Volgens de ACM moet een opt-in (= toestemming) bij email aan zware eisen voldoen. Het geven van toestemming voor cookies is daarbij vergeleken een wonder van gemak en lichtheid. Terwijl het in beide gevallen wettelijk om dezelfde toestemming moet gaan. De ACM zou daarom de eisen aan emailtoestemming gelijk moeten trekken aan de eisen aan de cookietoestemming.
De eisen aan opt-in bij email houden onder meer in dat er volgens de ACM alleen een opt-in/toestemming kan worden gegeven voor emails met reclame van concrete adverteerders of met reclame van concrete categorieën van adverteerders. Dat mogen ook weer niet te veel adverteerders of categorieën in een keer zijn omdat anders de toestemming te ongericht zou zijn. Verder stelt de ACM als eis dat de adverteerders waarvoor toestemming wordt gegeven, ook “in beeld staan” als de consument de opt-in geeft. Een hyperlink naar de lijst waarin die adverteerders worden benoemd, is niet toegestaan.
Waar komen die strenge eisen nu vandaan? Het gaat om de “toestemming”. Het begrip “toestemming” komt uit de Wet Bescherming Persoonsgegevens en wordt daarin gedefinieerd. Die wet beschermt de privacy: het gaat erom dat toestemming betrekking heeft op een bepaald gebruik van de gegevens. Dat gebruik is in het geval van een gemiddelde lijsteigenaar in ieder geval het gebruik voor het versturen van reclame aan degene van wie het emailadres is. Welke adverteerder in die reclamemail staat is vanuit privacyperspectief niet zo relevant: het gebruik verandert daar namelijk niet door. (Dat zou natuurlijk anders zijn als het emailadres aan de adverteerders zou worden verstrekt maar dat gebeurt niet. De lijsteigenaar houdt de emailadressen zelf.) ACM hanteert dus, in mijn visie, al veel te lang een te strenge visie op het begrip toestemming.
Toen kwam de Cookiewet. Of beter: een wijziging in de bestaande Cookiewet. De Cookiewet regelt de toestemming voor het plaatsen van cookies. Dat is dezelfde toestemming als de toestemming voor een opt-in bij email. Namelijk het begrip toestemming uit de Wet Bescherming Persoonsgegevens. Omdat het publiek erover klaagde dat het zo vervelend was om telkens maar toestemming te moeten geven, werd “toestemming” (dus ook die voor email) een centraal thema in de teksten van de wetgever. De wetgever legde onder meer omstandig uit dat toestemming ook impliciet kon worden gegeven. En dat dat zelfs kon bij “ondubbelzinnige toestemming”.
Hoe interpreteert de ACM die toestemming voor het plaatsen van cookies na deze verduidelijking door de wetgever nu? Daar kunnen we achter komen door een website die volgens de ACM op de juiste wijze “toestemming” voor reclamecookies vraagt, te onderzoeken. De NPO vraagt volgens de AM op de juiste wijze toestemming. (https://www.acm.nl/nl/publicaties/publicatie/13648/ACM-websites-publieke-omroep-voldoen-aan-regels-voor-plaatsen-cookies/). Als een gebruiker voor de eerste keer op de NPO website komt ziet hij onderstaande mededeling:
Deze tekst vertelt de gebruiker dat hij toestemming voor advertentiecookies geeft als hij op “akkoord” klikt of als hij doorsurft en verder dat hij deze cookies kan weigeren als hij klikt op “cookie-instellingen aanpassen”.
Dit staat er over de advertentiecookies:
Er wordt op de websites van de publieke omroep gebruik gemaakt van de onderstaande advertentienetwerken en ad-serving-systemen. Klik op het betreffende naam om de privacy-verklaring van dat netwerk of systeem te bekijken.
Volgt een rij van 30 van dergelijke partijen. Als de bezoeker/gebruiker vervolgens doorklikt krijgt hij de weinig zeggende privacystatements van deze partijen (gelukkig nemen ze allemaal de privacy heel serieus). Namen van adverteerders of categorieën adverteerders of hoe bepaald wordt wie welke reclame ziet, zijn niet te vinden. Zo regelt de NPO dus met de zegen van de ACM toestemming voor derden om de cookies te plaatsen en om met die cookies profielen aan te maken en om gericht te adverteren. En wel door iedere denkbare adverteerder.
Leggen we de NPO cookietoestemming langs de eisen die de ACM aan de emailtoestemming stelt, dan voldoet de NPO website op geen enkele wijze. Er wordt geen enkele adverteerder bij naam genoemd. Er zijn evenmin benoemde categorieën. Terwijl het, evenals bij het geven van een opt-in, toch gaat om het gebruik van de data voor het tonen van advertenties. (En terwijl, maar dit terzijde, het gebruik vanuit privacyperspectief nogal wat verder gaat dan het versturen van een nieuwsbrief met reclame door een lijsteigenaar.)
De informatie staat verder niet “in beeld” bij de toestemming zelf maar in een hyperlink die verwijst naar een overzicht waarin wordt verwezen naar een andere tekst.
Volgens de ACM zou deze gang van zaken bij het verkrijgen van een opt-in voor email in het geheel niet deugen. Kennelijk vindt de ACM bij cookies (en met de ACM de wetgever) dat het bij toestemming gaat om welk gebruik van de persoonsgegevens wordt gemaakt en niet om de precieze namen van de adverteerders die via dat gebruik zichtbaar worden op het scherm van de gebruiker. En terecht zou ik zeggen.
Deze herijking van het begrip toestemming door de ACM zelf kan niet zonder gevolgen blijven voor de emailpraktijk. De ACM zal haar eisen moeten aanpassen aan de nieuwe juridische realiteit. Het vereiste dat een adverteerder of categorie met naam en toenaam wordt genoemd en het vereiste dat deze informatie moet staan op de plek waar de toestemming wordt gegeven, kunnen in ieder geval vervallen. Toestemming is toestemming, voor email en voor cookies. Of we dat nou leuk vinden of niet. Met het begrip toestemming hoort niet gerommeld te worden.