Het gaat om 'behavioral targeting' ofwel 'gedragsgericht adverteren' of, wat algemener 'gedragsmarketing' ; niet de marketing van een bepaald gedrag maar marketing op grond van vertoond gedrag. De nieuwe regel zou grofweg komen te luiden: een aanbieder van een site mag alleen informatie verzamelen van het surfgedrag van de bezoeker (met cookies etc.) voor reclame met uitdrukkelijke toestemming van de gebruiker.
Een stapje terug in de tijd: eind vorige eeuw was er een krachtige lobby van marketingbedrijven om reclame per e-mail toe te staan. De Nederlandse Associatie voor Direct Marketing (DMSA) kwam in augustus 2000 met een gedragscode, die nadrukkelijk uitging van een opt-out systeem: Bedrijven mochten reclame per e-mail versturen tenzij de ontvanger uitdrukkelijk aangaf daarvan niet gediend te zijn.
De DMSA-aanpak leidde al snel tot Kamervragen en bleek nauwelijks politiek draagvlak te hebben. De club ging overigens letterlijke en figuurlijk failliet op ondermeer deze zienswijze. Dat gold ook voor het bedrijf Ab.fab dat op juridisch terrein spamzaken verloor van provider Xs4all.
De Opta handhaaft het spamverbod en deelt regelmatig boetes uit, die dan voor de rechter vaak worden betwist. Internationaal werkt het echter voor geen meter: de ongewenste e-mail reclame neemt dusdanige vormen aan dat providers al ruim 90 procent van de berichten moeten filteren. Technisch is het spamverbod mondiaal niet te handhaven.
Opt-out en opt-in
De opvolger van de DMSA heette DDMA en begreep onder leiding van voorzitter Tom Kok het internet wel. De club poogt regelgeving te voorkomen met zelfregulering. Dat mislukte voor telemarketing en de overheid reguleert dit met een Bel me niet register.
Dit heet een opt-out regime: je kan gebeld worden voor telemarketing tenzij je opgeeft dat niet te wensen. Voor spam kwam er dus een -opt-in: alleen toegestaan bij expliciete toestemming voor reclameberichten door de ontvanger. Nu speelt er wederom een kwestie van opt-in of opt-out, maar nu met cookies: bestandjes die exploitanten van websites en adverteerders op pc's plaatsen om data over surfgedrag te verzamelen.
De telecomwet krijgt een Artikel 11.3 A dat luidt: "Een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker, dient voorafgaand aan de daadwerkelijke toegang of opslag de gebruiker:
a. op een duidelijke en nauwkeurige wijze te informeren omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en
b. ondubbelzinnig toestemming te vragen en deze te verkrijgen voor de desbetreffende handeling...
2. De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het geval op en andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk gegevens worden opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen gegevens."
Toestemming is niet nodig voor dataverzameling (via cookies etc.) die het surfen faciliteert, dus bijvoorbeeld voor inloggegevens etc. op de eigen site van degene die cookies wegzet.
Overigens zegt het College Bescherming Persoonsgegevens in een gevraagde reactie dat ze nog met regels zal komen voor gedragsgerichte marketing. Ook heeft de minister van Economische Zaken het CBP gevraagd om advies over de gewraakte passages in de voorgestelde wetswijziging
Gericht adverteren nodig
Cookies vormen het belangrijkste middel voor behavioral targeting ofwel 'gedragsgericht adverteren' of, wat algemener 'gedragsmarketing', niet de marketing van een bepaald gedrag maar marketing op grond van vertoond gedrag. Het gaat om, nog kernachtiger, 'individueel adverteren'.
De verzamelde data komen in een databank van een exploitant of uitgever van een website en/of een adverteerder en/of een advertentienetwerk. Met de data kan een gedetailleerd en daarmee privacygevoelig beeld worden verkregen van individuele internetgebruikers. Het gaat om de vraag of die commerciële dataverzameling proportioneel is in verband met het doel - gericht reclame kunnen brengen - of niet.
Ze krijgen daardoor beter op hen toegespitste reclame wat hen volgens de aanbieders ten goede komt. Het is dus, zeggen aanbieders, nuttig dat deze dataverzameling wordt toegepast ook als de gebruiker er zelf geen invloed op kan uitoefenen.
Dit is behalve een principieel ook een economisch vraagstuk. Internet kent een zogenaamde 'gratis' economie: uitgevers en andere websiteaanbieders leunen doorgaans eenzijdig op advertentie-inkomsten. Google is succesvol omdat de advertenties relevant zijn en een prijs hebben gerelateerd aan de inhoud van websites en het zoekgedrag en de adverteerder 'prestatieloon' betaalt: afrekening naar kliks. Dus hoe beter de data, des te meer kliks en meer inkomsten. Inhoud van websites wordt meer en meer betaald met persoonlijke data.
Hoewel exploitanten aan adverteerders beloven dat ze ver kunnen gaan met gerichte reclame, staat dit nog in de kinderschoenen. Zelfs voorloper Google vertoont nog heel vaak voor de gebruiker volstrekt irrelevante. Dat kan nog veel beter en daartoe is opbouw en exploitatie van databestanden essentieel.
Een cookie van websites (http) is een middel om data te verzamelen. Het al dan niet verbieden van het gebruik ervan zonder voorafgaande toestemming smoort de vorming van persoonlijke databestanden in de kiem. Maar is dat afdoende en zinvol?
Naar een hoger niveau: moet de regelgeving zich niet richten op de databestanden en het gebruik ervan? Moet een gebruiker daar niet altijd zelf toegang toe hebben? Hoe verhouden de commerciële dataverzamelingen zich tot die van de overheid? Wat is nog proportioneel?
Naar een nog hoger niveau: is het 'gratis' model van internet met de rekening in de vorm van reclame, waarvan de opbrengsten stijgen met het gebruik van persoonlijke data, een economie die we willen handhaven en zo ver mogelijk uitbreiden?
Juridische discussie
De discussie over cookies is vooral juridisch gevoerd: druist gebruik in tegen privacyregels? Jeroen Koëter van De Brauw publiceerde hier in 2009 uitvoerig en helder over, recent ook Patrick Wit en Martijn van Bemmel van Kenndy van der Laan met een artikel in Juridisch Up to Date. We putten uit deze artikelen.
'First party cookies' is gebruik binnen een website, vaak bedoeld om een bezoeker te helpen zo snel mogelijk bij een gewenste pagina te komen. Dat varieert tot het 'onthouden' van inlogdata tot voorkeuren binnen een site. Ze dienen het gemak van de surfer.
Voor reclame wordt veelal surfgedrag binnen een groep verschillende websites vastgelegd met ' third party cookies' . Een surfer die iets wil kopen maar het bestelproces afbreekt kan een dag later een andere website bezoeken die door datzelfde advertentienetwerk wordt bediend, en reclame getoond krijgen voor juist dat product waarin zij interesse heeft.
Een nog verdergaande variant, bijvoorbeeld toegepast door NebuAd en Phorm, verzamelt data via de verbinding van de provider met behulp van 'deep packet inspection': precies vastgelegd welke pagina's en eventueel andere online diensten een surfer bezoekt. In Engeland en de VS ontstonden vergaande conflicten als gevolg van deze derde vorm. Die is discutabel en komt hier verder niet aan bod.
Momenteel geldt: voor de third party cookies moet de website in privacyverklaringen de gebruiker voorzien van duidelijke en volledige informatie over de afzender en de doeleinden van de verwerking, en een opt-out mogelijkheid bieden. Dat laatste kan via de browser, maar dat is onbekend en zelden expliciet vermeld. (Anders is dat in onze privacyverklaring.)
Onder het bewind van Eurocommissaris voor digitale zaken Viviane Reding, de voorganger en ook vaak tegenspeler van liberaal Neelie Kroes, is de Europese Commissie tot een richtlijn gekomen die eind 2009 is aangenomen door het Europarlement en de lidstaten. 'Third party' cookiegebruik wordt aan banden gelegd: er is vooraf toestemming van de gebruiker nodig, dus opt-in.
Volgens Koëter is dat terecht, om de ongebreidelde dataverzameling het hoofd te bieden. Hij noemt echter vooral Amerikaanse bronnen een artikel in New York Times, het aanslaan door waakhond Center for Democracy & Technology en een consumentenactie in de VS.
In een persoonlijke test, uit te voeren bij het Network Advertising Initiative (NAI) schrok hij ervan dat ' maar liefst' 15 van de 27 deelnemende advertentienetwerken data over hem verzamelen met cookies. Op de site kun je daarvoor overigens een dam opwerpen met ' opt-out'.
De grootste verzamelaars Google, Yahoo, AOL, MySpace en MSN leggen gezamenlijk maandelijks ruim 300 miljard handelingen van hun gebruikers vast. Google heeft de meeste combinatiemogelijkheden met data daar ook zoekopdrachten en Gmail onderwerpen kunnen worden gekoppeld.
Voorlichting volstaat niet
Gaat het eigenlijk wel om 'persoonsgegevens' in een cookie' dat wil zeggen
'elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon'? Immers, een pc met een IP-nummer als identificatie is als een auto met een nummerbord. De bestuurder is wel ergens bekend maar niet bij iedereen. Kan de identiteit van de natuurlijke persoon redelijkerwijs, zonder onevenredige inspanning, worden vastgesteld met surfdata?
Antwoord: ja. Ook Europese privacytoezichthouders vinden dat. Door het analyseren van grote hoeveelheden gegevens (bijvoorbeeld zoeklogs) die zijn gekoppeld aan lP-adressen kunnen schijnbaar anonieme gegevens worden herleid tot een naam. Het is ook het uitgangspunt van regelgeving. Als een pc door meer personen wordt gebruikt ligt dat anders. Meestal is een pc is niet voor niets een 'personal' computer, en een mobiele telefoon (iPhone) al helemaal.
Koëter meent dat ondanks pogingen van het bedrijfsleven om door voorlichting over de werking van gedragsmarketing met cookies zorgen bij internetgebruikers weg te nemen, dit wettelijk niet volstaat. Privacy wordt geschonden: "De gedetailleerde surfprofielen die worden opgebouwd door online advertentienetwerken kunnen veel aspecten blootleggen van het privéleven van internetgebruikers."
Dat was in september 2009, een paar maanden later werd zijn opvatting Europese wet. Het gewijzigde artikel 5 lid 3 van de e-Privacyrichtlijn eist nu voor het plaatsen van een cookie de toestemming van de gebruiker, na te zijn voorzien van duidelijke en volledige informatie over onder meer de doeleinden van de verwerking. (zie 26 pagina's details)
Het vereisen van toestemming betekent een overstap van een 'opt-out' naar een 'opt-in' regime. Om een cookie te plaatsen, is dus de toestemming van de gebruiker nodig.
Browserinstelling genoeg?
Wel wordt in de toelichting van de nieuwe Europese regels de mogelijkheid opengelaten dat de toestemming door de gebruiker ook kan worden gegeven als die zijn browser geen cookies laat tegenhouden: dan is het in de praktijk nog een opt-out.
De Artikel 29 Werkgroep van de nationale privacytoezichthouders zoals het CBP in Den Haag, is hiertegen: bij het plaatsen van cookies mag niet worden afgegaan op de (standaard)instellingen van de browser. Standaard accepteren vrijwel alle browsers cookies automatisch. Gebruikers weten niet of nauwelijks hoe en war ze in de browser hun cookies kunnen beheren. In het Nederlandse wetsvoorstel is dit standpunt gevolgd: browserinstellingen volstaan niet als opt-in methode.
Dertien landen hebben in Brussel bezwaar aangetekend tegen de opt-in eis die feitelijk in de nieuwe Richtlijn staat. Het voortdurend moeten vragen om toestemming voor cookies bij bezoek aan een website is praktisch onuitvoerbaar en bovendien niet te handhaven. Nederland ondertekende dat bezwaar echter niet.
Dat bezwaar tegen opt-in in andere Europese landen komt tot stand onder sterke druk van het bedrijfsleven. Ook in Nederland draait, later, een lobby van marketing en uitgevers op volle toeren. Deze week kwamen de directmarketingclub DDMA, de uitgeversbond NUV en online reclameclub IAB met een verklaring; het Nederlandse wetsvoorstel wijkt af van de Europese lijn van standpunten door lidstaten, is nauwelijks uit te voeren en werkt ernstig verstorend voor de handel. Uitgevers stellen dat de opt-in eis zal leiden tot vermindering van inkomsten en dus tot verschraling van de online pers.
Vanwege de meningsverschillen opende Economische Zaken over de Nederlandse implementatie een publieke consultatieronde via internet die tot 28 mei 2010 duurt.
Praktijk versus principe
Principieel is afdoende duidelijk dat gedragsmarketing momenteel al privacy schendt en dat wordt slechts ernstiger. Er komen immers ook nieuwe, steeds geavanceerder methoden van verzameling van data, met als bekendste de flash cookies maar ook beacons die je met de huidige browserinstellingen niet kunt tegenhouden. Daarop bouwen volstaat niet.
Partijen als Google, Microsoft en Yahoo verzamelen, na de overname van reclamebedrijven als DoubleClick, enorme hoeveelheden persoonlijke informatie. De opt-in eis voor cookies is principieel een juist middel om daar een dam tegen op te werpen.
Maar vervolgens komen de praktische bezwaren: handhaving lijkt momenteel vrijwel onuitvoerbaar. Met pop-ups toestemming vragen voor cookies en die toestemming per persoon registreren door websites vergt het nodige aan inspanningen en investeringen. De gebruiker zit op deze methode niet te wachten. Zijn er slimmere methoden om opt-in goed te regelen?
En hoe kun je in vredesnaam cookies geplaatst vanaf een buitenlandse server laten voldoen aan de Nederlandse wet met een (in het Nederlands?) gestelde vraag of de gebruiker die wil accepteren? En kan een toezichthouder als de Opta de buitenlandse partij ook sancties opleggen?
Of kun je gewoon zeggen: weg met third party cookies? We beperken ons voor reclame tot data die vrijwillig zijn verstrekt, zowel op sociale media als met expliciete opgaven van potentiële kopers van producten? Wordt het tijd dat consumenten zelf bepalen welke soorten reclame wel en niet welkom zijn?
Of is het onzinnig om een online economie die zich nu vijftien jaar heeft gevormd in de ontwikkeling ernstig af te remmen? En een eenzijdige eis op te leggen die bijzonder schadelijk is voor exploitatie en dus voor de economie? En is het niet belachelijk dat als Europa of zelfs Nederland geïsoleerd te willen regelen?
De keuze is nu in feite tussen verschillende principes en wat vertroebeld door praktische problemen over pop-ups en browserinstellingen. Moeten we de wet aanpassen aan wat praktisch mogelijk is of moeten we in de praktijk technologie en methoden verzinnen om het opt-in principe voor de toekomst voor online marketing in stand te kunnen houden?
Belangrijk is ook de vraag wellicht of wetgeving zich moet richten op beheer van data, in databanken, en niet op de verzameling van data. Kun je als wetgever niet beter voorschrijven dat een persoon altijd toegang moet hebben tot de over hem opgeslagen data? En deze moet kunnen verwijderen?
Terzijde: foutieve wet in Nederland
Wettelijk is er iets merkwaardigs aan de hand schrijft Koëter en eerder viel dat Gerrit-Jan Zwenne van Bird & Bird al op: de Nederlandse wet voor cookies (artikel 4.1 van de BUDE) had een exacte vertaling van de Europese e-Privacyrichtlijn moeten zijn, maar gaat verder: alle informatie over het te plaatsen cookie moet voorafgaand aan de gebruiker worden verstrekt.
Dit komt in de praktijk neer op het tonen van de informatie in een pop-up venster of een ''floater'. Dit wordt door weinig websites zo gedaan omdat ze vaak als gebruikersonvriendelijk worden gezien. En dit ook een belangrijke reden dat opt-in voor cookies door exploitanten als een onzinnige gedachte wordt gezien
De ' grap' is dat de aanpassing van de telecomwet voor cookies waarover nu zoveel te doen is dit juist wordt bevestigd. De Nederlandse wet schrijft dus eigenlijk dit al voor, maar niemand handelt ernaar. Het is ook niet strafbaar want een adverteerder of webexploitant kan zich beroepen op de verkeerde uitleg van de e-Privacyrichtlijn door Nederland. Ook de Artikel 29 Werkgroep van Europese toezichthouders op de privacy vereist niet meer dat de informatie in een pop-up venster wordt opgenomen.
Uitgevers stellen dat de opt-in eis voor het verzamelen van surfinformatie bij gebruikers zal leiden tot vermindering van inkomsten en dus tot verschraling van de online pers. Dit koppelt de noodzaak tot het opgeven van je privacy rechtstreeks aan het behoud van de kwaliteit van online media.
De overheid doet iets vergelijkbaars: die koppelt de noodzaak tot het opgeven van je privacy aan het behoud van veiligheid. Alsof het een logisch volgt uit het ander. Het zijn drogredenen, die gebruik maken van een angst om iets waardevols te verliezen (veiligheid, of mediakwaliteit).
Gelukkig zien we langzaam een herwaardering van onze privacy. Ook bij de jongere generatie, waarvan zo vaak wordt gezegd dat ze privacy niet meer belangrijk vindt.
Als de wet geen bescherming biedt tegen het gulzig oogsten van persoonsgegevens en surfgegevens van burgers, dan is het niet ondenkbaar dat burgers straks geld overhebben voor het behoud van hun privacy. Maar nu krijgen ze die keus niet. Er is nu voor ons bepaald dat we toch niet willen betalen.
Maar als uitgevers daar zo zeker van zijn, waarom krijgen we dan niet heel expliciet de keus voorgelegd tussen privacy of gratis? De meeste surfers hebben nu geen idee dat er gedetailleerde profielen van hen worden vastgelegd en verhandeld. Laat staan dat ze weten hoe ze dit kunnen voorkomen. Met die onwetendheid wordt nu veel geld verdiend.
Ik vind dat een vorm van oneerlijk zakendoen.
De sleutel tot de oplossing van deze materie ligt naar mijn idee in kennis. Consumenten zijn zeer goed in staat om zelf te beslissen en zelf te kiezen.
Op basis van kennis van de vóór en de nadelen van cookies, beacons etc. kunnen de internetgebruikers een weloverwogen keuze maken voor het al of niet accepteren van deze middelen. Een goede stap hierin was in 2009 bijvoorbeeld de Stanislav campagne van het ministerie van Justitie over cybercriminaliteit op Hyves.
Maar er zal uiteraard nog veel meer moeten worden ondernomen zowel de kennis bij gebruikers als de transparantie te doen toenemen. Een standaard vormgegeven en op ieder domein op dezelfde locatie aanwezige ’opt out’ lijkt me een goede oplossing.
In deze 'opt out' zullen de consequenties hiervan helder omschreven worden; wel of geen advertenties, relevante advertenties of niet, wel of geen toegang tot de informatie, ingeven van naam en password etc.
De nu voorgestelde ‘opt in’ regeling is praktisch niet uitvoerbaar en bovendien schadelijk voor de markt en de ontwikkeling van innovatie rondom bijvoorbeeld het digitaliseren van media.
Het beheer van, en de handel in data- van de verzamelde profielen is een onderwerp van een recent begonnen en zeer wezenlijke discussie. Een discussie waarin de partijen - consument, uitgever, bureau en adverteerder - zullen moeten komen tot een set aan afspraken die een balans zien te vinden in ethiek, privacy en business doelstellingen.
Pogingen om behavioral targetting tegen te houden zijn onzinnig. De argumenten van exploitanten dat de reclame daarmee relevanter wordt, hetgeen goed is voor consument en adverteerder, onderschrijf ik volledig.
Waarom zou je de techniek van oude media loslaten op internet? Broadcasten is niet nodig. De techniek laat het toe om reclame persoonlijker te maken en dat is goed.
Maar toezicht is noodzakelijk, juist omdat er zoveel technische mogelijkheden zijn en privacyschending op de loer ligt. Voor mij ligt de grens bij de invloed van de gebruiker.
Opt-in is lastig uitvoerbaar en moet je als gebruiker ook niet willen. Maar opt-out moet altijd mogelijk zijn. Een oplossing waarbij je als gebruiker altijd inzicht kan hebben in je eigen data en deze kunt wissen wanneer je wilt, zou optimaal zijn.
Het argument dat gebruikers niet of nauwelijks weten hoe ze in de browser hun cookies kunnen beheren snijdt wat mij betreft geen hout. Het is je eigen verantwoordelijkheid als consument om je te verdiepen in de gereedschappen die je gebruikt.
Of dat nou een computer, een auto of een motorzaag is. Je mag de digitale snelweg op zonder rijbewijs. Maar dat betekent niet dat je zelf geen enkele verantwoordelijkheid hebt voor je eigen veiligheid.
Uitvinden hoe Limewire en the Pirate Bay werken lukt gebruikers ook als er maar gratis content te halen is, dus het kennisargument kunnen we terzijde leggen.
Voorlichting is daarentegen wel goed. Mensen zouden geschokt zijn als ze wisten wat er allemaal bijgehouden kan worden en wordt. Het is goed om je eigen afwegingen te kunnen maken over de grens die daarbij voor jou comfortabel voelt.
Ik krijg per dag via het web zo’n 500 commerciële uitingen op me afgevuurd (spam, business email, display ads, sponsored ads, etcetera - alles bijmekaar opgeteld). Laten we even aannemen dat mijn PCPM (persoonlijke kosten per duizend contacten) op de kop af 2 euro is. Dan wordt er dus door de Gezamenlijke Adverteerders Van De Wereld per dag 1 euro aan me besteed.
Stel ook even dat 5 procent van al die meuk in m’n kop iets teweegbrengt dat door de adverteerders wenselijk wordt geacht. Bijvoorbeeld omdat ik er op den duur een merk van ga herkennen, of omdat ik zelfs ’n keer een product-propositie onthoud; of omdat ik mijn buurman iets doorvertel over het product; heel misschien wel ’n keer omdat ik een product voor ’t eerst uit het schap trek en afreken bij de kassa.
Dat zijn dan 5 welbestede advertentiecenten per dag, en 95 verdonderde.
Stel dat al ’t gedonderjaag met behavioral marketing, cookies incluis, de effectiviteit van de op mij afgevuurde uitingen in de toekomst met 100 procent zou vergroten. Dan wordt er nog steeds 90 cent per dag aan me vergooid.
Daar schieten we dus met z’n allen geen sodemieter mee op.
De discussie hoort daarom niet te gaan over modaliteiten als cookies en opt-ins en behavioral marketing, maar over waste, en het drastisch reduceren of zelfs voorkomen daarvan.
De enige logische uitkomst van de op handen zijnde convergentie van de drie belangrijkste vigerende megatrends:
1. Het digitaliseren van alles, inclusief reclame
2. Het in marketing centraal stellen van de werkelijke wensen en noden van de klant
3. Verduurzaming
is het maximaal uitbannen van die waste. Wat betekent dat klanten uiteindelijkfiltertechnologieën en -services aangeboden zullen krijgen, waarmee ze precies kunnen calibreren welke informatie ze wel, en welke informatie ze niet op zich afgevuurd willen krijgen.
Het zou mooi zijn, en wijs, als de marketingindustrie zelf het initiatief neemt tot het ontwikkelen van zulke filteringtechnologie, en/of ijvert voor het branchebreed invoeren ervan.
________________________________
NOOT voor marketing-historici:
DMSA ging destijds niet failliet aan een zienswijze, maar aan het organiseren van een verliesgevend evenement. Abfab ging niet failliet aan het verliezen van rechtszaken, maar staakte de activiteiten omdat daarvoor de legitimatie bleek te ontbreken.
Het cookiedebat is op dit moment weliswaar actueel, nieuw is het zeker niet.
Eind jaren negentig waren bij brancheplatformen als DMSA, IAB en bij internetproviders al discussies over de mogelijke beperkende voorwaarden die Brussel aan cookies zou stellen.
Interessante discussies, omdat de partijen zelf nog zoekende waren naar betere en meer toepassingen voor cookies. Het was trouwens ook de periode dat online marktonderzoek van de grond kwam en daarbij werden zeker in het begin grootschalig cookies ingezet.
Na de eeuwwisseling en natuurlijk door het imploderen van de internetzeepbel liep de aandacht voor cookies – in ieder geval bij access providers – stevig terug. Wat echter wel bleef bestaan was de zorg in hoeverre cookies een privacyprobleem konden vormen.
Echter, er was nog geen partij die hier serieuze ervaring mee had, laat staan dat er jurisprudentie was. Tot zover ik heb kunnen achterhalen is het ook nooit onderwerp geweest op een bijeenkomst voor de branchevereniging van accessproviders. Dit als indicatie dat bestuur en leden het niet beschouwden als een ontwikkeling die de bedrijven of gebruikers direct raakte.
Dit in tegenstelling tot diverse onderzoeksbureaus voor zowel offline als online media. Niet alleen de zorg om een mogelijk verbod op cookies, maar vooral ook de komst van slimmere browsers en plug-ins die het weren van cookies mogelijk maakten, leidden tot intensieve aandacht van deze partijen.
Ondanks de opkomst en het massale gebruik van de cookieblockers en slimme browsers zijn er geen onderzoeksbureaus omgevallen. Ik zie het als een indicatie dat het verbod op cookies niet perse tot onoverkomelijke bezwaren hoeft te leiden voor online marketing alks geheel.
Echter, ik spreek dan wel over een sector die niet heeft stilgezeten, maar energie en moeite heeft gestoken in het innovatieproces.
En precies dat is hetgeen ik tot op heden mis in de betogen van partijen die stellen dat een verbod de business schaadt. Ik durf zelfs te stellen dat een deel van de argumenten gelijk is aan die van tien jaar geleden, toen Europa voor het eerst de cookies ter discussie stelde.
Dat is opvallend en zelfs teleurstellend. Het suggereert immers dat er partijen zijn die de korte levenscycli die gelden voor de onlinewereld en de daaraan gerelateerde ontwikkelingen niet tijdig hebben waargenomen.
Waar het gaat om cookies is onze wetgever eigenwijs en hardleers. De bedoelingen zijn ongetwijfeld goed, de uitwerking is op z'n best kansloos.
In 2004 moest de telecomwetgeving worden aangepast om de Europese e-privacyrichtlijn (2002/58/EG) te implementeren. In dat verband moesten ook regels over cookies in de wetgeving worden opgenomen. Onze wetgever deed dat door te komen met een verplichting voor websiteaanbieders om gebruikers te informeren over cookies, voorafgaand aan de plaatsing daarvan.
De wetgever week daarmee af van de tekst en bedoeling van de richtlijn. Daarin staat weliswaar de verplichting om gebruikers over cookies te informeren, maar in de nadrukkelijk niet verlangd dat dit moet gebeuren voordat de cookies worden geplaatst. En niet zonder reden natuurlijk: niemand zit te wachten op pop-ups voorafgaand aan het plaatsen van cookies. Een cookiepolicy achteraf volstaat.
Vanzelfsprekend wordt het Nederlandse vereiste van voorafgaande informatieverstrekking niet nageleefd. Er zijn gelukkig vrijwel geen websites, ook niet van overheden, die hun bezoekers lastig vallen met pop-ups over nog te plaatsen cookies. Is dat een probleem. Niet echt. In elk geval hebben de bevoegde toezichthouders, OPTA en CBP, tot op heden geen aanleiding gezien om de strikte naleving van deze wettelijke cookiebepaling af te dwingen.
So far so good. Binnenkort moet de telecomwetgeving opnieuw worden aangepast. In de nieuwe Europese richtlijn (2009/136/EG) wordt voor cookies een toestemmingsvereiste geïntroduceerd. Om dat werkbaar te maken wordt in de richtlijn een praktische werkwijze voorgesteld om deze toestemming te verkrijgen. Dit kan, zo blijkt uit de overwegingen bij de richtlijn, worden gedaan doordat dat gebruikers de toestemming ook kunnen geven door middel van hun browserinstellingen.
Maar ook nu weer blijkt onze nationale wetgever te willen afwijken van de richtlijn. Het onlangs gepubliceerde ontwerpwetsvoorstel gaat uit van 'ondubbelzinnige toestemming'. De wetgever sluit daarmee aan bij de terminologie van de Wet bescherming persoonsgegevens, maar sluit uit dat gebruikers toestemming geven via browserinstellingen, zoals de richtlijn aangeeft.
Dat is jammer. Het betekent dat de wetgever weer opteert voor wetgeving die niet nageleefd gaat worden, niet nageleefd kan gaan worden.
Daarop zit niemand te wachten.