Nederlandse sites overtreden massaal cookiewet

Site-eigenaren overtreden massaal de huidige wet bij het plaatsen van cookies. Daardoor is het te betwijfelen of zij zich wel aan nieuwe, strengere wetgeving zullen houden die dit jaar komt.

Nog dit jaar wil het ministerie van Economische Zaken, Landbouw en Innovatie een opt-in bepaling voor cookies implementeren. Controle op naleving daarvan ligt bij de OPTA. Die heeft nu door TNO laten onderzoeken hoe site-eigenaren nu omgaan met het plaatsen van cookies onder de huidige wetgeving en komt tot schrikbarende conclusies. De huidige wet wordt vrijwel collectief overtreden door site-eigenaren. Daardoor lijkt een nieuwe strengere wetgeving al bij aanvang tot mislukken gedoemd.

In de huidige wetgeving, het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE) is vastgelegd dat degene die cookies plaatst in de browser van sitebezoekers, een informatie- en toestemmingsplicht heeft. Vaak is die regelgeving onbekend bij zowel site-eigenaren als consumenten.

Daardoor overtreden site-eigenaren massaal de wet, terwijl de eindgebruikers niet weten welke rechten ze hebben. Consumenten hebben zelfs niet eens de kennis om onderbouwde keuzes te maken over het wel of niet accepteren van cookies, zo concludeert OPTA.

Nieuwe cookiewet onnodig
De telecommunicatietoezichthouder vraagt zich nu af of er wel nieuwe wetgeving nodig is. Het ministerie wil op basis van een Europese richtlijn de wet verder aanscherpen, maar volgens OPTA voorziet de huidige regelgeving voldoende in de rechten van eindgebruikers. De OPTA pleit voor een duidelijkere verdeling van de verantwoordelijkheden bij alle partijen in deze kwestie.

De OPTA zegt op te merken dat in de privacy policy van veel websitehouders niet of slechts summier wordt verwezen naar het plaatsen van third party cookies. Die cookies zijn niet noodzakelijk voor het functioneren van de website en vallen dus onder de informatie- en toestemmingsplicht.

Waar ligt de verantwoordelijkheid
Niemand neemt echter verantwoordelijkheid voor deze cookies, zo concludeert OPTA. Ook wat handhaving betreft zijn de rollen onzeker. Volgens OPTA zijn de meeste partijen die betrokken zijn bij het plaatsen van cookies gevestigd in Nederland of in ieder geval in Europa. Daardoor zijn ze juridisch binnen handbereik.

Daarnaast zegt OPTA dat er in de wet duidelijker onderscheid moet worden gemaakt tussen cookies die weinig privacyproblemen opleveren, zoals session cookies, en de zogheten peristent cookies, die op de computer achterblijven. In die laatste categorie is eveneens veel variatie. OPTA vindt dat de eisen die aan dat soort cookies moeten worden gesteld, afgestemd moeten worden op de aard van de cookies.

Gevaar voor spyware
Als sluitstuk van het onderzoek constateert OPTA dat er zowel in de Europese e-Privacyrichtlijn als in de Nederlandse nieuwe cookiewet wordt gesproken over het plaatsen van of toegang krijgen tot gegevens op apparatuur die is verbonden met internet (bijvoorbeeld een computer). “Daarbij wordt geen onderscheid aangebracht naar de aard van de gegevens”, zeggen de onderzoekers. Zij wijzen erop dat cookies dus in beginsel niet worden onderscheiden van spyware en andere malware.

Gebruikers dienen in het geval van spyware of malware expliciet toestemming geven, ook volgens de nieuwe regelgeving. Maar als de wetgever besluit dat kan worden volstaan met browserinstellingen voor het geven van toestemming aan het plaatsen van cookies, dan impliceert dat dat ook voor spyware en malware kan worden volstaan met browserinstellingen. “Dit kan substantiële effecten hebben voor de risico’s die gebruikers lopen, maar ook voor toezicht en handhaving”, zegt OPTA.

Het wetsvoorstel waarin de cookies-regelgeving is verwerkt, wordt volgende week in de Tweede Kamer behandeld. OPTA zegt met het rapport een bijdrage te willen leveren aan dat debat.