Wie een cookie zet, moet daar toestemming voor hebben van de eindgebruiker. Die toestemming verkrijgen is nogal gedoe, dus niet iedereen heeft daar zin in. Een gedachte is dan om met nieuwe technieken te gaan werken, zoals browser fingerprinting, om de gebruiker te herkennen zónder cookie. Of te werken met sessie-codes in de URL, zodat je ook op die manier kunt bijhouden welke bezoeken bij elkaar horen. Maar ook dat gaat niet zomaar onder de cookiewet.
De naam “cookiewet” is eigenlijk lichtelijk misleidend. Hoewel alle heisa over cookies gaat, is de wet formeel niet beperkt tot cookies. De wet spreekt van “een ieder die gegevens wenst uit te lezen uit of op te slaan in randapparatuur”. Onder gegevens vallen cookies, maar ook Flash cookies, plugins, toolbars, offline content en zelfs gewoon de HTML, CSS en Javascript waar iedere website uit bestaat. Voor al die gegevens is dus toestemming nodig.
De uitzondering voor strikt noodzakelijk zijn geldt bij HTML, CSS en dergelijke al snel. Zonder stylesheet ziet de website er niet uit, dus die is noodzakelijk. Maar wie de wet héél formeel leest, zal vast elementen van een website kunnen aanwijzen die eigenlijk niet noodzakelijk zijn en dus eigenlijk toestemming vereisen.
Browser fingerprinting valt óók onder de cookiewet. Daarbij wordt weliswaar niets opgeslagen op de computer van de eindgebruiker maar wel uitgelezen en ook dat triggert al de toestemmingseis (tenzij noodzakelijk). Uitlezen van informatie over de browser (welke fonts, welk besturingssysteem, welke schermresolutie enzovoorts) is óók uitlezen van gegevens immers. En de minister heeft expliciet gezegd:
Het lezen van de combinatie van instellingen en kenmerken van het apparaat met als uitsluitend doel de met dat apparaat opgevraagde dienst te leveren (bijvoorbeeld om de bezochte website goed te kunnen weergeven) valt onder de uitzondering in het derde lid. Het lezen van deze informatie om het surfgedrag van de gebruiker van het apparaat te volgen valt niet onder de uitzondering. Hiervoor is dan ook geïnformeerde toestemming van de gebruiker vereist.
Het maakt dus wél uit met welk doel de gegevens worden uitgelezen. Wie de browserversie uitleest om een Chrome-specifieke site (of een voor tablets geschikte versie) terug te kunnen sturen, hoeft daar geen toestemming voor te vragen. En wie het besturingssysteem en taalinstellingen achterhaalt om zo de meest passende downloadlink te kunnen tonen (de Nederlandstalige 64-bits Windowsversie of de Linux ARM versie) hoeft ook geen toestemming te vragen. Maar browser fingerprinting voor herkenning, al is het maar in geaggregeerde vorm, vereist dus net zo goed toestemming.
