Lex Bruinhof, 8 februari 2013

No cookie no entry! (II)

Zoals u weet is op de site van de Nederlandse publieke omroep (NPO) een “cookiemuur” opgericht. Wie niet bereid is de cookies van de publieke omroep te accepteren krijgt geen toegang tot de site. Daardoor zijn ook populaire onderdelen als “Uitzending gemist” niet toegankelijk. In oktober schreef ik daar al met instemming over. De omroepen vinden het van cruciaal belang, mede vanuit hun publieke taak, dat zij bezoekersstatistieken kunnen bijhouden. Dat gebeurt middels cookies. Bezoekers die deze niet accepteren en tóch de site op zouden kunnen, zouden dus niet worden meegeteld. Daarmee worden de statistieken waardeloos.

Legitiem om acceptatie dus voorwaarde te maken voor het bezoek aan de site, zo leek mij. Mijn site, mijn regels: dat idee. Als ik een mooie site aanbied, mag ik best voorwaarden verbinden aan het bezoeken daarvan. Welnu, het CBP (College Bescherming Persoonsgegevens) denkt er anders over. In een (open) brief aan de Staatssecretaris van Veiligheid en Justitie, de Tweede Kamer en de voorzitter van de NPO, heeft het CBP zich uitgelaten over dit beleid van de publieke omroep.

Het college stelt dat dat de NPO een publieke dienst verleent die essentieel is voor iedereen. Wie langs digitale weg kennis wil nemen van informatie en uitzendingen van de publieke omroepen, heeft geen alternatief dan de website(s) van de NPO. De NPO heeft daarom een “feitelijk situationeel monopolie”. Door toestemming voor cookies in feite af te dwingen “betalen bezoekers feitelijk bij elk bezoek met hun persoonsgegevens. Van in vrijheid gegeven, rechtsgeldige toestemming is daarom geen sprake”, aldus het CBP.

Dat het CBP hier iets over zegt is niet toevallig. Sinds 1 januari is het amendement Van Bommel in werking getreden, dat vooral gericht is op tracking cookies. Dat zijn cookies die gegevens over het surfgedrag van de ontvanger verzamelen “voor commerciële, charitatieve, of ideële doelstellingen”. Dat wordt door het amendement nu expliciet beschouwd als “verwerking van persoonsgegevens” in de zin van de Wet Bescherming Persoonsgegevens en komt daarmee expliciet in het vizier van het CBP. Voor analytisch gebruik bedoelde cookies, zoals deze geplaatst worden door Google Analytics (hetgeen ook door de NPO wordt gebruikt) zijn tracking cookies. Ze brengen (mede) in beeld waar een bezoeker vandaan komt en volgen aldus zijn surfgedrag.

Ik kan me wel vinden in de opvatting van het CBP waar het publieke instellingen betreft. Daar betalen wij allemaal aan mee, die zijn “van ons”, we zouden dus niet nog een keer hoeven “te betalen met onze persoonsgegevens”. Dat laatste vind ik overigens een nogal dramatische omschrijving van het CBP. De persoonsgegevens in kwestie zijn namelijk niet meer dan een IP-adres. Het is nog niet zo gemakkelijk daar een werkelijke persoons-identiteit achter vandaan te peuteren (vraag maar na bij meneer Pessers).

Maar voor niet-publieke sites geldt wat mij betreft nog altijd dat de eigenaar best mag zeggen: no cookie, no entry! De vrije markt vindt hier zijn weg wel.

Vragen?