De OPTA maakt langzaam aan steeds meer geluiden die wijzen op een actieve handhaving. Recent werd bekend dat men een waarschuwing aan overheidswebsites had gegeven, en iets eerder werd in een rondetafelgesprek met de marketingbranche al duidelijk aangegeven dat er écht concreet bewijs moet komen dat er actief toestemming is gegeven. Maar hoe doe je dat nu?
De standaardmanier om bewijs van een handeling via internet te verkrijgen, is dit loggen. Je kunt het IP-adres en tijdstip loggen in een cookietoestemmingslog. Komen er later klachten, dan zoek je het IP-adres van de klager van destijds in de log en voila. Alleen: dat zie ik in de praktijk niet echt werken.
Allereerst vraag ik me af hoe je het IP-adres te weten komt van de klager. Die weet niet meer dan dat hij nu een cookie heeft, maar hoe leid je daar zijn IP-adres uit af? Je zou dit kunnen coderen in het toestemmingscookie, of in je database opslaan samen met een cookie-identifier. Dat vereist nogal wat herprogrammeren.
Ten tweede, en belangrijker, een IP-adres koppelen aan iemand is zeker na langere tijd niet meer mogelijk. Internetproviders zijn verplicht na een jaar deze koppeling weg te gooien op grond van de Wet bewaarplicht. En omdat een claim door de OPTA tot vijf jaar na het cookie kan komen, heb je hiermee dus een probleem.
Ik denk echter niet dat de OPTA op deze manier te werk zou gaan, want ook voor hen is het lastig om zo het bewijs overtuigend neer te leggen. Ik denk dat men het een stuk simpeler zal houden:
- Mensen klagen opvallend vaak over de site van X.
- OPTA gaat zelf een keer naar X, klikt wat rond en kijkt welke cookies ze krijgen zonder ergens akkoord op te geven.
- Alle cookies die er niet evident staan voor puur technische redenen, worden verdacht aangemerkt.
- Bedrijf X krijgt een brief dat ze cookies zetten zonder toestemming, en wordt uitgenodigd hun visie te geven.
- Als bedrijf X geen goed verhaal heeft, krijgt ze een boete.
In die situatie zou een demonstratie van je site een prima bewijs moeten kunnen zijn. Natuurlijk moet je wel kunnen bewijzen dat je site zo werkte toen de OPTA langskwam. Daarom raad ik dus altijd het maken van een screencast (screenshot/filmpje) aan na elke wijziging van je site, zodat je dat kunt laten zien.
