Behavioral Advertsing: kan het straks nog?

De kogel is door de kerk. Het omstreden amendement over cookies van PVV’er Van Bemmel is in gewijzigde vorm aangenomen door de Tweede Kamer. Heel de ICT- en mediabranche staat op zijn kop. Nederland is de malle eppie van Europa. Maar wat staat er nu in dat amendement en wat betekent het voor je business? Kort gezegd staat er dat als via  cookies online profielen worden opgebouwd voor reclamedoeleinden, ondubbelzinnige toestemming aan de webbezoeker moet worden gevraagd.

Ondubbelzinnige toestemming

De term ‘ondubbelzinnige toestemming’ komt uit de Wet Bescherming Persoonsgegevens en het Burgerlijk Wetboek. Deze vorm van toestemming wordt niet tot op de punt en komma geregeld. Maar er zijn handvatten:

• Het moet een vrije wilsuiting van de webbezoeker zijn.
• De webbezoeker moet weten waar hij ‘ja’ tegen zegt, m.a.w. weten wat voor data er waarom verzameld wordt.
• De bewijslast ligt bij degene die de toestemming vraagt.
• De toestemming kan altijd worden ingetrokken.

Cookiemonster

Volgens de toelichting op het amendement hoeft de ondubbelzinnige toestemming ‘slechts eenmalig verkregen te worden en dus niet bij elke handeling opnieuw. De aanbieder kan die toestemming zelfstandig verkrijgen van de gebruiker, maar ook collectief.’ Dit betekent concreet dat de webbezoeker bij het bezoeken van een website in één keer toestemming kan geven voor alle third party cookies. In theorie een begrijpelijk voorstel, maar in de praktijk een cookiemonster.

Problemen

1) Wie geeft toestemming?

De problemen bij de eenmalige en collectieve toestemming zijn vooral technisch en juridisch. Volgens de Wet moet ‘de betrokkene’ toestemming geven. Maar aangezien cookies pc’s registreren en geen personen, is dit lastig. Als je echt wilt weten wie achter de pc zit, moet je bij het vragen om toestemming ook vragen om de naam van de webbezoeker. Dat is nogal een exercitie en draagt ook niet bij aan de privacy van de webbezoeker. Maar als je in het geval van klachten onomstotelijk moet bewijzen dat ‘Pietje’ achter de pc zat en toestemming gaf, moet je naar een naam vragen.

Makkelijker zou zijn om, indien iemand toestemming geeft, een ‘toestemmingcookie’ te droppen. Dit kan alleen niet eenmalig, want veel virusscanners wissen cookies met enige regelmaat. En je kan in het geval van klachten alleen bewijzen dat die pc toestemming gaf. Niet een bepaalde gebruiker van de pc. De wet houdt hier in de toelichting wel rekening mee:

“Degene die de verplichting heeft informatie te verstrekken en de toestemming dient te verkrijgen kan niet weten of hij te doen heeft met een abonnee. Dat valt door hem niet te controleren. Denk bijvoorbeeld aan een gezin waarbij een van de ouders de abonnee is en waarbij op hetzelfde (IP-)adres ook de gezinsleden zich op internet begeven. Ook kan degene die die de verplichting heeft informatie te verstrekken en de toestemming dient te verkrijgen niet zien of meerdere gebruikers gebruik maken van hetzelfde randapparaat. Dat hoeft ook niet gecontroleerd te worden.”

2) Hoe draag je de toestemming over aan third parties?

Toestemming moet volgens de nieuwe wet verkregen worden door degene die de cookie plaatst. Als je collectief op de website van de uitgever of op één domein toestemming vraagt voor alle cookies, moet die toestemming nog naar de third parties.

En hoe moet het als een webbezoeker op de site van bijvoorbeeld nu.nl third party cookies accepteert, maar deze daarna op telegraaf.nl weigert? Het antwoord op deze vraag hangt af van de sleutel die je hanteert. Met andere woorden: geef je toestemming om op bepaalde sites getrackt te worden, of juist voor bepaalde tracking cookies.

3) Wat is de sleutel?

Toestemming moet verkregen worden door de partijen die tracking cookies plaatsten. Als de cookie de sleutel is, zou dit betekenen dat op een platform collectief toestemming geregistreerd moet worden, die vervolgens real time kan worden opgehaald door de websites. Aan de hand hiervan kunnen dan wel of geen tracking cookies geplaatst worden.

De website zou ook als sleutel kunnen dienen. Stel voor: Je vindt het niet erg dat website x tracking cookies plaatst, maar je wilt niet op website y gevolgd worden. Dan is de cookie niet de sleutel, maar de website die je bezoekt. Dan mag een modeketen op een styleblog bij jou een cookie droppen dat aangeeft dat je geïnteresseerd ben in tassen. En mogen zij jou op een andere website, die jij toestemming heb verleend om cookies te droppen, hierop gerichte advertenties laten zien.

Browser

De toelichting op het amendement biedt een escape:

“De minister heeft in het debat op 18 juni 2011 uitgelegd dat ten aanzien van browsers geldt dat de huidige browsers, die vaak standaard zo zijn ingesteld dat zij alle cookies accepteren, niet geschikt zijn om toestemming te verlenen. Dit kan natuurlijk veranderen als nieuwe of vernieuwende browsers de mogelijkheid bieden om specifiek aan te geven welk soort cookies de gebruiker wil accepteren, maar op dit moment is dat niet zo.”

Als de nieuwe browsers straks met een volg-me-niet button, of whitelisting komen, waarbij je cookies van bepaalde websites kunt accepteren, hoeven we niet meer van die ingewikkelde capriolen uit te halen om toestemming te registreren. De vraag is echter óf en wanneer dit gebeurt.

Vragen, vragen, vragen

Behavioral Advertising kan straks vast nog. Maar het gebruiksgemak van internet zal hieronder lijden en het groeipotentieel van de branche ook. Het amendement van ondubbelzinnige toestemming voor cookies brengt vooralsnog een hoop vragen met zich mee, waarop geen eenduidig antwoord bestaat. Maar als er zich onder de lezers van Frankwatching techneuten of creatievelingen bevinden die een kant-en-klare oplossing voor handen hebben, hoor ik dat uiteraard graag!