Curatoren zijn belast met beheer en vereffening van de faillissementsboedel. Om een boedel goed af te wikkelen moeten zij toegang hebben tot de administratie. Wat ga je echter doen als curator wanneer de data in de cloud is opgeslagen en je kunt er niet bij. Dan zal er een rechtszaak aan te pas moeten komen om alsnog toegang te verkrijgen.

De feiten:
Een concern van enkele vennootschappen is failliet gegaan. De data van deze vennootschappen is opgeslagen bij hosting-provider Detron. De data staat in de cloud en is slechts toegankelijk voor geautoriseerde personen. De curatoren vorderen nu toegang tot de servers om hun werk goed te kunnen doen.

Beoordeling door de rechter:
De rechter begint met de vaststelling dat curatoren zijn belast met beheer en vereffening van de faillissementsboedels ten behoeve van de crediteuren. Tot de uitvoering van deze taak behoort het verzamelen en bewaren van boedelactiva. Daartoe is van belang dat de curator beschikt over de administratie, alle zakelijk relevante informatie die bij failliet aanwezig was althans behoorde te zijn op het tijdstip van de faillietverklaring maar ook daarna. Deze administratie is van groot belang bij de vervulling van zijn taak tot het “reconstrueren” van de boedel.

De curator heeft tot taak om onmiddellijk na zijn benoeming alles in het werk te stellen om – onder meer – de administratie en alle aanwezige informatie daarover veilig te stellen voor zijn latere onderzoek daarvan in het belang van de boedel. Er gaat derhalve een conservatoire werking van deze taak en bevoegdheid uit. Tot genoemde ‘bescheiden en andere gegevensdragers’ behoren tevens digitale bestanden waarop zich dergelijke informatie bevindt, dan wel redelijkerwijs vermoed kan worden zich daarop te bevinden.

Vaststaat dat de data die nu bij Detron worden gehost betrekking hebben op de administratie van de failliete boedelds en dus voor curatoren bij de uitoefening van hun wettelijke taak van belang zijn.

Vooropgesteld wordt dat curatoren buiten de discussie staan die gevoerd wordt over de voorwaarden waaronder de contracten met Detron overgaan. Deze (contracts)partijen kunnen voorwaarden opgenomen in hun overeenkomsten niet aan curatoren tegenwerpen omdat curatoren een zelfstandig wettelijk recht hebben op toegang tot en inzage in data die voor de uitoefening van hun taak van belang zijn.

De voorzieningenrechter zal daarom Detron gelasten binnen 24 uur de digitale omgeving zodanig te herstellen dat aan de curatoren via het Citrix portal door middel van “alleen lezen”-rechten toegang wordt verleend tot de data die werd gehost en dat onder de voorwaarde dat curatoren (gelijk zij ook hebben aangeboden) aan Detron een redelijke vergoeding betalen voor de werkzaamheden die Detron in dit verband moet maken.

Conclusie:
De provider zal moeten meewerken met het verschaffen van toegang tot de data voor curatoren. De curatoren hebben in dit geval geluk dat Detron een Nederlandse provider is. Als de data is gestald bij een provider die over de grens opereert, is het een stuk lastiger om een dergelijke toegang te verkrijgen. De curatoren hebben een op zichzelf staand recht om toegang te verkrijgen tot de data dat niet gehinderd kan worden door onderhandelingen tussen andere partijen om de contracten van de failliete boedel over te nemen.

Bron:
ECLI:NL:RBOBR:2015:763

Enkele weken geleden deed het HvJEU een belangrijke uitspraak met betrekking tot het recht om ‘vergeten’ te worden door Google. Die zaak was aanhangig gemaakt door een Spaanse man. Via de zoekmachine van Google was een krantenartikel te vinden uit 1998, waarin de gedwongen verkoop van bezittingen van de Spanjaard werd aangekondigd. Het oude bericht belemmerde hem om persoonlijk en in het economisch verkeer een nieuw leven te beginnen. Zo was het lastig om een baan te vinden omdat het krantenartikel telkens direct naar boven kwam bij het zoeken op zijn naam. Omdat de man vond dat de informatie zijn relevantie intussen had verloren – en daarom enkel zijn reputatie schaadde – begon hij een proces tegen de krant en Google.

Het recht om vergeten te worden:
Het HvJEU oordeelde in het zogeheten Costeja-arrest dat search engines zoals Google losse stukken informatie met elkaar in verband brengt die normaliter moeilijk met elkaar in verband kunnen worden gebracht. Het wordt voor de gebruiker van de zoekmachine mogelijk om een min of meer gedetailleerd profiel te construeren van een persoon. Dit zou in potentie in conflict kunnen komen met het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens. Daarop volgde de opmerkelijke conclusie dat de oorspronkelijke publicatie van het krantenartikel rechtmatig was maar dat Google wel het resultaat uit zijn zoekmachine moet verwijderen.

Felle discussie:
Sinds de uitspraak is tussen voor- en tegenstanders van de uitspraak een felle discussie uitgebroken. De tegenstanders stellen zich op het standpunt dat de uitspraak in strijd is met het recht op vrijheid van spraak en vrije toegang tot informatie terwijl de voorstanders zich beroepen op het recht op privacy. Ondertussen wordt deze discussie ook in de rechtszaal nader uitgewerkt. In onderhavige zaak eiste een veroordeelde man bij de voorzieningenrechter verwijdering van zijn gegevens uit de zoekresultaten op basis van het hierboven besproken arrest.

De feiten:
Eiser is veroordeeld tot zes jaar gevangenisstraf naar aanleiding van een poging tot het uitlokken van huurmoord. Eiser wilde dat Google verschillende links die verwijzen naar websites waarop informatie staat over de veroordeling van eiser in 2012 zou verwijderen. Eiser baseerde zich daarbij op de Wet bescherming persoonsgegevens en een uitspraak van het Hof van Justitie van de EU.

Oordeel en overwegingen voorzieningenrechter:
Bij de beoordeling van de vorderingen tot verwijdering van eiser onwelgevallige zoekresultaten dient voorop te worden gesteld dat in dit kort geding ervan dient te worden uitgegaan dat eiser in 2012 is veroordeeld voor poging tot uitlokking van een huurmoord. Dat eiser tegen dat vonnis hoger beroep heeft ingesteld, doet daaraan niet af. Aangenomen moet dus worden dat eiser recentelijk een ernstig strafbaar feit heeft gepleegd.

Dat brengt veel publiciteit met zich mee. Nu zal eiser de gevolgen van zijn eigen handelen moeten dragen. Het plegen van een misdrijf heeft nu eenmaal tot gevolg dat men op zeer negatieve wijze in het nieuws kan komen en dit laat ook op het internet – mogelijk zelfs zeer langdurig – zijn sporen na. Het Costeja-arrest beoogt personen niet te beschermen tegen alle negatieve berichten op internet, maar alleen tegen het langdurig ‘achtervolgd worden’ door berichten die ‘irrelevant’, ‘buitensporig’ of ‘onnodig diffamerend’ zijn.

De veroordeling voor een ernstig misdrijf en de negatieve publiciteit als gevolg daarvan zijn in het algemeen blijvend relevante informatie over een persoon. De negatieve kwalificaties die daarbij kunnen voorkomen zullen slechts in zeer uitzonderlijke gevallen ‘buitensporig’ of ‘onnodig diffamerend’ zijn. Gedacht zou kunnen worden aan de situatie dat het gepleegde feit zonder duidelijke aanleiding opnieuw aan de orde wordt gesteld met kennelijk geen ander doel dan de betrokkene te schaden of de situatie dat niet zozeer van zakelijke berichtgeving sprake is, maar van een ‘scheldpartij’. Ten aanzien van de zoekresultaten die eiser verwijderd wil zien is in de dagvaarding in het geheel niet onderbouwd waarom deze ‘irrelevant’, dan wel ‘buitensporig’ of ‘onnodig diffamerend’ zouden zijn.

De vordering wordt afgewezen.

Conclusie:
Het recht om vergeten te worden is niet absoluut. Het beoogt slechts bescherming te bieden tegen berichten die ‘irrelevant’, ‘buitensporig’ of ‘onnodig diffamerend’ zijn. Deze criteria zullen naar mijn verwachting is vrij restrictief worden uitgelegd zeker daar anders snel sprake zal zijn van een inbreuk op het recht van vrije spraak. In dit geval is het vrij duidelijk dat niet aan is voldaan aangezien het gaat om iemand die veroordeeld is voor een zeer ernstig misdrijf. Aangetekend zij daarbij dat het hoger beroep nog loopt en als dan vrijspraak volgt, zou de uitslag van een verzoek als het onderhavige wel eens heel anders uit kunnen pakken.

Deze uitspraak laat zien dat het Costeja-arrest een uitspraak is van groot belang. Het betreft immers een afweging tussen grondrechten en dergelijke zaken zijn zelden eenvoudig. Het open karakter van de gekozen bewoordingen zal naar mijn verwachting tot veel processen gaan leiden.

Hoe het verder moet met het recht om vergeten te worden is een goede vraag. In plaats van een debat te voeren over fundamentele vragen van het digitale tijdperk, reageerden zowel voorstanders als tegenstanders ongekend fel op elkaar. We zullen er voor moeten waken dat we bij dit soort problemen die de in toenemende mate digitaliserende met zich meebrengt, wel een constructief debat blijven voeren. De volgende generatie zal worden geboren in een wereld die een digitale geschiedenis van ruim 80 jaar met zich meedraagt. De vraag is hoe we een persoonlijke levenssfeer gaande houden in een wereld waarin iedereen alles al dan niet bewust op het web plaatst waardoor de wereld niets meer vergeet.

Eindelijk is de Nederlandse geschriftenbescherming voor databanken om zeep geholpen door de Hoge Raad en dat heeft nogal wat voeten in aarde gehad.

De hele zaak begon met het conflict tussen PR Aviation en Ryanair. PR Aviation biedt via internet de mogelijkheid om vluchtgegevens te zoeken en prijzen te vergelijken waarna direct via de site geboekt kan worden met bemiddeling van PR Aviation. PR Aviation rekent daarvoor zeven euro bemiddelingskosten en biedt meteen de mogelijkheid aan een annuleringsverzekering af te sluiten. Ryanair vond dat PR Aviation inbreuk maakt op haar databankenrecht op de vluchtgegevens en op de auteursrechtelijke geschriftenbescherming. De zaak is nog niet geheel afgedaan en de Hoge Raad heeft een prejudiciële vraag gesteld aan het HvJEU maar het meest interessante aspect is dat eindelijk de geschriftenbescherming voor databanken afgeschaft is.

Voor de achtergrond van het probleem moeten we eventjes terug naar de Databankenrichtlijn die al lang correct geïmplementeerd had moeten zijn in de nationale regelgeving. Volgens de definitie van die richtlijn wordt een databank (zoals gedefinieerd in die richtlijn) beschermd als er sprake is van een eigen intellectuele creatie van de maker, dit wordt ook wel het oorspronkelijkheidscriterium genoemd. Dit botst natuurlijk met de geschriftenbescherming welke juist bescherming biedt aan onpersoonlijke geschriften.

Bij de implementatie in Nederland zijn de eisen voor sui generis bescherming van databanken en de definitie van databank door elkaar geraakt. Meer specifiek gaat het om het aspect van de substantiële investering. Voor de databank zoals gedefinieerd in de Europese richtlijn is dit geen vereiste maar in de Nederlandse wet is deze wel toegevoegd aan de definitie. Daar werd de gedachtegang aan gehangen dat dataverzamelingen waarin niet substantieel was geïnvesteerd niet onder de wettelijke definitie van databank vielen en dat daarom het oorspronkelijkheidscriterium niet gold voor deze dataverzamelingen. Het gevolg is dat de geschriftenbescherming in Nederland geldt voor dataverzamelingen waarin niet substantieel is geïnvesteerd terwijl dit eigenlijk helemaal niet de bedoeling is.

De Nederlandse situatie wringt eens te meer nu in maart 2012 het Football Dataco arrest is gewezen door het HvJEU. Daar is onomstotelijk in vastgesteld dat databanken slechts dan bescherming genieten wanneer is voldaan aan het oorspronkelijkheidscriterium. Er staat al een wetswijziging in de stijgers om deze situatie te repareren maar de Hoge Raad reduceert dit tot een formaliteit.

Het hoogtepunt van het vonnis zijn de overwegingen 3.5.1. & 3.5.2.:

3.5.1
In het oordeel van het hof ligt besloten dat de gegevensverzameling (hierna ook: de databank) van Ryanair niet aan dit oorspronkelijkheidscriterium voldoet, hetgeen in cassatie niet is bestreden. Daarom heeft Ryanair geen belang bij de klachten van onderdeel 1.
De rechter dient immers zijn nationale recht zoveel mogelijk uit te leggen in het licht van de bewoordingen en het doel van de relevante richtlijn (HvJEU 10 april 1984, C-14/83, Jur. p. 1891 (Colson) en HvJEU 13 november 1990, C-106/89, Jur. p. I-4135, NJ 1993/163 (Marleasing)). Indien het onderdeel tot vernietiging zou moeten leiden, zou het verwijzingshof daarom tot geen ander oordeel kunnen komen dan dat het beroep van Ryanair op art. 10 lid 1 onder 1° Aw, geen doel kan treffen, in aanmerking genomen
– dat niet is gebleken dat de Nederlandse wetgever bij de implementatie van de Databankenrichtlijn in ons nationale recht iets anders voor ogen heeft gestaan dan een getrouwe omzetting daarvan,
– dat art. 10 lid 1 onder 1° Aw mede is gebaseerd op de veronderstelling dat de daarin bedoelde “andere geschriften” vatbaar zijn voor auteursrechtelijke bescherming, en
– dat databanken die niet aan het oorspronkelijkheidscriterium voldoen, zoals de onderhavige, blijkens de hiervoor in 3.4.3 aangehaalde uitspraak van het HvJEU niet vatbaar zijn voor auteursrechtelijke bescherming.

3.5.2
Het rechtszekerheidsbeginsel en de onwenselijkheid van wetsuitleg contra legem kunnen hieraan niet afdoen. De formulering van art. 10 lid 1 onder 1° Aw laat de hier bedoelde uitleg immers toe. Aan de bedoeling van de wetgever om de geschriftenbescherming voorshands te handhaven, komt bij de uitleg van de onderhavige bepaling geen overwegende betekenis toe. Dit is reeds het geval omdat – zoals hiervoor in 3.4.2 is overwogen – niet is gebleken dat de Nederlandse wetgever bij de handhaving van de geschriftenbescherming heeft willen afwijken van datgene waartoe de Databankenrichtlijn hem verplichtte, in samenhang met de omstandigheid dat de wetgever van de onjuist gebleken veronderstelling uitging dat de geschriftenbescherming buiten het bereik van de Databankenrichtlijn viel.

Als we dit stuk tekst condenseren dan blijven een aantal bepalende elementen over:

  • De rechter dient zijn nationale recht zoveel mogelijk uit te leggen in het licht van de bewoordingen en het doel van de relevante richtlijn
  • De wetgever heeft een fout gemaakt bij de implementatie van de richtlijn en uit niets blijkt dat dit bewust is gedaan.
  • Artikel 10 lid 1 onder 1° Auteurswet is mede gebaseerd op de veronderstelling dat de daarin bedoelde “andere geschriften” vatbaar zijn voor auteursrechtelijke bescherming
  • databanken die niet aan het oorspronkelijkheidscriterium voldoen zijn niet vatbaar voor auteursrechtelijke bescherming.
  • Deze wetsuitleg is niet contra legem en er is evenmin strijd met het rechtszekerheidsbeginsel. De formulering van art. 10 lid 1 onder 1° Aw laat deze uitleg gewoon toe.

Daarmee is nu eindelijk een einde gekomen aan de geschriftenbescherming voor databanken in Nederland. De Hoge Raad neemt daarmee een voorschot op de wetswijziging waardoor deze eigenlijk nauwelijks meer van belang is in praktisch opzicht.

Bron:
Hoge Raad ECLI:NL:HR:2014:88

De Nederlandse Vereniging van Banken introduceert per volgend jaar nieuwe veiligheidsregels rondom internetbankieren. Kranten, consumentenprogramma’s en zelfs juristen struikelen over elkaar heen omdat het een verslechtering van de positie van de consument zou zijn en daarom onwenselijk. Maar is de verandering wel daadwerkelijk een achteruitgang en is de huidige situatie wel wenselijk en houdbaar?

De nieuwe regels:
Er zijn vijf nieuwe veiligheidsregels opgesteld waar iedereen zich aan dient te houden. Overigens is het voor consumenten nog steeds bij wet geregeld dat in beginsel een bedrag, dat zonder toestemming van een bankrekening is afgeschreven, door de bank wordt vergoed. De bank is echter niet altijd gehouden om de schade te vergoeden en in voorkomende gevallen kan er sprake zijn van een eigen risico van € 150,-

De vijf nieuwe regels luiden:

  1. Houd uw beveiligingscodes geheim. Deel je beveiligingscodes met niemand. Dat geldt niet alleen voor pincode maar ook voor code’s die door ereaders worden gegenereerd en voor TAN-codes.
  2. Zorg ervoor dat uw bankpas nooit door een ander gebruikt wordt. Geef je bankpas aan niemand en controleer ook altijd eventjes of er niet een wisseltruc wordt uitgehaald.
  3. Zorg voor een goede beveiliging van de apparatuur die u gebruikt voor uw bankzaken. Zorg dat je computer is voorzien van een goede antivirusscanner met updates. Zorg er voor dat je smartphone met app vergrendeld is etc.
  4. Controleer uw bankrekening. Kijk ten minste elke twee weken of je vreemde transacties ziet die je niet kunt verklaren.
  5. Meld incidenten direct aan de bank en volg aanwijzingen van de bank op. Weet je zeker dat er iets is misgegaan of heb je een behoorlijk vermoeden dat er iets vreemds aan de hand is met je bankrekening, pinpas apps of de website van de bank neem dan gewoon eventjes contact op.

Veranderingen en mogelijke gevolgen:
Nu hanteert iedere bank nog zijn eigen voorwaarden voor internetbankieren maar met de komst van de nieuwe voorwaarden komt daar verandering in. De bovengenoemde regels gaan bij alle banken gelden voor internetbankieren. Momenteel zijn banken behoorlijk coulant met het vergoeden van schade uit coulance, zelfs als de consument enige blaam treft. Volgens Jurgen Braspenning, jurist en onderzoeker aan de Universiteit van Tilburg, zal dit in de toekomst minder vaak voorkomen. De nieuwe regels maken het voor de banken gemakkelijker om de consument te wijzen op de eigen verantwoordelijkheid:

‘Het lijkt mij dat de uitzonderlijke oneerlijke of dubieuze zaken nog steeds op coulance kunnen rekenen, maar een slordige of luie consument zal nu makkelijker het deksel op zijn neus krijgen.’

Deze zorgen leven bij meer partijen. Onlangs besteedde Kassa er ook al aandacht aan. Hoogleraar internetveiligheid van TU Delft Michel van Eeten had stevige kritiek. Hij ziet de voorwaarden meer als bruikbare tips dan als praktisch handhaafbare eisen.

“de punten zijn duidelijk, goed opvolgbaar, als tips. Als voorwaarden vind ik het problematisch. Alle vormen van internetfraude vallen onder deze voorwaarden. Dat betekent dat consumenten in alle gevallen van internetbankierfraude grof nalatig zijn.”

De NVB bestrijdt deze kritiek allicht. Banken benadrukken dat ze bij fraude altijd op basis van redelijkheid beoordelen of er sprake is van opzet of grove nalatigheid van een klant. De nieuwe voorwaarden helpen juist duidelijk te maken wanneer er sprake is van grove nalatigheid. Banken blijven nog steeds de mogelijkheid houden om op basis van coulance schade te vergoeden ook in gevallen waarin dit volgens de nieuwe voorwaarden strikt genomen niet zou hoeven.

Is de verandering erg?
Momenteel zijn banken erg ruimhartig met het vergoeden van schade ook als de consument zelf enige blaam treft. Het is niet onlogisch dat banken voorwaarden gaan hanteren die er mede op gericht zijn om de eigen verantwoordelijkheid van de klant duidelijk te maken. Ik acht het niet onredelijk dat je van mensen eist dat ze codes geheim moeten houden en dat dit geldt voor zowel de pincode als voor codes van ereaders. Evenmin acht ik het onredelijk dat je van mensen eist dat ze hun pinpas strikt voor zichzelf houden en bij een vermoeden van verdachte omstandigheden contact met de bank op moet nemen. Consumentenbescherming is prima maar het moet niet zo ver gaan dat nonchalance, gemakzucht en onzorgvuldigheid getolereerd dienen te worden. De schade die vergoed moet worden wordt namelijk uiteindelijk ook mede betaald door andere klanten van de bank en het is gewoon ook een kostenpost die eventuele dividenduitkeringen voor aandeelhouders verlaagt.

Eigenlijk is de enige regel waar ik in praktische zin moeite mee heb, dat mensen altijd voor een goede beveiliging van de apparatuur voor bankzaken moeten zorgen. Internetcriminaliteit neemt steeds geraffineerder vormen aan. Buiten zorgen voor een goede virusscanner die up-to-date is en je smartphone vergrendelen als je een internetbankierenapp hebt, is het voor veel mensen lastig om meer maatregelen te treffen. Phishingmails kun je vaak nog wel doorheen prikken vanwege het erbarmelijk slechte Nederlands maar ook hier wordt het steeds lastiger om een goed onderscheid te kunnen maken. Ditzelfde punt werd overigens ook al naar voren gebracht in de uitzending van Kassa.

Een ander mogelijk probleem is het feit dat banken zeggen dat zij op basis van redelijkheid zullen beoordelen of er sprake is van opzet of grove nalatigheid van een klant. Dit zijn open normen en open normen zijn altijd slecht voor de rechtszekerheid. Wanneer is er sprake van grove nalatigheid van de kant van de klant en wat is een redelijke grens om te trekken? Aan de andere kant kun je ook moeilijk een limitatieve opsomming maken van wat wel en wat geen grove nalatigheid is, de praktijk is daar veel te weerbarstig voor.

Banken blijven nog steeds de mogelijkheid houden om op basis van coulance te vergoeden ook al zou je onder deze voorwaarden uitstekend het tegendeel kunnen betogen. Het zal dus met name afhangen van hoe (in)flexibel banken zich opstellen jegens degenen die schade lijden.

Allicht zal het idee van redelijkheid van iemand die schade lijdt en de bank in voorkomende gevallen niet overeenstemmen. Als er een dergelijk conflict is dan kunnen consumenten altijd naar het Kifid stappen, voor niet-consumenten staat de gang naar de rechter open.

Conclusie:
Alles op dit moment in ogenschouw nemende denk ik dat de verandering van voorwaarden niet bepaald erg is te noemen. De voorwaarden geven banken de mogelijkheid om nalatigheid, nonchalance en gierende stupiditeit aan te pakken terwijl de mogelijkheid om vanuit pure coulance te handelen intact blijft. Het merendeel van de regels is niet ingewikkeld, gecompliceerd, veelgevraagd of ronduit onredelijk. Slechts de eis voor beveiliging van apparatuur kan op problemen stuiten omdat velen niet de kennis in huis zullen hebben om een apparaat echt goed te beveiligen.

Bron:
‘Slordige klant draait zelf op voor schade bankfraude’ via Volkskrant.nl
Uniforme Veiligheidsregels Particulieren via nvb.nl
Hoe kan je veilig internetbankieren? via kassa.vara.nl uit de uitzending van 23 november

Het is eventjes stil geweest rondom de cookiewet na het VAO maar er is nu eindelijk een wetsvoorstel ingediend ter aanpassing van de cookiewet waarmee het leven van webmaster een stukje aangenamer zou moeten worden. Deze aanpassing is het gevolg van eerdere constateringen, in onder meer brieven aan de Tweede Kamer van 20 december 2012 en
5 februari 2013, dat de cookiewet zijn doel een voorbij geschoten is.

Het probleem:
In de visie van de regering is het probleem dat de cookiewetgeving (vrijwel) onverkort van toepassing is op alle cookies. Daaronder moeten worden begrepen de analytische cookies welke worden gebruikt om gegevens over bezoek aan de site te analyseren. Dat betekent dat voor vrijwel alle cookies nu expliciet toestemming moet worden gevraagd.
‘functionele cookies’. Dit zijn cookies die (a) tot uitsluitend doel hebben de communicatie over het internet uit te voeren of (b) strikt noodzakelijk zijn om een door de internetgebruiker gevraagde (online)dienst te leveren.

Dit leidt tot gebruik van lay-overs en pop-ups welke vaak simpelweg vragen om toestemming voor het gebruik van alle cookies. Indien er geen toestemming wordt gegeven is de site vaak niet te bezoeken. Dit verschijnsel staat bekend als de zogenaamde cookie-wall.

Er worden in het nieuwe wetsvoorstel een aantal uitzonderingen gemaakt voor cookies welke het recht op privacy van de internetgebruiker niet in het geding brengen. Er is dus een nieuwe afweging gemaakt van het gerechtvaardigde belang bij het gebruik van bepaalde cookies (om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij) versus het belang van de internetgebruiker bij bescherming van diens privacy (het gebruik van deze cookies mag geen of slechts geringe gevolgen hebben voor de privacy van de internetgebruiker).

Het privacybelang van de internetter blijft echter wel voorop staan. Zo blijft naast de cookiebepaling in de Telecommunicatiewet de Wet bescherming persoonsgegevens onverminderd gelden in gevallen dat met cookies persoonsgegevens worden verwerkt.

Nieuwe cookiebepaling:
Na inwerkingtreding van het nieuwe wetsvoorstel wordt er een nieuwe uitzondering toegevoegd. Het gaat dan om de cookie: “die strikt noodzakelijk is […] – mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker – om informatie te verkrijgen over de kwaliteit en effectiviteit van een geleverde dienst van de informatiemaatschappij.”

Dit is een nog vrij brede omschrijving maar in de meest recente brief aan de Tweede Kamer geeft de Minister een uiteenzetting over wat voor cookies wij hier precies onder kunnen scharen. Er kunnen drie categorieën worden onderscheiden:

  1. First en third party analytic cookies
  2. A/B testing cookies
  3. Affiliate cookies

Analytic cookies:
Analytic cookies vallen onder deze bepaling indien zij alleen worden gebruikt om het gebruik van de website in kaart te brengen en te analyseren, dan zijn de privacygevolgen gering. De minister maakt nog wel de nuancering dat de cookies en de daarmee gegenereerde gegevens niet mogen worden gebruikt om bijvoorbeeld een profiel van de internetgebruiker op te stellen. Dit geldt ongeacht of het verwerken van gegevens geschiedt door een first of third party.

Daarnaast moet de websitehouder die gebruikersgegevens uit de analytische cookie deelt met een derde een bewerkersovereenkomst sluiten met de derde om de privacy voldoende te waarborgen. In deze overeenkomst moet worden afgesproken dat de derde de (gebruikers)gegevens niet voor eigen doeleinden gebruikt, of alleen voor afgebakende doeleinden die geen of geringe gevolgen hebben voor de levenssfeer van de internetgebruiker. Doet de websitebeheerder dit niet, dan blijft voor het gebruik van deze cookies de informatieplicht en het toestemmingsvereiste gelden.

A/B testing cookies en affiliate cookies:
A/B testing cookies is een set cookies welke worden geplaatst en uitgelezen om te kijken welke versie van een bepaalde reclame of website (versie A of B) het effectiefst is. Dit gebeurt meestal aan de hand van het aantal keer dat er op variant A of B wordt geklikt. Cookies als deze zijn het algemeen onschuldig omdat zij geen informatie verzamelen over de gebruiker maar uitsluitend naar de effectiviteit van advertenties kijken.

Affiliate cookies houden bij welke advertentie leidt tot een aankoop, zodat degene die deze advertentie heeft
getoond (de affiliate), hiervoor een beloning kan ontvangen. Het is dus eigenlijk een vorm van commissie maar dan op het internet. Dit type cookies kan worden geplaatst bij vertoning een advertentie. Gaat vervolgens een bezoeker van een site over tot aanschaf van het product via een webwinkel dan is de advertentie dus effectief is geweest en ontvangt de partij die de advertentie heeft vertoond een commissie van de verkoper van het product. Dergelijke cookies zijn in het algemeen voor de eindgebruiker (de klant) onschuldig. Het cookie verwijst meestal alleen naar de affiliate zelf, omdat men moet weten wie de beloning krijgt.

Toestemming, expliciet naar impliciet:
Waar een cookie gevolgen kan hebben voor de privacy van de gebruiker blijft altijd expliciete toestemming. Voor het overige lijkt de minister om te gaan naar impliciete toestemming. Met een verwijzing naar een voorbeeld van de Artikel-29 werkgroep kan volgens de minister toestemming voor het plaatsen en lezen van cookies worden afgeleid uit het aanklikken van overige onderdelen van de website, als bij aanvang van het bezoek aan de website duidelijk is aangegeven dat bijvoorbeeld het aanklikken van een link om gebruik te maken van overige delen van de website, wordt beschouwd als toestemming voor het gebruik van cookies. Van belang daarbij is wel dat gebruiker volledig en duidelijk geïnformeerd is.

Dit is een vrij duidelijke en forse afwijking van eerdere interpretatie van de ACM (voorheen OPTA) dat altijd expliciet toestemming gegeven moet zijn.

Conclusie:
Dit wetsvoorstel is zonder meer een stap in de goede richting maar het zal voor lang niet iedere webmaster veel veranderingen te weeg gaan brengen. Het meest interessant gaat wellicht zijn of de gebruiksovereenkomst voor Google Analytics volstaat als bewerkingsovereenkomst zoals door de minister bedoeld. Daarnaast zullen er cookies zijn welke bijvoorbeeld zowel een analytische als een tracking-functie hebben; deze blijven onverkort onder de hoofdregel vallen en daar zal altijd toestemming voor moeten worden gegeven.

Gelukkig lijkt het toestemmingsvereiste wel versoepeld, er is een verschuiving waarneembaar van expliciete toestemming naar impliciete toestemming. Hiervoor is echter nog wel vereist dat de gebruiker geïnformeerd is vóórdat de cookies geplaatst worden. Daar moet een website dan wel technisch voor ingericht zijn.

Dit betekent ook dat wie het helemaal op safe wil spelen nog steeds gewoon het beste een cookiemuur kan gebruiken. Dan heb je namelijk altijd expliciet toestemming voor het gebruik van cookies. Van cookies met een hybride functionaliteit kan het anders achteraf tot een discussie leiden over de vraag of ze al dan niet onder de uitzondering vallen.

De wijzigingen in het wetsvoorstel zijn een goede stap in de richting van een gebruiksvriendelijker cookiewet zowel voor de beheerder van een site als voor de gebruiker. Het wetsvoorstel staat momenteel op internetconsultatie zodat iedereen zijn zienswijze kan leveren. Daarna zal het nog eventueel aangepast worden waarna het naar de Tweede Kamer zal gaan voor behandeling. Een eventuele ingangsdatum voor de wet is derhalve nog niet bekend.

Bron:
Aanpassing artikel 11.7a Telecommunicatiewet (Cookiebepaling) via internetconsultatie.nl
Brief aan de Tweede Kamer – consultatie cookiebepaling en de beantwoording van een tweetal vragen via rijksoverheid.nl