DOSSIERS
Alle dossiers
Gepubliceerd op woensdag 3 april 2013
IT 1104
De weergave van dit artikel is misschien niet optimaal, omdat deze is overgenomen uit onze oudere databank.

Serieuze noot bij onze 1 april grap: het gevaar van expliciete opt-in

Een redactionele bijdrage van Wouter Dammers, ICTRecht.

Afgelopen maandag, 1 april, heeft ICTRecht EUR 8.200,- verdiend doordat bezoekers simpelweg op “Accepteren” klikken in onze cookiemelding. Deze cookie pop-up bevatte naast de bekende teksten over Analytics cookies en sociale media namelijk ook de tekst “Daarnaast geeft u ons toestemming € 100 af te boeken per eenmalige incasso van uw bankrekening”. Natuurlijk niet echt: het was een 1 april grap. Maar: een grap met een boodschap. Aan de bezoekers: klik niet zomaar op accepteren. En aan de wetgever: een expliciete opt-in is gevaarlijk!

Halverwege de middag publiceerde ICTRecht vervolgens de blog met het bericht dat ze EUR 8.200,- heeft mogen incasseren via automatische incasso. Een geslaagde grap, blijkbaar, gezien de vele retweets en boze e-mailtjes in de infobox van ICTRecht dat we het echt niet moesten wagen om EUR 100,- te incasseren van rekeningnummer 123…etc.
Deze grap – die overigens al het hele jaar lang werd aangekondigd door ICTRecht partner Arnoud Engelfriet – toont maar weer eens aan dat het vragen van een expliciete opt-in ook zekere gevaren kent. Internetgebruikers willen internetten. Niet irritante pop-ups lezen over cookies en wat ze zijn en wat ze doen en waarom en dat cookies niet gevaarlijk zijn. Dus wegklikken die pop-up.

Dit is het gevolg van de cookiewet, die sinds juni vorig jaar websites verplicht om toestemming te verkrijgen voor het plaatsen en uitlezen van cookies. In reactie daarop heeft vrijwel iedere zichzelf respecterende website een pop-up of dialoogvenster waarin wordt gemeld welke cookies men gebruikt, door welke partijen deze worden gebruikt, en voor welke doeleinden deze worden gebruikt. Sommige websites kiezen daarbij voor een impliciete toestemming (“Wij hebben alvast cookies voor je geplaatst, en we veronderstellen dat je daarmee akkoord bent“), andere websites kiezen voor ondubbelzinnige toestemming (“Door verder te klikken op deze website ben je akkoord bent met….”), en weer andere websites kiezen voor een meer expliciete versie (“Klik hieronder op “Accepteren” om hiermee akkoord te gaan”). Deze laatste versie, zoals ook door ons gehanteerd, is de juridisch meest waterdichte manier om toestemming te krijgen.

Probleem is namelijk dat impliciete toestemming sowieso niet is toegestaan: toestemming moet vooraf aan het plaatsen van de cookies zijn verkregen en cookies kunnen dus niet alvast geplaatst worden. Ondubbelzinnige toestemming houdt in dat een websitehouder in het geval van twijfel dient te verifiëren of hij er terecht van uit mag gaan dat de bezoeker met de verwerking heeft ingestemd en voor welke specifieke verwerkingen toestemming is gegeven. Dat kan nog wel eens lastig zijn: kon je er echt van uit gaan dat de bezoeker akkoord was met de verwerking, of wilde hij/zij gewoon verder surfen op de site? Bij expliciete toestemming weet je zeker dat de betrokkene akkoord is met het gebruik van cookies: hij/zij klikt immers op “Accepteren” / “Akkoord”. Of hij/zij nou wel of niet de tekst van de pop-up leest doet daar in principe niet aan af: hij heeft er alles aan gedaan wat redelijkerwijs van hem mocht worden verwacht om informatie te verstrekken over het gebruik van cookies. En aangezien er op overtreding van de cookiewet een boete staat per overtreding van EUR 450.000,- kiezen de meeste websites eieren voor hun geld: dan maar expliciete toestemming.

Erg vervelend voor de internetbezoeker, want die wordt nu dus praktisch gedwongen om op iedere website die hij/zij bezoekt aan te geven of hij/zij wel of niet akkoord is met het gebruik van cookies.

Los van deze irritatie is het hanteren van een expliciete toestemming ook nog eens gevaarlijk, omdat daarmee overeenkomsten tot stand kunnen komen. En ook de privacy van de bezoeker kan daardoor in het geding komen. En aangezien de cookiewet nu juist bedoeld was om de privacy van de internetbezoeker beter te beschermen (of althans: hem/haar meer controle te geven over welke gegevens op of van zijn computer worden gebruikt), lijkt ons dit een zeer ongewenst gevolg.

Immers: een expliciete toestemming kan voor meer doeleinden worden gebruikt dan alleen voor het verkrijgen van toestemming voor het gebruik van cookies. Denk aan het verzamelen en/of doorverkopen van (andere) persoonsgegevens, of zelfs het verwerken van bijzondere persoonsgegevens zoals gegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, seksuele leven, lidmaatschap van een vakvereniging of strafrechtelijke gegevens. Voor het verwerken van bijzondere persoonsgegevens is namelijk expliciete toestemming vereist.

Dat kan dus betekenen dat je als internetbezoeker zomaar akkoord kunt zijn gegaan met het plaatsen van een tracker op jouw computer, om jouw toetsaanslagen te registreren en deze door te sturen aan de betreffende websitehouder. En/of om achter jouw inloggegevens voor jouw e-mailaccount te komen (“Handig joh! Hoef je zelf geen mails meer te sturen!”), en ook om nog even mee kijkt bij jouw gebruik van internetbankieren (“Wij regelen jouw betalingen wel!”), verstuurde berichten via jouw online datingprofiel (“Zozo, rare gewoontes heb jij!”) en de laatste resultaten van de SOA-test die je van je huisarts toegestuurd krijgt (“Handig voor je verzekering!”).

Natuurlijk heb je als websitebezoeker een zekere onderzoeksplicht: je moet niet zomaar op “Accepteren” klikken: lees.

Maar dit neemt niet weg dat de praktijk anders is. Cookie pop-ups worden net zo min gelezen als algemene voorwaarden.
Hopelijk zal Minister Kamp daarom bij zijn voorstel tot aanpassing van de cookiewet rekening houden met de negatieve effecten van een expliciete opt-in (en wil hij kiezen voor een ondubbelzinnige opt-in d.m.v. actieve en bewuste handeling – en dat een websitehouder er dan van uit mag gaan dat er een rechtmatige toestemming is verkregen).