ACM waarschuwt websites - maar hoe krijg je goede cookie-consent?

ACM waarschuwt websites - maar hoe krijg je goede cookie-consent?
, DDMA

De ACM is websites aan het waarschuwen die niet aan de cookiewet voldoen, blijkt uit een artikel op Geenstijl vanochtend. De gemiddelde marketeer ziet door de bomen het bos niet meer: moet die toestemming nou impliciet, expliciet, uitdrukkelijk, geïnformeerd of ondubbelzinnig? Hij moet sowieso vrij en specifiek, maar dat kan ook collectief. En wel een beetje gebruiksvriendelijk graag. Daarom nog één keer tekst en uitleg over cookie consent.

Voor wat?

Organisaties moeten op hun websites toestemming vragen voor cookies die invloed hebben op de privacy van de webbezoeker:

  • Trackingcookies: cookies die óf binnen een domein (first-party tracking) óf over verschillende domeinen (third-party tracking) gebruikt worden om surfgedrag van bezoekers vast te leggen, zodat het mogelijk is hen op basis hiervan gerichte aanbiedingen te doen of content te tonen.
  • Social plug-in trackingcookies: cookies die gebruikt worden om sociale-mediamodules aan te bieden op een website, zoals een Facebook like-knop, LinkedIn share-knop of de mogelijkheid een bericht te retweeten.
  • Analytische trackingcookies: indien een analyticscookie - bijvoorbeeld van comScore -  een unieke identifier bevat en (eventueel i.s.m. andere cookies en ip-adres) herleidbaar is of gebruikt kan worden (let op! alleen de mogelijkheid is voldoende) om groepen bezoekers te individualiseren en te benaderen, is er sprake van invloed op de privacy en moet toestemming gevraagd worden.

Google Analytics neemt een speciale plek in en mag alleen onder voorwaarden zonder toestemming van de webbezoeker geplaatst worden:

  • Google Analytics mag zonder toestemming worden geplaatst als een organisatie:
    1. een bewerkersovereenkomst heeft met Google, en
    2. de Anonimize ID-functie heeft ingeschakeld (Google ontvangt dan geen volledige IP-adressen), en
    3. de mogelijkheid om gegevens te delen met Google heeft uitgezet.

Google biedt een bewerkersovereenkomst in het instellingenmenu van Google Analytics. Log in met uw webmasteraccount, kies ‘Beheer’, vervolgens ‘Account instellingen’ en scroll dan naar de onderkant van de pagina naar het kopje 'Amendement gegevensverwerking'.

Uitzonderingen

Organisaties hoeven geen toestemming te vragen voor:

  •  Functionele cookies die communicatie mogelijk maken of noodzakelijk zijn voor het leveren van een dienst van de informatiemaatschappij.
    • User input cookies: onthouden handelingen van de gebruiker op een website.
    • Authenticatiecookies: identificeren de gebruiker als hij is ingelogd.
    • User centric security-cookies: worden gebruikt voor beveiliging en fraudepreventie.
    • Multi media player sessie-cookies: worden gebruikt om technische data op te slaan die het luisteren van audio- of videocontent mogelijk maken.
    • Load balancing sessie-cookies: gebruikt om verzoeken aan de server te verspreiden om de bereikbaarheid van de website te garanderen.
    • user interface customization-cookies: gebruikt om voorkeuren van de gebruiker te onthouden.
  • Analytics-, a/b-testing en affiliatecookies, tenzij deze ook gebruikt worden om profielinformatie van de gebruiker te verzamelen, dan geldt de uitzondering niet (en dat is bijna altijd het geval).

Door wie?

Op basis van de cookiewet is de partij die cookie plaatst verantwoordelijk voor het vragen van toestemming en het geven van volledige en duidelijke informatie over de cookies de geplaatst worden. Advertentienetwerken zullen dus afspraken moeten maken met hun publishers over de wijze waarop toestemming wordt gevraagd aan de webbezoeker voor het plaatsen van trackingcookies. Overigens ontslaat het vastleggen van deze afspraken in subcontracten met publishers/site-eigenaren het netwerk niet van deze verantwoordelijkheid.

Wanneer?

Het 'niets doen' van een webbezoeker kan nooit tot toestemming leiden. Toestemming moet dus gevraagd (en gegeven) worden voordat er cookies geplaatst worden op de randapparatuur van de webbezoeker.

Hoe?

1. Duidelijke informatie

Als organisatie moet je de webbezoeker zo volledig mogelijk informeren over de cookies die je plaatst. Om de site gebruiksvriendelijk te houden, kan deze informatie gelaagd worden gegeven.

  • De informatiebanner. Deze moet duidelijk zichtbaar zijn bij het eerste sitebezoek, ongeacht op welke pagina een bezoeker binnekomt. Met hierin:
    • Welke categorieën cookies plaats je? Analytics, socialmedia-buttons, reclamecookies (eventueel van welke derden).
    • Waarom plaats je deze cookies? Om gebruik van de website te meten/delen via social media mogelijk te maken/gerichte content en advertenties te tonen – cookies worden ook geplaatst door derde partijen/profielinformatie te verzamelen.
    • Voor welke domeinen plaats je de cookies? Alle sites van uitgever x.
    • Hoe geeft een webbezoeker toestemming? Door op akkoord te klikken/gebruik te blijven maken van de website/de melding weg te klikken geef je akkoord op het gebruik van cookies zoals hier omschreven.
    • Hoe een gebruiker de instellingen kan aanpassen.

Voorbeeld:

Organisatie x maakt gebruik van cookies om het gebruik van de website te analyseren, om het mogelijk te maken content via social media te delen en om de inhoud van de site en advertenties af te stemmen op uw voorkeuren. Deze cookies worden ook geplaatst door derden. Door deze melding weg te klikken of gebruik te blijven maken van deze site stemt u hiermee in. Klik anders op cookie-instellingen aanpassen.

  • De cookiestament. Met hierin:
    • Wie de site-eigenaar is en voor welke domeinen de toestemming geldt.
    • Welke categorieën cookies plaatst de website en (hoe) kan de bezoeker bepaalde categorieën wel of niet te accepteren?
    • Wie zijn de derde partijen die cookies plaatsen en van wel netwerk maken zij onderdeel uit.
    • Een overzicht van de cookies die via het domein geplaatst worden met daarbij het doel dat de cookies dienen, de bewaartermijnen en eventueel een link naar de privacy statements van derde partijen die cookies plaatsen vanuit het domein.

2. Een wilsuiting van de webbezoeker

Niets doen is geen toestemming. De webbezoeker moet door een handeling akkoord geven op het plaatsen van cookies en hij moet ook begrijpen dat die handeling toestemming impliceert.

3. Collectief, maar specifiek

Een organisatie mag in één keer toestemming vragen voor meerdere (eigen) domeinen en meerdere cookies, ook van derden. Dat wil zeggen dat toestemming kan gelden voor het binnen een langere periode meerdere malen lezen van een cookie, en op het opslaan en lezen van meerdere cookies. Ook kan het slaan op het plaatsen van een cookie en het lezen daarvan bij bezoeken aan verschillende sites, zoals dat gebeurt bij trackingcookies, als dit maar duidelijk is voor de internetgebruiker op het moment dat hij toestemming verleent.

4. Vrij

De definitie van toestemming schrijft voor dat sprake moet zijn van een vrije wilsuiting. De webbezoeker moet keuzevrijheid hebben. De gevolgen van geen toestemming geven mogen niet zo zwaar zijn dat deze de keuzevrijheid ondermijnen. Dit zal met de meeste commerciële websites die het accepteren van cookies als voorwaarde stellen aan webbezoek niet het geval zijn, dan heeft de consument immers de keuze om naar de concurrent te gaan of een betaalde dienst (online krant etc.) af te nemen. Bij organisaties die een oligopolistische of monopolistische marktpositie hebben, is een cookiewall lastiger te verdedigen, omdat de consument dan geen of weinig keuze heeft in alternatieven.

Overheidsdiensten en andere diensten die met publiek geld gefinancierd worden, mogen het accepteren van cookies nooit als voorwaarde stellen voor het bezoeken van de website.

Credits afbeelding: Anne, licentie: CC BY (Commercieel hergebruik, inclusief aanpassing)

Delen

0
4


Er zijn 11 reacties op dit artikel

  • nu is mijn vraag wanneer is het een website?
    Moet je een cookie melding geven op een intranet. En wanneer is het een intranet?

    Is een captive pagina van een hotel waar op moet inloggen met een code/email/plus alle andere duizend mogelijkheden om te kunnen internetten nu intranet of internet. Al dit soort inlog software gebruiken cookies en statistieken.
    Maar zijn dat webpagina omdat ze via browser benaderbaar zijn of zijn het een software progromma's die toevallig de browser als interface gebruiken. Of is het intranet omdat het alleen maar via het netwerk van het hotel te bereiken is en eerst deze cookies plaatst voor dat het vrij toegang tot internet geeft. En zou daarom een cookie melding niet nodig zijn omdat je er vanuit kan gaan dat hotels al je verkeer monitoren?

    geplaatst op
  • Dag Kees,

    Terechte vraag en niet zo makkelijk te beantwoorden. Deze blog van Arnoud Engelfriet werpt misschien iets meer licht op de zaak? https://cookierecht.nl/cookiewet/de-cookiewet-versus-het-intranet/

    geplaatst op
  • Bedankt, ik ga het door lezen

    geplaatst op
  • Hallo Jitty,
    Ik worstel met gebruik van een (first party) tracking cookie op mijn website: Dit cookie heeft in mijn geval geen enkel ander doel dan te volgen op welke van mijn pagina`s de bezoeker geweest is. Verder is er geen reclame-doeleinde aan verbonden of andere partij bij betrokken.
    Als ik de wet lees, moet ik hier dus toestemming voor vragen.

    Je schrijft bij punt 2 van de "HOE?" vraag dat "De webbezoeker moet door een handeling akkoord geven op het plaatsen van cookies en hij moet ook begrijpen dat die handeling toestemming impliceert." en "Niets doen is geen toestemming.".
    Tegelijk schrijf je in het punt erboven: "Hoe geeft een webbezoeker toestemming? Door op akkoord te klikken/gebruik te blijven maken van de website/de melding weg te klikken geef je akkoord op het gebruik van cookies zoals hier omschreven."

    Nu mijn dilemma: valt "gebruik te blijven maken van de website" aan te merken als een handeling? Moet ik derhalve plm 30 seconden wachten met het plaatsen van de cookie, of wachten tot er evt een 2e pagina in mijn domein bezocht wordt? Of mag ik meteen mijn cookie plaatsen, en deze weghalen als men op Nee klikt?

    Ik hoop dat ik me duidelijk genoeg heb uitgedrukt.

    geplaatst op
  • Dag Harry,

    Je vraag is heel duidelijk hoor en terecht.
    Jouw optie, dus cookies plaatsen en als iemand dan zijn instellingen wijzigt de cookies niet meer uitlezen of overschrijven is iets dat ook wij bepleit hebben. Immers, je zou denken dat de privacy impact min of meer hetzelfde is. Maar ik vrees dat dit toch niet mag. De wetgever zegt hierover: "Het verschil bestaat er met name in dat toestemming moet worden verkregen voordat de handeling (in casu het plaatsen en lezen van cookies) plaats mag vinden(…)"

    Dus omdat je al cookies plaatst voordat iemand aangeeft of hij dit wil, kan er nooit sprake zijn van toestemming. Jammer want dat had ons een hoop ellende bespaard.

    Met betrekking tot je andere vraag. Doorklikken op je pagina is een handeling. 30 seconden niets doen, is vrees ik “niets doen” en dat kan volgens de wetgever en de toezichthouder dan weer niet als toestemming worden gezien.

    geplaatst op
  • Hallo Jitty,
    Ik was er al bang voor dat het zo zou werken. "Gebruik te blijven maken van de website" is dus per definitie een doorklik naar een andere pagina binnnen het domein, en als het bezoek bij die ene pagina blijft...geen cookie.
    Bedankt voor je reactie!

    geplaatst op
  • Wordt Geenstijl nu al als bron vermeld? Het moet niet erger worden. En ik maar denken dat dit een serieuze site was.

    geplaatst op
  • @Dinges je past je anders razendsnel aan anonieme reaguurder ;)

    geplaatst op
  • @Thomas
    Ik weet niet zeker wat je bedoelt? Bedoel je het feit dat ik anoniem reageer?

    geplaatst op
  • @Dinges dat bedoel ik inderdaad. Maar zonder gekheid: ze hebben, naast de kopschopfilmpjes etc., al genoeg scoops en nieuws gebracht dat je ze niet zomaar kan uitsluiten als serieuze bron.

    geplaatst op
  • Privacydingetje :)

    Zelf vertrouw ik geenstijl, powned etc. totaal niet. Ze zijn allemaal extreem bevooroordeeld en zwart-wit denkend, en houden meer van mensen opjutten met 'interessante' artikelen dan daadwerkelijke feiten te beschrijven. Het feit dat ze al jaren bestaan vind ik geen reden om ze serieus te nemen.

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.