De cookiewetgeving gaat in: wat nu?
Vanaf vandaag is de nieuwe cookiewetgeving van kracht. Dat houdt in dat, zoals Arnoud Engelfriet eerder blogde, toestemming moet worden gevraagd voor het plaatsen van cookies, tenzij deze alleen maar bedoeld zijn voor het technisch goed laten werken van een dienst. In theorie zou elke Nederlandse website vanaf vandaag erop ingericht moeten zijn om, waar nodig, die toestemming expliciet te vragen. De praktijk leert dat dat nog niet het geval is – inderdaad, ook wijzelf voldoen nog niet. In deze blogpost bieden wij informatie over de cookiewetgeving en concrete voorbeelden hoe de wetgeving wordt toegepast. Ter lering en deels ook ter vermaak.
Deze blogpost wordt continu aangevuld en aangepast. Tips en suggesties zijn dus erg welkom via de comments of via Twitter!
Update 5 juni 2012, 14:23u: voorbeeld van de BBC toegevoegd.
Update 5 juni 2012, 13:57u: de PVV maakt het nog bonter dan de PvdA door het gebruik van IP-tracking.
Update 5 juni 2012, 12:45u: voorbeelden van PvdA en Sooptoo en aanvulling op cookievergaring Telegraaf toegevoegd.
Update 5 juni 2012, 12:30u: info toegevoegd over OPTA's website voor het jaarverslag 2011 toegevoegd, het feit dat alleen telefonisch overtredingen gemeld kunnen worden en een good practice van Orange Valley.
Sites moeten dus toestemming vragen voor het plaatsen en gebruiken van cookies, behalve in het geval van 'noodzakelijke cookies': cookies die de technische werking van de site verbeteren. Hiermee wordt overigens bedoeld dat de site beter moet werken vanuit het perspectief van de gebruiker, niet dat van de site-eigenaar. Concreet: het plaatsen van een cookie voor het onthouden van een inlog of van de inhoud van een winkelwagen is prima, een cookie voor het opbouwen van een interesseprofiel vereist expliciete toestemming. Dit geldt zowel voor first party cookies (cookies die de site zelf installeert en aanspreekt) als voor third party cookies (cookies van diensten waarvan de site gebruikmaakt, bijv. Google Analytics).
De Nederlandse wetgeving op dit gebied is strenger dan de Europese. In Nederland wordt uitgegaan van de noodzaak van een 'opt-in', terwijl in de rest van de EU een 'opt-out'-regel geldt. Dit heeft tot gevolg dat Nederlandse sites geen gebruik mogen maken van de browserinstellingen voor het verkrijgen van de toestemming, waar dat in de overige landen wel volstaat.
Dat veel websites nog niet voldoen aan de wetgeving heeft waarschijnlijk te maken met de onduidelijkheid over de wetgeving en het feit dat is aangekondigd dat tot 2013 geen handhaving zal plaatsvinden. Overigens lijkt zelfs over dat laatste aspect geen zekerheid te bestaan.
Onderstaand bieden wij een overzicht van nuttige informatie en voorbeelden van sites die de wetgeving -al dan niet correct- hebben doorgevoerd. Dit overzicht wordt voorlopig continu geüpdatet; tips, suggesties en aanvullingen zijn van harte welkom!
Dossier Cookiewetgeving
Naast de al genoemde blogpost van Arnoud Engelfriet schreef Sebastiaan Hulshof vorige week een uitgebreid verslag van de discussie tijdens het DDMA-cookiedebat. Voor de overzichtelijkheid zijn alle Marketingfacts-artikelen over deze wet gebundeld in ons dossier Cookiewetgeving.
DDMA: handleiding Cookiewet ‘Wet en werkelijkheid’
De DDMA, de de branchevereniging voor dialoogmarketing, heeft vandaag een handleiding gepubliceerd, de DDMA handleiding Cookiewet ‘Wet en werkelijkheid’ (pdf-alert).
Telefonisch overtredingen melden
Pieter Bas Elskamp meldt dat het erop lijkt dat overtredingen van de cookiewetgeving alleen telefonisch kunnen worden doorgegeven aan de OPTA.
Bij overtreding vd #cookiewet kun je dat alleen telefonisch (?!) melden bij de #OPTA bit.ly/MwDE5n
— Pieter Bas Elskamp (@elskamp) June 5, 2012
Voorbeelden
OPTA
Toezichthouder OPTA is belast met de handhaving van de cookiewetgeving. Op de eigen site wordt geen toestemming gevraagd voor het plaatsen van cookies. De simpele reden is dat er geen cookies worden geplaatst.
Maar…
Op de website van OPTA's jaarverslag over 2011 worden wel cookies gebruikt, waaronder cookies van Sitestat voor het vergaren van analytics-data. Hiervoor moet vanuit de nieuwe wetgeving wel degelijk expliciete toestemming worden verkregen. Daarvan is momenteel nog geen sprake.
DDMA
De site van DDMA doet ook een poging tot naleving door een overlay. Deze is echter ietwat ongelukkig, want:
-
in Google Chrome werkt de overlay niet (althans bij ons);
-
in andere browsers werkt de overlay wel, maar niet correct: de overlay verdwijnt in sommige gevallen na een aantal seconden en als dat niet gebeurt, is het wegklikken van de overlay, dus zonder het geven van de toestemming, voldoende om verder te gaan in de website.
FOK!
FOK.nl lijkt de meest rigoreuze variant gekozen te hebben voor het verkrijgen van toestemming van de gebruiker tot het plaatsen van cookies: zonder deze toestemming heb je geen toegang tot de site. Vanuit de gebruiker gezien wellicht confronterend en onvriendelijk, vanuit het perspectief van de site-eigenaar wel handig omdat het je in staat stelt je bezoekers alle bestaande functionaliteit te bieden. Bovendien maakt FOK! met deze aanpak een flinke statement; de vraag is alleen of die niet aan dovemansoren gericht is.
Telegraaf
De website van de Telegraaf heeft ook een overlay bovenaan de pagina. Er lijkt, gezien de uitleg die wordt gegeven, echter sprake te zijn van een opt-out-mechanisme en niet van de in Nederland verplichte opt-in. Bovendien plaatst de Telegraaf al cookies voordat de toestemming wordt gevraagd. Daarbij moeten we wel toevoegen dat het onduidelijk is of het hier misschien 'noodzakelijke' cookies betreft, waarvoor geen toestemming nodig is.
Een overzicht van de cookies die Telegraaf.nl plaatst voordat toestemming wordt gevraagd.
Orange Valley
Online marketingbureau Orange Valley gebruikt ook een overlay voor het vragen van toestemming. Het fraaie van hun oplossing is dat als je geen toestemming geeft, dit onderin het scherm getoond wordt. Dit geeft zekerheid aan de gebruiker dat er netjes wordt omgegaan met zijn keuze, maar bovendien kan via een klik op de melding de keuze gewijzigd worden. Overigens verdwijnt de melding na goedkeuring, dus het terugdraaien van die beslissing is wat omslachtiger…
PvdA
De Partij van de Arbeid maakte zich hard voor de doorvoering van de huidige cookiewetgeving. Des te vreemder is het dat het op de eigen website Google Analytics-cookies plaatst zonder daarvoor toestemming te vragen. Overigens is dit niet per se een overtreding, want zoals Arnoud Engelfriet op zijn eigen website al meldde, zei de minister in de Eerste Kamer:
Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.
PVV
Samen met PvdA steunde o.a. de PVV de cookiewetgeving. Ook hun website voldoet echter niet aan die wetgeving, want het installeert ongevraagd cookies voor Google Analytics. Maar erger nog lijkt het feit dat de PVV via de cookies gebruikmaakt van IP-tracking! Dat lijkt wel heel erg in strijd met het gewenste imago van strijder voor het recht op privacy van de consument…
Sooptoo
Een van de eerste partijen die z'n conclusies trok uit de wetgeving was Sooptoo. Het vermakelijk aan hun oplossing is dat als je geen toestemming geeft, je direct wordt doorgelinkt naar een YouTube-video die uitlegt hoe schadelijk deze wetgeving wel niet is.
BBC
In de UK is vorige week ook nieuwe wetgeving ingevoerd. Het verschil met Nederland is het al eerder genoemde feit dat het daarbij om een 'opt-out'-regel gaat én dat het alleen om first party cookies gaat; voor third party cookies hoeven website-eigenaren geen verantwoordelijkheid te nemen. Maar de wijze waarop de BBC haar bezoekers informeert en de opt-out aanbiedt, is fraai.
Ik werk als consultant bij Evolve, een bureau dat is gespecialiseerd in het verbeteren van de interne communicatie en interne processen met behulp van interne sociale media. Was voorheen hoofdredacteur bij Marketingfacts en betrokken bij o.a. Online Tuesday en NIMA.
Als de wetgeving strak gaat worden gehandhaafd betekent dit toch een enorm verlies aan gebruikersprofielen en daarmee gericht aanbod van advertenties/producten?
Geen probleem deze wetgeving, ik had mij er al op voorbereid. Mijn website (www.ivegte.nl) voldoet aan de nieuwe wetgeving.
Wil je geen gezeur, zorg je gewoon dat je hieraan voldoet, wat je mening ook van deze wet is.
Fok.nl plaatst een cookie zodra je nu kiest voor ‘nee ik wil geen cookies’ om je de alternatieve pagina te tonen waar je de keuze alsnog kunt maken om ze te accepteren.
Of valt deze cookie dan weer buiten de regelgeving?
@Albert: dat is een functionele cookie en wordt gewoon toegestaan.
Ik ga deze week proberen technisch het één en ander door te voeren, waarbij ik hoop de meeste cookies (Sharethis-button, analytics, mouseflow, ads) ondervangen te hebben. Narigheid is dat sommige affiliatepartijen op mijn site een soort testcookie achterlaten, voordat er geklikt wordt. En voor de linkjes in een artikel is dat moeilijk te vangen in die toestemming, aangezien dat niet in de code op mijn site zit, maar in een database met de tekst (hardcoded dus).
Ik ga ook iedereen die geen toestemming geeft dan die video laten zien, vind ik wel een strak plan. Ben heel boos over die cookiewet, ik heb potdorie een hobbyblog en ben door die wet echt miljoenmiljard uur kwijt aan uitzoeken hoe ik dit technisch moet aanpakken. En ben ik nog technisch onderlegd, maar wat te denken van andere kleine hobbyblogs en kleine sites die niet beschikken over technische kennis en net met veel moeite wat ads en analytics geïnstalleerd hebben? Dit pakt echt de verkeerde mensen.
Die opt-out lijkt me prima, ik wil ook nog wel een melding op mijn site plaatsen dat je de keuze hebt om in je browser op een knopje te drukken, maar dit vind ik echt je reinste onzin. Met als enige voordeel dat die remarketingshit dan misschien eindelijk eens ophoudt.
Is een Nederlandse website een website die gehost wordt in Nederland? Dus m.a.w. als de site in een ander land gehost wordt valt deze niet onder de Nederlandse cookiewet?
Hoe kan ik zien welke cookies mijn site bevat? Ik ben het eens met Annelies. Het kost heel veel tijd om dit allemaal uit te zoeken. Mijn technische kennis is ook onderlegd.
Iemand enig idee hoe het zit met deze wetgeving in andere landen in EU? Weet dat de UK 26 mei over is gegaan, maar de rest?
@idevegte
Je site voldoet helemaal niet aan de wet. Je GA cookie komt direct voorbij en je informeert ook onvoldoende over de cookies die worden geplaatst. Ik kan zo dus niet beoordelen waar ik akkoord op geef.
@Andre
Weet je zeker dat die ‘nee, geen ongewenste cookies’ – cookie als functioneel wordt gezien? Die cookie heeft nu juist als enige functionaliteit ’tracking’ en is in principe voor het functioneren van de site niet nodig.
@Anneliesje
Gezien de capaciteit van de OPTA en het feit dat jij jouw bezoekers niet plat loopt te spammen met ads loop jij echt geen risico. Dat zal voor nu voor al die kleine websites gelden. Wel goed natuurlijk als je er wel direct werk van maakt, maar je behoort op dit moment niet tot de risicogroep. Dit heeft de OPTA trouwens ook zelf aangegeven.
ePrivacy is een feit – cookies gaan verdwijnen – laten we creatief worden in plaats van technisch. Meer Marketing, Minder Digitaal. Voor websites met echte content geen probleem – biedt alleen maar kansen. Voor ‘vage’ acties is het een probleem. Maar stop nou met het klagen en start met de oplossing. Meer over kansen voor content publishers op http://www.2-0-1.com/blog
Volgens mij zoals fok.nl het doet is het waterdicht. Het is wel drastisch ben benieuwd hoe hier de gemiddelde consument op zal reageren.
@Marco Hoe zou het zijn als MF een proefproces start? Dus bewust in overtreding gaan en dan via jurisprudentie onderzoeken waar de grens nu ligt van bv het gebruik van statistieken software. En dan via crowdfunding een bedrag bij elkaar verzamelen voor een goede advocaat?
Ik wet nog dat ik in 2004 verplicht werd gesteld de opgegeven BTW nummers van klanten van een online shop (Je weet wel zo’n ding waar je ook terwijl ik slaap in real time iets kunt bestellen) te valideren ivm EU verkopen. De EU validatie had toen nog geen api. De belastingdienst stelt dan toch de verkoper aansprakelijk mocht dat BTW nummer niet kloppen. Ik moest maar kamerleden gaan aanschrijven. Daar doet me deze cookiewet aan denken.
“Ze” hebben echt geen flauw benul van de implicaties..
Volgens mij hoeft niemand zich druk te maken over third party cookies. De wettekst luidt dat “een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker,” toestemming moet vragen. Als er dus code op jouw site staat die ervoor zorgt dat een derde partij de genoemde toegang krijgt, dan moet die partij er maar voor zorgen dat die toestemming er komt. Sterker nog, misschien is die toestemming er al. Ik kan het niet anders interpreteren.
@Arjen
Ik denk dat die vlieger niet op gaat. De code staat op jouw website en die komt daar niet zonder jouw medeweten. Jij verschaft dus de toegang tot de randapparatuur van de gebruiker en op basis daarvan denk ik dat jij dus op z’n minst medeverantwoordelijk bent. Jij had redelijkerwijs kunnen weten dat die third party cookies geplaatst gingen worden.
Stel echter dat het wel zo is, dan moeten nu dus per direct alle advertentiecampagnes uit. Google AdWords, AdSense, alle ad servers, ze zetten allemaal een cookie. Die systemen moeten dan eerst aangepast worden en dat gaat niet 1 2 3 gebeuren.
@David van Dam: ik weet ook wel dat ik niet tot de risicogroep behoor, maar bewust een behoorlijk strenge wet overtreden, ook al volgen er niet direct sancties, vind ik toch gewoon wat moeilijk aanvoelen. Kan er ook niets aan doen ;-).
@David van Dam Volgens mij maakt het wel uit. Zoals diverse webmasters al ongerust melden, weten zijn vaak niet dat de code die ze op verzoek van derden plaatsen, cookies zetten. Ten tweede kan het ook zijn dat een bezoeker van een forum een plaatje hotlinkt dat in feite ook een cookie plaatst. Maar bovenal gaat het er toch echt om, in mijn interpretatie, dat degene die het cookie plaatst de toestemming nodig heeft. En dat is niet de webmaster van de site waar die third party cookie wordt ‘gegenereerd’. Deze webmaster kan hem namelijk ook niet uitlezen.
De vraag is nu, hoe zorgen partijen ervoor dat third party cookies op de site van de first party toestemming vragen?
@David van Dam PS over Google Analytics heb je m.i. wel gelijk. GA plaatst namelijk een first party cookie, d.w.z. het is javascript van Google die ervoor zorgt dat jouw site een cookie plaatst. Gisteren hebben wij dus tot 21:00 van een stuk of 40 sites de GA weg zitten halen totdat we weten hoe het precies zit.
Worden de WA cookies en ad serving cookies t.b.v. frequency capping gerekend tot functionele cookies? en als dat niet geval is, is dat niet onterecht?
@Phileas
Strikt genomen zijn ook deze cookies niet nodig om de website goed te laten functioneren, dus nee. Er is toestemming voor nodig.
Ad server cookies voor o.a. frequency capping zijn wel een lastige, want het zou op dit moment betekenen dat bijna alle online campagnes gestopt moeten worden. Bovendien kun je je afvragen wie er verantwoordelijk is voor de plaatsing van die cookies. De cookie wordt gezet op de site van een publisher, is technisch gezien echter van de ad server lverancier, maar praktisch (commercieel) gezien van de adverteerder die het management daarentegen weer heeft uitbesteed aan een bureau. Wie moet hier nu voldoen aan de informatie en toestemmingsplicht?
@Arjen: Met “een ieder” wordt bedoeld dat iemand de toestemming moet vragen. En je zoekt onderling maar uit wie van jullie twee dat gaat doen. Als Google bij Adsense zélf om opt-in gaat vragen voor de tracking cookies, dan hoef jij dat niet meer te doen. Idem voor de Twittercookies bij de social plugins.
Het is toegestaan om toestemming op te slaan in cookies, want dat valt onder de uitzondering voor cookies die noodzakelijk zijn voor een door de gebruiker aangevraagde dienst.
@arjen @david, dank voor de informatieve reacties. als de toestemming niet collectief vanuit meerdere publishers tegelijk (al dan niet via een advertentienetwerk) afgevangen mag worden dan is het echt een gebed zonder einde. het antwoord in de pdf lijkt me dan ook niet juist.
wat betreft de cookies tbv frequency capping, deze zijn in mijn (of onze?) optiek wel degelijk in het belang van de gebruiker en daarmee functioneel te noemen. het maakt het verschil tussen vaak dezelfde advertentie getoond krijgen bijvoorbeeld, of beperkt juist intrusive advertentie formaten (layers/floorads). Beiden dienen het belang van de eindgebruiker.
En voor web analytics zijn ook functionele argumenten te bepleiten, als het gaat om samenstelling en selectie van content die de gebruiker dient, zijn WA software natuurlijk niet weg te denken.
Ik ga er vanuit dat de DO NOT TRACK functie die straks in browsers zit deze functies ook niet zal gaan blokkeren en dat Nederland hier in definities is doorgeschoten.
Overigens zal het beleid van Adfactor tav de cookiewet begin volgende week te lezen zijn op onze website.
@Arjen
Dan was mijn eerste vermoeden dus juist en is de eigenaar volledig verantwoordelijk voor wat er op zijn/haar website gebeurt. Ben volledig met je eens dat dit niet goed/onduidelijk in de wet staat omschreven.
Dit heeft bovendien verregaande consequenties, want dat betekent dat wanneer iemand geen toestemming geeft er op dit moment geen ads vertoond kunnen worden aangezien daar nu allemaal direct cookies bij worden gezet. Enige antwoord wat je dan als publisher kan geven is de website op zwart en geen toegang zonder cookies. Het Fok-model dus!
@Arnoud Volgens mij wordt er met een ieder in ‘een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen …’ degene bedoeld die die toegang wenst te krijgen. En dat is niet de eigenaar van de site die toevallig een iframe met advertenties heeft van een derde. Vaak weet je als publisher ook niet hoe die advertentienetwerken dat doen. Of de code staat er al jaren en op een dag besluit het netwerk cookies te gaan plaatsen.
Het zou ook betekenen dat een kwaadwillende op forums en in blogcomments plaatjes gaat hotlinken, maar dan plaatjes die feitelijk een script zijn dat een cookie plaatst. De eigenaar van het forum c.q. blog is zou dan verantwoordelijk zijn.
Arjen Jongeling schreef: “Zoals diverse webmasters al ongerust melden, weten zijn vaak niet dat de code die ze op verzoek van derden plaatsen, cookies zetten.”
Dus als webmaster plaats je een stuk code van een derde partij, zonder te weten wat dat stuk code doet? En wat als het geen tracking cookie, maar een exploit bevat?
Het lijkt me dat als je als webmaster third party code plaatst, je daar ook verantwoordelijk voor bent.
David van Dam schreef “Dit heeft bovendien verregaande consequenties, want dat betekent dat wanneer iemand geen toestemming geeft er op dit moment geen ads vertoond kunnen worden aangezien daar nu allemaal direct cookies bij worden gezet.”
Je kunt prima advertenties neerzetten zonder cookies. Je kunt de advertenties alleen niet meer personaliseren. Zie ook de uitleg bij de cookies van De Telegraaf.
@Van der Hoorn: Miep uit Assen met haar borduurblogje en een extragratis teller van De Counterstunter weet dat niet nee.
Een relatief onderbelichte dimensie is de impact van de cookiewetgeving op de mogelijkheden van pro-actieve online service verlening (o.a. via live chat). Over dit thema organiseren de Klantenservice Federatie en Tieto op 26 juni een voorlichtingsbijeenkomst in Amersfoort. Check de link voor meer info!
@Van der Hoorn
Het serveren alleen lukt wel ja, maar voor het meten en aansturen van simpele KPI’s geldt al een heel ander verhaal.
Bovendien moet je huidige ad server dan wel de optie bevatten om ook zonder cookies te serveren. Dat is lang niet altijd het geval.
Ik zie een boel punten, waarvan enkele ook niet kloppen (NL cookiewet is geldig als je je op NL consumenten richt, ongeacht waar de servers staan bijvoorbeeld), maar zie ook nog niets over omgekeerde bewijslast (vanaf 1 jan). Ja, er zijn veel uitdagingen en voor uitvragen van toestemming ga je het liefst het 1 en ander testen. Aan gratis tools heb je dan helemaal niets. Bovendien loggen die niet de toestemming die je volgens de OPTA moet bewaren (maar niet zomaar mag ivm Wbp). Op ICTrecht.nl zag ik een hele fraaie oplossing met testfunctionaliteit en ik begreep dat daarin ook mogelijkheden verwerkt zijn om te voldoen aan de omgekeerde bewijslast. Iemand ervaring met die tool?
Martijn
Oh, en @Idevegte; ik moet je teleurstellen maar je website voldoet NIET aan de wet… Misschien nog eens goed nalezen dat stuk dat je eerst toestemming moet hebben voor je tags/trackers inlaadt 😉
@idevegte,
niet allen voldoet je sit niet, er zit ook nog eens een trojan in je caroussel.js, lijkt me tocht zinvol om daar eens naar te kijken
best site how much tramadol dosage – buy tramadol c.o.d saturday delivery
Gerelateerde artikelen
Marketingfacts. Elke dag vers. Mis niks!
Marketingfacts. Elke dag vers. Mis niks!