De nieuwe cookiewetgeving: een verbetering, of is de cookie op? De e-Privacyverordening en de beoogde versterking van de bescherming van de privacy van consumenten, bezien vanuit de inzichten uit gedragsstudies

(1)

De nieuwe cookiewetgeving: een verbetering, of is de

cookie op?

De e-Privacyverordening en de beoogde versterking van de bescherming van de

privacy van consumenten, bezien vanuit de inzichten uit gedragsstudies

Masterscriptie Universiteit van Amsterdam Naam: Linde Vrolijk

E-mailadres: lindevrolijk@outlook.com Studentnummer: 12443042

Mastertrack: Privaatrechtelijke rechtspraktijk Onder begeleiding van: Mw. prof. dr. C. Mak

(2)

Abstract

In het huidige tijdperk is het ondenkbaar geworden om een website te bezoeken zonder geconfronteerd te worden met de vraag: “Accepteert u het gebruik van cookies?”. Tracking

cookies worden door bedrijven gebruikt om het internetgedrag van consumenten bij te houden

en zijn vaak de kern van hun verdienmodel. De meeste consumenten gaan hiermee akkoord zonder zich bewust te zijn van wat cookies en de gevolgen daarvan precies zijn. Dit is problematisch in het licht van de privacy, aangezien er als gevolg hiervan persoonsgegevens worden verwerkt. De vraag is hoe de privacy van consumenten nog adequaat beschermd kan worden in een tijdperk waarin persoonsgegevens waardevol zijn voor bedrijven.

Met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 zijn de regels omtrent het gebruik van cookies al aangescherpt. De bedoeling was gelijktijdig de e-Privacyverordening (EPV) te introduceren, maar tot op heden wordt er nog over dit voorstel onderhandeld. Zoals het EPV-voorstel er nu uit ziet, zullen de informatieplicht en het toestemmingsvereiste niet meer expliciet zijn opgenomen in de

cookiebepaling, zal het geven van toestemming via browserinstellingen mogelijk worden voor de consument en zal het gebruik van een cookiewall voor commerciële bedrijven in beginsel zijn toegestaan. De onderzoeksvraag van dit onderzoek luidt:

“Zullen de nieuwe cookieregels uit de e-Privacyverordening kunnen bijdragen aan een versterking van de bescherming van de privacy van consumenten, bezien vanuit de inzichten uit gedragsstudies?”

Met de huidige wetgeving beoogde de Europese wetgever consumenten de controle te geven over hun persoonsgegevens, door als hoofdregel geïnformeerde toestemming te vereisen. Gedragsstudies trekken de effectiviteit hiervan echter in twijfel. Zo is er sprake van

informatieasymmetrie tussen consumenten en bedrijven. De privacyverklaringen worden niet

gelezen of begrepen, waardoor de consument akkoord gaat met de cookies zonder voldoende kennis. Daarnaast wordt de consument overladen met toestemmingsverzoeken, waardoor consumenten de verzoeken blindelings gaan accepteren als gevolg van toestemmingsmoeheid. Tot slot leiden de status quo bias en present bias ertoe dat consumenten vaak niet in staat zijn een betekenisvolle keuze te maken in de praktijk.

Op basis van mijn onderzoeksgegevens moet de onderzoeksvraag negatief beantwoord worden. De huidige problemen die vanuit gedragsstudies gevonden zijn, zullen waarschijnlijk

(3)

niet verholpen worden met de EPV. Allereerst zullen de privacyverklaringen met de EPV hetzelfde blijven, waardoor de informatieasymmetrie zal blijven bestaan. Ook zal de

toestemming via browserinstellingen de informatieasymmetrie waarschijnlijk versterken. De

toestemmingsmoeheid zal met het geven van toestemming via browserinstellingen naar

verwachting niet verdwijnen, aangezien bedrijven waarschijnlijk gebruik zullen blijven maken van cookiebanners om alsnog toestemming te verkrijgen. De invloed van de status quo

bias op de keuze zal waarschijnlijk versterkt worden, doordat consumenten de

standaardinstelling of eenmaal gegeven toestemming via de browserinstellingen niet snel zullen aanpassen. Tot slot kiezen consumenten door de present bias vaak voor voordelen op korte termijn en accepteren ze daarom alle cookies indien toegang tot een website dit vereist. De EPV zal de invloed van de present bias op de keuze waarschijnlijk versterken door de mogelijkheid tot het gebruik van een cookiewall te versoepelen ten opzichte van de huidige wetgeving.

(4)

Inhoudsopgave

1. Inleiding ... 6 1.1. Aanleiding ... 6 1.2. Onderzoeksvraag en deelvragen ... 7 1.3. Methodologie ... 8 1.4. Afbakening ... 8 1.5. Structuur ... 9

2. Cookies en online privacy ... 11

2.1. Introductie cookies ... 11

2.2. Het recht op privacy ... 12

2.2.1. Het concept ... 12

2.2.2. Privacy in de wet ... 12

2.3. De huidige cookiewetgeving ... 13

2.3.1. Het juridisch kader ... 13

2.3.2. De cookiebepaling ... 14

2.4. Conclusie ... 16

3. Problemen met de huidige wetgeving bekeken vanuit gedragsstudies ... 18

3.1. De privacy paradox ... 18

3.2. Informatieasymmetrie ... 18

3.3. Toestemmingsmoeheid ... 21

3.4. Status quo bias ... 22

3.5. Present bias ... 24

4. De veranderingen van de e-Privacyverordening op het gebied van cookies ... 27

4.1. Introductie e-Privacyverordening (EPV) ... 27

4.2. De nieuwe cookiebepaling van artikel 8 lid 1 EPV ... 27

4.2.1. De informatieplicht ... 28

4.2.2. Het toestemmingsvereiste ... 29

4.3. Toestemming via browserinstellingen ... 30

4.4. De cookiewall ... 31

(5)

5. Analyse e-Privacyverordening in het licht van gedragsstudies ... 33

5.1. Informatieasymmetrie ... 33

5.2. Toestemmingsmoeheid ... 34

5.3. Status quo bias ... 35

5.4. Present bias ... 37

6. Conclusie ... 39

7. Epiloog ... 41

(6)

1. Inleiding

1.1. Aanleiding

In het huidige tijdperk is het ondenkbaar om een website te bezoeken zonder dat er een

cookiebanner verschijnt met de vraag: “Accepteert u het gebruik van cookies?”.1 _{Het gebruik} van cookies is voor grote bedrijven zoals Google en Facebook dan ook de kern van hun verdienmodel.2_{Bedrijven gebruiken tracking cookies om het internetgedrag van consumenten} bij te houden, om vervolgens advertenties op de consument af te kunnen stemmen.3

De persoonlijke informatie is voor bedrijven inmiddels waardevoller geworden dan olie.4_{Waarschijnlijk zullen de persoonsgegevens geld dan ook steeds vaker gaan vervangen.}5 Sinds de inwerkingtreding van de richtlijn Digitale Inhoud afgelopen juni lijkt het idee van persoonsgegevens als ‘digitale valuta’ al werkelijkheid te zijn geworden.6_{De richtlijn maakt} het mogelijk om te betalen met persoonsgegevens voor het gebruik van gratis

internetdiensten.7

Problematisch hierbij is dat de meeste consumenten akkoord gaan met de cookies zonder een idee te hebben van wat cookies precies zijn.8_{Het gevolg is dat er op grote schaal} informatie over consumenten verzameld en verwerkt wordt, die deel uit maakt van de persoonlijke levenssfeer.9_{Het gebruik van cookies kan daarom in het licht van de privacy} problemen opleveren.10_{Hoe kan de privacy van de consument nog beschermd worden in een} samenleving waarin het grootschalig verzamelen en verwerken van persoonlijke data zo belangrijk is?

De hoofdregel van de huidige cookiewetgeving is dat de consument geïnformeerde toestemming moet geven voordat cookies geplaatst mogen worden.11_{De ratio hierachter is dat} consumenten keuzes kunnen maken in hun eigen belang.12_{Gedragsstudies trekken de}

effectiviteit van deze regel echter in twijfel.13_{In de praktijk blijkt er vaak niet daadwerkelijk}

1_{Wolters Ruckert 2015, p.1.} 2_{Zuiderveen Borgesius 2015, p.1.}

3_{Van der Jagt 2013, p.172; Poulus 2019, p.93.} 4_{Amer & Noujaim 2019.}

5_{Mayer-Schönberger 2018; Jaarverslag 2015 Autoriteit Persoonsgegevens.} 6_{Van Neck & Grifoni Waterman 2017, p.4.}

7_{Artikel 3 lid 1 Richtlijn 2019/770 betreffende bepaalde aspecten van overeenkomsten voor de levering van} digitale inhoud en digitale diensten.

8_{Luzak 2013, p.1.} 9_{Mourcous 2019, p.91.}

10_{Mourcous 2019, p.91; Roerdink 2017, p.190.} 11_{Artikel 11.7a Telecommunicatiewet (hierna: Tw).} 12_{Zuiderveen Borgesius 2015, p.1.}

(7)

sprake te zijn van geïnformeerde toestemming.14_{Consumenten gaan akkoord met vrijwel elk} toestemmingsverzoek zonder zich bewust te zijn van de gevolgen.15_{Vanuit gedragsstudies} worden verschillende verklaringen gegeven voor dit gedrag. Fenomenen zoals

informatieasymmetrie, toestemmingsmoeheid, status quo bias en present bias kunnen ertoe

leiden dat de privacy van de consument in de praktijk niet voldoende beschermd wordt. Met de inwerkingtreding van de Algemene Verordening Gegevensbescherming

(AVG)16_{op 25 mei 2018 zijn de regels omtrent het plaatsen van cookies al aangescherpt.}17_De bedoeling was gelijktijdig met de AVG de e-Privacyverordening (EPV) in werking te laten treden.18_{Dit doel is echter niet behaald en tot op heden wordt er nog onderhandeld over het} voorstel.

De EPV wordt de opvolger van de e-Privacyrichtlijn (EPR) uit 2002 en zal de Telecommunicatiewet grotendeels vervangen.19_{De cookieregels zullen nog verder worden} aangescherpt om de bescherming van de privacy van consumenten te garanderen. Zullen de nieuwe eisen die de EPV20_{stelt aan het gebruik van cookies in de praktijk daadwerkelijk} kunnen bijdragen aan een hoger beschermingsniveau van de privacy van de consument?

1.2. Onderzoeksvraag en deelvragen

Op basis van het bovenstaande, zal de volgende onderzoeksvraag centraal staan:

Zullen de nieuwe cookieregels uit de e-Privacyverordening kunnen bijdragen aan een versterking van de bescherming van de privacy van consumenten, bezien vanuit de inzichten uit gedragsstudies?

Om tot een beantwoording van de onderzoeksvraag te komen, zijn de volgende deelvragen afgeleid uit de hoofdvraag:

1. Wat is het huidig juridisch kader in Nederland voor privacybescherming op het gebied van cookies?

2. Welke specifieke problemen brengt de huidige regelgeving, bezien vanuit

gedragsstudies, met zich mee voor de bescherming van de privacy van consumenten?

14_{Luzak 2013a, p.225-227; Zuiderveen Borgesius 2015, p.1.} 15_{Zuiderveen Borgesius 2015, p.1.}

16_{Verordening 2016/679, Algemene Verordening Gegevensbescherming (AVG).} 17_{Verveld-Suijkerbuijk 2017, p.70.}

18_{Roerdink 2019, p.5.}

19_{De Bruyne 2018, p.328; Van Beek & Klingenberg 2019, p.73.}

20_{Waar in deze scriptie wordt gesproken van de EPV, wordt het meest recente voorstel van de Raad van de} Europese Unie bedoeld van 8 november 2019.

(8)

3. Welke veranderingen zal de e-Privacyverordening teweegbrengen, in het bijzonder voor de informatieplicht, de vereiste toestemming en het gebruik van een cookiewall? 4. In hoeverre zal de e-Privacyverordening kunnen bijdragen aan een versterking van de

bescherming van de privacy van consumenten, bezien vanuit de gesignaleerde problemen vanuit gedragsstudies?

1.3. Methodologie

Voor deze scriptie heb ik gekozen voor een multidisciplinair onderzoek. Aangezien ik zowel de bachelor Rechten als Psychologie heb afgerond, heb ik kennis en inzichten vanuit het recht gecombineerd met de wetenschappelijke discipline psychologie, specifiek genomen

gedragsstudies naar consumenten.

Het onderzoek bestaat voor een groot deel uit een wetenschappelijk onderzoek naar de huidige cookiewetgeving en de op handen zijnde wetgeving. Ik heb een rechtsvergelijkend onderzoek verricht, waarbij ik de huidige wetgeving en de op handen zijnde wetgeving op het gebied van cookies heb vergeleken. Hiervoor was voornamelijk bestudering van de wetgeving van belang, maar daarnaast heb ik gebruik gemaakt van literatuur- en

jurisprudentieonderzoek. Bij de rechtsvergelijking heb ik het recht bekeken vanuit een extern perspectief door de bestaande inzichten vanuit gedragsstudies naar consumenten te betrekken.

Ik heb de (voor dit onderzoek) relevante informatie gevonden in boeken, (online) tijdschriften en (online) nieuwsberichten. Ook heb ik naast het analyseren van de wetgeving gebruik gemaakt van de wetgeschiedenis, jurisprudentie, parlementaire stukken en opinies. Aangezien de nieuwe wetgeving nog aan veranderingen onderhavig is, heb ik gedurende het schrijven van de scriptie de onderhandelingen omtrent het EPV-voorstel en de relevante jurisprudentie zorgvuldig bijgehouden.

1.4. Afbakening

Ten eerste beperkt het onderzoek zich tot de bescherming van de privacy van consumenten. Er wordt uitgegaan van de B2C relatie (business to consumer). De B2B (business to business) en C2C (consumer to consumer) relaties zullen buiten beschouwing blijven.

Daarnaast is het onderzoek beperkt tot Nederlands recht en heb ik de wetgeving van andere Europese lidstaten buiten beschouwing gelaten. Het onderzoek beperkt zich tot de bescherming van het recht op privacy zoals opgenomen in artikel 7 en 8 van het Handvest van de Grondrechten van de Europese Unie (Handvest). Het Handvest vindt altijd toepassing

(9)

wanneer het Unierecht toepasselijk is.21_{Bij de uitvoering van Europees recht moeten de} grondrechten van het Handvest dus te allen tijde worden gewaarborgd door de lidstaten.22 Aangezien de nadruk ligt op de EU-wetgeving, zal artikel 8 van het EVRM (het recht op eerbiediging van het privéleven en het familie- en gezinsleven) in het onderzoek buiten beschouwing blijven.

Met dit onderzoek beoog ik geen uitputtend overzicht te geven van alle veranderingen die de EPV met zich mee zal brengen die mogelijk tot extra bescherming van de privacy van de consument zullen leiden. Zo is het onderzoek beperkt tot de veranderingen omtrent de regels voor cookies. Andere technologieën die onder het toepassingsbereik van de

cookiebepaling vallen (zoals wifitracking), zal ik buiten beschouwing laten. Daarnaast zullen slechts een paar van de voornaamste veranderingen besproken worden, waaronder de

veranderingen die op dit moment de grootste discussiepunten zijn bij de onderhandelingen over het EPV-voorstel. De veranderingen omtrent de informatieplicht, geldige toestemming en het gebruik van een cookiewall zullen besproken worden.

Tot slot is het onderzoek beperkt in het toetsingskader. Of de EPV verbeteringen meebrengt voor de privacy van consumenten zal louter bekeken worden vanuit de inzichten van psychologische studies naar consumentengedrag. Hierbij is het onderzoek beperkt in de problemen die besproken zullen worden. Alleen de fenomenen informatieasymmetrie,

toestemmingsmoeheid, status quo bias en present bias zal ik bespreken. Alhoewel er meer

problemen bestaan, worden deze vier in de bestaande literatuur vaak beschouwd als onderdeel van de belangrijkste problemen in het licht van de privacy van de consument.

1.5. Structuur

Na dit inleidende hoofdstuk, ziet de indeling van mijn scriptie er als volgt uit: Om een goed begrip van de materie bij de lezer te bewerkstelligen opent het

onderzoek in hoofdstuk twee met een uiteenzetting van wat cookies precies zijn en waarom deze een potentieel probleem vormen voor de privacy van de consument. Daarnaast zal ik het concept privacy bespreken en het grondrechtelijk kader van het recht op privacy schetsen.

Ook zal ik in dit hoofdstuk het juridisch kader omtrent het gebruik van cookies toelichten en zal ik de huidige cookiebepaling bespreken.

21_{Hof van Justitie 26 februari 2013, ECLI:EU:C:2013:105 (Åkerberg), r.o.21.}

22_{Altena 2015, p.1; Hof van Justitie 26 februari 2013, ECLI:EU:C:2013:105 (Åkerberg), r.o. 19-21; Artikel 52} lid 3 Handvest.

(10)

Vervolgens zal hoofdstuk drie inzicht geven in het gedrag van consumenten bij de acceptatie van cookies. Ik bespreek hierbij een aantal gesignaleerde problemen vanuit gedragsstudies die bestaan onder de huidige wetgeving.

Daarna zal ik in hoofdstuk vier bespreken wat een aantal van de belangrijkste veranderingen op het gebied van cookies zullen zijn met de inwerkingtreding van de EPV, waarna ik in hoofdstuk vijf tot slot zal toelichten hoe deze veranderingen de gesignaleerde problemen vanuit gedragsstudies wel of niet zullen verbeteren.

De scriptie zal ik in hoofdstuk zes afsluiten met een conclusie, waarin ik het geheel samenvat en een antwoord formuleer op de onderzoeksvraag. Tot slot schets ik in de epiloog in hoofdstuk zeven de mogelijke toekomstige richtingen voor de wetgever.

(11)

2. Cookies en online privacy

2.1. Introductie cookies

Een cookie is een klein tekstbestand dat door websites op het apparaat van de

internetgebruiker wordt geplaatst. Bij het bezoek aan een website wordt informatie verzameld en opgeslagen over het gebruik van de website en het online gedrag van de

internetgebruiker.23

Er bestaan verschillende soorten cookies. Belangrijk is het onderscheid tussen first en

third party cookies.24_{Er wordt van first party cookies gesproken wanneer de cookies geplaatst}

worden door de websitehouder van wie de website bezocht wordt met als doel de

functionaliteit van de website te verbeteren. Zo worden met functionele cookies bijvoorbeeld producten in het winkelmandje of inloggegevens van de gebruiker bijgehouden. Deze cookies zijn nuttige en legitieme hulpmiddelen om de website naar behoren te laten functioneren.25_Zo ook analytische cookies, waarmee uitsluitend gegevens over het gebruik van de eigen website worden verzameld, zoals de hoeveelheid bezoekers die de website ontvangt. Deze cookies verbeteren de kwaliteit en/of effectiviteit van de website.26_{In termen van privacybescherming} zijn dit soort cookies vaak relatief onschuldig.27

Minder onschuldig zijn de third party cookies die worden geplaatst door andere partijen dan de websitehouder, zoals adverteerders. Deze tracking cookies, oftewel marketing

cookies, maken het mogelijk om het online gedrag van de consument te volgen. Bedrijven

verwerven hiermee de nodige informatie om gepersonaliseerde advertenties mogelijk te maken, ook wel targeted advertising.28_{Bedrijven zoals Google en Facebook kunnen de} internetdiensten gratis aanbieden door gebruik te maken van dergelijke tracking cookies.29_Bij dit soort cookies wordt er gebruik gemaakt van unieke codes, waarmee een gebruiker bij een nieuw bezoek aan de website wordt herkend. Aangezien gebruikers geïdentificeerd kunnen worden door middel van de unieke codes, zijn dit persoonsgegevens.30_{Dit type cookies vormt} in het licht van de privacy van de consument een groter probleem.

23_{Bolhuis 2011, p.67; De Bruyne 2018, p.324.} 24_{Zwenne 2018, p.2.}

25_{Wolters Ruckert 2015, p.1; Zwenne 2019, p.5.} 26_{De Bruyne 2018, p.324; Zwenne 2019, p.6.} 27_{Zwenne 2018, p.2.}

28_{Van der Jagt 2013, p.172; Poulus 2019, p.93.} 29_{Van der Sloot 2011, p.107.}

(12)

2.2. Het recht op privacy

2.2.1. Het concept

Het concept privacy in de digitale omgeving is niet simpelweg in één zin te definiëren. Vaak wordt een algemeen privacy begrip gehanteerd zoals ‘persoonlijke levenssfeer’ of

‘privéleven’.31_{Koops pleit echter voor een meervoudige benadering waarbij het concept} privacy uit verschillende aspecten bestaat, zoals een ruimtelijk en intellectueel aspect en een gedragsaspect.32_{Afhankelijk van de context zijn sommige aspecten relevanter dan anderen} om een eenvoudig beeld te geven van waar het in die specifieke context om gaat.33_{Zo is het} intellectuele aspect van privacy van groot belang bij het maken van keuzes. Mensen moeten de vrijheid hebben om bepaalde keuzes te maken over hun persoonlijke leven, bijvoorbeeld op het gebied van seksualiteit.34

Relevant voor het huidige onderzoek is de benadering dat privacy onderverdeeld kan worden in twee significante elementen.35_{Ten eerste de kennis die de consument heeft over} het gebruik van de persoonlijke informatie.36_{Van belang is de kennis van het feit dat cookies} gebruikt worden en voor welke doeleinden. Daarnaast is een belangrijk onderdeel de controle over de persoonlijke informatie.37_{Consumenten moeten controle hebben over het gebruik van} cookies om hun privacy te kunnen waarborgen. Om bescherming van het recht op privacy van de consument te bewerkstelligen, is zowel kennis als controle vereist.

2.2.2. Privacy in de wet

Het recht op privacy wordt beschouwd als een kernwaarde van de democratie en de

rechtsstaat.38_{Zowel op internationaal als nationaal niveau zijn daarom regels vastgesteld die} de wetgever verplichten om inbreuken op de persoonlijke levenssfeer bij wet te regelen.39_Het recht op privacy is in Nederland neergelegd in artikel 10 Grondwet, ook wel het recht op eerbiediging van de persoonlijke levenssfeer en het recht op bescherming van

persoonsgegevens.40 31_{Koops 2019, p.536} 32_{Koops 2019, p.535.} 33_{Koops 2019, p.543.} 34_{Koops e.a. 2017, p.532.} 35_{Luzak 2013a, p.225.} 36_{Luzak 2013a, p.225-227.} 37_{Artikel 29-werkgroep 2011, WP 187, p.8.} 38_{Van der Sloot 2014, p.129.}

39_{Zwenne 2018a.}

(13)

Daarnaast heeft iedereen op Europees niveau het fundamentele recht op privacy. Dit fundamentele recht kan gevonden worden in het Handvest van de Grondrechten van de Europese Unie (Handvest), dat altijd toepassing vindt wanneer het Unierecht toepasselijk is.41 Bij de uitvoering van Europees recht moeten de grondrechten van het Handvest te allen tijde worden gewaarborgd door de lidstaten, waardoor deze rechten dus ook van belang zijn voor de EPV.Het recht op privacy wordt hiermee voldoende gedekt door het Handvest en het recht op privacy zoals opgenomen in het Europees Verdrag voor de Rechten van de Mens (EVRM) zal daarom buiten beschouwing blijven.

Het EPV-voorstel benoemt als doelstelling het waarborgen van artikel 7 van het Handvest.42_{Dit artikel bevat het meer algemene recht op privacy, namelijk het recht op} eerbiediging van de persoonlijke levenssfeer.43_{De vertrouwelijkheid van communicatie wordt} genoemd als essentieel onderdeel van dit fundamentele recht.44_{Daarnaast bevat het Handvest} een apart grondrecht voor de bescherming van persoonsgegevens in artikel 8. Anders dan de EPV, noemt de AVG de bescherming van artikel 8 van het Handvest als specifiek doel.45 Persoonsgegevens dienen eerlijk te worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Artikel 7 en 8 van het Handvest worden samen ook wel beschouwd als het recht op privacy.46

2.3. De huidige cookiewetgeving

2.3.1. Het juridisch kader

De huidige Nederlandse cookiewetgeving vindt haar oorsprong in de Europese

e-Privacyrichtlijn (EPR).47_{De richtlijn heeft als bijzonder doel het recht op privacy van artikel} 7 en 8 van het Handvest te waarborgen en bevat de zogenaamde ‘cookiebepaling’.48_De richtlijn bevat minimumnormen, met de vrijheid voor de lidstaten om strengere regels te implementeren in de nationale wetgeving.49_{In Nederland is de richtlijn strikt}

41_{Hof van Justitie 26 februari 2013, ECLI:EU:C:2013:105 (Åkerberg), r.o. 19-21; Altena 2015, p.1.} 42_{Overweging 1 EPV.}

43_{Alberdingk Thijm & de Vries 2015, p.176.}

44_{Van Beek & Klingenberg 2019, p.73; Overweging 1 EPV.} 45_{Overweging 1 AVG.}

46_{Alberdingk Thijm & de Vries 2015, p.176.} 47_{Richtlijn 2009/136/EG, e-Privacy Richtlijn.}

48_{Overweging 7 e-Privacy Richtlijn; Artikel 5 lid 3 e-Privacy Richtlijn.} 49_{Van Eijk e.a. 2012, p.59; Luzak 2013a, p.228.}

(14)

geïmplementeerd in de Telecommunicatiewet. De zogenaamde ‘cookiebepaling’ is in 2012 vastgelegd in artikel 11.7a van de Telecommunicatiewet (Tw).50

Artikel 11.7a lid 4 Tw bevat een rechtsvermoeden dat er bij het gebruik van tracking

cookies sprake is van het verwerken van persoonsgegevens. Aangezien er bij tracking cookies

dus doorgaans persoonsgegevens worden verwerkt, is ook de AVG van toepassing. De AVG is de opvolger van de Wet Bescherming Persoonsgegevens (Wbp)51_{en is sinds 25 mei 2018} rechtstreeks van toepassing in alle lidstaten in de Europese Unie. Het primaire doel is een sterkere bescherming van de privacy van consumenten, specifiek genoemd artikel 8 van het Handvest.52_{De regels van de AVG worden aangevuld en gespecificeerd door de regels uit de} EPR. De EPR is hiermee een zogenaamde lex specialis ten opzichte van de AVG en de bepalingen uit de EPR omtrent het gebruik van cookies hebben daarom voorrang op de bepalingen van de AVG.53_{Samen vormen de EPR (zoals geïmplementeerd in de}

Telecommunicatiewet) en de AVG op dit moment het juridisch kader dat de digitale privacy voor burgers van de Europese Unie moet verzekeren.

2.3.2. De cookiebepaling

In de Telecommunicatiewet is de cookiebepaling opgenomen in artikel 11.7a. Lid 1 van het artikel luidt als volgt:

“1. Onverminderd de Wet bescherming persoonsgegevens is het via een elektronisch

communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen toegestaan op voorwaarde dat de betrokken gebruiker:

a. is voorzien van duidelijke en volledige informatie overeenkomstig de Wet bescherming

persoonsgegevens, in ieder geval over de doeleinden waarvoor deze informatie wordt gebruikt, en

b. daarvoor toestemming heeft verleend.”

De cookiebepaling bevat twee kernelementen. Ten eerste de informatieplicht, die vereist dat de gebruiker op duidelijke en volledige wijze geïnformeerd moet worden over in ieder geval de doeleinden waarvoor de informatie wordt gebruikt. Voor de invulling van de

informatieplicht wordt verwezen naar de AVG (vroeger de Wbp), die vereist dat de informatie

50_{Artikel 5 lid 3 e-Privacy Richtlijn.}

51_{Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens.} 52_{Poulus 2019, p.67; Overweging 1 en 3 AVG.}

(15)

duidelijk leesbaar, makkelijk vindbaar en volledig moet zijn voor de gebruiker.54_{Dit betekent} volgens de Autoriteit Consument en Markt (ACM)55_{dat de informatieplicht van de}

Telecommunicatiewet een verplichting meebrengt om de gebruiker direct te voorzien van bepaalde informatie. Dit kan bijvoorbeeld door middel van een cookiebanner, een melding die verschijnt bij het openen van een website waarin de informatie omtrent de cookies wordt gegeven en de consument wordt verzocht de cookies te accepteren.56_{Een duidelijk zichtbare} hyperlink naar een website waar het privacy- of cookiebeleid is opgenomen volstaat ook, zolang de informatie daar duidelijk weergeven wordt.57_{Indien de informatie is opgenomen in} de algemene voorwaarden die niet makkelijk vindbaar zijn of wanneer het niet duidelijk is dat de informatie daarin is opgenomen, voldoet dit niet aan de eisen van de AVG.58

Daarnaast bevat de cookiebepaling het toestemmingsvereiste. Hierbij wordt gebruik gemaakt van een opt-in systeem, wat betekent dat de toestemming van de gebruiker vereist is voordat een cookie geplaatst mag worden. Aan het begrip toestemming wordt invulling gegeven door de AVG. In de AVG wordt onder toestemming verstaan: “Elke vrije, specifieke,

geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.”59_{De wilsuiting moet dus vrij, specifiek, geïnformeerd en} ondubbelzinnig zijn en moet geschieden door middel van een actieve handeling. Een actieve handeling kan zijn een schriftelijke verklaring, maar ook door middel van elektronische middelen of mondelinge verklaringen kan toestemming gegeven worden.60_{Het klikken op een} vakje, het selecteren van technische instellingen of een andere handeling waaruit instemming blijkt, volstaat. Hierbij hoeft er op grond van de AVG geen toestemming gevraagd te worden voor iedere afzonderlijke cookie, maar de gebruiker kan in één keer toestemming geven voor een bepaalde duur.61

De toestemmingsverzoeken in de cookiebanner worden in de praktijk op verschillende manieren vormgegeven.Sinds de AVG moet er apart toestemming gevraagd worden voor verschillende cookies met verschillende verwerkingsdoelen.62_{Bij de toestemmingsverzoeken}

54_{Artikel 12 lid 1 AVG; Zwenne 2018, p.3.}

55_{De ACM is een onafhankelijke toezichthouder die zich sterk maakt voor de belangen van consumenten en} bedrijven, zie: https://www.acm.nl/nl/organisatie/onze-organisatie/de-autoriteit-consument-en-markt 56_{Wolters Ruckert & Abdul-Aliyeva 2019, p.16.}

57_{Zwenne 2018, p.3.} 58_{Zwenne 2018, p.3.} 59_{Artikel 4 lid 11 AVG.} 60_{Overweging 32 AVG.} 61_{Zwenne 2018, p.3.} 62_{Zwenne 2018, p.3.}

(16)

wordt daarom vaak onderscheid gemaakt tussen cookies met verschillende doeleinden. Hierbij krijgen consumenten de mogelijkheid verschillende typen cookies te accepteren door via lege tikboxen aan te geven welke cookies zij willen accepteren en welke niet. Lange tijd was het onduidelijk of het gebruik van vooraf aangevinkte hokjes is toegestaan onder de AVG.63_{In de Planet49 uitspraak van 1 oktober 2019 heeft het Hof van Justitie bepaald dat de} toestemming niet rechtsgeldig is verleend wanneer consumenten een al aangevinkt

selectievakje moeten uitvinken indien ze de toestemming willen weigeren.64

In de praktijk wordt soms ook alleen een ‘ja/nee’ keuze gegeven, waarbij consumenten slechts de mogelijkheid krijgen om alle cookies te accepteren of juist te weigeren. Regelmatig worden echter slechts de opties gegeven om alle cookies te accepteren, of om de persoonlijke voorkeuren ergens anders in te stellen. Websites die ervan uitgaan dat instemming is gegeven wanneer consumenten geen bezwaar maken en doorgaan met het gebruik van de website, is volgens de toezichthouder van de AVG, de Autoriteit persoonsgegevens (AP), geen geldige toestemming binnen het opt-in systeem.65

Uitzonderingen

In 2015 besloot de Nederlandse wetgever de cookiebepaling te versoepelen door enkele uitzonderingen op de informatieplicht en het toestemmingsvereiste te formuleren. Op grond van lid 3 gelden de twee vereisten ten eerste niet voor technische of functionele cookies. Ook

analytische cookies zijn uitgezonderd, mits deze geen of geringe gevolgen hebben voor de

persoonlijke levenssfeer van consumenten.66

2.4. Conclusie

De persoonlijke informatie van consumenten die wordt verkregen via cookies, valt onder het recht op privacy zoals opgenomen in de Grondwet en het Handvest. Voor het huidige

onderzoek wordt uitgegaan van het concept privacy in de vorm van kennis en controle over de persoonlijke informatie.

Samen met de AVG vormt de EPR op dit moment het juridisch kader dat de digitale privacy voor burgers van de Europese Unie moet verzekeren op het gebied van cookies. De cookiebepaling van de EPR is in Nederland geïmplementeerd in artikel 11.7a Tw en bevat als

63_{Wolters Ruckert & Abdul-Aliyeva 2019, p.13.}

64_{Hof van Justitie 1 oktober 2019, ECLI:EU:C:2019:246 (Planet49), r.o. 65.}

65_{https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/cookies.} 66_{Artikel 11.7a lid 3 sub a Tw.}

(17)

kernelementen de informatieplicht en het toestemmingsvereiste. De hoofdregel van de huidige wetgeving is dat het plaatsen van cookies slechts is toegestaan na geïnformeerde toestemming van de consument.

(18)

3. Problemen met de huidige wetgeving bekeken vanuit gedragsstudies

3.1. De privacy paradox

Zoals beschreven in hoofdstuk twee is de huidige cookiebepaling gebaseerd op het begrip geïnformeerde toestemming. De wetgever hanteert daarmee als uitgangspunt het

informatieparadigma, dat veronderstelt dat hoe meer informatie wordt verstrekt aan de

consument, hoe beter deze in staat zou zijn een betekenisvolle keuze te maken omtrent de acceptatie van cookies.67_{De consument zou met alle informatie de voor- en nadelen kunnen} afwegen voordat de cookies geplaatst worden en een rationele keuze maken om de privacy te beschermen.68_{Hiermee wordt beoogd consumenten controle te geven over hun persoonlijke} data.

De strekking van de cookiebepaling is daarmee in lijn met de rationele keuze theorie, die stelt dat mensen hun keuzes baseren op rationeel denken.69_{Mensen zouden streven naar} de meest gunstige keuze voor hunzelf en risico’s minimaliseren.70_{In het licht van cookies en} de online privacy zou dit betekenen dat de consument zorgvuldig de voor- en nadelen afweegt van het accepteren van de cookies en de meest gunstige keuze voor de eigen privacy kiest.

Gedragsstudies trekken de effectiviteit van de huidige cookieregel met geïnformeerde toestemming echter in twijfel. Alhoewel consumenten aangeven het belangrijk te vinden hun online privacy te beschermen, blijkt dit in de praktijk niet uit hun gedrag.71_{In tegenstelling tot} wat de rationele keuze theorie voorspelt, maken consumenten irrationele keuzes wanneer het aankomt op de keuze om de online privacy te beschermen.72_{De discrepantie tussen de} intentie en het gedrag wordt de privacy paradox genoemd.73_{Vanuit gedragsstudies zijn} verschillende psychologische fenomenen gevonden die deze paradox verklaren. Bedrijven maken gebruik van deze fenomenen om de toestemming van consumenten te verkrijgen voor het plaatsen van de cookies. Een aantal van deze fenomenen zal hieronder besproken worden.

3.2. Informatieasymmetrie

Ten eerste wordt de keuze van de consument om cookies te accepteren beïnvloed door het fenomeen informatieasymmetrie. Dit houdt in dat consumenten minder informatie hebben

67_{Micklitz, Sibony & Esposito, p.64.} 68_{Solove, 2013, p.1880.}

69_{Simon 1955; Solove 2013, p.1880.} 70_{Micklitz, Sibony & Esposito, p.124.}

71_{Zuiderveen Borgesius 2014, p. 294; Micklitz, Sibony & Esposito, p.121.} 72_{Zuiderveen Borgesius 2014, p.287.}

(19)

over de cookies dan de bedrijven die ze plaatsen.74_{Consumenten bevinden zich hierdoor in} een zwakkere positie ten opzichte van professionele bedrijven.75_{Consumenten weten vaak} niet dat hun gegevens verzameld worden, waarvoor die gebruikt worden en wat de gevolgen daarvan kunnen zijn.76_{De beschikbare informatie is echter van essentiële invloed op de} keuzes die mensen maken en is van belang om een betekenisvolle keuze te maken.77_Een ongeïnformeerde keuze kan al snel leiden tot een nadelige keuze voor de consument.78

In theorie zou de informatieplicht van de huidige cookiebepaling de

informatieasymmetrie beperken.79_{Bedrijven zijn namelijk verplicht de consument alle} informatie te verschaffen omtrent de cookies en de doeleinden daarvan.80_{Om hieraan te} voldoen, nemen bedrijven een cookiebeleid of een cookieparagraaf in de privacyverklaring op.81_{De privacyverklaring is meestal toegankelijk via een link die wordt gegeven in de}

cookiebanner.

Ondanks de informatieplicht blijken consumenten in de praktijk over het algemeen niet voldoende geïnformeerd te zijn.82_{Ten eerste blijkt uit gedragsstudies dat consumenten de} privacyverklaringen meestal niet lezen omdat ze lang en saai zijn.83_{De hoeveelheid}

informatie die gegeven wordt, is van groot belang om een betekenisvolle keuze te kunnen maken.84_{De consument wordt op het gebied van cookies en privacy overspoeld met een grote} hoeveelheid informatie in één keer. Dit heeft als gevolg dat er geen aandacht en tijd besteed wordt aan alle informatie, maar een snelle keuze wordt gemaakt zonder alles te lezen.85_De belangrijke informatie wordt niet meer geïdentificeerd als belangrijk, waardoor de kwaliteit van de keuze uiteindelijk vermindert.86_{Consumenten gaan door de overvloed aan informatie} daarom sneller ‘akkoord’ met het plaatsen van cookies.87

Daarnaast zijn de verklaringen meestal vaag en ingewikkeld. Consumenten lezen een verklaring minder snel wanneer deze ingewikkeld en onbegrijpelijk overkomt.88 _{De manier}

74_{Acquisti e.a. 2007, p.365; Micklitz, Sibony & Esposito, p.71.} 75_{Acquisti e.a. 2007, p.365; Micklitz, Sibony & Esposito, p.71.} 76_{Zuiderveen Borgesius 2015, p.3; Zuiderveen Borgesius 2014, p.298.} 77_{Micklitz, Sibony & Esposito, p.64 en p.120.}

78_{Micklitz, Sibony & Esposito, p.56.} 79_{Micklitz, Sibony & Esposito, p.245.} 80_{Zwenne 2018, p.3.}

81_{Wolters Ruckert & Abdul-Aliyeva 2019, p.13; Zuiderveen Borgesius 2015, p.3} 82_{Solove 2013, p.1886}

83_{Solove 2013, p.1885; Luzak 2013, p.7; Zuiderveen Borgesius 2014, p.297.} 84_{Micklitz, Sibony & Esposito, p.64.}

85_{Luzak 2013, p.9; Micklitz, Sibony & Esposito, p.65.} 86_{Micklitz, Sibony & Esposito, p.494.}

87_{Leentfaar 2019, p.22.}

(20)

waarop de informatie gepresenteerd en gecommuniceerd wordt, is daarom van groot belang. Zo zijn factoren als de aantrekkelijkheid van de verklaring, de plaats op de website en de grootte van de letters van invloed.89

Marotta-Wurgler onderzocht het leesgedrag van Amerikaanse consumenten bij een zogenaamde End User License Agreement (EULA), die de rechten en plichten van de

gebruiker van een softwareproduct beschrijft. Zij constateerde dat slechts 0.1% tot 1% van de consumenten daadwerkelijk doorklikte naar de EULA. Deze kleine groep consumenten keek vervolgens zodanig kort naar de informatie, dat het onmogelijk is dat de informatie

daadwerkelijk gelezen is.90_{Alhoewel dit een Amerikaans onderzoek betreft, neem ik aan dat} dit ook geldt voor Europese consumenten. Daarnaast acht ik het onwaarschijnlijk dat het leesgedrag van consumenten anders is in het geval van privacyverklaringen. Als deze

aannames juist zijn, betekent dit dat de meeste consumenten de link naar de privacyverklaring die wordt gegeven in de cookiebanner niet eens openen, laat staan dat ze deze lezen.

Een ander probleem is dat de consument die de verklaringen wel leest, deze meestal niet begrijpt.91_{De Consumentenbond heeft onderzoek gedaan naar de privacyverklaring van} verschillende datingssites en concludeerde dat de meeste verklaringen onduidelijk of

onvolledig zijn.92_{De verklaringen zijn ingewikkeld en bevatten juridisch jargon. De}

gemiddelde consument is door het gebrek aan kennis en expertise niet in staat de informatie over cookies te doorgronden. Volgens Prins zorgt de complexiteit van de digitale wereld er zelfs voor dat vrijwel niemand vaardig genoeg is om deze te begrijpen en zelfstandig te doorzien hoe bedrijven gegevens aan elkaar doorspelen.93

De informatieplicht blijkt dus geen waarborg voor een geïnformeerde keuze van de consument.94_{Met de AVG werd al geprobeerd hier verandering in te brengen door een} strengere informatieplicht te introduceren. De informatie moet volgens de AVG duidelijk leesbaar, makkelijk vindbaar en volledig zijn.95_{Dit neemt echter niet weg dat}

privacyverklaringen nog steeds lang en ingewikkeld zijn. Zo telt de huidige privacyverklaring van Facebook 4524 woorden, wat betekent dat het de gemiddelde consument zo’n 20 minuten zou kosten om de tekst te lezen.96_{In totaal zou het de gemiddelde internetgebruiker zo’n 224}

89_{Luzak 2013, p.7.} 90_{Marotta-Wurgler 2011, p.168.} 91_{Solove 2013, p.1884.} 92_{https://www.consumentenbond.nl/internet-privacy/privacy-op-datingsites} 93_{Prins 2018, p.1.} 94_{Zuiderveen Borgesius 2014, p.298.}

95_{Wolters Ruckert & Abdul-Aliyeva 2019, p.13.} 96_{Eikendal 2019, p.5.}

(21)

uur per jaar kosten om alles te lezen, wat meer is dan de helft van de tijd die mensen spenderen op het internet.97_{Ben-Shahar en Schneider beschreven het scenario waarin een} consument alle privacyverklaringen waarmee hij dagelijks wordt geconfronteerd leest. Dit zou leiden tot een onwerkbare situatie, waarin consumenten niks anders kunnen doen op een dag dan het lezen van de verklaringen.98_{Ook al zouden consumenten alle verklaringen willen} lezen dan is dit onmogelijk gezien de tijd, aandacht en energie die dit zou kosten.

Over het algemeen worden de verklaringen dus nog steeds niet gelezen en indien wel gelezen, niet begrepen. Bedrijven maken vervolgens gebruik van de informatieasymmetrie om de toestemming van consumenten te verkrijgen.99_{De keuze om de cookies te accepteren} wordt voor de consument aantrekkelijker gemaakt dan de keuze om dit niet te doen, waardoor consumenten sneller akkoord gaan met de cookies. Het probleem van de

informatieasymmetrie heeft als gevolg dat de consument kennis noch controle heeft over de persoonlijke informatie en daarmee een gebrekkige bescherming van de privacy geniet.100

3.3. Toestemmingsmoeheid

Het tweede kernelement van de huidige cookiebepaling is het toestemmingsvereiste. In de praktijk wordt toestemming meestal gevraagd door middel van een cookiebanner die

verschijnt bij het openen van een website en de consument verzoekt akkoord te gaan met de cookies.101_{Dit is de meest eenvoudige en meest gebruikte manier om toestemming te vragen.} Het gevolg hiervan is dat de consument overladen wordt met verzoeken om de cookies te accepteren.102_{Uit onderzoek blijkt dat het aantal Europese websites dat cookiebanners} gebruikt een jaar na invoering van de AVG met 16% is gestegen.103_{Door de grote}

hoeveelheid toestemmingsverzoeken worden consumenten ‘immuun’ voor de verzoeken en worden deze blindelings geaccepteerd. Dit wordt ook wel toestemmingsmoeheid genoemd.104

Daarnaast acht ik verdedigbaar dat de overvloed aan specifieke handelingen die de toestemmingsverzoeken vereisen, leidt tot toestemmingsmoeheid. Sinds de AVG moet apart toestemming gevraagd worden voor elk type cookie, waardoor de consument vaak zelf

97_{Ben-Shahar & Schneider 2014, p.100.} 98_{Ben-Shahar & Schneider 2014, p.95.} 99_{Micklitz, Sibony & Esposito, p.57.}

100_{Acquisti e.a. 2007, p.365; Zuiderveen borgesius 2015, p.410.} 101_{Wolters Ruckert & Abdul-Aliyeva 2019, p.13.}

102_{Artikel 29-werkgroep 2011, WP 187, p.17.} 103_{Degeling e.a. 2018, p.1.}

(22)

tikboxen moet aanvinken per categorie cookie.105_{Een andere manier waarop vaak}

toestemming wordt gevraagd, is door de consument de mogelijkheid te geven alle cookies te accepteren, maar niet meteen de mogelijkheid te geven de cookies te weigeren. Zo geeft de website van de Universiteit van Amsterdam alleen de keuzes ‘alle cookies accepteren’ en ‘persoonlijke voorkeuren anders instellen’. Zowel het aanvinken van verschillende type cookies als het instellen van persoonlijke voorkeuren vereist meerdere specifieke handelingen van de consument, terwijl het accepteren van alle cookies tegelijk vaak makkelijk kan met slechts één muisklik. Bedrijven proberen consumenten te bewegen richting de acceptatie van cookies, door de keuze om de cookies te accepteren comfortabeler en aantrekkelijker te maken dan de keuze om ze te weigeren.

De overvloed aan toestemmingsverzoeken en specifieke handelingen leidt tot een groot risico dat de consument zomaar op ‘akkoord’ drukt.106_{De consument maakt geen} geïnformeerde keuze meer en heeft kennis noch controle over de persoonlijke informatie.

3.4. Status quo bias

Volgens de AVG kan toestemming onder andere worden verkregen door het klikken op een vakje, het selecteren van technische instellingen, of een andere verklaring of handeling waaruit de toestemming blijkt.107_{Toestemming via browserinstellingen zou daar volgens} Roerdink onder kunnen vallen.108_{De AVG introduceerde ook de verplichting van privacy by}

default.109_{Volgens Artikel 29-werkgroep}110_{betekent dit dat de eindapparatuur en software} standaard de meest privacyvriendelijke instelling hanteert.111_{In de praktijk accepteren de} meeste browsers echter nog steeds automatisch cookies en de consument kan dit enkel weigeren door de browserinstellingen te wijzigen.112_{Zo staat in mijn Safari browser het} selectievakje ‘blokkeer alle cookies’ standaard niet aangevinkt, maar zijn alle cookies geaccepteerd. 105_{Overweging 32 AVG.} 106_{Leentfaar 2019, p.22.} 107_{Overweging 32 AVG.} 108_{Roerdink 2019, p.8.} 109_{Artikel 25 AVG.}

110_{De Artikel 29-werkgroep was tot 25 mei 2018 het onafhankelijke adviesorgaan van de Europese} privacytoezichthouders.

111_{Artikel 29-werkgroep 2017, WP 247, p.14; Kroes 2018, p.2.} 112_{Wolters Ruckert & Abdul-Aliyeva 2019, p.17;}

https://www.acm.nl/sites/default/files/old_publication/publicaties/14496_veelgestelde-vragen-cookiebepaling-november-2016.pdf.

(23)

Bekeken vanuit gedragsstudies zou toestemming via browserinstellingen daarom problemen met zich meebrengen met betrekking tot de geldigheid van de toestemming. De keuze van de consument wordt namelijk beïnvloed door de status quo bias. Dit houdt in dat mensen bij het maken van een belangrijke keuze geneigd zijn te blijven bij de huidige situatie, zoals een gegeven standaardoptie.113_{De standaardoptie wordt door consumenten beschouwd} als een impliciet advies voor de keuze die ze zouden moeten maken.114_{Doordat er al een} keuze gemaakt is, wordt vaak niet de moeite genomen deze aan te passen en wordt het maken van een nieuwe keuze uitgesteld.115_{Het gevolg hiervan is dat de consument de standaardoptie} in de browserinstellingen niet zomaar zal aanpassen, ook al zou een andere instelling een betere bescherming voor de privacy met zich meebrengen.116_{Het hanteren van een}

standaardoptie die alle cookies accepteert is een tactiek van bedrijven om de consument te bewegen naar de acceptatie van de cookies.

Daarnaast zijn mensen door de status quo bias geneigd te blijven bij een eerder gemaakte keuze.117_{Mensen verkiezen een bekende situatie boven een onbekende en nieuwe} situatie, ook al zou de nieuwe situatie leiden tot een betere bescherming van de privacy.118 Wanneer consumenten de toestemming eenmaal gegeven hebben via de browserinstellingen, zal de status quo bias het onwaarschijnlijk maken dat ze deze keuze aanpassen, ook al verandert de situatie. Alhoewel het eenmalig geven van toestemming via browserinstellingen de toestemmingsmoeheid tegen zou kunnen gaan, verliezen mensen hiermee de controle over de persoonlijke data. Consumenten zijn door de status quo bias niet in staat een optimale keuze voor zichzelf te maken omtrent de acceptatie van de cookies.119

Bij de totstandkoming van de EPR was de Europese wetgever nog van oordeel dat het één keer geven van toestemming via de browserinstellingen niet specifiek genoeg is en daarom geen geldige toestemming is.120_{De AP heeft het standpunt ingenomen dat de}

standaardinstellingen van een browser waarbij alle cookies automatisch worden geaccepteerd, geen geldige toestemming behelst. Dit impliceert dat toestemming via browserinstellingen dus niet is uitgesloten onder de AVG, maar dat het op dit moment geen geldige toestemming kan opleveren puur omdat de meeste browsers alle cookies automatisch accepteren.121_Gezien

113_{Samuelson & Zeckhauser 1988; Micklitz, Sibony & Esposito, p.139.} 114_{Luzak 2013a, p.232.}

115_{Solove 2013, p.1884.} 116_{Luzak 2013a, p.232.}

117_{Samuelson & Zeckhauser 1988.} 118_{Micklitz, Sibony & Esposito, p.139.} 119_{Micklitz, Sibony & Esposito, p.140.} 120_{De Bruyne 2018, p.329.}

(24)

de status quo bias is dit oordeel gunstig in het licht van de bescherming van de privacy van consumenten.

Mijns inziens is het echter wel problematisch dat het onder de huidige wetgeving mogelijk is om één keer toestemming te geven aan een website voor het plaatsen van cookies voor een langere duur. Gedurende de gehele periode waarvoor toestemming is gegeven, hoeven bedrijven niet opnieuw toestemming te vragen.122_{De persoonlijke gegevens zullen} gedurende de hele periode verwerkt worden. Dit is problematisch gezien het feit dat mensen door de status quo bias geneigd zijn te blijven bij een eerder gemaakte keuze.123_Mensen zullen de eerder gegeven toestemming dus niet snel intrekken, ook al is dat gunstiger voor de bescherming van de privacy.124_{Dat het sinds de invoering van de AVG geldend recht is dat} de consument de eenmaal gegeven toestemming te allen tijde moet kunnen intrekken, even makkelijk als het geven ervan, verandert hier niks aan.125_{Wanneer de consument de}

toestemming eenmaal heeft gegeven, weerhoudt de status quo bias de consument er immers van de toestemming weer in te trekken, hoe makkelijk dat ook mag zijn. Deze mogelijkheid heeft naar mijn mening daarom niet geleid tot extra bescherming van de privacy van de consument.

3.5. Present bias

De eis van geïnformeerde toestemming heeft als gevolg gehad dat veel bedrijven een

cookiewall gingen gebruiken. Een cookiewall biedt de consument een take it or leave it keuze.

Alleen indien de consument akkoord gaat met de cookies, krijgt deze toegang tot de website. In Nederland is het gebruik van een cookiewall als gevolg van de NPO uitspraak van de ACM bij wet verboden voor publieke diensten.126_{Dit impliceert dat een cookiewall in de} private sector in beginsel wel is toegestaan.127_{De ACM handhaaft als toezichthouder op de} Telecommunicatiewet dan ook geen algemeen verbod op een cookiewall.128_{Ook heeft de} nationale wetgever aangegeven dat de cookiewall niet in strijd is met de EPR en over het algemeen een rechtmatige manier is om te voldoen aan het toestemmingsvereiste.129_Volgens

122_{Wolters Ruckert & Abdul-Aliyeva 2019, p.13; Zwenne 2018, p.3.} 123_{Samuelson & Zeckhauser 1988.}

124_{Micklitz, Sibony & Esposito, p.139.} 125_{Artikel 7 lid 3 AVG.}

126_{Artikel 11.7a lid 5 Tw; De Bruyne 2018, p.326;} https://www.acm.nl/nl/publicaties/publicatie/13170/Publieke-omroep-overtreedt-regels-voor-plaatsen-cookies.

127_{De Bruyne 2018, p.326.} 128_{Mourcous 2019, p.93.}

(25)

voormalig minister Kamp van Economische Zaken kan een cookiewall in algemene zin niet verboden worden, aangezien het onderdeel van de ondernemingsvrijheid is om een

tegenprestatie te verlangen voor het gratis gebruik maken van een website.130

Inmiddels heeft de AP afgelopen maart daarentegen bepaald dat het gebruik van een

cookiewall niet is toegestaan onder de AVG.131_{De AVG vereist voor een geldige} toestemming namelijk een ‘vrije wil’, waar volgens de AP geen sprake van is bij een

cookiewall.132_{De ratio hierachter is dat de consument daadwerkelijk een keuzemogelijkheid} heeft en daarmee controle behoudt over de persoonsgegevens.133_{Om te kunnen spreken van} een ‘vrije wilsuiting’ moet de betrokkene de toestemming kunnen geven zonder enige vorm van dwang.134_{De EPR is echter een lex specialis ten opzichte van de AVG en heeft daarmee} voorrang.135_{Indien de EPR een specifieke regel bevat die cookiewalls wel toelaat, zou deze} regel dus voorgaan op een verbod op cookiewalls op grond van de AVG.

Indien een cookiewall onder de huidige regelgeving is toegestaan, is dit problematisch bezien vanuit gedragsstudies. De keuze van de consument om in te stemmen met de cookies wordt namelijk beïnvloed door het fenomeen present bias. Mensen kiezen voor voordeel op korte termijn en negeren daarbij de kosten of nadelen op lange termijn.136_{De consument zou} als gevolg hiervan toestemming geven voor de cookies om onmiddellijk toegang te krijgen tot de website, zonder na te denken over de mogelijke (toekomstige) privacy inbreuken. Met het gebruik van een cookiewall gebruiken bedrijven de present bias om op die manier de

toestemming van de consument te verkrijgen voor het plaatsen van de cookies.

Verdedigbaar acht ik daarbij dat de wanverhouding tussen een websitehouder en de consument de present bias versterkt bij het maken van een keuze. De dominantie positie van websitehouders zoals Facebook kan ertoe leiden dat de consument zich gedwongen voelt de cookies te accepteren, omdat iedereen een Facebookaccount heeft. Dit wordt ook wel een lock

in situatie genoemd.137_{Consumenten zullen de cookies dan nog sneller accepteren als directe} toegang tot de website dit vereist. Er is geen sprake van een daadwerkelijk vrije keuze en de consument verliest daarmee de controle over de persoonlijke gegevens.

130_{Kamerstukken I 2014/2015, 33902, G. p.5.}

131 https://autoriteitpersoonsgegevens.nl/nl/nieuws/websites-moeten-toegankelijk-blijven-bij-weigeren-tracking-cookies#subtopic-2077

132_{Zuiderveen Borgesius e.a. 2017, p.9.} 133_{Poulus 2019, p.95.}

134_{Poulus 2019, p.96; Artikel 29-werkgroep 2007, WP 131.} 135_{Poulus 2019a, p.149.}

136_{Zuiderveen Borgesius 2015, p.298.} 137_{Poulus 2019, p.97.}

(26)

Of de EPR het gebruik van een cookiewall daadwerkelijk toelaat, is betwijfelbaar. Ondanks het feit dat er vooralsnog geen expliciet verbod op cookiewalls bestaat naar geldend recht, lijkt een verbod als gevolg van de uitspraak van de AP nu de heersende normuitleg.138 Gezien de present bias heeft de AP hiermee een stap in de goede richting gezet naar een betere bescherming van de privacy van consumenten.

3.6. Conclusie

Alhoewel consumenten aangeven online privacy belangrijk te vinden, maken consumenten irrationele keuzes op dat gebied. De effectiviteit van de geïnformeerde toestemming als huidig kernelement van de cookiebepaling wordt in twijfel getrokken door inzichten uit gedragsstudies. Fenomenen als informatieasymmetrie, toestemmingsmoeheid, status quo bias en present bias zorgen ervoor dat de consument kennis noch controle heeft over de

persoonlijke data, met een gebrekkige bescherming van de privacy als gevolg. Bedrijven gebruiken deze psychologische fenomenen om consumenten te bewegen naar de keuze om alle cookies te accepteren. Bij het opstellen van de huidige wetgeving lijkt er aldus niet voldoende aandacht te zijn geweest voor de inzichten vanuit gedragsstudies.139

138_{Zwenne 2018, p.5;} https://autoriteitpersoonsgegevens.nl/nl/nieuws/websites-moeten-toegankelijk-blijven-bij-weigeren-tracking-cookies#subtopic-2077

(27)

4. De veranderingen van de e-Privacyverordening op het gebied van

cookies

4.1. Introductie e-Privacyverordening (EPV)

De EPV wordt de opvolger van de EPR en zal daarmee de Telecommunicatiewet grotendeels gaan vervangen.140_{De EPV wordt een lex specialis ten opzichte van de AVG en zal de regels} van de AVG aanvullen en specificeren.141_{Dit betekent dat de ‘speciale’ regels van de EPV bij} het gebruik van cookies voorrang zullen hebben op de ‘algemene’ regels uit de AVG.142_De EPV moet daarbij een gelijkwaardig of hoger beschermingsniveau bieden dan de AVG.143

Net als de EPR vindt de EPV haar grondslag in artikel 7 van het Handvest.144_De doelstelling blijft het waarborgen van een hoog niveau van de bescherming van de

persoonlijke levenssfeer van gebruikers van elektronische communicatiediensten.145_Gezien de snelle ontwikkelingen van de markt en technologie de afgelopen jaren, bleek de EPR niet effectief genoeg in de bescherming van de privacy van consumenten en werd nieuwe

wetgeving noodzakelijk geacht.146

De EPV zal naar verwachting enkele veranderingen met zich meebrengen op het gebied van cookies. Het oorspronkelijke voorstel werd in januari 2017 door de Europese Commissie gepubliceerd.147_{De bedoeling was de EPV gelijktijdig met de AVG in werking te} laten treden op 25 mei 2018, maar dit doel is niet behaald. Inmiddels zijn we verschillende kritische opinies, meer dan 800 amendementen van het Europees Parlement en verschillende nieuwe voorstellen van de Raad van de Europese Unie (de Raad) verder en is er nog steeds geen definitieve tekst.148_{De onderhandelingen zijn nog bezig en op verscheidene punten} wordt nog gediscussieerd. De voornaamste veranderingen met betrekking tot cookies en de daarbij heersende discussiepunten zal ik in dit hoofdstuk bespreken.

4.2. De nieuwe cookiebepaling van artikel 8 lid 1 EPV

De nieuwe cookiebepaling van de EPV is opgenomen in artikel 8 lid 1 EPV en luidt als volgt:

140_{De Bruyne 2018, p.328; Van Beek & Klingenberg 2019, p.73.} 141_{Roerdink 2019, p.9.}

142_{Poulus 2019a, p.149.}

143_{Overweging 5 Commissievoorstel EPV; Overweging 2a EPV.} 144_{Van Beek en Klingenberg 2019, p.73.}

145_{Roerdink 2019, p.6; Artikel 1 lid 1 EPV; Overweging 1 EPV.} 146_{Roerdink 2019, p.6.}

147_{Voorstel e-Privacy Verordening, COM (2017)10 final (Commissievoorstel EPV).} 148_{Roerdink 2019, p.5.}

(28)

“Het gebruik van verwerkings- en opslagcapaciteit van eindapparatuur en het verzamelen van gegevens uit eindapparatuur van eindgebruikers, onder meer over de software en de hardware, anders dan door de betrokken eindgebruiker, is verboden uitgezonderd om de volgende redenen: (…)”

Opvallend aan de nieuwe cookiebepaling is dat deze een andere systematiek lijkt te hanteren dan de huidige bepaling. De cookiebepaling van artikel 11.7a Tw heeft als kernelementen de informatieplicht en het toestemmingsvereiste.149_{De hoofdregel is dat het plaatsen van cookies} alleen is toegestaan indien wordt voldaan aan zowel de informatieplicht als het

toestemmingsvereiste. Artikel 8 EPV lijkt een andere weg in te slaan. De hoofdregel van de nieuwe bepaling is dat het plaatsen van cookies in beginsel verboden is, met in het meest recente voorstel zeven uitzonderingen mogelijk.150_{Net als nu het geval is, zijn de functionele} en analytische cookies een uitzondering. Daarnaast is er sprake van een uitzondering indien de cookies noodzakelijk zijn om veiligheidsredenen, om fraude te voorkomen, om technische gebreken op te sporen, voor de uitvoering van software-updates of voor het lokaliseren van eindapparatuur in het geval van een noodoproep.151_{Tot slot is het verkrijgen van toestemming} van de consument in de nieuwe bepaling opgenomen als uitzondering. De informatieplicht en het toestemmingsvereiste worden dus niet meer expliciet genoemd als kernelement en lijken niet meer de hoofdregel te zijn van de nieuwe cookiebepaling. De gevolgen hiervan zal ik hieronder toelichten.

4.2.1. De informatieplicht

In de praktijk worden cookiebanners gebruikt om te voldoen aan de informatieplicht van de huidige cookiebepaling. Waar de informatieplicht nog een kernelement is van de huidige cookiebepaling, wordt deze in het EPV-voorstel niet expliciet genoemd. Betekent dit dat de

cookiebanners zullen verdwijnen met het verdwijnen van de informatieplicht?

Het is mogelijk dat de Europese wetgever het expliciet opnemen van de

informatieplicht in de EPV overbodig acht, gezien het feit dat de AVG voorziet in een

algemene informatieplicht.152_{De EPV verwijst voor de invulling van het begrip toestemming} naar de AVG. De AVG vereist voor een geldige toestemming naast een vrije, specifieke en

149_{Zie subparagraaf 2.3.2.} 150_{Artikel 8 EPV.}

151_{Artikel 8 lid 1 EPV; Wolters Ruckert & Abdul-Aliyeva 2019, p.15.} 152_{Artikel 13 en 14 AVG; Wolters Ruckert & Abdul-Aliyeva 2019, p.16.}

(29)

ondubbelzinnige wilsuiting, een ‘geïnformeerde’ wilsuiting.153_{De consument moet dus} geïnformeerd zijn voordat cookies geplaatst mogen worden.

Hoewel de informatieplicht niet expliciet genoemd wordt in het EPV-voorstel, is het dus alsnog een vereiste op grond van de AVG. Ik acht het daarom onwaarschijnlijk dat bedrijven zullen stoppen met het gebruik van cookiebanners. Naar verwachting zal de EPV in de praktijk nauwelijks of geen verandering teweegbrengen op het gebied van de

informatieverschaffing door bedrijven aan consumenten.

4.2.2. Het toestemmingsvereiste

Waar ook toestemming nog één van de kernelementen is van de huidige cookiebepaling, is toestemming onder de EPV slechts één van de zeven uitzonderingen op het verbod om cookies te plaatsen. Louter gekeken naar de formulering van artikel 8 EPV lijkt de

uitzondering ‘toestemming’ van dezelfde waarde als de andere zes uitzonderingen. Toch lijkt er op grond van de overwegingen van de EPV wel bijzonder gewicht te worden toegekend aan de uitzondering ‘toestemming’ en lijkt deze zwaarder te wegen dan de andere zes

uitzonderingen.154_{Het plaatsen van cookies lijkt slechts mogelijk te zijn met de toestemming} van de consument, of indien de gevolgen voor de privacy afwezig of gering zijn, zoals bij de uitzonderingen opgenomen in artikel 8 EPV het geval is.155_{Ook de European Data Protection} Board (EDPB)156_{spreekt over de ‘uitzonderingen op het toestemmingsvereiste’.}157_{Dit wijst} erop dat toestemming alsnog de hoofdregel zal zijn onder de EPV en uitgangspunt blijft dat met toestemming alles mag.

Ook aan de invulling van het begrip toestemming zal niks veranderen met de inwerkingtreding van de EPV. Net als in de huidige cookiebepaling wordt het begrip

gekoppeld aan de AVG. Dit betekent dat de toestemming nog steeds zal moeten voldoen aan het vereiste van een ‘vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting’. Wel zal er met de EPV waarschijnlijk verandering komen in de manier waarop een geldige

toestemming verkregen kan worden, wat ik hieronder zal toelichten.

153_{Artikel 7 AVG.}

154_{Overweging 21 EPV; Wolters Ruckert & Abdul-Aliyeva 2019, p.17.} 155_{Overweging 20 en 21 EPV.}

156_{De EDPB is een orgaan waarin alle nationale privacy toezichthouders uit de EU samen toezicht houden op de} AVG en is de opvolger van Artikel 29-werkgroep.

(30)

4.3. Toestemming via browserinstellingen

De Europese wetgever wil het geven van toestemming centraliseren door middel van

toestemming via software, zoals internetbrowsers.158_{Waar de wetgever bij de totstandkoming} van de huidige wetgeving nog van oordeel was dat het één keer geven van toestemming via browserinstellingen geen geldige toestemming oplevert, lijkt hier met de EPV verandering in te komen. Hoe het er nu uit ziet krijgt de browser een hoofdrol in het toestemmingsproces.159 Het idee hierachter is dat de consument één keer voor een langere periode de privacyinstelling kan kiezen en niet constant overladen wordt met cookiebanners.160

De mogelijkheid voor bedrijven om toestemming van de consument te verkrijgen via de browser is één van de belangrijkste discussiepunten bij het opstellen van de EPV. Volgens het oorspronkelijke voorstel van de Europese Commissie is het verkrijgen van toestemming via browserinstellingen mogelijk.161_{In overweging 22 van dit oorspronkelijke voorstel kan} gelezen worden dat het mogelijk is om via de algemene privacyinstellingen van een browser toestemming te geven voor het plaatsen van cookies. Dit zou betekenen dat consumenten in één keer door middel van browserinstellingen alle tracking cookies van derde partijen kunnen toestaan.162_{Op grond van overweging 23 werden bedrijven daarnaast verplicht verschillende} privacyinstellingen aan te bieden, variërend van ‘nooit cookies accepteren’ tot ‘altijd cookies accepteren’. De verschillende opties zouden op een duidelijk zichtbare en begrijpelijke manier moeten worden aangeboden.163_{De Artikel 29-werkgroep kwam met de kritiek dat er op grond} van de AVG geen geldige toestemming verkregen kan worden via de browserinstellingen, aangezien deze toestemming niet geïnformeerd en specifiek genoeg is.164_{Inmiddels zijn} overweging 22 en 23 zonder toelichting geschrapt uit het EPV-voorstel. Betekent dit dat het verkrijgen van toestemming via browserinstellingen helemaal niet meer mogelijk zal zijn?

Volgens het huidige EPV-voorstel is het mogelijk om toestemming, indien ‘technisch mogelijk en haalbaar’, te verkrijgen door middel van ‘passende technische instellingen van een softwaretoepassing’.165_{Wat hier precies mee wordt bedoeld, is niet geheel duidelijk.} Alhoewel het voorstel de mogelijkheid tot het verkrijgen van toestemming via

browserinstellingen dus wel bevat, geeft het geen verduidelijking met betrekking tot hoe deze

158_{Van Beek & Klingenberg 2019, p.75.} 159_{De Bruyne 2018, p.329.}

160_{Van Beek & Klingenberg 2019, p.75.} 161_{Artikel 9 lid 2 Commissievoorstel EPV.} 162_{Wolters Ruckert & Abdul-Aliyeva 2019, p.18.} 163_{Wolters Ruckert & Abdul-Aliyeva 2019, p.19.} 164_{Artikel 29-werkgroep 2007, WP 131.}

(31)

mogelijkheid ingekleed kan worden. Hoe er in dit geval kan worden voldaan aan een geldige toestemming onder de AVG is nog onduidelijk. Voor nu is het wel duidelijk dat de Europese wetgever beoogt de toestemming via browserinstellingen te introduceren met de EPV.

Tot slot introduceert de EPV bij deze mogelijkheid een extra vereiste. Sinds de AVG moet de consument de gegeven toestemming te allen tijde in kunnen trekken, even makkelijk als het geven ervan.166_{De EPV voegt hieraan toe dat de consument minimaal elke twaalf} maanden herinnerd moet worden aan de mogelijkheid om de toestemming in te trekken.167

4.4. De cookiewall

Alhoewel de AP het standpunt heeft ingenomen dat het gebruik van cookiewalls door

bedrijven in strijd is met de AVG, bestaat er op dit moment naar geldend recht geen absoluut verbod op cookiewalls.168_{Een groot discussiepunt is de vraag of de EPV wel een dergelijk} verbod zou moeten bevatten. De verschillende visies op de regulering van cookiewalls in de EPV liggen op dit moment ver uit elkaar.169

Het oorspronkelijke voorstel van de Europese Commissie bevatte geen specifieke regels omtrent de cookiewall. Hierop kwam kritiek vanuit verschillende kanten. Zo pleitte de Artikel 29-werkgroep voor een expliciet verbod in de EPV en herhaalde de opvolger EDPB dit standpunt later ook. Ook de Europese Toezichthouder voor Gegevensbescherming (EDPS) is voorstander van een verbod en ook het Europees Parlement voegde in een amendement op het oorspronkelijke voorstel een absoluut verbod in.170_{Waar de Nederlandse wetgever eerder} een absoluut verbod op cookiewalls nog onwenselijk achtte171_{, pleit Nederland nu in de Raad} voor een absoluut verbod in de EPV.172_{Dekker, de minister voor Rechtsbescherming, stelt} hierbij voorop dat het bij cookiewalls gaat om het recht op privacy, een fundamenteel grondrecht van het Handvest.173

Op dit moment is het aan de Raad om een definitief standpunt in te nemen. Volgens alle recente conceptteksten van de EPV is de cookiewall in beginsel toegestaan, behalve in bepaalde situaties. Hierbij wordt als voorbeeld genoemd de situatie waarin een cookiewall wordt gebruikt door diensten zoals overheidsinstanties, waarbij de consument geen alternatief

166_{Artikel 7 lid 3 AVG.} 167_{Artikel 4a lid 3 EPV.} 168_{Zie paragraaf 3.5.} 169_{Poulus 2019, p.100.} 170_{Roerdink 2019, p.8.} 171_{Zie paragraaf 3.5.}

172_{Kamerstukken II 2018/19, 21501-33, nr. 711; Aanhangsel Handelingen II 2018/19, 3905.} 173_{Aanhangsel Handelingen II 2018/19, 3905, p.3.}

(32)

heeft voor die website.174_{In het voorstel van 30 oktober 2019}175_{is hieraan toegevoegd dat}

cookiewalls de consument kunnen belemmeren in het maken van een betekenisvolle keuze,

wanneer er een duidelijke wanverhouding bestaat tussen de websitehouder en de

consument.176_{Hierbij is als voorbeeld toegevoegd de situatie waarin het bedrijf dat de website} houdt een dominante positie heeft.

Hoe het er nu uit ziet, lijkt de Raad in beginsel ruimte te bieden voor cookiewalls voor commerciële websites.177_{Uit de onderhandelingen van de Raad blijkt dat er vrijwel geen} steun is voor een algemeen verbod en hier zal naar verwachting geen verandering in

komen.178_{Ook Mourcous verwacht dat de mogelijkheid van een cookiewall in de definitieve} versie van de EPV opgenomen zal worden, aangezien dit punt in elke versie van de

concepttekst vrijwel onaangetast is gebleven.179_{Alhoewel de onderhandelingen nog niet zijn} afgerond, acht ik het onwaarschijnlijk dat een algemeen verbod op cookiewalls onderdeel zal worden van de EPV. De wens van Nederland zal hiermee geen werkelijkheid worden.

4.5. Conclusie

Tot op heden wordt er nog onderhandeld over hoe de definitieve tekst van de EPV er uit moet zien. Gekeken naar het meest recente voorstel, zal de EPV enkele veranderingen met zich meebrengen met betrekking tot de cookieregels. Ten eerste zal de nieuwe cookiebepaling een andere systematiek hanteren dan de huidige bepaling. De informatieplicht en het

toestemmingsvereiste zullen niet meer expliciet worden opgenomen als kernelementen van de bepaling. In de praktijk zal dit naar verwachting niet veel veranderingen met zich

meebrengen. De grootste veranderingen zullen betrekking hebben op de mogelijkheid om toestemming te verkrijgen via browserinstellingen en het gebruik van een cookiewall. Met de EPV lijkt de Europese wetgever toestemming via browserinstellingen te introduceren en het gebruik van een cookiewall voor commerciële websites in beginsel toe te staan. Hoe de definitieve tekst er uiteindelijk uit zal gaan zien, is echter nog de vraag.

174_{Poulus 2019, p.100; Overweging 20 EPV.}

175_{Voorstel e-Privacy Verordening 2017/0003 (COD), 13632/19, van 30 oktober 2019.} 176_{Overweging 20 EPV.}

177_{Mourcous 2019, p.95.}

178_{Aanhangsel Handelingen II 2018/19, 3905, p.5.} 179_{Mourcous 2019, p.95.}