Voor het plaatsen van cookies is sinds vorige week vrijdag toestemming nodig, behalve in enkele uitzonderingsgevallen. Dit op grond van Europese regels. In Engeland is men al iets verder: de Engelse OPTA, de ICO, heeft aanwijzingen gepubliceerd hoe de toestemming kan worden verkregen. Waar men eerst net zo streng klonk als hier, is op het allerlaatste moment gekozen voor implicit consent, oftewel impliciete toestemming. Kan dat ook bij ons?
In een uitgebreid advies werkt de ICO het concept van implied consent als volgt uit:
For implied consent to work there has to be some action taken by the consenting individual from which their consent can be inferred. This might for example be visiting a website, moving from one page to another or clicking on a particular button. The key point, however, is that when taking this action the individual has to have a reasonable understanding that by doing so they are agreeing to cookies being set.
Implied consent is dus niet hetzelfde als toestemming afleiden uit stilzwijgen. Het feit dat men een website bezoekt, is op zich nog géén implied consent. Er moet een combinatie zijn, bijvoorbeeld een duidelijke waarschuwing "als u verder gaat dan accepteert u daarmee onze cookies" die bij een inlogknop staat. En hoe dan ook moet die combinatie vooraf duidelijk zijn.
In Nederland is gekozen voor een strengere formulering voor toestemming, dus het is niet gezegd dat elk voorbeeld dat in Engeland werkt, bij ons ook zal werken. Zo wordt wel gesuggereerd in Engeland dat men kan volstaan met een duidelijke banner bovenaan elke pagina die zegt "Er is zojuist een cookie geplaatst, was dat akkoord?" waarbij men direct "nee" kan zeggen. Dát lijkt me niet te kunnen onder de Nederlandse wet.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.