De Raad van State is niet tevreden over het voorstel voor een nieuwe cookiewet. Uiteraard wil de Raad wel, net als alle internetters, af van het wegklikken, aanvinken, bevestigen van allerlei mededelingen over het cookiegebruik van de sites die ze bezoekt. In het advies over de cookiewet stelt de Raad echter dat zij niet blij is met de formulering van het nieuwe lid 3 onder b van artikel 11 van de Telecommunicatiewet. Daarin staat dat er geen toestemming gevraagd behoeft te worden voor het plaatsen van cookies die geen of geringe gevolgen hebben voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker. De Raad vraagt zich af of deze formulering niet een risico met zich meebrengt voor de effectiviteit van het voorstel. Immers, indien onduidelijk is wanneer de gevolgen al dan niet als gering moeten worden aangemerkt, kan dit leiden tot onzekerheid. Hierdoor zou het risico kunnen bestaan dat website-eigenaren het zekere voor het onzekere zullen nemen en daarom om toestemming blijven vragen, ongeacht de mate waarin de opslag van gegevens of de toegang tot opgeslagen gegevens privacygevoelig is. Dan zou de beoogde gebruikersvriendelijkheid niet bewerkstelligd worden en zou het voorstel zijn doel voorbij schieten.

Privacygevoelige cookies worden zonder toestemming geplaatst
Anke Verhoeven van Solv voegt hieraan toe dat er ook een omgekeerd risico bestaat, namelijk dat de vage bepaling tot gevolg heeft dat website-eigenaren er te gemakkelijk van uitgaan dat bepaalde cookies uitgezonderd zijn van het toestemmingsvereiste. Gebruikers worden dan ongemerkt met cookies bestookt die mogelijk wel gevolgen hebben voor de persoonlijke levenssfeer. Hiermee wordt nu al duidelijk dat de gekozen formulering tot oeverloze discussies zal gaan leiden en het zou zomaar kunnen dat de rechter moet gaan invullen wanneer een cookie geen of een geringe impact heeft op de persoonlijke levenssfeer. En die rechter heeft het al zo druk.

De cookies waarom het vaak gaat
Ik volg de Raad van State en Anke Verhoeven en vind dat het anders, beter en duidelijker moet kunnen. Veel sites plaatsen cookies om te zorgen dat gebruikers niet elke keer hoeven in te loggen en/of om het gebruik van een site te monitoren zodat die, indien nodig, verbeterd kan worden. Daarnaast gebruiken veel organisaties Google Analytics voor statistieken over het gebruik van hun site. Hiertoe worden cookies geplaatst die worden beheerd door Google. Tevens hebben veel sites banners op hun sites via welke adverteerders cookies plaatsen.

Geen toestemming voor eigen cookies en analyse cookies in beheer derden
Voor cookies die geplaatst worden voor het monitoren en eventueel verbeteren van de site die iemand bezoekt, behoeft nooit toestemming gevraagd te worden wat mij betreft. Althans, als deze cookies door de site-eigenaar beheerd worden. Voor statistiek-cookies die worden gebruikt door de site-eigenaar, maar beheerd door een derde partij als Google, geldt hetzelfde. Er behoeft geen expliciete toestemming gevraagd te worden voor plaatsing. Hieraan is echter wel een voorwaarde verbonden. Voor alle cookies die beheerd worden door of gedeeld worden met derden is alleen geen toestemming vereist als er een overeenkomst is gesloten waarin dit is geregeld en waarin onder meer staat dat de derde de inhoud van de cookies niet deelt met anderen en daar zelf ook niets anders mee doet dan opslaan, beveiligen en beheren. Niet echt iets nieuws onder de zon overigens, want artikel 14 Wbp schrijft dit al jaren voor in dit soort situaties. Wel lijkt het hierbij verstandig een standaardovereenkomst in het leven te roepen die aan de privacyregels voldoet. Dit om gesteggel over de inhoud van de overeenkomst te voorkomen.

Toestemming commerciële cookies door banneradverteerders zelf
Blijven over de cookies van derde partijen die vaak via banners van adverteerders geplaatst worden en dus niet door de site-eigenaren zelf. Deze cookies hebben veelal als doel mensen te volgen om op die manier (informatie)diensten op maat te kunnen leveren. Deze plaatsers van cookies moeten toestemming vragen, te allen tijde. De site-eigenaren spelen bij deze toestemming dus geen rol als de plaatsing van cookies buiten hen om gaat, hetgeen vaak het geval is.
Voordeel voor de internetters is dat zij veel minder vaak met cookieberichten worden geconfronteerd. Banner-adverteerders hebben immers vaak vele sites in hun portefeuille, dus als je een keer toestemming hebt gegeven dan hoeft dat niet opnieuw bij het bezoeken van een volgende site die in beheer is van diezelfde adverteerder.

Verplichte verklaring over alle cookies
Aan deze regeling zou ik vervolgens een verplichte cookieverklaring willen koppelen waarin een toelichting wordt gegeven over alle gebruikte cookies waarbij, indien van toepassing, toegelicht moet worden met welke partijen een overeenkomst is gesloten inzake welke cookies en wat deze overeenkomst inhoudt. Hiermee worden vage bepalingen overbodig en wordt toch het doel van de cookiewet bereikt; minder geklik, minder toestemmingen en dus minder ergernis over cookies.

Standaard cookie-blokkade in browsers
En als het aan mij ligt, komt er ook een EU-verplichting om in browsers standaard alle cookies te blokkeren. De gebruiker krijgt dan zelf de regie over zijn cookies. Nog beter.