Enigszins boos meldde Out-law onlangs dat “cookies verboden gaan worden” in Europa. Of nou ja, ze mogen wel maar een website moet vooraf expliciet om toestemming vragen. Dat zou blijken uit de gewijzigde regels uit het Telecompakket dat onlangs door het Europees Parlement gegaan is.
Artikel 5 van de Universeledienstenrichtlijn 2002/22/EC wordt namelijk aangepast, en in dat artikel staat geregeld onder welke voorwaarden een aanbieder informatie mag opslaan (of inzien) op de computer van een gebruiker. Er staat nu dat dit alleen mag als:
the subscriber or user concerned is provided with clear and comprehensive information in accordance with Directive 95/46/EC, inter alia about the purposes of the processing, and is offered the right to refuse such processing by the data controller
en dat gaat worden:
the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia about the purposes of the processing.
“Consent” is een heel stuk sterker dan “information”. Je kunt als website dus niet meer volstaan met een standaardriedel “Wat zijn cookies en waarom slaan we die op op uw PC” in je privacyverklaring. Je moet nu ook toestemming hebben om dit te mogen doen. En het aanbieden van een privacystatement is onvoldoende om toestemming te mogen claimen.
En het is zeker de bedoeling dat cookies vallen onder het kopje “information”, zo blijkt uit de aanhef van de gewijzigde richtlijn. Daarin staan namelijk cookies expliciet genoemd als voorbeeld.
Maar toch denk ik dat Out-law een beetje te paniekerig is. In diezelfde aanhef staat namelijk:
Where it is technically possible and effective, in accordance with the relevant provisions of Directive 95/46/EC, the user’s consent to processing may be expressed by using the appropriate settings of a browser or other application.
Wanneer een browser dus afdoende controle biedt over het accepteren en opslaan van cookies, hoeft een site daar niet meer elke keer om te vragen. Ik vraag me wel af wat de EU hieronder gaat verstaan.
Iemand een suggestie hoe je op een niet-irritante manier om toestemming gaat vragen om cookies op te slaan?
Arnoud
