Overtreedt Windows 10 update de cookiewet?

De Autoriteit Consument & Markt (ACM) heeft tegenover PCM aangegeven, dat zij vindt dat de update van Windows 10 de ‘Cookiewet’ mogelijk schendt door de benodigde bestanden ‘ongevraagd’ te downloaden. Dit zou in strijd zijn met artikel 11.7 van de Telecommunicatiewet, ook wel bekend als de Cookiewet. Maar is dat ook werkelijk zo?

Cookiewet

Gebruikers van Windows 7 en 8 krijgen, indien zij ‘automatische updates’ aan hebben staan, vanzelf de installatiebestanden van Windows 10 binnen. Deze bestanden kunnen al gauw enkele gigabytes innemen.

In artikel 11.7a lid 1 van de Cookiewet staat – in het kort – dat een gebruiker toestemming dient te geven nadat deze is ingelicht over de data die een partij wil opslaan of verkrijgen van de randapparatuur (lees: computer) van de gebruiker. ACM stelt in eerste instantie dat de update van Windows 10 dit toestemmingsvereiste niet in acht neemt. Men is nog bezig met nader onderzoek.

ACM stelt daarnaast dat lid 3 van het artikel niet van toepassing is. Artikel 3 omvat de uitzondering op de zojuist beschreven regel, inhoudende dat men zich niet hoeft te houden aan de in lid 1 gegeven verplichting, indien de data strikt noodzakelijk is voor de dienst die de partij levert.

Er zijn drie redenen waarom ik van mening ben dat handhaving voor deze kwestie niet gaat lukken.

Toestemming

Allereerst wil ik ingaan op de vereiste toestemming. Voordat de bestanden gedownload worden, is namelijk een bepaalde instelling op de computer vereist. De instelling ‘automatische Windows updates’ dient aan te staan, alvorens de computer overgaat tot het downloaden van dergelijke updates als Windows 10. Deze instelling staat niet aan zonder dat de gebruiker hiervan op de hoogte is gesteld. De gebruiker dient dit namelijk óf zelf te hebben ingesteld óf deze dient akkoord te zijn gegaan met de instelling.

Onduidelijk is of de installatiebestanden van Windows 10 onder de definitie van ‘updates’ vallen. Gaat het namelijk om een los product of om een ‘upgrade’? Ik denk niet dat dit uitmaakt. Als ICT’er acht ik het verschil tussen ‘update’ en ‘upgrade’ irrelevant voor een juridische benadering. Daarnaast, indien Windows 10 als geheel nieuw product beschouwd dient te worden, ben ik van mening ik dat de installatiebestanden alsnog als ‘update’ gekenmerkt dienen te worden. De installatiebestanden kunnen namelijk een ‘update-proces’ aan de gang zetten om het product ‘te upgraden’.

Gezien het vorenstaande ben ik van mening dat door de gebruiker toestemming is verleend voor het downloaden, wat betreft automatische updates die middels de aangezette instelling ‘automatische Windows updates’ door de computer gedownload worden.

Strikt noodzakelijk

Verder denk ik dat de voornoemde uitzondering van lid 3 een grijs gebied is in deze kwestie. Zijn de bestanden, in het geval van de Windows 10 update ‘strikt’ noodzakelijk voor de dienstverlening? Ik denk van wel. De gebruiker wenst gebruik te maken van de update-service. Op zichzelf is het vooraf downloaden van de bestanden niet noodzakelijk, zo ook volgens Microsoft. De bestanden an sich zijn echter wel strikt noodzakelijk voor de update. Normaal gesproken verricht Microsoft deze updates automatisch. In dit geval geeft Microsoft de gebruiker extra keuzevrijheid rondom dit aspect. Wanneer Microsoft automatisch Windows 10 zou voorschotelen, zouden de bestanden wel strikt noodzakelijk zijn geweest. Maken de omstandigheden in dit specifieke geval, namelijk dat men de bestanden hier zelf downloadt en deze bestanden de gebruiker meer invloed geven, dat het niet meer strikt noodzakelijk en in strijd met de wet is? Dat lijkt mij een kromme en ongewenste redenering. Daarom ben ik van mening dat deze bestanden als strikt noodzakelijk gerekend dienen te worden en dus niet in strijd zijn met de Cookiewet.

Strekking wet

Tot slot en naar mijn mening het belangrijkste: artikel 11.7a ziet helemaal niet op dit soort gevallen. De strekking van dit artikel is volgens de Memorie van Toelichting (MvT) geheel anders. Het artikel is in namelijk in het leven geroepen op basis van een richtlijn van de EU ter bescherming van de privacy van de burger. Tevens heeft de wetgever met dit artikel de bedoeling gehad om verspreiding van schadelijke software te voorkomen. Ik zie geen aanleiding om te spreken van één van beide gevallen. De software is in dit geval niet schadelijk. Sterker nog, deze zou veiliger moeten zijn. Daarnaast zie ik niet hoe de privacy naar verkeersopvattingen in het geding zou zijn. De bestanden zijn niet bedoeld om informatie over de gebruiker te verkrijgen of op te slaan. Zou ACM dit artikel tegen Microsoft inroepen, dan zou zij op basis hiervan buiten haar grenzen treden. Handhaving van het besluit, indien dit genomen zou worden, zal dan ook niet stand houden bij de rechter.

Conclusie

Hoewel ACM het goed bedoelt en zij het beste voor heeft met de consument, raad ik het haar af om over te gaan tot handhaving wat betreft de nieuwe Windows 10 update. Die naar mening van ACM – in eerste instantie – in strijd zou zijn met de Cookieswet. Er is naar mijn oordeel immers voldaan aan het vereiste dat deze wet met zich meebrengt. Er is naar mijns inziens toestemming gegeven voor het automatisch downloaden en de bestanden kunnen noodzakelijk worden geacht. Daarbij is in dit geval – gelet op de MvT – handhaving ongewenst middels artikel 11.7 van de Communicatiewet. Dit betekent echter nog niet dat het een goede zaak is wat Microsoft heeft gedaan. Dat is echter een discussie voor een andere keer.