Zeer kritische vragen Eerste Kamer over nieuwe cookieregels

De Eerste Kamer heeft besloten het wetsvoorstel over cookies niet als hamerstuk aan te nemen, maar een voorbereidend onderzoek uit te voeren. Uit het voorlopig verslag van dat onderzoek blijkt dat de senaat zeer kritisch is over de nieuwe cookieregels.

Tekst: Milica Antic

Cookies houden mij al enige maanden bezig. Al eerder heb ik op het weblog van SOLV Advocaten en op Nu.nl kritisch geschreven over de nieuwe regels voor cookies in het wetsvoorstel tot wijziging van de Telecommunicatiewet. Dit wetsvoorstel, inclusief amendement nr. 39 van de PVV en PvdA, werd op 22 juni 2011 door de Tweede Kamer aangenomen.

Gelukkig moet het wetsvoorstel nog worden aangenomen door de Eerste Kamer, en die heeft besloten het niet als hamerstuk aan te nemen maar een voorbereidend onderzoek uit te voeren. Eind vorige week verscheen het voorlopig verslag naar aanleiding van dit onderzoek, en daaruit blijkt dat de Eerste Kamer zeer kritisch is over de nieuwe cookieregels. De meeste vragen die door de Kamerleden zijn gesteld gingen over het voorgestelde artikel 11.7a Telecommunicatiewet, inderdaad, de bepaling die de nieuwe regels voor cookies bevat, en niet bijvoorbeeld over netneutraliteit, ook een onderdeel van het wetsvoorstel.

Met name VVD en CDA tonen zich bijzonder kritisch. Het is een verademing om te lezen dat er parlementariërs zijn die precies lijken te begrijpen waar de pijnpunten zitten. De nieuwe cookieregels zijn dankzij amendement 39 praktisch niet uitvoerbaar, en bovendien rammelt het juridisch aan alle kanten. Het is in mijn ogen onbegrijpelijk dat de Tweede Kamer het amendement heeft aangenomen. De Eerste Kamer onderstreept met deze vragen haar wezenlijke rol in een democratisch wetgevingsproces. Wat mij betreft kan het nut van deze Kamer, als extra controlerend parlement, niet ter discussie staan.

Hieronder volgen  de belangrijkste vragen die er vanuit de Eerste Kamer zijn gesteld:

VVD
De VVD wijst erop dat de e-Privacyrichtlijn volledige harmonisatie beoogt terwijl het wetsvoorstel verder gaat dan de richtlijn voorschrijft, en stelt onder meer de volgende vragen:

• Hoe verhoudt het wetvoorstel zich met de richtlijn?
• Hoe wordt toezicht gehouden op de naleving van de regels, met name waar het gaat om buitenlandse partijen?
• Welke invloed hebben de nieuwe regels op het gebruiksgemak?
• Welke partij is verantwoordelijk?
• Is het op dit moment technisch mogelijk om gebruikers collectief en eenmalig toestemming te vragen?
• moet er voor cookies die bestemd zijn voor historisch, statistisch en wetenschappelijk onderzoek ook ondubbelzinnige toestemming worden gevraagd?
• wat is de impact op de concurrentiepositie van Nederland?
  

PvdA
De PvdA stelt de volgende vragen:

• Kan internet zonder cookies bestaan, en als dit niet zo is, welke maatschappelijk c.q. commercieel doel dienen cookies?
• Wat is de reikwijdte van de wet (welke soorten cookies vallen onder de wet)?
• Kan de regering bevestigen dat het amendement niet geldt voor statisch en wetenschappelijk onderzoek?

D66
D66 omarmt de nieuwe regels en wijst erop dat de e-Privacyrichtlijn en de algemene Privacyrichtlijn kan worden afgeleid dat vergaande toestemming is vereist voor het plaatsen van cookies. Deze stelling is in mijn ogen pertinent onjuist. De e-Privacyrichtlijn, waarin de nieuwe cookieregels zijn vervat, verwijst voor het begrip toestemming naar de algemene Privacyrichtlijn. Deze Privacyrichtlijn bepaalt dat toestemming vrij, specifiek en geïnformeerd moet zijn. Daarnaast kent de richtlijn zes verschillende grondslagen voor de verwerking van persoonsgegevens, één daarvan is ondubbelzinnige toestemming, maar dat is wat anders, namelijk een grondslag voor verwerking van persoonsgegevens, en niet de toestemming die nodig is voor het plaatsen of uitlezen van cookies. Als de Europese wetgever het oog had op deze gekwalificeerde vorm van toestemming, dan was dit ongetwijfeld in de wettelijke bepaling opgenomen. Daar heeft de wetgever echter niet voor gekozen, integendeel, in overweging 66 van de richtlijn staat zelfs letterlijk dat toestemming mogelijk ook gegeven kan worden via de browser. Hoe D66 uit genoemde richtlijnen dan meent te kunnen afleiden dat er ‘vergaande’ toestemming verleend moet worden voor het plaatsen van cookies (dit is dus een strengere eis dan die in zijn algemeenheid geldt voor het verwerken van persoonsgegevens) is mij een raadsel.

D66 stelt in aanvulling op deze conclusie de vraag hoe de betreffende bepaling uit de e-Privacyrichtlijn in andere landen is geïmplementeerd. Een goede vraag met een voor D66 misschien ongewenst antwoord: de landen waar de regeling al is geïmplementeerd hanteren een aanzienlijk minder streng regime dan voortvloeit uit het Nederlandse wetvoorstel. Eurocommissaris Neelie Kroes is niet voor niets zo kritisch over ons wetvoorstel.

CDA
Tot slot heeft het CDA vragen gesteld over de nieuwe cookiewet, en deze zijn niet mis. De senatoren van het CDA lijken haarscherp te zien waar de problemen liggen en besteden drie volle kritische pagina’s aan het wetsvoorstel met betrekking tot cookies. De belangrijkste punten:

• Het feit dat de Wet bescherming persoonsgegevens (‘Wbp’) van toepassing wordt op het plaatsen van cookies lijkt verder te gaan dan de richtlijn voorschrijft. De e-Privacyrichtlijn richt zich immers enkel op het plaatsen of uitlezen van gegevens op de randapparatuur van gebruikers en is dus niet bedoeld om de algemene Privacyrichtlijn uit te leggen of om het begrip ‘persoonsgegevens’ uit te leggen.
• Verder vraagt het CDA zich zeer terecht af of het feit dat uit de toelichting bij het amendement blijkt dat zelfs wanneer niet kan worden bewezen dat er persoonsgegevens worden verzameld via cookies, de Wbp toch van toepassing is, niet verder gaat dan de reikwijdte van de Wbp. 
• De uitleg van het begrip ‘toestemming’ in het wetsvoorstel lijkt niet consistent met de definitie van toestemming in de Wbp (zie ook mijn commentaar hiervoor). Daarbij wijst het CDA er ook op dat de Wbp verschillende wettelijke gronden kent om persoonsgegevens te mogen verzamelen, ondubbelzinnige toestemming is daar slechts één van. Door ondubbelzinnige toestemming te eisen voor het plaatsen en uitlezen van cookies, doorkruist het wetsvoorstel de Wbp, en het stelt het een zwaardere eis dan de richtlijn.
• Het CDA vraagt zich voorts af of Nederland niet in een isolement raakt met dit strenge opt-in regime terwijl andere lidstaten voor zachtere opt-in varianten hebben gekozen. Zo’n uitzonderingspositie kan de werking van de interne markt verstoren.
• Omdat de nieuwe cookieregels gelden voor iedereen die cookies plaatst op de eindapparatuur van Nederlandse gebruikers, terwijl veel bedrijven zich juist op een Europees of wereldwijd publiek richten, leiden verschillen in wetgeving tot juridische en technische complexiteit en lastenverzwaring. Wat is het oordeel van de regering daarover?
• Het wekt een vals gevoel van veiligheid omdat de Nederlandse gebruikers bij het bezoeken van buitenlandse websites met een lagere standaard voor het geven van toestemming te maken zullen hebben.
• Het CDA wil een overzicht krijgen van hoe het in andere landen is geregeld en wijst erop dat Kroes al voor een opt-in heeft gepleit met de nadruk op informatievoorziening. Toestemming zou ook via browserinstellingen kunnen worden gegeven en het CDA vraagt zich af hoe het daarmee staat.
• De implementatie van een regime van ondubbelzinnige toestemming zal waarschijnlijk afbreuk doen aan het surfgemak en zal leiden tot administratieve en technische kosten bij de verantwoordelijken.
• Door de aanvullende eis van ondubbelzinnige toestemming wordt overweging 66 bij de richtlijn (waarin erop wordt gewezen dat browers een mogelijkheid kunnen zijn om toestemming te verkrijgen) grotendeels buitenspel gezet. Het CDA wijst er terecht op dat dit onwenselijk is nu de ontwikkeling van browsers sneller gaat dan het wetgevingsproces.
• Kan de regering aangeven of het vereiste van ondubbelzinnige toestemming wel het meest geëigende instrument is om de privacy van de gebruiker te beschermen?
• Nu de Wbp van toepassing wordt op cookies, ontstaat er onduidelijkheid over de vraag wie de regeling moet gaan handhaven, de OPTA of het CBP? Dat schept onzekerheid.
• Er zijn cookies die niet niet strikt noodzakelijk zijn voor de technische werking van een website (de uitzonderingsbepaling), maar desondanks belangrijk zijn voor een goede en veilige werking van websites. Denk bijvoorbeeld aan analytic cookies (Google Analytics bijvoorbeeld). Het is onduidelijk welk regime op dit soort cookies van toepassing is. Het ligt volgens het CDA voor de hand om dit soort cookies onder de uitzonderingsbepaling te laten vallen omdat de inbreuk op privacy gering is.
• Wanneer surfgedrag door middel van cookies wordt gevolgd, is dit lang niet altijd te herleiden tot één geïdentificeerde of identificeerbare persoon terwijl het amendement een rechtsvermoeden introduceert waardoor de Wbp wél van toepassing is. Kan dit vermoeden wel worden weerlegd?

Ik ben onder de indruk van het niveau van vragen gesteld door vooral het CDA. Deze partij heeft zich duidelijk goed in het dossier verdiept en is niet bang gebleken om kritisch te zijn over een wet die beoogt het bij de kiezers zo populaire privacybelang te verdedigen. Ook zo’n wet, hoe goed bedoeld ook, moet deugen, en daar heeft de Eerste Kamer terecht allerlei kritische vragen over gesteld. Nu is het wachten op een antwoord van de minister. Wordt vervolgd.

Milica Antic is advocaat bij SOLV Advocaten, een kantoor dat is gespecialiseerd in technologie, media en communicatie. Dit artikel verscheen eerder op het weblog van het kantoor.

Zie ook:
- Cookiewetgeving: impact en oplossingen voor webwinkels
- ICTRecht bundelt cookietips in factsheet