Tja, dat krijg je als iedereen doodleuk cookiemeldingen gaat wegklikken door simpelweg ook “akkoord” te klikken: EUR 8.200,- in het laatje van ICTRecht doordat bezoekers expliciet op “Akkoord” klikten in onze cookie pop-up. Deze cookie pop-up bevatte naast de bekende teksten over Analytics cookies en sociale media echter ook de tekst “Daarnaast geeft u ons toestemming € 100 af te boeken per eenmalige incasso van uw bankrekening”. Niet echt natuurlijk, het was gisteren 1 april. Een grap dus. Maar: een grap met een boodschap. Aan de bezoekers: klik niet zomaar op accepteren. En aan de wetgever: een expliciete opt-in is gevaarlijk!
Gisteren werd de volgende cookie pop-up op onze websites getoond:
<a href="https://cookierecht.nl/files/2013/04/cookiemelding1april.png"><img class="alignnone size-full wp-image-1534" alt="cookiemelding1april" src="https://cookierecht.nl/files/2013/04/cookiemelding1april.png" width="364" height="245" /></a>
Halverwege de middag publiceerden we vervolgens de <a href="https://www.ictrecht.nl/ictrecht/ictrecht-incasseert-e8200-dankzij-cookiepopup-met-incassotoestemming/">blog</a> met het bericht dat we EUR 8.200,- hebben mogen incasseren via automatische incasso. Een geslaagde grap, blijkbaar, gezien de vele <i>retweets</i> en boze e-mailtjes in onze infobox dat we het echt niet moesten wagen om EUR 100,- te incasseren van rekeningnummer 123…etc.
Deze grap – die overigens al het hele jaar lang werd aangekondigd door Arnoud Engelfriet – toont maar weer eens aan dat het vragen van een expliciete opt-in ook zekere gevaren kent. Internetgebruikers willen internetten. Niet irritante pop-ups lezen over cookies en wat ze zijn en wat ze doen en waarom en dat cookies niet gevaarlijk zijn. Dus wegklikken die pop-up.
Dit is het gevolg van de cookiewet, die sinds juni vorig jaar websites verplicht om toestemming te verkrijgen voor het plaatsen en uitlezen van cookies. In reactie daarop heeft vrijwel iedere zichzelf respecterende website een pop-up of dialoogvenster waarin wordt gemeld welke cookies men gebruikt, door welke partijen deze worden gebruikt, en voor welke doeleinden deze worden gebruikt. Sommige websites kiezen daarbij voor een impliciete toestemming (“<i>Wij hebben alvast cookies voor je geplaatst, en we veronderstellen dat je daarmee akkoord bent</i>"), andere websites kiezen voor ondubbelzinnige toestemming (“<i>Door verder te klikken op deze website ben je akkoord bent met….</i>”), en weer andere websites kiezen voor een meer expliciete versie (“<i>Klik hieronder op “Accepteren” om hiermee akkoord te gaan</i>”). Deze laatste versie, zoals ook door ons gehanteerd, is de juridisch meest waterdichte manier om toestemming te krijgen.
Probleem is namelijk dat impliciete toestemming sowieso niet is toegestaan: toestemming moet vooraf aan het plaatsen van de cookies zijn verkregen en cookies kunnen dus niet alvast geplaatst worden. Ondubbelzinnige toestemming houdt in dat een websitehouder in het geval van twijfel dient te verifiëren of hij er terecht van uit mag gaan dat de bezoeker met de verwerking heeft ingestemd en voor welke specifieke verwerkingen toestemming is gegeven. Dat kan nog wel eens lastig zijn: kon je er echt van uit gaan dat de bezoeker akkoord was met de verwerking, of wilde hij/zij gewoon verder surfen op de site? Bij expliciete toestemming weet je zeker dat de betrokkene akkoord is met het gebruik van cookies: hij/zij klikt immers op “Accepteren” / “Akkoord”. Of hij/zij nou wel of niet de tekst van de pop-up leest doet daar in principe niet aan af: hij heeft er alles aan gedaan wat redelijkerwijs van hem mocht worden verwacht om informatie te verstrekken over het gebruik van cookies. En aangezien er op overtreding van de cookiewet een boete staat <i>per overtreding</i> van EUR 450.000,- kiezen de meeste websites eieren voor hun geld: dan maar expliciete toestemming.
Erg vervelend voor de internetbezoeker, want die wordt nu dus praktisch gedwongen om op iedere website die hij/zij bezoekt aan te geven of hij/zij wel of niet akkoord is met het gebruik van cookies.
Los van deze irritatie is het hanteren van een expliciete toestemming ook nog eens gevaarlijk, omdat daarmee overeenkomsten tot stand kunnen komen. En ook de privacy van de bezoeker kan daardoor in het geding komen. En aangezien de cookiewet nu juist bedoeld was om de privacy van de internetbezoeker beter te beschermen (of althans: hem/haar meer controle te geven over welke gegevens op of van zijn computer worden gebruikt), lijkt ons dit een zeer ongewenst gevolg.
Immers: een expliciete toestemming kan voor meer doeleinden worden gebruikt dan alleen voor het verkrijgen van toestemming voor het gebruik van cookies. Denk aan het verzamelen en/of doorverkopen van (andere) persoonsgegevens, of zelfs het verwerken van bijzondere persoonsgegevens zoals gegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, seksuele leven, lidmaatschap van een vakvereniging of strafrechtelijke gegevens. Voor het verwerken van bijzondere persoonsgegevens is namelijk expliciete toestemming vereist.
Dat kan dus betekenen dat je als internetbezoeker zomaar akkoord kunt zijn gegaan met het plaatsen van een tracker op jouw computer, om jouw toetsaanslagen te registreren en deze door te sturen aan de betreffende websitehouder. En/of om achter jouw inloggegevens voor jouw e-mailaccount te komen (“<i>Handig joh! Hoef je zelf geen mails meer te sturen!</i>”), en ook om nog even mee kijkt bij jouw gebruik van internetbankieren (“<i>Wij regelen jouw betalingen wel!</i>”), verstuurde berichten via jouw online datingprofiel (“<i>Zozo, rare gewoontes heb jij!”</i>) en de laatste resultaten van de SOA-test die je van je huisarts toegestuurd krijgt (“<i>Handig voor je verzekering!”</i>).
Natuurlijk heb je als websitebezoeker een zekere onderzoeksplicht: je moet niet zomaar op "Accepteren" klikken: <em>lees</em>.
Maar dit neemt niet weg dat de praktijk anders is. Cookie pop-ups worden net zo min gelezen als algemene voorwaarden.
Als Minister Kamp bij zijn <a href="http://www.tweedekamer.nl/kamerstukken/verslagen/verslag.jsp?vj=2012-2013&nr=56#idNB301E">voorstel</a> tot aanpassing van de cookiewet (waar blijft ‘ie?) alstublieft rekening wil houden met de negatieve effecten van een expliciete opt-in (en wil kiezen voor een ondubbelzinnige opt-in d.m.v. actieve en bewuste handeling - en dat een websitehouder er dan van uit mag gaan dat er een rechtmatige toestemming is verkregen) dan hoeven wij daar niet nog eens op te reageren bij de daaropvolgende internetconsultatie. (Ja: we krijgen de mogelijkheid om zelf input te leveren op dat voorstel, en ja, wij houden ons aanbevolen om gezamenlijke acties te ondernemen.)
Ik hoop dat we volgend jaar niet in de herhaling hoeven te vallen en een andere 1 april grap mogen verzinnen...
