Het cookiedebat laaide de afgelopen dagen na een tijdje windstilte opnieuw in alle hevigheid op. Aanleiding hiertoe waren enerzijds het pas gepubliceerde wetsontwerp tot wijziging van de telecomwet bij ons in België en anderzijds de definitieve goedkeuring in Nederland van hun versie van de telecomwet. Beide wetten bevatten een aantal regels die het gebruik van cookies aan banden leggen en dat zorgt sinds lange tijd voor ongerustheid in de internetwereld bij internet marketeers, e-commerce bedrijven en adverteerders die vrezen voor de toekomst van lucratieve reclame inkomsten.
Waarover gaat het ook alweer precies?
Cookies zijn kleine tekstbestandjes die op de pc van internetgebruikers geplaatst worden tijdens hun surfsessies op internet. Meestal gaat het om onschuldige praktische hulpmiddelen die het surfen aangenamer en eenvoudiger moeten maken, bijvoorbeeld bij cookies die taalkeuzes of de inhoud van je winkelmandje onthouden. Dit zijn zogenaamde sessiecookies of technische cookies.
Er is echter een tweede categorie, de tracking cookies, die de voorbije jaren een slechte naam hebben gekregen en de aanleiding zijn van de hierboven beschreven wetswijzigingen. In de meeste gevallen gaat het om cookies die door adverteerders geplaatst worden om het surfgedrag en het aankoopgedrag van internetgebruikers te registreren en te profilen en in functie daarvan aangepaste reclamebanners aan te bieden. Het is zulke Online Behavioural Advertising en profiling die ervoor zorgt dat je als je vandaag een reiswebsite bezoekt de volgende dagen overstelpt wordt met reclamebanners voor reizen en vakanties.
Waarom ligt de overheid hiervan wakker?
Het belangrijkste probleem met tracking cookies is dat er persoonsgegevens verzameld worden. In het beste geval gaat het vooral over het IP-adres en het surfgedrag, maar in het ergste geval gaat het om namen, adressen, aangekochte producten, ... Het verzamelen en verwerken van persoonsgegevens is echter alleen mogelijk als de betrokken persoon daar vooraf zijn expliciete toestemming voor geeft. In de meeste gevallen is de gebruiker zich echter geeneens bewust van het feit dat een cookie geplaatst wordt, laat staan dat hij daarvoor ook effectief zijn akkoord zou geven.
Het is om die reden dat de EU al in 2009 in de e-privacy richtlijn de lidstaten de verplichting heeft opgelegd om ervoor te zorgen dat gebruikers vooraf geïnformeerd worden over de plaatsing van een cookie en de identiteit van de plaatser en om hen voorafgaand aan het plaatsen, expliciet hun toestemming te laten geven.
En waarom ligt de internetsector op zijn beurt daarvan wakker?
Enerzijds vreest de online reclamesector voor zijn business model en voor zijn inkomsten. Behavioural Advertising is immers een essentieel onderdeel van online reclame geworden en adverteerders betalen nu eenmaal meer voor gerichte reclame.
Ook de e-commercesector zit verveeld met de mogelijke gevolgen van strengere cookieregels. In het meest pessimistische scenario is het gevolg immers dat voorafgaand aan het plaatsen van élke cookie via een pop-up aan de gebruiker toestemming moet gevraagd worden. Dat is natuurlijk dodelijk voor de conversie en dreigt dus voor omzetverliezen te zorgen. Het IAB heeft om dit te illustreren een erg vermakelijke testwebsite in het leven geroepen: www.cookiedemosite.eu.
Is die vrees gerechtvaardigd?
Wellicht niet helemaal.
In de eerste plaats sluit de richtlijn zelf een aantal first party cookies voor taalkeuze en persoonlijke instellingen uit van de voorafgaande acceptatieplicht.
Daarbuiten zijn we in België nog niet verder gekomen dan een wetsontwerp met een min of meer definitieve tekst dat op 5 april 2012 na lang wachten eindelijk in de Kamer werd neergelegd. Maar daarmee is de vraag nog niet beantwoord, de tekst van het wetsontwerp is immers erg vaag. Slechts één artikel gaat over de cookies en dit herneemt enkel de verplichting uit de richtlijn om de gebruiker vooraf te informeren en zijn toestemming te bekomen. Over de manier waarop dat moet gebeuren zegt de wet voorlopig niets…
De kersverse Nederlandse wet maakt ons evenmin veel wijzer. Ook daar beperkt de wetgever zich tot het invoeren van een opt-in regime, zonder te zeggen hoe een en ander in de praktijk uitgewerkt moet worden en is het nog steeds onduidelijk of nu inderdaad voor elke cookie een pop-up vereist zal zijn.
Gelukkig zijn er wel signalen die duiden op een redelijke en voor de sector werkbare oplossing. Europees Commissaris Neelie Kroes heeft al vaker gezegd dat een duidelijke keuze in de browsersettings wat haar betreft moet volstaan voor de minst invasieve cookies. Voor echte tracking cookies zou dan weer wel voorafgaande toestemming vereist zijn.
Eenzelfde geluid horen we bij de Belgische Privacycommissie, die ook een onderscheid maakt tussen first party cookies en tracking cookies, waarbij vooral voor deze laatste categorie streng moet opgetreden worden. Het lijkt er dus op dat voor de meeste e-commercewebsites, die enkel gebruik maken van technische of first party cookies het probleem al bij al beperkt zal blijven. Een duidelijke keuze in de browser settings zou daar in de toekomst normaal voldoende moeten kunnen zijn.
De meeste andere lidstaten gaan overigens dezelfde richting uit. Voorlopig lijkt bij de 16 landen die hun wetgeving al aanpasten enkel Litouwen de toestemming via browsersettings uit te sluiten.
Al bij al ziet de situatie er dus nog niet zo somber uit als sommigen willen doen geloven. Het is nog even afwachten, maar voorlopig lijkt het erop dat de meeste doemscenario's getemperd mogen worden. Enige randbemerking: de meeste browsers zijn technisch nog niet in staat om automatisch een onderscheid te maken tussen verschillende soorten cookies…
Sirius Legal organiseert overigens op 25 mei om 12u00 een gratis seminarie over de juridische aspecten van online marketing, waar ook over de cookieregelgeving gesproken zal worden. Vooraf inschrijven is nodig en kan op info@siriuslegal.be.
-- --
Vond je dit artikel waardevol? Deel het dan hieronder via Twitter, Facebook of Linkedin.
Volg je @bloovi al op Twitter? #bloovi