Sinds dinsdag is de omgekeerde bewijslast in de cookiewet van kracht. Wie cookies gebruikt om iemand over meerdere sites te tracken, moet kunnen bewijzen dat hij dan géén persoonsgegevens verwerkt. Anders schendt hij de cookiewet én de Wet bescherming persoonsgegevens. Maar hoe bewijs je dat je iets niet doet? Gisteren hadden we daar een discussie op Twitter over, en ongetwijfeld toevallig vanochtend een schuimbekkend GeenStijl dat hiertegen van leer trekt. Maar eerlijk gezegd kan ik geen situatie bedenken waarin het bewijsvermoeden tot verkeerde uitkomsten leidt.
Eerst even een misverstand wegnemen: de omgekeerde bewijslast gaat NIET, ik herhaal NIET, en voor informatici die zeggen “dubbele ontkenning=bevestiging” nog eens herhaald NIET, over elk cookie. Het gaat alleen over cookies die over meerdere diensten heen gegevens verzamelen over surfgedrag van bezoekers.
Het gewraakte deel van de cookiewet luidt als volgt:
Een handeling als bedoeld in de aanhef, die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden, wordt vermoed een verwerking van persoonsgegevens te zijn, als bedoeld in artikel 1, onderdeel b, van de Wet bescherming persoonsgegevens.
Een ‘vermoeden’ wil zeggen dat de rechter moet aannemen dat hiervan sprake is tenzij de verantwoordelijke partij (de website-eigenaar dus) kan bewijzen dat het niet zo is. Zulke rechtsvermoedens worden in de wet opgenomen als men bang is dat het bewijs anders niet te leveren is. De gedachte hier was dat je als websitebezoeker heel moeilijk kunt bewijzen of iemand gegevens over jou verzamelt en daarmee een profiel opbouwt. En pas als je dat kunt bewijzen, heb je recht van inzage in en verwijdering van je gegevens.
Door de bewijslast om te keren, kun je als bezoeker dus zeggen “wat weet u over mij met dit tracking cookie” en de site moet dan zeggen “helemaal niets want met dat cookie bouwen wij geen profiel op, alleen dit en dat”. En dat geldt ook als de OPTA langskomt, die kan nu eenvoudig eisen dat men uitlegt waarom een cookie niet tot een persoonsgebonden profiel leidt.
Maar wat kun je nu invullen voor het “dit en dat”? Bewijzen dat je géén profiel opbouwt is nogal lastig. Je kunt moeilijk je harde schijf opsturen en zeggen “kijk maar, er staat nergens een profiel van u”. Al is het maar omdat je best twee harde schijven kunt hebben in je server.
In de praktijk zal het neerkomen op een uitleg wat je dan wél doet. En eerlijk gezegd ben ik best benieuwd naar zo’n uitleg. Want het moet immers gaan om een cookie dat
- gegevens over het gebruik van verschillende diensten
- door een bepaalde gebruiker
- verzamelt, combineert, of analyseert
- voor commerciële, charitatieve of ideële doeleinden,
Dat eerste punt gaat alleen over third-party cookies, want hoe kun je anders over verschillende diensten heen gegevens verzamelen. Een eigen first-party statistiekendienst valt er dus al niet onder, en ook het tracken van je eigen banners of zelfs affiliatecookies vallen erbuiten. Dit is ook zo gezegd in het parlement bij invoering van deze wet.
Het moet gaan om gegevens “door de gebruiker”, oftewel een bepaalde individualiseerbare persoon. En dat is welhaast de definitie van “persoonsgegeven”. Je hoeft niet te weten hoe iemand heet of zelfs maar hoe hem te contacteren voordat je van een persoonsgegeven kan spreken. De zin “GeenStijl-redacteur Brusselmans blogde vanochtend over het bewijsvermoeden” is een persoonsgegeven, ook al heb ik geen idee wat er op zijn paspoort staat of waar zijn huis woont.
Je moet gegevens “verzamelen, combineren of analyseren”. Dat lijkt me onvermijdelijk als je spreekt van gegevens over meerdere diensten heen.
Het moet gaan om commerciële, ideële of charitatieve doeleinden – hetzelfde criterium dat bepaalt of e-mail spam is. Puur statistieken maken zou er denk ik wel buiten vallen, net als cookies waarmee je probeert aan security te doen. Een interesseprofiel maken waar je advertenties op kunt afstemmen, is natuurlijk commercieel.
Samengevat lijkt me dit artikel alleen relevant voor third party tracking cookies, en daarvan staat voor mij eigenlijk altijd wel vast dat ze wel degelijk tot een verwerking van persoonsgegevens leiden. Het omkeren van de bewijslast doet dan niet meer dan voorkomen dat bijdehante trackingfiguren gaan roepen “bewijs maar dat wij een profiel van u hebben” in plaats van openheid van zaken te geven.
Wie een tegenvoorbeeld weet van een cookie dat onder het bewijsvermoeden valt maar geen verwerking van persoonsgegevens oplevert: kom maar op, en win een gratis boek Cookies.
