Het grote DDMA-cookiedebat, een verslag

       @SebastiaanHu    24870 x bekeken

Het grote DDMA-cookiedebat, een verslag

Afgelopen woensdag vond “Het grote cookiedebat” van de DDMA te Amsterdam plaats. Dit debat werd geleid door privacy jurist Arnoud Engelfriet. De selecte groep sprekers bestond uit compliance officer DDMA Jitty Doodewaerd, co-founder Adatus Johan van Mil en hoogleraar UvA, Media & Reclame Edith Smith. De grote vraag is natuurlijk: wat verandert er nu concreet nu de cookiewet per vandaag (1 juni 2012) in werking treedt?

Jitty Doodewaerd

De eerste spreker van de middag was Jitty Doodewaerd, die vooral inging op de juridische aspecten van de cookiewetgeving. Jitty opende haar presentatie met de mededeling dat de inwerkingtreding van de cookiewetgeving, voor de derde maal, verschoven is naar 8 juni a.s. Dit geeft de website-eigenaren dus nog een aantal dagen de tijd om de nodige aanpassingen door te voeren.

Update: Onder druk van Neelie Kroes is donderdagmiddag besloten dat de wetgeving per vandaag (1 juni) in werking treedt.

Na deze mededeling kwam een uitgebreide uitleg over wat cookies nou eigenlijk zijn en hoe de techniek achter cookies werkt. In dit artikel van Jeroen Smeekens wordt hier verder op ingegaan, mocht je hierin geïnteresseerd in zijn. Globaal gezien bevat een cookie altijd een domein, een pad, een naam of user ID, een houdbaarheidsdatum en uiteraard de inhoud van een cookie. Een cookie heeft als restrictie dat deze maximaal 4 KB groot mag zijn. Voor meer, technische, informatie over de werking van cookies kan je terecht bij dit artikel van PHPhulp.

Verder kwam aan bod dat er een duidelijk onderscheid tussen first party cookies en third party cookies is. First party cookies worden geplaatst door de website die je bezoekt zelf en deze worden gebruikt om een website beter te laten functioneren. Hierbij kan gedacht worden aan het onthouden van producten in een winkelmandje van een webshop.

Third party cookies zijn cookies die door een andere (derde) partij geplaatst worden op jou computer. Hierbij kan gedacht worden aan cookies voor analytics of remarketing. In dat laatste geval plaatst een adverteerder een cookie op je computer op het moment dat je een website bekijkt waar deze adverteerder op adverteert. Zodra je op een andere site binnen het netwerk van de adverteerder komt, wordt je herkend en de bannering op je afgestemd.

Regelgeving

Zoals enkelen van jullie wel, maar veel mensen ook niet zullen weten, is er altijd al wetgeving betreffende cookies geweest. Deze wetgeving is te vinden in het Besluit universele dienstverlening en eindgebruikersbelangen (BUDE). Hier staat concreet in dat een bezoeker van een website geïnformeerd dient te worden over het plaatsen van cookies op zijn of haar pc. Ja, ook Google Analytics valt onder deze wetgeving.

Europese richtlijn

Volgens de Europese richtlijnen is het plaatsen van BUDE artikel 4.1 in combinatie met de mogelijkheid om cookies uit te schakelen voldoende. Volgens de Europese richtlijnen is het echter niet noodzakelijk om expliciet toestemming te vragen en zal automatische toestemming via de browserinstellingen voldoende zijn. Let op: het gaat hier om een richtlijn. Ieder land mag zelf bepalen hoe ze deze richtlijn concreet in gaat vullen.

Nederlandse richtlijn

In de basis is de Nederlandse richtlijn gelijk aan de Europese richtlijn. Nederland accepteert echter de automatische toestemming in de browser niet. Dit komt door de opt-in houding van Nederland ten opzichte van de opt-out houding van "de rest van de wereld". De toestemming voor het plaatsen van cookies moet dus op een andere manier verkregen worden.

Amendement van Van Bemmel

Volgens de wetgevers in Nederland bestaat het vermoeden dat trackingcookies persoonsgegevens bevatten. Om deze reden geldt de regel van de omgekeerde bewijslast. Dit houdt in dat jij als website-eigenaar moet gaan bewijzen dat jouw cookies geen persoonsgegevens bevatten. Hoe je dit moet gaan bewijzen bij een cookie werd niet duidelijk, omdat dit in de praktijk heel erg lastig is.

Privacystatement

In het privacy statement heb je als website-eigenaar de informatieplicht om aan te geven dat je cookies verzamelt, waarom je die cookies verzamelt, welke informatie je met deze cookies verzamelt, of je informatie deelt met derden en welke houdbaarheidsdatum je cookies hebben. Een Nederlands voorbeeld hiervan kan je vinden op de website van de DDMA zelf.

In de UK is alleen de informatieplicht al voldoende en hoeft niet expliciet toestemming gevraagd te worden voor het plaatsen van cookies. Enkele voorbeelden zijn te vinden op de site van de BBC, Financial Times en op State of Search. De oplossing zoals deze op State of Search aangeboden wordt, kan een tijdelijke oplossing voor website-eigenaren in Nederland zijn. Dit is echter niet voldoende, aangezien hier niet expliciet om toestemming voor het plaatsen van cookies gevraagd wordt. Deze oplossing is te verkrijgen door het downloaden van deze plugin.

Wat weten we dan wel?

  • Het privacy statement dient aangepast te worden. Een vraagverwijzing naar dit privacy statement is echter onvoldoende
  • Er dient een duidelijke melding te komen dat een website cookies op de computer van de gebruiker plaatst
  • Er dient expliciet om toestemming gevraagd te worden voor het plaatsen van cookies
  • Er dient gezorgd te worden voor de juiste documentatie voor 1 januari 2013. Als advies werd gegeven om juridisch uit te laten zoeken waarom je, als website eigenaar first en (eventueel) thirt party cookies gebruikt. Ook moet je juridisch aan kunnen tonen waarom je geen persoonsgegevens verwerkt met de door jou verzamelde cookies.

Hoe moet je een bezoeker dan toestemming vragen?

Maar hoe moet je de toestemming voor het plaatsen van een cookie vragen aan je bezoekers? Dit is nog steeds een onduidelijk punt bij de Nederlandse website-eigenaren en hier is nog steeds geen duidelijke oplossing voor. Een website mag haar bezoekers wel weigeren wanneer deze geen cookies willen accepteren. Dit zal in de praktijk echter niet gaan gebeuren, aangezien de bezoeker dan wel naar de website van een concurrent gaat om daar het product te bekijken. Concreet is het dus nog steeds roeien met de riemen die we hebben. Een stap in de goede richting is het tonen van goodwill, wat betekent dat je moet laten zien dat je er wel mee bezig bent, maar dat je nog niet exact weet hoe je het aan moet pakken.

Opmerkelijk is dat wanneer je cookies weigert, er ergens op je computer een cookie geplaatst dient te worden die doorgeeft dat cookies geweigerd moeten worden. Ook deze cookie communiceert met websites en zo is deze persoon dus alsnog te volgen over het net. En wat te denken van pop-up-blokkeringen en antivirusscanners die eens in de zoveel tijd alle cookies verwijderen?

Escape

In Europa werken de browserbouwers aan een universele do not track-oplossing. Deze gaat, naar alle waarschijnlijkheid, dit jaar nog uitgerold worden. De verwachting is dat het vragen van cookie-toestemming tijdens een browserupdate plaats zal gaan vinden. Het is te hopen dat deze oplossing ook zo ingericht wordt dat deze voldoet aan de Nederlandse wetgeving en niet enkel aan de Europese wetgeving, waar de informatieplicht voldoende is.

Johan van Mil

De tweede spreker van de middag was Johan van Mil, werkzaam bij Adatus, dat zich specifialiseert in prospect targeting. Johan behandelde de impact van de cookiewetgeving op marketeers.

Waar worden cookies nou eigenlijk voor gebruikt?

Cookies worden m.n. gebruikt voor:

  • Het achterhalen, bekijken en analyseren van Google Analytics-statistieken, zoals aantallen bezoekers, gemiddelde tijd op de website, belangrijke uitstappagina's, bouncepercentages, etc.
  • Het regelen van frequency caps. Hierbij dient gedacht te worden aan bijvoorbeeld een homepage takeover. Wanneer deze cookie niet geplaatst wordt, zal een bezoeker van bijvoorbeeld Nu.nl iedere keer deze homepage takeover te zien krijgen wanneer hij deze website bezoekt. Door een cookie te plaatsen kan dit beperkt worden tot 1 of 2 keer per bezoeker.
  • Het meten van conversies op je website.
  • Het toewijzen van conversies bij meerdere sites. Welke site heeft er uiteindelijk voor gezorgd dat een conversie behaald werd en welke site dient hier dus voor beloont te worden.
  • Profiel opbouw op je eigen website.
  • Profiel opbouw over meerdere websites.

Cookie opt-in wetgeving

De onbekendheid van cookies leidt bij consumenten, logischerwijs, tot onbegrip. Consumenten snappen niet wat cookies zijn en wat cookies doen. Soms wordt een cookie vergeleken met het plaatsen van een webcam in de woonkamer van een consument. Dit is natuurlijk niet terecht, maar het is wel begrijpelijk dat consumenten dit zo ervaren.

De ICO, de Engelse OPTA, vraagt op haar website of zij cookies mogen plaatsen op de computer van een consument. Slechts 10% van de bezoekers van de ICO gaf daadwerkelijk deze toestemming, dit terwijl de ICO een erg betrouwbare website is. Aan de hand van deze data mag er dus vanuit worden gegaan dat het opt-in percentage van de gemiddelde website veel lager zal gaan uitvallen. Het grote nadeel van dit lage percentage opt-ins is natuurlijk dat er veel minder en onbetrouwbaarder inzicht in bezoekers, resultaten en attributie is.

Johan gaf eveneens aan dat hij verwacht dat de internetbesteding af zal gaan nemen. Hij verwacht dat er voor websites en apps betaald moet gaan worden om de kosten voor het online houden van deze websites en apps te dekken. Het huidige internet wordt immers betaald uit de advertentie-inkomsten. Als dit wegvalt, moeten de inkomsten dus ergens anders vandaan komen.

Geleerde les door fouten binnen de branche

De huidige wetgeving is natuurlijk door de website-eigenaren en adverteerders over zichzelf afgeroepen door een gebrek aan:

  • Er is geen duidelijkheid gegeven over cookies. Consumenten weten niet wat cookies zijn en wat ze doen
  • Er is geen transparantie gegeven in de data die door cookies verzameld wordt
  • Er is geen inzicht gegeven welke data er door cookies gebruikt worden
  • Er is geen duidelijke opt-out mogelijkheid aangeboden bij de consument

Huidige voorbeelden in de branche

Momenteel zijn er enkele voorbeelden binnen de branche, die echter veel te laat ingezet, waardoor we nu achter de spreekwoordelijke feiten aanlopen. Denk bijv. aan Your online choices en op nu.nl, dat onder aan iedere pagina het privacy- en cookiebeleid laat zien. Op deze manier wordt, gedeeltelijk, voldaan aan de informatieplicht en worden cookies toegankelijker gemaakt. De expliciete toestemming ontbreekt nog. Een ander Nederlands voorbeeld is Sooptoo. Zij geven de bezoeker (geringe) informatie over cookies en geven de bezoeker de keuze om akkoord te gaan te gaan met het plaatsen van cookies.

Ook zijn er voorbeelden van hoe het nu in de UK gaat, zoals Autotrader, dat rechtsboven in iedere pagina de melding "We use cookies" toont, en Reuters, dat op iedere pagina, rechts onderin een cookie-icoon laat zien, dat informatie verstrekt. In dit cookie consent staat welke cookies er geplaatst worden en heeft de bezoeker de mogelijkheid om deze cookies uit te schakelen. Persoonlijk vind ik dit het beste voorbeeld uit de UK. Maar nogmaals: in Nederland is informatieverstrekking verplicht, maar ook het expliciet vragen om toestemming bij het plaatsen van cookies.

Vergelijking met de politiek

Johan haalde m.b.t. deze oplossingsmogelijkheden een mooi vergelijking met de politiek aan: wanneer je de partijprogramma's niet kent, weet je ook niet op welke partij je moet gaan stemmen. Verstandiger was geweest om een aanlooptijd, van ongeveer een half jaar, te hanteren om op deze manier consumenten kennis te laten maken met cookies en de voor- en nadelen hier van.

Conclusie

Cookies zijn de basis van het huidige internet. Media in het buitenland noemen de wetgeving in Nederland "een stap terug, richting het internet van 1999". Het informeren van je bezoekers is en blijft het belangrijkste. Het is noodzakelijk om begrip te creëren bij je bezoekers. De keuze voor het toestemming geven voor het plaatsen van cookies volgt na het informeren.

Edith Smith

De derde en laatste spreker was Edith Smith, hoogleraar UvA, Media & Reclame. Edith ging in haar presentatie in op het gevoel van de consument met betrekking tot cookies. Eind 2011 heeft er een survey plaatsgevonden waarin onder andere gevraagd werd naar de kennis en houding van de consument ten opzichte van cookies en iconen die informatie over cookies verstrekken. Deze survey is door 202 personen ingevuld, waarvan 52% man en tussen de 18 en 63 jaar oud. De gemiddelde leeftijd lag op 31 jaar.

  • Algemene kennis: in de categorie algemene kennis werden er 9 stellingen voorgelegd waarvan er 4 niet waar waren. 80% van de respondenten heeft deze stellingen correct beantwoord.
  • Kennis over cookies: in deze categorie waren er 8 stellingen waarvan er 5 niet waar waren. Slechts 59% van de respondenten heeft dit correct beantwoord.
  • Cookie-icoon: 93% van de respondenten denkt dat ze het cookie icoon nog nooit gezien hebben. In onderstaand voorbeeld staat het cookie icoon in de rechter bovenhoek van de banner.



Nadat deze respondenten uitleg ontvingen over hoe het cookie-icoon eruit ziet en waar deze staat, beweert 7% dit logo echt nog nooit gezien te hebben, denkt 9% dat ze hier ooit wel iets over gehoord of gezien te hebben en beweert 35% bekend te zijn met dit icoon.

Conclusie survey

De algemene kennis van de consument is goed, daar waar de kennis over cookies minder goed is. Ook hebben de consumenten weinig kennis over het cookie icoon. De houding van de consument is licht negatief, met name over de privacy op het net. De consument is wel erg positief over een initiatief als het cookie icoon. Opmerkelijk is dat hoe meer kennis de consument over cookies en adverteerders heeft (gerichte informatie), hoe negatiever deze consument hier over denkt.

Conclusie presentatie

Er is te weinig kennis over cookies bij de gemiddelde consument. Er is, veel, meer uitleg nodig om dit te begrijpen. Zelfregulering, zoals het cookie icoon in een advertentie, is belangrijk aldus de consument. De vraag is of adverteerders dit wel gaan doen vanwege de negatieve gedachte die dit bij de consument oproept over adverteerders.

Hoe meer consumenten van cookies en de manier van werken van adverteerders afweten, hoe negatiever deze hier tegen over staan. Consumenten vinden het een onprettig gevoel dat een adverteerder weet waarin de consument geïnteresseerd is, zoals toegepast bij retargeting of prospect targeting.

Stellingen

Na de presentaties was het tijd voor een aantal stellingen van Arnoud en vanuit het aanwezige publiek. Onderstaand enkele hiervan, die door de sprekers en Arnoud beantwoord werden.

Stelling: Deze cookiewetgeving gaat het internet in Nederland kapot maken.

  • Johan: Deze cookiewetgeving gaat zeker een groot effect op het internet in Nederland hebben, maar kapot maken gaat te ver. De branche is creatief genoeg om hiermee om te gaan.
  • Jitty: Wel wordt de internetgroei potentie in Nederland op deze manier een halt toegeroepen.

Stelling: E-tailers worden groter. Gaan grote internationale partijen zich hier überhaupt wel wat van aantrekken. Is de concurrentie in Nederland nog wel eerlijk?

  • Jitty: Iedere aanbieder, gericht op de Nederlandse markt, moet zich aan deze wet gaan houden. Google en Facebook gaan zich hier waarschijnlijk niets van aantrekken, aangezien in andere landen de wetgeving veel soepeler is. Immers is informeren hier al genoeg. Waarschijnlijk gaat de Europese Unie nog wel druk uitoefenen op de browserbouwers om met een oplossing te komen, zodat de aanbieders in Nederland, die zich hier wel aan houden, niet te maken krijgen met oneerlijke concurrentie.

Stelling: Is collectief toestemming vanuit Google mogelijk? Ook voor bijvoorbeeld Google Analytics?

  • Jitty: Dit kan, maar dan wel via de Nederlandse wetgeving, waarbij er voldaan moet worden aan de informatieplicht en het expliciet vragen van toestemming. Het probleem is dat Google in de USA zit en dat je daar geen expliciete toestemming nodig hebt. Daar is het informeren op pagina 50 van de algemene voorwaarden voldoende. De vraag is dus ook of deze collectieve toestemming binnen Nederland voldoende zal zijn, mocht deze er komen.

Vraag: Hoe hoog is de boete bij een overtreding?

  • De boete bedraagt 250.000 euro per overtreding. Dus zowel voor het ontbreken van het vragen van toestemming, als het ontbreken van de informatieplicht. Het theoretische maximum is door de OPTA echter vastgesteld op 450.000 euro.

Vraag: Zijn er alternatieven voor cookies?

  • Een alternatief is om weer terug te gaan naar direct mailings... Van uit de zaal werd er gesproken over het oprichten van een stichting om op deze manier "samen" sterker te staan. Feit is echter dat deze wet al goedgekeurd is en dat iedere Nederlandse adverteerder / website eigenaar zich hier aan moet gaan houden. Technisch gezien is de wet volledig dichtgetimmerd. Het alternatief moet dus komen vanuit de branche.

Tot slot

Inmiddels zijn er al tig artikelen over de nieuwe cookiewetgeving geschreven, maar tot op heden is er nog niemand die exact weet hoe deze wetgeving ingevuld dient te worden. Het beste Nederlandse voorbeeld, waar ik weet van heb, is te vinden op de site van Sooptoo. Naar mijn mening is dit een goede stap in de juiste richting, maar nog lang niet voldoende. Er wordt maar weinig aan de informatieplicht gedaan en er wordt niet getoond welke cookies er opgeslagen worden, waar deze voor gebruikt worden etcetera.

Dus zoals bij ieder artikel over dit onderwerp: to be continued!

0

Gepost in: E-business, Web analytics , cookiewet, juridisch

26 Reacties

Weet je zeker dat de wet vanaf vandaag van kracht gaat? De link waar je naar refereert betreft 'de telecomregels', het is me niet duidelijk of hier de cookiespecifieke regels onder vallen.
Daarnaast melden overheidssites 8 juni (bijv. http://www.antwoordvoorbedrijven.nl/wetswijziging/recht-vrije-toegang-internet) en heb ik 1 juni niet specifiek in andere bronnen kunnen terugvinden.

geplaatst op om 09:00 uur

Denk ik te simpel als ik zeg dat Nederlandstalige websites dan maar de Belgische 'nationaliteit' moeten aannemen om de cookie-wetgeving legaal te omzeilen?

geplaatst op om 09:19 uur

@ Martijn: Deze richtlijn staat in de telecomwet en gaat dus per vandaag in.

@ Marco: Ja, helaas wel. Wanneer je als website-eigenaar je richt op de Nederlandse markt, ook al zit je zelf in een ander land, moet je voldoen aan de Nederlandse wetgeving.

geplaatst op om 09:25 uur

De nieuwe telecomwet (nr. 32549) is nog niet gepubliceerd in het Staatsblad (zie ook https://www.officielebekendmakingen.nl/staatsblad) en kan daarom nog niet van kracht zijn geworden. Voor zover ik weet heeft Nederland de Europese Commmissie alleen toegezegd de wet met grote spoed in te voeren, maar is niet specifiek 1 juni overeengekomen. Ook antwoordvoorbedrijven meldt nog altijd 8 juni al datum inwerkingtreding.

geplaatst op om 09:34 uur

@ Miranda: Bedankt voor je heldere toevoeging!

geplaatst op om 09:35 uur

@ Sebastiaan: bedankt voor je antwoord. Dan is mijn volgende vraag: wanneer richt je je op de Nederlandse markt? Een Vlaams bedrijf met als belangrijkste doelgroep Vlamingen verkoopt in zijn webshop wel eens aan Nederlanders. Valt dat bedrijf dan ook onder deze wet?

geplaatst op om 09:46 uur

@ Martijn: Goede vraag. Volgens mij, maar dat weet ik niet helemaal zeker, is het zo dat als je een .nl domein gebruikt, en / of adverteert op de Nederlandse markt, er van uit gegaan mag worden dat je je ook op de Nederlandse markt richt.

geplaatst op om 09:49 uur

@ Sebastiaan: ik denk dat hier een flink grijs gebied aan het ontstaan is... Neem bedrijven met een .com-domein en die niet adverteren, maar gewoon een hooggerankte website hebben die voldoende klandizie oplevert. Als jouw aanname juist is (en plausibel klinkt het wel), zouden die dus niet onder deze wetgeving vallen.

Ik begrijp dat je hier geen eenduidige uitspraak over kunt doen. Ik ben gewoon heel benieuwd hoe men juridisch gaat vastleggen welke organisaties wel onder deze wetgeving vallen en welke niet. Als dat onderscheid namelijk niet onomstotelijk vaststaat, zullen bepaalde juristen het nog heel druk gaan krijgen.

geplaatst op om 10:23 uur

@ Martijn: Ik ben het absoluut met je eens. Vandaar ook de afsluiting: "Dus zoals bij ieder artikel over dit onderwerp: to be continued!"

geplaatst op om 10:32 uur


Hij verwacht dat er voor websites en apps betaald moet gaan worden om de kosten voor het online houden van deze websites en apps te dekken. Het huidige internet wordt immers betaald uit de advertentie-inkomsten. Als dit wegvalt, moeten de inkomsten dus ergens anders vandaan komen.


Dit is wel heel erg overdreven geschetst door Johan van Mil. bijvoorbeeld e-commerce sites verkopen producten en die gaan echt geen "entreegeld" vragen. Die houden hun sites online zoals ze dat nu ook doen: door producten te verkopen.

Verder de cookie wetgeving zorgt ervoor dat targeting minder effectief wordt. Er kan nog wel degelijk geadverteerd worden en dus kunnen websites wel degelijk geld verdienen met advertising. Alleen het zogenaamde retargeting en remarketing zal verdwijnen. Dit heeft natuurlijk betrekking op bedrijven zoals Adatus (van Johan van Mil) die hier hun core business mee zien wegvallen.

Overigens een persoonlijke mening gebaseerd op eigen ervaring en metingen: Retargeting en audience targeting wordt echt scromelijk overschat! Wie zegt mij namelijk dat die bezoeker niet al bij mij zou uitkomen.

Echter advertising zoals google adwords, display, etc, die gaan gewoon door en gaan het gat gewoon opvullen. We moeten er als marketeers nu ook weer niet al te dramatisch over doen.

geplaatst op om 11:14 uur

@ Guus: Advertising zoals AdWords en display zullen inderdaad doorgaan, hier ben ik van overtuigd. Alleen wordt het natuurlijk wel erg lastig meten wat een bezoeker daadwerkelijk op jou website gaat doen, waar deze uitstapt en waar deze tegen aan loopt wanneer er geen toestemming geven wordt om een Analytics cookie te plaatsen.

Ik betwijfel persoonlijk ook of er "entreegeld" gevraagd gaat worden aangezien er voor een consument legio alternatieven zijn voor ieder product en / of dienst. Van uit Johan zijn bedrijf snap ik de beredenatie echter wel

geplaatst op om 11:59 uur

"Verder kwam aan bod dat er een - duidelijk onderscheid - tussen first party cookies en third party cookies is. First party cookies worden geplaatst door de website die je bezoekt zelf en deze worden gebruikt om een website beter te laten functioneren.

Third party cookies zijn cookies die door een andere (derde) partij geplaatst worden op jou computer."


Zoals Jitty Doodewaerd hier wordt aangehaald, is dit niet juist.

Er bestaat geen kenmerkende eigenschap die het verschil laat zien tussen first-party cookies en third-party cookies. Cookies zijn universeel: er is geen categorie first-party cookies en third-party cookies.

Een en dezelfde cookie kan zowel first-party, als third-party worden gebruikt. Het onderscheid first-party, of third-party kan alleen worden gemaakt binnen de context van een bezoek.

geplaatst op om 16:26 uur

Zoals je terecht opmerkt is er de afgelopen tijd veel geschreven over de cookiewet. Wat daarbij opvalt is dat in bijna al die artikelen zowel de wet zelf als de consequenties ervan verschillend worden uitgelegd.

Hierboven geef je bijvoorbeeld aan dat er een duidelijk onderscheid is tussen first en thrid party cookies, waarbij eerstgenoemde worden gebruikt om de website beter te laten functioneren. Daarmee lijk je te impliceren (but correct me if I’m wrong...) dat first party cookies zijn toegestaan, want de cookiewet maakt een uitzondering voor functionele cookies. De wet maakt inderdaad een uitzondering voor cookies die voor het functioneren strikt noodzakelijk zijn, maar dat betekent juist niet dat alle first party cookies zijn toegestaan.
Google Analytics is bijvoorbeeld ook een first party cookie, maar omdat de website prima kan werken zonder Google Analytics is hiervoor dus juist wel toestemming nodig. Als je daarentegen bijvoorbeeld gebruik maakt van een betalingsmodule van een derde partij die op jouw website een cookie zet om de transactie te kunnen voltooien, dan is daarvoor juist weer geen toestemming nodig.

Belangrijk is dus dat voor alle niet strikt noodzakelijke functionele cookies (of vergelijkbare technieken als Flash shared objects etc.) toestemming nodig is van de gebruiker. Daaronder valt, schat ik zo in, meer dan 90% van alle cookies.

@Guus
Waar jij van mening bent dat Johan de gevolgen erg overdrijft, denk ik dat jij de gevolgen nogal onderschat. Behalve (de boosdoeners) retargeting en audience targeting betekent het ook dat bijvoorbeeld web analytics, het meten en toewijzen van conversies (denk aan affiliate marketing), A/B testing, frequency capping of überhaupt meemeten met je eigen adserver; het is officieel vanaf vandaag zonder toestemming allemaal niet toegestaan. Er wordt dan ook niet voor niets (ook door buitenlandse media) gesproken over een terugkeer van de Nederlandse online branche naar de twintigste eeuw.

geplaatst op om 16:38 uur

Waarom kunnen wij marketeers dit soort 'anti-stalkwetgeving' niet zien als een kans? Deze week verscheen een nieuw boek van de Harvard Business School over de 'Intention Economy', ik beschrijf het hieronder:
http://metaalmarketing.wordpress.com/2012/03/06/intention-economy-stop-maar-met-die-privacy-discussie-en-database-marketing/

geplaatst op om 19:15 uur

@Remco en David: Bedankt voor jullie nuttige toevoegingen!
@ David: In het artikel geef ik niet aan dat first of third party cookies toegestaan zijn. Voor beide cookies geldt immers dat hier expliciet toestemming voor gevraagd dient te worden, mits de cookie functioneel is voor de website, zoals jij zelf ook aangeeft.

@ Edwin: De een ziet het als een kans, de ander ziet het als een bedreig. Feit is dat iedere website-eigenaar en / of adverteerder in Nederland zich aan deze wet moet gaan houden.

geplaatst op om 20:00 uur

Wat ik me afvraag, is het volgende:

Ik heb een website. Hier staat Google Analytics op en staan Adwords campagnes op geplaatst. Moet ik nu een melding maken en mensen toestemming vragen? Of zijn dit geen echte cookies? Ik meet alleen bezoekersaantallen en de herkomstbronnen. Adwords kan ik uiteraard niets veranderen aan de inhoud van de banners.

Wat zijn nou de acties die ik als site moet ondernemen?

geplaatst op om 16:57 uur

@Daniel
Ja, dat is exact de bedoeling. Je moet een melding maken dat je cookies wilt gaan plaatsen en dat je daar graag toestemming voor wil hebben. Daarbij moet je ook nog exact aangeven welke cookies je precies plaatst, welke soort gegevens die cookies bevatten en wat je daarmee doet. De cookies mogen vervolgens dus ook pas echt geplaatst worden na toestemming.

Krijg je die toestemming niet, dan mag er geen enkele niet functionele cookie gezet worden. Geen Google Analytics, geen AdWords conversiescript, etc. Strikt genomen is er dan echter een probleem: je mag namelijk dan dus ook geen cookie zetten die aangeeft dat je geen toestemming hebt gehad, want die cookie gebruik je ook om iemand later opnieuw te kunnen identificeren. Je zult diegene dus iedere keer weer opnieuw om toestemming moeten vragen.

geplaatst op om 18:00 uur

Als ik een Youtube filmpje embed zet Youtube natuurlijk een cookie, waar ik geen invloed op heb. Dus als iemand geen cookies wil mag ik dus ook geen cookies door Youtube laten plaatsen. Klopt de redenering dan ook dat ik geen Youtube filmpjes mag embedden en voorschotelen aan bezoekers die geen cookies willen?

geplaatst op om 19:15 uur

Dat is een leuke Frits. In principe mag dat niet, want ondanks dat jij geen invloed hebt op de cookie van Youtube heb jij wel invloed op de content van je website en dus ben jij indirect wel verantwoordelijk voor het plaatsen van die Youtube cookie. In dat geval zou je dus bij iemand die geen toestemming heeft gegeven een melding kunnen laten zien dat het filmpje niet werkt zonder toestemming voor cookies.

Echter: als diegene wel aan Google/Youtube/DoubleClick toestemming heeft gegeven voor het plaatsen van een cookie, dan mag het wel weer wel want de cookie is feitelijk van hun en zij hebben toestemming. Voor jou is dat alleen niet te controleren en dus zou Google die check eigenlijk in moeten bouwen binnen het embed script. De vraag is natuurlijk of ze dat doen.

Maar je zou je ook nog weer af kunnen vragen of de Youtube cookie niet functioneel en dus noodzakelijk is, want zonder die cookie kun jij het filmpje niet laten zien en functioneert jouw website niet goed. Ik weet alleen niet of de OPTA in deze denkwijze mee zou gaan ;)

Het geeft in ieder geval wel mooi aan hoe onpraktisch de wet eigenlijk is...

geplaatst op om 20:00 uur

En hoe zit dat dan met user generated content? Ik heb een groot forum/blogplatform waarop gebruikers zaken kunnen plaatsen zoals YouTube filmpjes?
Verder draait adsense en Google analytics en nog wat meetscripts die ik gebruik om de site te verbeteren en instellingen van de gebruiker op te slaan.Moet ik voor al deze zaken toestemming vragen of volstaat ik met het vragen van toestemming voor GA en adsense?

Ik vind het allemaal nogal vreemd dat NL zich als land kennelijk weer lastiger opstelt dan andere landen. Ik kan me niet voorstellen dat dit uiteindelijk nou zo'n groot voordeel oplevert voor de consument.

(ik klik bij deze reactie op 'onthoud mij', lekker makkelijk ;) )

geplaatst op om 23:23 uur

Een wet vol vragen over de implementatie. Ik kijk dan ook met veel belangstelling uit naar de eerste (proef)processen. Toch denk ik wel dat er een weg in wordt gevonden, maar alles valt of staat bij de handhaving. Een vergelijking met het rookverbod vind ik in dat verband wel op zijn plaats!

Technisch gezien is het voor deze wet dus eigenlijk geen probleem als we serverside wel gewoon allerlei gegevens uitlezen en opslaan. We kunnen nog best profielen opbouwen met serverside statistieken waar een addon op gebouwd wordt. Webalizer gaat nog eens heel groot worden :)

geplaatst op om 14:05 uur

@ Martijn:

Het uitlezen van data is uberhaupt niet meer toegestaan. Althans, niet zonder hiervoor expliciet toestemming te krijgen.

Ook het uitlezen van logboeken via de server etc. is dus niet toegestaan. Hetzelfde geldt voor fingerprinting.

@Eric:
Jij als website-eigenaar bent verantwoordelijk voor de inhoud van je website. Dus ook voor de cookies die bij het tonen van een Youtube video geplaatst worden.

In principe moet je, in z'n algemeenheid, toestemming vragen voor het plaatsen van cookies. Je kan wel, verwijzen naar een overzicht van welke cookies er geplaatst gaan worden en waarom (als ik me niet vergis).
Ik durf je niet met zekerheid te vertellen of het in/uit schakelen per cookie wettelijk verplicht is.

geplaatst op om 14:23 uur

@Sebastiaan;
Ik kan de exacte wettekst niet vinden die dit uitsluit. In artikel 4.1 waar in dit blogitem naar wordt verwezen, wordt alleen gesproken over het plaatsen van bestanden op de drager van de bezoeker. Zoals je weet gebeurt dat bij serverside registratie helemaal niet en zou dat dus buiten dit artikel kunnen vallen.

Misschien dat dit in de nieuwe wet ook wordt tegen gegaan maar daar heb ik nog niets over kunnen lezen.

Ik kan de wettekst uberhaupt nergens vinden. Want ik wil wel eens lezen wat ze nu precies in de brede zin onder cookies verstaan (heb ook html5 voorbij zien komen);
http://www.antwoordvoorbedrijven.nl/wetswijziging/recht-vrije-toegang-internet

geplaatst op om 14:59 uur

Hi Sebastiaan, namens DDMA wil ik je hartelijk bedanken voor dit uitgebreide verslag. Echt helemaal super! Wellicht wil je het verhaal nog uitbreiden met de DDMA handleiding Cookiewet 'Wet en werkelijkheid' die wij vandaag hebben gepubliceerd. http://ddma.nl/privacy/ddma-publiceert-handleiding-cookiewet-wet-en-werkelijkheid/

Tot een volgende keer!

geplaatst op om 17:50 uur

Bedankt voor het lezenswaardige artikel, al blijft implementatie lastig. De diverse linkjes in artikel nagekeken.

De plugin die onder kopje 'Privacystatement' wordt genoemd, heb ik geprobeerd, maar die biedt alleen info en een button 'I am happy with this'. Dus geen mogelijkheid om de cookies te weigeren!

Het voorbeeld van Reuters heb ik bekeken, maar als ik pagina laadt, plaatst hij zo'n 40 cookies. Als ik in hun popup aangeef dat ik ze allemaal uit wil schakelen, blijven de reeds geplaatste 40 staan. Als ik dan maar alle huidige cookies weggooi, weet Reuters niet meer dat ik geen cookies wil en plaatst hij de 40 weer bij volgend bezoek. Hoe dan ook, ik krijg altijd die cookies ;-)

Benieuwd wat jullie ervaringen zijn!

geplaatst op om 18:06 uur

De implementatie van http://www.fok.nl vind ik prijzenswaardig, maar ik zou het een webshop niet aanraden :)

geplaatst op om 18:12 uur

Plaats een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

  • Maximaal 5000 karakters. Basis HTML tags zoals <a> zijn toegestaan.

  • Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.