen registreren. 4 Sinds men cookies gebruikt, wordt al op het mogelijke privacyschendende karakter van deze adverteertechniek gewezen. 5 1.2. Andere vormen van gerichte adverteren Er zijn meerdere mogelijkheden om gericht te adverteren, waarbij geen gebruik van cookies gemaakt hoeft te worden. Bij contextual advertising wordt de inhoud van een website gescand om bepaalde trefwoorden te identificeren die verzocht zijn door adverteerders. Indien een opgevraagd woord wordt gevonden dan toont de website de gekoppelde advertentie door middel van een automatisch proces. Een nadeel van deze methode is dat de techniek niet in staat is de betekenis van woorden te achterhalen, waardoor het mogelijk is dat er een verkeerde betekenis aan het woord gegeven word. Zo kan er een advertentie van een bank, zoals de Rabobank getoond worden, terwijl de inhoud van de site over sofa s gaat. Bij semantic targeting wordt de specifieke context of inhoud van een site gekoppeld aan een beschikbare advertentie. Een voordeel van deze methode is dat niet alleen woorden worden gescand op een site, maar dit systeem kan ook 1 Van der Sloot 2011, p. 62 2 Evans 2009, p. 62 3 Van der Sloot 2011 (2) 4 Van der Sloot 2011, p. 62 5 Van der Sloot 2011 5

de betekenis van de woorden uit de context opmaken. Dit systeem is oorspronkelijk ontworpen om fraude te voorkomen en werd voornamelijk door banken gebruikt. Nu wordt deze techniek ook gebruikt om gerichte advertenties op websites te laten zien. Een andere vorm van gericht adverteren is het tonen van advertenties op een site op basis van het zoekgedrag van een gebruiker. Indien een gebruiker een site heeft gevonden door een bepaalde zoekterm, in bijvoorbeeld Google, in te voeren dan wordt de content van de advertenties hierop aangepast. Ook kunnen advertenties aangepast worden aan het real time surfgedrag van een gebruiker op een bepaalde site. 1.3. Cookies Bij het bezoeken van vrijwel elke website worden er cookies geplaatst op de computer van de bezoekende internetgebruiker. Zo blijkt uit een onderzoek van de consumentenbond dat alle 27 onderzochte websites, zoals Hyves en de tvgids, cookies plaatsten. Er zijn verschillende redenen waarom cookies worden geplaatst, bijvoorbeeld om instellingen te onthouden of om surfgedrag te het monitoren. Cookies zijn, zoals eerder gezegd, kleine tekst bestandjes die op de harde schijf van de computer van een website bezoeker geplaatst kunnen worden. Hierbij wordt een specifieke code aan de computer toegekend. Een cookie slaat bepaalde gegevens van de gebruiker op en hierdoor kan de computer van de gebruiker geïdentificeerd worden wanneer dezelfde website, die de cookie heeft geplaatst, nogmaals bezocht wordt. Op het internet komt het veel voor dat een bedrijf een dienst of website gratis aanbiedt. 6 Een goed voorbeeld hiervan zijn de meeste sociale netwerk sites, zoals Facebook en Linkedin. Veel van deze sites verzamelen grote hoeveelheden gegevens met betrekking tot hun gebruikers, veelal om gerichte advertenties aan internetgebruikers te tonen. 7 Dit gebeurt vaak om de kosten van de site te dekken, aangezien het gebruik ervan gratis is. Op dit moment worden hierbij voornamelijk cookies gebruikt. Gewone cookies kunnen http-cookies, webcookies of browsercookies worden genoemd, deze onderscheiden zich van flash cookies. 8 Flash cookies zijn niet zichtbaar in de browserinstellingen, gewone cookies wel. Flash cookies zijn alleen te verwijderen in het control panel van de geïnstalleerde Flash Player. 9 Soms worden deze cookies gebruikt om gewone cookies weer te activeren, nadat een internetgebruiker deze uit zijn browser heeft verwijderd, dit heet re-spawnen. Dit cookie krijgt dan dezelfde code als het verwijderde cookie. 10 Session cookies, worden slechts gebruikt tijdens de browsersessie. Een voorbeeld hiervan zijn de cookies die gebruikt worden om taalvoorkeuren van een bezoeker op te slaan. Persistent cookies daarentegen, blijven ook na het afsluiten van de browser op de computer staan en deze vervallen vaak op veel latere datum. 11 Het belangrijkste onderscheid in cookies is het verschil in degene die de cookies plaatst 6 Zuiderveen Borgesius 2011 7 Tene 2008 8 Zuiderveen Borgesius 2011 9 www.adobe.com 10 Zuiderveen Borgesius 2011 11 Kool e.a. 2011 6

en uitleest, maar dit kan ook van belang zijn voor het doel waarvoor de cookies geplaatst worden. Indien een site zelf cookies plaatst, worden deze first party cookies genoemd. Bij deze cookies worden de gedragingen binnen één website/domein gevolgd 12 en deze worden vaak gebruikt om de dienst te bevorderen. Ze kunnen ook geplaatst worden om gericht te adverteren of om de verworven informatie aan derde partijen door te spelen. Een voorbeeld van het gebruik van een first party cookie, is een online winkel, welke producten aanbiedt tijdens het bezoeken van de website, die een internetgebruiker bij een eerder bezoek bekeken heeft. Maar first party cookies worden voornamelijk gebruikt om informatie op te slaan, zoals je voorkeuren. Het verschil is ook van belang voor de privacyinstellingen die in de browser aangepast kunnen worden. First party cookies zijn voornamelijk session cookies, die vaak het minimum zijn wat een gebruiker moet accepteren om volledig van een site gebruik te maken. Indien men alle cookies weigert, dus ook first party cookies, is het mogelijk dat een gebruiker niet meer van elke website volledig gebruik kan maken. Third party cookies worden vaker gebruikt voor advertentie doeleinden. Deze cookies worden veelvuldig gebruikt om het surfgedrag van gebruikers te monitoren voor advertentie- en marketingdoeleinden. Third party cookies, worden geplaatst door derde partijen, vaak met het doel om informatie te vergaren over gebruikers ten dienste van behavioral targeting. Derde partijen kunnen alleen cookies plaatsen als het toegestaan wordt deze op een bepaalde site te plaatsen. De inhoud wordt dan opgevraagd van de server van de derde partij en deze wordt tezamen met het cookie geleverd. Indien de site opnieuw bezocht wordt door de gebruiker dan wordt het cookie meegezonden samen met het verzoek voor de inhoud. 13 Facebook biedt aan derden bijvoorbeeld de mogelijkheid om een Like button op hun website te plaatsen. Indien gebruikers op deze button klikken dan wordt er een link tussen de website of het item dat zij Liken geplaatst op de profielpagina van de gebruiker. Voor derden is dit een gunstig instrument, aangezien er naast de Like button staat hoeveel bezoekers de website of het item Liken. 14 Maar ook veel adverteerders gebruiken third party cookies om gebruikers over meerdere sites te volgen. Third party cookies kunnen makkelijk geweigerd worden, het toestaan van deze cookies is niet noodzakelijk voor volledig gebruik van websites. In bijna alle browserinstellingen wordt de mogelijkheid geboden om deze cookies te weigeren of te verwijderen. Zoals al eerder vermeld kunnen Flashcookies niet via de browser worden bekeken. Niet alle cookies die geplaatst worden, worden gebruikt ten behoeve van behavioral targeting. Wanneer cookies geplaatst worden voor behavioral targeting, dan geschiedt dit doorgaans door een tussenpersoon die de website en de adverteerders samenbrengt. 15 De advertenties worden dan door een ander bedrijf getoond, vaak door een ad serving company of een ad network provider. Sommige ad network providers voorzien netwerken van miljoenen verschillende sites van advertenties en kunnen op deze manier zeer nauwkeurige en uitgebreide profielen opstellen. Indien een gebruiker zelf persoonsgegevens invult op een website, die gekoppeld is aan zo n netwerk dan kunnen deze gegevens aan het al samengestelde profiel worden toegevoegd. Sites waar in ieder 12 Koeter 2009, p. 5 13 Roosendaal 2011, p. 2 14 Roosendaal 2011, p. 2 15 WP 171, Brussel: 22 juni 2010 7

geval veel persoonlijke gegevens worden ingevuld zijn sociale netwerk sites. Deze ad network providers beweren dat zij geen naam aan deze ontwikkelde profielen koppelen. 16 1.4. Browser fingerprinting Bij het volgen van gebruikers over het internet, om zo een uniek profiel van hen op te stellen, is er een uniek nummer nodig dat gekoppeld is aan bijvoorbeeld een pc. Via dit nummer kan iemand gevolgd worden over verschillende websites en er kan aanvullende informatie gekoppeld worden aan dit nummer. Een cookie is één methode om informatie over internetgebruikers te verzamelen, maar er zijn er meerdere, zoals browser fingerprinting. Fingerprinting is een onzichtbare techniek die automatisch verschillende soorten gegevens verzameld. Iedere keer als een computer of ander apparaat met het internet verbinding maakt, dan zendt het informatie uit over onder andere de settings, zoals screen resolution, browserversie en verbinding. Dit is nodig om makkelijker interactie met websites en andere computers te verkrijgen. Fingerprinting technologie verzameld deze informatie en stelt hiermee een profiel op dat de individuele pc kan identificeren, en in bepaalde gevallen zelfs de gebruiker. Browser fingerprinting kan plaats vinden door slechts gebruik te maken van client-side scripting 17, zoals Javascript, waardoor deze methode lastig te blokkeren is. Een gebruiker kan Javascript blokkeren, maar Javascript is noodzakelijk om van veel sites gebruik te maken. Daarbij is fingerprinting moeilijk te detecteren, waardoor het lastiger is om de fingerprints te controleren en te verwijderen. Indien alle cookies geblokkeerd zijn of wanneer er gebruik wordt gemaakt van bijvoorbeeld een proxy server 18 dan is het nog mogelijk om gevolgd te worden via browser fingerprinting. Men zou zelfs kunnen zeggen dat fingerprinting hardnekkiger is dan cookies, deze kunnen namelijk verlopen en gewist worden. Wel is fingerprinting afhankelijk van de uniekheid van een apparaat. Gegevens die via de fingerprint worden verzameld identificeren een gebruiker niet, maar hiermee kan wel een unieke device fingerprint worden gemaakt. Door een specifieke combinatie van gegevens, zoals browserversie, plug-ins 19 en system fonts 20 is het mogelijk een fingerprint te verkrijgen voor een bepaalde browser, welke een gebruiker mogelijk kan identificeren. Aparte delen van informatie zijn dus niet genoeg om iemand te identificeren, maar indien de verschillende delen aan elkaar gekoppeld worden, zoals de browserversie, de taal en de tijdzone dan kan er een duidelijker profiel opgesteld worden. Deze informatie is niet persoonlijk identificerend, maar apparaat identificerend. Toch kan door bijvoorbeeld de laptop van een gebruiker te volgen, gezien worden dat er door een gebruiker vaak gereisd wordt tussen Amsterdam en Londen en dat deze gebruiker vaak gebruik maakt van de wifi bij de Coffee Company. 16 zie bijvoorbeeld: Google, Interest-based advertising: How it works, www.google.com/ads/preferences/html/about.html 17 Dit zijn programma s op het internet die worden uitgevoerd door de browser van de gebruiker, hierdoor kunnen websites andere en veranderende inhoud hebben, afhankelijk van de input van een gebruiker 18 Een proxy server is een tussenstop tussen de computer van een gebruiker en de rest van het internet. Hierdoor wordt het IP adres van een gebruiker afgeschermd. 19 Plug-ins worden veel gebruikt in browsers om video s af te spelen, om te scannen voor virussen. Een voorbeeld van een plugin is Adobe Flash Player. 20 Zoals times new roman en arial 8

1.5. Privacy Er kunnen voornamelijk twee mogelijke gevaren spelen bij het gebruik van cookies ten behoeve van behavioral targeting. Er is ten eerste de mogelijkheid van privacyschendingen, daarnaast kunnen er inbreuken zijn op de wetten die persoonsgegevens beschermen. De twee schendingen kunnen elkaar overlappen, maar een schending van de gegevensbeschermingsregels brengt niet noodzakelijk een schending van de privacy mee. Daarnaast zijn er de algemene gevaren die verbonden zijn aan gegevensverzameling, zoals datalekken en function creep. 21 Bij datalekken komen persoonsgegevens op straat te liggen, bij function creep worden gegevens voor andere doeleinden gebruikt dan waarvoor ze zijn verkregen. Zo kan een sociale netwerk site die op grote schaal gegevens verzameld ten behoeve van het leveren van zijn dienst deze ook voor andere doeleinden gebruiken, waardoor er een bedreiging voor de privacy bestaat. De site zou de persoonsgegevens door kunnen verkopen aan derde partijen, zoals adverteerders. De verkoop van deze persoonsgegevens kan ten behoeve van behavioral targeting zijn. Bij deze dreigingen kan men beter spreken van problemen met betrekking tot persoonsgegevens dan privacyproblemen. 22 De gevaren worden nog eens vergroot omdat veel mensen zich niet bewust zijn dat hun surfgedrag geregistreerd wordt door middel van cookies en dat gegevens opgeslagen worden voor advertentie doeleinden. Bedrijven die gebruik maken van behavioral targeting verdedigen dit door te beweren dat gegevens die worden opgeslagen, anoniem zijn en dat zij dus geen persoonsgegevens verwerken. Zij zeggen geen identificeerbare informatie aan de opgestelde profielen te koppelen. Ondanks deze beweringen laten recente openbaringen zien dat vermoedelijk niet-persoonlijk identificeerbare gegevens eenvoudigweg gekoppeld kunnen worden aan identificeerbare profielen of aan specifieke individuen. 23 Het is dus niet altijd noodzakelijk om via een naam een persoon te identificeren, dit kan ook op andere manieren. Het kan ook zo zijn dat meerdere mensen van een computer gebruik maken en niet apart inloggen, de verzamelde gegevens leveren dan geen persoonsgegevens op. Niet elk gebruik van cookies en de opgeslagen gegevens is overigens een verwerking van persoonsgegevens, hiervoor moeten er wel daadwerkelijk persoonsgegevens verwerkt worden. 24 Behavioral targeting kan in strijd komen met de redelijke privacyverwachting met betrekking tot de persoonlijk identificeerbare gegevens van een gebruiker op het internet. 25 Door behavioral targeting is er de mogelijkheid om een uitgebreid langetermijnsprofiel van een gebruiker op te stellen, hierdoor heeft deze verwachting nieuwe 21 Van der Sloot 2011, p. 63 22 Van der Sloot 2011, p. 70 23 Hotaling 2008, p. 531 24 "persoonsgegevens", iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit; 25 Schwartz 2007 9

uitdagingen verworven, veel gebruikers zijn namelijk niet op de hoogte van deze praktijk. 26 Een ander probleem dat zich voor kan doen is dat de uitoefening van fundamentele vrijheden die privacy tracht te beschermen wordt beperkt. Het recht op juistheid van persoonlijke gegevens kan worden aangetast doordat er wordt gegist over de kwalificatie en interesses van een gebruiker. Ook kan de vraag gesteld worden of de verzamelde gegevens bij behavioral targeting wel in verhouding staan tot het gediende doel van de verzameling, namelijk verkoop van producten of diensten. Aangezien privacy een ethische waarde heeft 27 en een fundamenteel mensenrecht is, o.a. beschermt in artikel 8 EVRM, zou dit eventuele economische argument achtergesteld kunnen worden aan het recht op privacy. 28 1.6. Voordelen Veel sites, zoals sociale netwerk sites hebben een vorm van adverteren eenvoudigweg nodig om hun dienst gratis aan te bieden. Zonder deze mogelijkheid zouden deze diensten niet of slechts tegen betaling beschikbaar zijn. Adverteren is een belangrijk onderdeel van veel businessmodellen op het internet. Daarbij heeft behavioral targeting ook voordelen. Ten eerste is het effectiever en dus winstgevender voor de bedrijven die reclame maken. Doordat advertenties effectiever zijn, kunnen websites meer geld vragen voor advertenties, waardoor zij minder reclame op hun pagina te hoeven laten zien 29 Ten tweede is deze reclame in bepaalt opzicht het meest klantvriendelijk. Voorstanders stellen dat het gunstig is voor de gebruikers, door het bijhouden van surfgedrag krijgen gebruikers informatie en producten te zien die voor hen relevant zijn. Maar vaak wordt er geen kennisgeving gegeven en wordt ook niet om toestemming gevraagd, waardoor veel gebruikers er niet van op de hoogte zijn. Indien zij een advertentie te zien krijgen weten zij niet dat deze op basis van hun opgestelde profiel getoond wordt. Ook is deze bewering wel erg subjectief, alhoewel er gebruikers zullen zijn die deze vorm van adverteren prettig vinden, veel gebruikers zullen het als indringing op hun persoonlijke leven ervaren. 26 Hotaling 2008, p. 531 27 o.a. Rossler 2005 en Solove 2009 28 Een verdere uitwerking hiervan wordt besproken in hoofdstuk 2 29 Picker 2009 10

2. Juridisch kader 2.1. De e-privacy richtlijn Over het gebruik van behavioral targeting is vanuit Europa opnieuw veel discussie gevoerd, dit omdat de e-privacyrichtlijn is gewijzigd. Deze richtlijn bevat onder andere regels omtrent gegevensbescherming, het bestrijden van spam en het gebruik van cookies. 30 De e-privacyrichtlijn is in 2009 gewijzigd door de Richtlijn Burgerrechten. 31 Het artikel betreffende cookies is toen gewijzigd, namelijk artikel 5 lid 3. Een van de belangrijkste wijzigingen is de introductie van een opt-in regel voor (onder meer) cookies, en een meldplicht voor datalekken. 32 De wijziging moesten door de lidstaten voor 25 mei geïmplementeerd worden. 33 De revisie van de e-privacyrichtlijn vond plaats om de al eerder genoemde gevaren met betrekking tot inbreuken op de privacy tegen te gaan. Bij deze wijziging moest er een balans gevonden worden tussen het belang van gebruikers om vrijelijk en ondoorbroken gebruik te kunnen maken van het internet, terwijl ze ook beschermd moeten zijn tegen inbreuken op hun privacy. Doordat de digitale wereld snel veranderd en zich snel ontwikkeld moest dit artikel gemoderniseerd worden. Het nieuwe artikel 5 lid 3 luidt als volgt: De lidstaten dragen ervoor zorg dat de opslag van informatie en het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig richtlijn 95/46EG, onder meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronisch communicatienetwerk, of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de 30 Van der Sloot & Zuiderveen Borgesius 2010, p. 162 31 Richtlijn2009/136/EGvan het Europees Parlement van de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming (Pb EU L337/11 van 18/12/2009 p. 0011 0036) 32 Van der Sloot & Zuiderveen Borgesius 2010, p. 162 33 Van der Sloot 2011, p. 63 11

informatiemaatschappij deze dienst levert. Op Europees niveau is het oude opt-out vereiste vervangen door een opt-in vereiste bij het plaatsen van cookies. Dit artikel eist voor toestemming een vrije, specifieke en op informatie berustende wilsuiting. Er zal voldaan moeten worden aan alle vier deze elementen. Het toestemmings- en informatievereiste geldt zeer waarschijnlijk op het plaatsen van cookies alsmede de verwerking ervan, aangezien beide vereisten ook op de twee handelingen betrekking hebben. Het plaatsen van een cookie en de verwerking van de verworven inhoud en het doel hiervan zijn namelijk veelal aan elkaar gekoppeld. 34 Bij het voorstel voor het oude artikel 5 lid 3 was ook al een opt-in systeem voorschreven, maar tijdens de totstandkoming is dit gewijzigd, mede door druk van de advertentiemarkt. In artikel 5 lid 3 draait het om het verkrijgen van een geïnformeerde toestemming voor het plaatsen of uitlezen van cookies. 35 De twee uitzonderingen die in het artikel staan, zijn hetzelfde gebleven. Er behoeft bijvoorbeeld geen toestemming gevraagd te worden indien het plaatsen van het cookie nodig is in verband met de inloggegevens bij een online-bank. De tweede uitzondering ziet bijvoorbeeld op een virtueel winkelmandje dat bewaard blijft na het bezoek van de website, dit mag ook opgeslagen worden zonder toestemming. Ook het instellen van taalvoorkeuren valt onder deze uitzondering. Het artikel ziet op het plaatsen van alle cookie en geldt dus indien er persoonsgegevens via cookies worden opgeslagen, maar ook als er geen persoonsgegevens worden opgeslagen. 2.1.1. Overweging 66 Overweging 66 van de richtlijn heeft voor veel debat gezorgd. Artikel 5 lid 3 vereist namelijk een opt-in systeem, waardoor degene die een cookie plaatst verplicht is de internetgebruiker voor of tijdens het plaatsen van een cookie te informeren over deze plaatsing alsmede het doel van de gegevensverzameling op te geven. Ook moet hij vooraf toestemming voor de plaatsing en het uitlezen verkrijgen. In de overweging daarentegen, valt te lezen dat de manier waarop informatie wordt verstrekt zo gebruikersvriendelijk mogelijk moet zijn en wanneer dit technisch mogelijk en doeltreffend is, kan, overeenkomstig de desbetreffende bepalingen van de (algemene privacy richtlijn), de toestemming van de gebruiker met verwerking worden uitgedrukt door gebruik te maken van de desbetreffende instellingen van een browser of andere toepassing. De toestemming in het artikel en de overweging komen dus niet met elkaar overeen. 36 Het eigenaardige is dat in overweging 66 te lezen is dat toestemming voor cookies geautomatiseerd, dus via browserinstellingen verkregen kan worden, maar of dit dan ook weer geldt voor het informatievereiste is niet duidelijk. 37 De standaardinstellingen van de meeste browsers staan op het accepteren van alle cookies. Het is dus mogelijk dat een gebruiker stilzwijgend door middel van de browserinstellingen toestemming geeft. Dit kan wel handmatig veranderd worden, maar van een bewuste toestemming kan niet gesproken worden, veel mensen laten hun browserinstellingen namelijk op de default instelling staan. Door deze twee overwegingen wordt ook de eis van specifieke 34 Kool e.a. 2011, p. 15 maar ook in WP 171, p. 22 35 Zuiderveen Borgesius 2011 36 Van der Sloot 2011, p. 62 37 Kool e.a. 2011 12

toestemming, die nodig is voor elk cookie dat geplaatst wordt, naar een generieke toestemming, die eenmalig wordt gegeven en die geldt voor alle te plaatsen cookies, veranderd. Over de discrepantie van het artikel en de overweging zijn de meningen verdeeld. De Europese wetgever en ook de artikel 29 werkgroep lijken een voorkeur te geven voor een opt-in systeem. Maar door de onduidelijkheid van de overweging hebben een aantal lidstaten gesteld dat toestemming door middel van de browserinstelling voldoet aan de bepaling. Het is opmerkelijk dat zoveel aandacht aan een overweging wordt geschonken door lidstaten. Het Hof van Justitie EG heeft al geoordeeld dat de considerans van een gemeenschapshandeling geen bindende rechtskracht heeft en niet kan worden aangevoerd om van de bepalingen zelf van die handeling af te wijken, en evenmin om deze bepalingen uit te leggen in een zin die kennelijk in strijd is met de bewoording ervan. Indien artikel en overweging allebei duidelijk geformuleerd zijn dan zal bij botsing tussen de twee, het artikel voorgaan. Dit zou anders zijn als het artikel vaag is en deze wellicht ingevuld kan worden met de overweging. Een overweging als overweging 66 kan geen afbreuk doen aan het zeer duidelijke artikel 5 lid 3. Daarbij draagt een opt-out systeem in combinatie met de huidige browsers niet bij aan de bescherming van privacy en persoonsgegevens, wat de bedoeling van de richtlijn is. Ook in Europa zijn de meningen verdeeld, zo heeft Eurocommissaris Reding en de artikel 29 werkgroep verklaard dat de richtlijn opt-in voorschrijft. Eurocommissaris Kroes, daarentegen, stelde dat zij toestemming via de browser niet uitsluit en dat voortdurende pop-ups met cookie informatie, geen haalbaar alternatief is. 2.1.2. Toestemming Bij het plaatsen van cookies moet voldaan worden aan artikel 5 lid 3, dit artikel vereist toestemming, volgens artikel 2 onder h is dit een vrije, specifieke en op informatie berustende wilsuiting. De informatie en het recht van weigering behoeft slechts eenmalig per domein te worden verstrekt, dit is te vinden in overweging 25. Op dit moment kunnen browsers geen onderscheid maken tussen first party cookies die bijvoorbeeld voor de taalvoorkeuren worden gebruikt en cookies die worden gebruikt voor behavioral targeting. Indien alle first party cookies worden geweigerd worden veel websites geheel of gedeeltelijk onbruikbaar. Het is dus twijfelachtig of gebruikers een vrije keuze hebben om alle first party cookies te weigeren. Dit geldt voornamelijk indien een site een essentiële dienst aanbiedt en hierop een monopolie heeft. 38 Het gebruik van bijvoorbeeld sociale netwerk sites, wordt steeds belangrijker in het leven van mensen en uit onderzoek is gebleken dat gebruik soms zelfs noodzakelijk is om niet sociaal uitgesloten te worden. 39 Daarnaast moet de wilsuiting betrekking hebben op een bepaalde gegevensverwerking of een bepaalde categorie van verwerkingen. Een onbepaalde machtiging om persoonsgegevens te verwerken voldoet niet aan dit criterium. 40 In lijn met de e-privacyrichtlijn mag niet een al te brede toestemming gevraagd worden, wat in het geval van browser toestemming nu wel het geval is. Volgens de artikel 29 werkgroep wordt bij browser toestemming eenmalig toestemming gegeven voor een grote hoeveelheid nog onbepaalde cookies, waarbij het doel hiervan niet altijd duidelijk is. De 38 Zuiderveen Borgesius 2011, p. 9 39 o.a. in Raynes-Goldie 2010 40 Zuiderveen Borgesius 2011, p. 9 13

betrokkene kan daarbij alleen verantwoord zijn toestemming geven als hij over voldoende, begrijpelijke en juiste informatie beschikt. 41 Enige informatie die verstrekt moet worden is informatie over de identiteit van het bedrijf en de doeleinden van de persoonsgegevens verwerking. De betrokkene moet daarnaast zijn wil ook daadwerkelijk geuit hebben. De wilsuiting kan vormvrij geschieden. Overweging 17 van de considerans van de richtlijn bepaalt dat toestemming kan worden gegeven op elke wijze die de gebruiker in staat stelt vrijelijk een specifieke en geïnformeerd indicatie te geven omtrent zijn wensen. Er is een wil vereist voor deze rechtshandeling. Wanneer een persoon zijn browser op de standaardinstellingen laat staan, wat meestal gebeurt, is dit niet het geval. 42 Wel kan het mogelijk zijn dat in de (nabije) toekomst, toestemming via fijnmazigere en meer gedetailleerde browsers wel zal voldoen aan de richtlijn. 2.2. Privacyrichtlijn Zoals al eerder vermeld geven veel sites en ad networks providers aan dat zij geen persoonsgegevens verzamelen of een naam koppelen aan het gegenereerde profiel. Maar van belang is of een profiel wel of niet direct of indirect herleidbaar is tot een natuurlijk persoon. De privacyrichtlijn geldt alleen als er sprake is van een geïdentificeerde of identificeerbare persoon. Maar maakt het eigenlijk wel uit of er een naam gekoppeld wordt aan het profiel? De identiteit van een gebruiker kan ook op andere wijze achterhaald worden. Volgens het CBP 43 moet een IP adres in veel gevallen als persoonsgegeven beschouwd worden, maar de verschijningsvorm van een IP adres is hiervoor bepalend. Er is er in het geval van behavioral targeting met cookies en IP adressen, maar weinig voor nodig om te achterhalen van wie een IP adres is. In de literatuur worden IP adressen meestal niet gezien als persoonsgegevens, maar wanneer je iemand makkelijk kan achterhalen via cookies en een IP adres dan is dit wel degelijk een persoonsgegeven. De artikel 29 werkgroep heeft geoordeeld dat een naam niet altijd noodzakelijk is om een persoon te identificeren en ook het vallen in een bepaalde groep, zonder dat precies duidelijk is wie het is, is een persoonsgegeven. In veel gevallen valt het verzamelen van gegevens via cookies dus wel onder deze richtlijn. 2.2.1 Grondslagen De privacyrichtlijn ziet op het verzamelen van persoonsgegevens. Het verzamelen van persoonsgegevens van een internetgebruiker via cookies is een verwerking in de zin van deze richtlijn, dit valt te lezen in artikel 3 lid 1 van de richtlijn. Een verwerking is pas rechtmatig indien de verwerking gerechtvaardigd is op basis van ten minste één van de zes in artikel 7 genoemde grondslagen. 44 Er zijn drie grondslagen die van toepassing 41 Aldus Artikel 29 Werkgroep, WP 37, 2000, hoofdstuk 5, par. IV, Artikel 29 Werkgroep, Advies WP 100 over meer geharmoniseerde bepalingen inzake informatieverstrekking hoofdstuk par. 3 en 4 en in Artikel 29 Werkgroep, WP 168 kantlijnnummer 6 42 Zuiderveen Borgesius 2011, p. 10 43 De Nederlandse privacywaakhond op het gebied van persoonsgegevens bescherming 44 De lid-staten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien: a) de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend, of 14

zouden kunnen zijn op cookies. De verwerking van gegevens door middel van een cookie kan gebaseerd zijn op de artikelen 7 onder a, b en f. Een mogelijkheid voor een gerechtvaardigde verwerking is als er ondubbelzinnige toestemming van de betrokkenen is verworven, dit staat in artikel 7 onder a. Toestemming zou verkregen kunnen worden door een pop-up venster waar de gebruiker met een muisklik zijn toestemming kan geven. Maar toestemming kan ook op andere manieren verkregen worden. Van belang is dat het om een ondubbelzinnige, buiten twijfel, vrije en geïnformeerde toestemming gaat. Op dit moment wordt er bij veel sites uitgegaan van een opt-out principe, bijvoorbeeld bij Facebook. Maar het opt-out principe voldoet niet aan de ondubbelzinnige toestemming die vereist is op basis van deze richtlijn, waarbij geen twijfel over de toestemming mogelijk moet zijn. Veel sites en ad network providers gaan er echter vanuit dat zij geen persoonsgegevens verzamelen en er wordt vrijwel nooit bij het plaatsen van een cookie om ondubbelzinnige toestemming gevraagd. Indien de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, onder b, dan mogen er niet meer gegevens verzameld worden dan noodzakelijk is. Dit artikel zou van toepassing kunnen zijn indien de gebruiker iets online koopt en hierbij noodzakelijke gegevens worden opgeslagen, zoals het adres waar de bestelling naartoe gestuurd moet worden. Een overeenkomst kan in de meeste rechtsstelsels vormvrij geschieden, maar het autonomiebeginsel houdt in dat de gebruiker het recht heeft zijn eigen belangen te behartigen, alsmede de manier waarop hij/zij dit wil. Dit beginsel bepaalt dus dat partijen gebonden zijn aan een overeenkomst omdat en voor zover zij dit zelf gewild hebben. Veel gebruikers van bijvoorbeeld sociale media zijn niet op de hoogte dat zij persoonsgegevens verstrekken in ruil voor het gebruik van de dienst en van een wilsuiting is dan ook geen sprake. Naar geldend recht is er dan ook vaak geen sprake van een overeenkomst. 45 Het meest voor de hand liggende artikel zou artikel 7 onder f zijn. De gegevensverwerking kan geschieden voor marketingdoeleinden, dit kan een belang van de verwerker kan zijn. Sociale netwerk sites laten advertenties zien aan hun gebruikers om de kosten te dekken, aangezien het gebruik van de site veelal gratis is. Maar de b) de verwerking noodzaekelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene, of c) de verwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke onderworpen is, of d) de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, of e) de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die aan de voor de verwerking verantwoordelijke of de derde aan wie de gegevens worden verstrekt, drager is opgedragen, of f) de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van artikel 1, lid 1, van deze richtlijn, niet prevaleren. 45 Zuiderveen Borgesius 2011 15

verwerker kan deze grond slechts inroepen indien het noodzakelijk is met het oog op zijn gerechtvaardigd belang of dat van een derde, tenzij het privacybelang van de betrokkene prevaleert. 46 Het gerechtvaardigd belang houdt in dat het belang van de verantwoordelijke om de gegevens te verwerken hoger is dan het belang van de geregistreerde persoon om die gegevens niet te verwerken. 47 Er moet dus een belangenafweging plaatsvinden tussen het privacybelang van de gebruiker, onder andere beschermd in artikel 8 EVRM en in artikel 10 GW en het commerciële belang van de adverteerder. 2.2.2 Artikel 8 EVRM Uit de jurisprudentie van het Europese Hof voor de Rechten van de Mens (EHRM) blijkt ook dat belangen onder rechten vallen, aangezien het hof ook commerciële of economische belangen van een bedrijf als rechten heeft aangemerkt. 48 Maar er zal wel een duidelijk belang aanwezig moeten zijn waarom de beperking op de privacy noodzakelijk is. Op grond van overweging 24 van de e-privacyrichtlijn valt eindapparatuur van internetgebruikers, zoals pc s, en alle informatie die daarop opgeslagen is tot de persoonlijke levenssfeer van de gebruikers en dit recht valt onder artikel 8 EVRM. Cookies worden op de eindapparatuur van de gebruiker geplaatst, namelijk op de pc of laptop van een gebruiker. Het EVRM kent geen rangorde tussen de verschillende grondrechten. Er moet daarom altijd een concrete belangenafweging plaatsvinden, gericht op de bijzondere omstandigheden van het geval om te bepalen welk recht in dat geval voor moet gaan. Bij de afweging spelen de subsidiariteit en de proportionaliteit een grote rol, dit volgt uit uitspraken van het Europese Hof voor de rechten van de Mens omtrent artikel 8 EVRM. 49 Artikel 10 GW correspondeert qua beschermingsomvang met artikel 8 EVRM en de daaraan door EHRM en nationale rechter gegeven uitleg en toepassing. Privacy is een mensenrecht dat verankerd is in het EVRM en in de Grondwet en zal veelal zwaarder wegen dan bijvoorbeeld het commerciële, niet mensenrechtelijke belang van de adverteerder. Door het verzamelen van persoonsgegevens en het gebruik voor behavioral targeting kan er namelijk een uitgebreid profiel van iemand opgesteld worden. Dit kan een vrij zware inbreuk op de privacy inhouden. Daar komt nog bij dat behavioral targeting niet de enige mogelijkheid van adverteren is er zijn manieren van adverteren die minder privacyschendend zijn. In een recente uitspraak van de Hoge Raad heeft deze nog eens benadrukt dat bij iedere verwerking van persoonsgegevens voldaan moet zijn aan de beginselen van proportionaliteit en subsidiariteit. De verantwoordelijke moet, op basis van de bij hem bekende gegevens, steeds een belangenafweging maken tussen het eigen belang en dat van de betrokkene. 50 De Hoge Raad zegt in overweging 3.3 dat de Wbp moet worden uitgelegd in overeenstemming met het bepaalde in art. 8 EVRM. Zoals hierboven al vermeld moeten de proportionaliteit en de subsidiariteit mee gewogen worden. De Hoge 46 Zuiderveen Borgesius 2011 47 CBPL.nl Home > lexicon > gerechtvaardigd belang 48 Barthold/Bondsrepubliek Duitsland, Markt intern verlag/ Bondsrepubliek Duitsland, par 31 49 o.a. in Lindqvist 50 HR 9 september 2011 16

Raad benadrukt ook dat er voor de verwerking van persoonsgegevens altijd een grondslag in de zin van artikel 8 Wbp moet zijn. Artikel 8 Wbp komt overeen met artikel 7 privacyrichtlijn. In alle rechtvaardigingsgronden van artikel 8 Wbp is de eis van noodzakelijkheid opgenomen. Hierdoor moet er eerst getoetst worden of er zich een grondslag van artikel 8 voordoet voor verwerking van persoonsgegevens en daarna of die verwerking in dat bepaalde geval noodzakelijk is. Dit betekent dat ook indien er bijvoorbeeld voldaan moet worden aan een wettelijke plicht er alsnog een belangenafweging dient plaats te vinden. Dit oogt in eerste instantie vreemd, aangezien het impliceert dat de Wpb in sommige gevallen voorgaat op andere wetten. Dit kan verklaart worden, omdat de verwerking van persoonsgegevens en de Wbp tegen het licht van artikel 8 EVRM moet worden gezien en grondrechten gaan in beginsel voor op nationale wetgeving. Een bepaling waaruit dit onder ander blijkt is artikel 94 GW. Een nadrukkelijke verwijzing naar artikel 8 EVRM in dit arrest had dit duidelijker gemaakt. 2.3. Artikel 29 werkgroep over toestemming Deze opinie 51 gaat over het begrip toestemming die zowel in de privacy als in de e- privacyrichtlijn is genoemd. De werkgroep maakt duidelijk aan welke criteria toestemming moet voldoen en welke toestemming vereist is voor de verwerking van persoonsgegevens. Een toestemming is alleen geldig indien er sprake is van een wilsuiting van de betrokkene, die in vrijheid is gegeven, ziet op een specifieke gegevensverwerking en gebaseerd op informatie is. Er moet daadwerkelijk iets te kiezen zijn en het moet praktisch mogelijk zijn de toestemming in te trekken. Een toestemming die dus gegeven wordt, omdat anders niet van de dienst gebruik gemaakt kan worden is geen toestemming, veelal gebeurt dit met betrekking tot first party cookies. Ook moet het duidelijk zijn voor welke verwerking er toestemming wordt gevraagd en gegeven. De toestemming moet daarbij specifiek zijn, een alles omvattende toestemming zonder het exacte doel van de verwerking te verstrekken is niet acceptabel. De werkgroep is van mening dat een bij het plaatsten van cookies opt-in vereist is, dit is ook het vereiste van de e-privacyrichtlijn. Ook vind de werkgroep dat de toestemming niet voor onbepaalde tijd wordt gegevens en de verwerker zal dan ook moeten nagaan bij de gebruiker of deze nog steeds achter zijn toestemming staat. De artikel 29 werkgroep wil ook graag duidelijkheid geven over het begrip ondubbelzinnige toestemming, welke in artikel 7 onder a van de privacyrichtlijn te vinden is. Om deze toestemming te verkrijgen zijn mechanismen nodig waarbij er geen twijfel kan bestaan of de gebruiker de intentie had om te toestemming te geven. De werkgroep vermeld nog eens dat toestemming maar één van de zes potentiële grondslagen is waarbij een verwerking van persoonsgegevens gerechtvaardigd kan zijn. Andere grondslagen zijn bijvoorbeeld de uitvoering van een overeenkomst of een gerechtvaardigd belang, zoals een commercieel belang. 51 Werkgroep, WP 187 17

2.5. BUDE Artikel 5 van de e-privacyrichtlijn is overgenomen in artikel 4.1 Besluit Universele Dienstverlening Eindgebruikerbelangen (BUDE): Een ieder die toegang wil tot randapparatuur van een gebruiker of daarop iets wil opslaan moet: a. op een duidelijke en nauwkeurige wijze informeren omtrent doeleinden waarvoor men toegang wenst te verkrijgen dan wel waarvoor men gegevens wenst op te slaan. b. Op voldoende kenbare wijze gelegenheid bieden de desbetreffende handeling te weigeren. Het bepaalde in het eerste lid is niet van toepassing, voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel: a. De verzending van communicatie over een openbaar elektronsich communicatienetwerken uit te voeren of te vergemakkelijken, of b. De door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is. De uitzonderingen zijn wel iets anders geïmplementeerd, de gebruiker moet namelijk voorafgaand aan het plaatsen van een cookie op een duidelijke en nauwkeurige wijze geïnformeerd zijn omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan en op een voldoende kenbare wijze in de gelegenheid dient te zijn geweest om het cookie te weigeren. Het voorafgaande toestemmings- en informatievereiste gold dus al ten aanzien van cookies in Nederland en Nederland kende dus al een opt-in regime. 2.6. Telecommunicatiewet Op dit moment is er een voorstel aangenomen in de Tweede Kamer om de Telecommunicatiewet (TW) te wijzigen en deze is nu aanhangig bij de Eerste Kamer. Dit wetsvoorstel gaat over netwerkneutraliteit, maar ook over de aanpak van cookies. De Richtlijn Burgerrechten wordt geïmplementeerd in artikel 11.7a van de TW. De e- privacyrichtlijn is hoofdzakelijk geïmplementeerd in hoofdstuk 11 TW, doch een uitzondering was gemaakt voor artikel 5 van de e-privacy richtlijn. De reden hiervoor was dat dit onderwerp nog onderzocht en bestudeerd werd. Hierdoor was besloten dit 18

artikel in de BUDE te plaatsen. In het nieuwe voorstel voor implementatie van de Richtlijn Burgerrechten wordt artikel 5 ook in hoofdstuk 11 van de TW geplaatst. De implementatie in Nederland loopt niet heel voorspoedig en eigenlijk had de richtlijn al op 25 mei geïmplementeerd moeten zijn. Een van de redenen voor de vertraging is de al eerder genoemde onduidelijkheid over overweging 66, een andere reden is dat het eerste voorontwerp een aantal bepalingen bevatte die niet in overeenstemming met de e- privacyrichtlijn waren. Er werd ondubbelzinnige toestemming vereist bij, onder andere het plaatsen van cookies. In de gewijzigde e-privacy richtlijn is slechts gewone toestemming vereist. Nederland vereiste een strengere toestemming dan noodzakelijk was. Daarbij moest de vereiste informatie vooraf aan de plaatsing van het cookie gegeven worden. In de nieuwe e-privacyrichtlijn wordt ook de mogelijkheid gegeven om deze informatie tijdens het plaatsen te verstrekken. 52 Tijdens het debat over dit voorstel werd er vooral gesproken over ondubbelzinnige toestemming, welke één van de mogelijke rechtvaardigingsgronden uit de privacyrichtlijn en Wbp is. Na overleg met branche en belangenorganisaties, die fel tegen ondubbelzinnige toestemming zijn, werd ervoor gekozen om gewone toestemming te vereisen. Ondubbelzinnige toestemming zou economische schade kunnen veroorzaken, een te rigoureus systeem kan het bestaande model op het internet schade berokkenen, en daarbij wordt het gebruiksgemak zeker niet behartigt. 53 Dit voorstel is gewijzigd door het amendement van Dam van Bemmel, waardoor er wel ondubbelzinnige toestemming is vereist bij het plaatsen van cookies. Dit amendement en het cookiedebat laten de grote vrees voor cookies. In het debat werd zelfs door iemand gepleit voor aanpak in het strafrecht, wat de grote vrees voor cookies doet weergeven. 2.6.1. Toestemming Ondubbelzinnige toestemming kan inhouden dat er pop-up vensters verschijnen wanneer er cookies geplaatst worden. Geen enkele gebruiker zal hierop zitten te wachten. Deze manier komt de gebruikersvriendelijkheid totaal niet ten goede en het zou zelfs het gebruiksgemak van het internet kunnen schaden. In het geamendeerde wetsvoorstel wordt het niet toegestaan dat toestemming via de browser gegeven kan worden. Daarbij heeft de regering verklaard dat er een algemeen geldend principe is dat een overweging geen bindende rechtskracht heeft en niet kan worden aangevoerd om van de bepaling van een richtlijn af te wijken. Dit is opmerkelijk aangezien de regering zelf wel gemakkelijk van een bepaling van de richtlijn afwijkt. De Tweede Kamer is van mening dat de toestemming per website eenmalig gegeven kan worden, dit komt de gebruikersvriendelijkheid ten goede. Om te voldoen aan het informatievereiste moet er een link zijn die bijvoorbeeld naar de privacy policy verwijst. Deze link zal duidelijk en goed zichtbaar moeten zijn. Voor de wijziging van de e-privacyrichtlijn was het verplicht voor websites om gebruikers duidelijk te informeren over het gebruik van cookies. In de praktijk werd dit vaak gedaan door middel van een privacy policy. Na de wijziging is het noodzakelijk om vooraf toestemming te verwerven, dit kan dus niet via de privacy policy, terwijl informatie ook tijdens het plaatsen van het cookie mag geschieden. In het 52 Kool e.a. 2011 53 Kool e.a. 2011, p. 12 19

wetsvoorstel wordt het verplicht dat gebruikers worden geïnformeerd over het plaatsen van cookies, welke informatie die cookies doorspelen aan de plaaster van het cookie en aan eventuele andere websites. 2.7. Wbp Bij de invoering van de Wbp kreeg deze niet veel aandacht, maar door veranderende technologieën en de toename van online verwerking van persoonsgegevens, met name de recente lekken hiervan, heeft deze wet meer belangstelling gekregen. De Nederlandse Wbp is gebaseerd op de privacyrichtlijn en komt hier ook grotendeels mee overeen. Indien door middel van cookies persoonsgegevens worden verwerkt op Nederlands grondgebied of met behulp van Nederlandse apparatuur dan geldt de Wbp. De Wbp geldt dus indien er gegevens worden verwerkt die een geïdentificeerde of identificeerbare natuurlijke persoon betreffen. Zoals al eerder vermeld gebeurt dit in veel gevallen, maar niet in alle gevallen, bij het plaatsen van cookies. Een persoon kan veelal door middel van een IP adres of andere gegevens met weinig moeite achterhaald worden. Een wetsvoorstel tot wijziging van de Wbp is aangenomen door de Tweede Kamer en deze is nu in behandeling bij de Eerste Kamer. Een belangrijke geplande wijziging is een bredere meldplicht datalekken, welke gebaseerd is op gewijzigde e-privacyrichtlijn. Zodra persoonlijke gegevens op straat komen te liggen, moet de verantwoordelijke voor deze gegevens dat in bepaalde gevallen melden. Zowel de persoon op wie de gegevens betrekking hebben als het CBP moet in kennis worden gesteld. Het wetsvoorstel bevat geen wijziging met betrekking tot artikel 8, welke van belang is voor het verwerken van persoonsgegevens en door het amendement ook voor het plaatsen van cookies. 2.8. Onderscheid Volgens de artikel 29 werkgroep is artikel 5 lid 3 e-privacyrichtlijn een lex specialis van artikel 7 privacyrichtlijn. 54 maar de meningen zijn hierover verdeeld, anderen zeggen namelijk dat dit artikel een aanvulling op de privacyrichtlijn is. Cookies worden niet altijd geplaatst ten behoeve van behavioral targeting en deze techniek geschiedt niet altijd door middel van het plaatsen van cookies. De twee zaken dienen dan ook van elkaar te worden onderscheiden. Op het plaatsen van cookies zijn de e-privacyrichtlijn en de telecommunicatiewet van toepassing en op de verwerking van persoonsgegevens bij behavioral targeting zijn de privacy richtlijn en de Wpb van toepassing. Ditzelfde geldt ook voor de bevoegdheidsverdeling tussen de twee toezichthouders, OPTA en het CBP. 55 De vereisten van artikel 5 lid 3 e-privacyrichtlijn zijn minimumvereisten, indien er bijvoorbeeld cookies worden geplaatst. Wanneer bij deze plaatsing en het lezen ervan persoonsgegevens van een gebruiker zijn betrokken dan gelden de extra vereisten van de privacy richtlijn. 54 Artikel 29 Werkgroep, WP 171, par 3.2.3. 55 Kool e.a. 2011 20