Cookie Monster

Sinds de invoering van de herziene Telecommunicatiewet op 10 mei 2012 is Nederland als eerste lidstaat een netneutraal land, mét een ‘Cookiewet’. Het doel: bescherming van de privacy van de burger op het internet. Aanbieders van ‘openbare elektronische communicatienetwerken’ die internetdiensten aanbieden, mogen geen diensten blokkeren of belemmeren. Dat is dus de reden dat je kosteloos iemand kunt whatsappen om te vertellen dat je net op Twitter een link voorbij zag komen met daarin een Facebookpagina waarop een te gek Youtube-filmpje te zien was. Maar wat is eigenlijk die Cookiewet? En leven websites de wet wel na?

Cookiewet
Websites moeten bezoekers informeren en toestemming vragen voordat zij een cookie of andere gegevens op een computer, laptop op telefoon plaatsen of lezen. Het staat de website vrij te bepalen op welke wijze deze toestemming wordt verkregen, zolang deze maar ‘vrij, specifiek en op informatie berustend’ is, en het voor een bezoeker meteen duidelijk is dat hij toestemming kan geven en waarvoor dit dan is. Een simpele verwijzing naar bijvoorbeeld de algemene voorwaarden is dus niet genoeg.

Ook cookies (en andere gegevens) die de website niet zelf plaatst, maar worden geplaatst door third parties, bijvoorbeeld door Google of Facebook, vallen onder de wet. Daar komt nog eens bij dat indien met het plaatsen van de cookie persoonsgegevens worden verzameld, daarvoor nog eens ondubbelzinnige toestemming is vereist.

Uiteraard bestaat hier een uitzondering op, die eruit bestaat dat geen toestemming is vereist voor ‘functionele cookies’: cookies die strikt noodzakelijk zijn voor de dienst en niet privacyschendend zijn. Een site als bol.com is bijvoorbeeld voor het functioneren van de website afhankelijk van het afrekensysteem met het winkelwagentje, en banken hebben voor het internetbankieren logingegevens nodig.

Google Analytics en de NPO
Interessant in dit vraagstuk zijn de cookies van third parties. Denk bijvoorbeeld aan het veel gebruikte – welke site gebruikt het eigenlijk niet – Google Analytics. Met behulp van deze gratis dienst van Google kunnen websitebeheerders allerlei statistieken over hun website bekijken, zoals bezoekersaantallen, technische gegevens (locatie, browser, besturingssysteem), verkeersbronnen en conversies. Zijn de cookies die Google plaatst nu strikt noodzakelijk voor websites? Het voor de hand liggende antwoord is nee: een website kan prima zonder dit soort cijfers functioneren.

Toch zijn enige kanttekeningen hierbij wel op z’n plaats. Denk bijvoorbeeld aan bedrijven die afhankelijk zijn van hun website en de daarbij behorende verkoopcijfers. Om rendabel te zijn, moeten bedrijven investeren in een goede online marketing, zoals affiliate marketing. Voor een zo hoog mogelijke conversie is het noodzakelijk dat bezoekers producten zien die zij willen zien; daarvoor zijn deze cijfers noodzakelijk. Misschien neem ik het begrip ‘strikt noodzakelijk’ nu al te ruim, maar in de lijn van het afrekensysteem met het winkelwagentje,  is dit toch zeker niet ondenkbaar. De minister zei over dit onderwerp in zijn Memorie van Antwoord het volgende:

“Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.” [1]

De minister is hierin niet erg strikt en laat ruimte over om te beargumenteren dat een analytic cookie strikt noodzakelijk is voor de dienst. Minder direct in verband met het kunnen leveren van de dienst weliswaar, maar een band is er. Spannend.

Maar wacht eens even: stel nu dat dit soort analytic cookies inderdaad niet onder de uitzondering valt, en dat er dus toestemming nodig is van de bezoeker. Moest deze toestemming niet vooraf worden gegeven? En is het niet zo dat, op het moment dat ik een website voor het eerst bezoek, ik al lang en breed ben ‘getracked’ door Google Analytics? Navraag bij internetspecialist Teun Bakker van Internetbureau Releaz leert dat dit inderdaad in de meeste gevallen het geval zal zijn. Technisch is het mogelijk dat Google Analytics pas gegevens bijhoudt ná toestemming, maar geen website die zich hieraan houdt.

Tot zover Google Analytics. Wat te denken van de publieke omroep (NPO). De NPO heeft volgens de Mediawet (artikel 2.22) een prestatieovereenkomst met de minister van Onderwijs, Cultuur en Wetenschap. Daarin staan doelstellingen over het ‘publieksbereik van de landelijke publieke mediadienst’. Aangezien websites ook onder deze mediadienst vallen, moeten webstatistieken zoals bezoekersaantallen dus worden bijgehouden om te kunnen rapporteren over deze doelstellingen. Naast deze cookies plaatst de NPO ook functionele cookies, reclamedoeleindencookies en socialmediacookies. En hoewel technisch wel mogelijk, heeft een bezoeker van een website van de NPO niet de mogelijkheid per cookie aan te geven of hij al dan niet toestemming verleent. Het is ook maar de vraag of die toestemming voldoende specifiek zou zijn. Gevolg: geeft de bezoeker geen toestemming, dan kan hij de website niet gebruiken. En dan hebben we het dus over een site van de publieke omroep.

Naleving
Uit het meest recente verslag over de cookiebepaling (2 augustus 2012) van OPTA blijkt dat van de 25 best bezochte Nederlandse websites er slechts één voldoet aan de cookiewet.[2] De 25 websites plaatsen in één browsersessie in  totaal 298 cookies, en 6 van de 25 informeren de gebruikers. Eerder bleek uit een ander onderzoek door cookiechecker.nl (13 juli 2012) dat van de top 1500 websites in Nederland 95,1% géén toestemming vraagt.

Hoe kan dit? Ik denk dat een van de redenen is dat veel websitebeheerders simpelweg niet weten wat er precies van ze wordt verlangd. Is het genoeg om een balk in beeld te laten verschijnen met daarin een korte uitleg over welke cookies de site gebruikt, met een keuze tussen een ‘akkoord’ en een ‘niet akkoord’ knop? Hyves heeft bijvoorbeeld een balk, bovenin beeld:

Hyves kan cookies gebruiken. Klik hier voor meer informatie. Sluiten.”

Dat lijkt me wel erg beperkt. En wat indien ik als gebruiker die balk nou gewoon negeer en gebruik maak van de website. Is dit een gevalletje ‘Wie zwijgt stemt toe’, oftewel een impliciete toestemming, zodat de website gewoon cookies mag plaatsen? OPTA heeft dit probleem onderkend in het verslag over de cookiebepaling:

“OPTA ziet niet in hoe ‘implied consent’ initiatieven voldoen aan de wetgeving en hoe het niets doen van een webbezoeker leidt tot een situatie waarbij cookies geplaatst mogen worden. De bezoeker moet een bepaalde handeling verrichten om toestemming te geven voor het plaatsen van een cookie.”

Dat is dus duidelijk. Daarnaast denk ik dat veel websitebeheerders de kat uit de boom willen kijken: doet mijn concurrent het niet, dan ik ook niet. Bovendien: het kost geld.
Het lastige voor de bezoeker daarbij is dat er geen uniforme manier bestaat waarop websites de bezoeker informeren en om toestemming vragen. De bezoeker moet vaak zelf maar uitvogelen hoe hij nu weer kenbaar moet maken dat hij toestemming wil verlenen, of juist niet. De meeste sites werken met een (gele) balk bovenin beeld met daarin een vaak erg summiere boodschap. Op andere sites verschijnt er rechts of juist links onderin beeld een klein pop-upje. Vaak wordt het de bezoeker makkelijker gemaakt toestemming te geven (‘TOESTAAN’) dan te weigeren (‘Instellingen’ of ‘Meer informatie’, met vervolgens pas de keuze te weigeren). En wat als de bezoeker op zijn keuze wil terugkomen, dus eerst had aangegeven toestemming te verlenen, maar daar toch van af wil zien? De balk is dan al lang verdwenen.

Ik vind dat de balkjes en de kleine pop-upjes van deze tijd niet voldoen aan het vereiste om vooraf toestemming te verlenen. Een bezoeker kan dit eenvoudig negeren, of het niet eens opmerken. Zoals ik al eerder schreef is de bezoeker dan al lang en breed getracked door Google, en weet Facebook al met wie het te maken heeft. Een oplossing hiervoor zou zijn een pop-up te laten verschijnen voordat je daadwerkelijk de website bezoekt, met daarin informatie en een duidelijke keuzemogelijkheid, waarbij de bezoeker echt een handeling moet verrichten om toestemming te geven. Ik snap wel dat websitebeheerders dit liever niet doen, want het kan een (potentiële) bezoeker afschrikken, zo’n enorme pop-up in beeld. Toch is het in mijn ogen de enige juiste oplossing.

Handhaving
Het lijkt erop dat OPTA nog zoekende is naar hoe deze Cookiewet effectief te handhaven. OPTA gaat echt niet alle 350 miljoen Nederlandse websites bij langs. Het zal er op neer komen dat er pas actie wordt ondernomen als er over een bepaalde website veel wordt geklaagd; pas dan is OPTA van de mogelijke overtreding op de hoogte. Het is daarom van belang om als websitebeheerder te kunnen bewijzen dat bezoekers actief toestemming hebben verleend. Navraag leert dat websitebeheerders relatief eenvoudig kunnen bijhouden welk IP-adres op welk moment toestemming heeft gegeven. Een praktisch bezwaar hiertegen is het feit dat deze gegevens slechts één jaar mogen worden bewaard, terwijl OPTA tot 5 jaar terug kan handhaven.

En nu?
Kort en goed, duidelijker en makkelijker wordt het er met de cookiewet niet op. Niet voor de websitebeheerder, maar evenmin voor de bezoeker. Websitebeheerders weten niet precies wat zij moeten doen (OPTA zelf weet het ook niet, getuige dit bericht van vanmorgen), en kiezen voor een simpele balk of de veilige status quo samen met andere beheerders. Ook bezoekers weten niet wat te doen. Toestaan, weigeren, niets doen? Wat vinden jullie?

Rob


[1] MvA Eerste Kamer, vergaderjaar 2011-2012, 32549, E, p. 4.

[2] http://www.opta.nl/nl/actueel/alle-publicaties/publicatie/?id=3635

Mag ik mijn iTunes-liedjes verkopen?

Op dit moment speelt er een interessante zaak in de VS tussen het grote EMI en het kleine ReDigi. Kort gezegd komt het hier op neer: ReDigi biedt software aan waarmee ik de door mij gekochte iTunes-liedjes kan verkopen. De koper kan het liedje luisteren door streaming en ik ben het liedje na de verkoop kwijt – het wordt gewist uit mijn collectie. Mag ik dit doen?

EMI stelt dat ReDigi inbreuk maakt op haar auteursrecht omdat de liedjes zonder toestemming worden gekopieerd en doorverkocht; en is het verveelvoudigen en verspreiden niet het exclusieve recht van de auteursrechthebbende? ReDigi beroept zich op de uitputtingsleer: indien de auteursrechthebbende een werk, zoals een liedje, al eens door eigendomsoverdracht in het verkeer heeft gebracht, kan hij zich niet meer verzetten tegen verdere verspreiding van dat exemplaar. De vraag is nu: geldt uitputting alleen voor fysieke exemplaren zoals boeken, of ook voor immateriële bestanden, zoals iTunes-liedjes?

Uit de formulering over uitputting in de Amerikaanse Copyright Law wordt niet duidelijk of uitputting enkel geldt voor fysieke exemplaren. De rechter zal in de rechtszaak hierover uitspraak doen – ik ben benieuwd.
Europa is wat dit betreft iets verder, getuige het UsedSoft-arrest van 3 juli van dit jaar. Het Europese Hof van Justitie bepaalt in deze zaak, die over software gaat, dat het wat betreft uitputting in beginsel niet uitmaakt of het gaat om een fysiek of immaterieel exemplaar. Geldt dit nu ook voor muziekbestanden, zoals iTunes-liedjes?

Nee dus. Het Hof is hier in voornoemd arrest vrij duidelijk over (r.o.8):

Anders dan het geval is bij een CD-ROM of een CD-i, waarbij de intellectuele eigendom in een materiële drager, dus in een zaak, is belichaamd, is elke onlinedienst in feite een handeling die aan toestemming is onderworpen, wanneer het auteursrecht of het naburige recht dit vereist.

Verderop in het arrest (r.o. 52) lijkt het Hof echter aan te sturen op de stelling dat het verspreiden van een immaterieel exemplaar door middel van eigendomsoverdracht wel onder de uitputtingsleer valt. En is dat niet precies waar het nu om gaat?

Het Hof lijkt niet precies te weten wat nu te moeten met de uitputtingsleer en immateriële exemplaren. Een onderscheid tussen enerzijds software en anderzijds immateriële exemplaren van andere auteursrechtelijke beschermde werken, verstrekt via online diensten, lijkt mij wel erg gekunsteld – al geniet software een bijzondere positie in het auteursrecht. De ratio achter de uitputtingsleer is dat een auteursrechthebbende een exemplaar van zijn werk één maal kan ‘verkopen’. Een auteursrechthebbende de mogelijkheid bieden om voor elke verkoop van hetzelfde exemplaar een vergoeding te ontvangen lijkt mij – naast praktische redenen, want wie gaat dat op welke manier innen, en wie gaat dit handhaven – om morele redenen niet wenselijk.

Al met al is het jammer dat het nog steeds nodig is aan de hand van hocus pocus-analogieën moderne toepassingen als iTunes-liedjes te moeten inpassen in oude juridische constructies. Het recht loopt op deze manier hopeloos achter de onhoudbare feiten aan. Met het oog op de toekomst hoop ik dan ook dat de Amerikaanse rechter de uitputtingsleer van toepassing zal verklaren op immateriële zaken. Wie weet volgt dan de Europese rechter in een soortgelijke zaak. We gaan het zien.

Rob