Hoe schrijf je een cookiebeleid?

Tips & voorbeelden om gebruikers te informeren over cookies

       @DannyOosterveer    43660 x bekeken

Hoe schrijf je een cookiebeleid?

De cookiewetgeving is één van de dingen waar online marketeers momenteel het meest mee in hun maag zitten. Of je nu voor of tegen de nieuwe regels bent, je zult er toch iéts mee moeten. Maar wat, dat is de grote vraag. In de vele topics die de afgelopen tijd op Marketingfacts zijn verschenen blijkt maar hoeveel onduidelijkheid er over bestaat, maar ook dat de wetgeving zelf niet eenduidig is. Ondertussen komt de implementatie langzaam op gang. Hoe je nu om moet/kunt gaan met opt-in is de grote vraag. Tot die tijd implementeren de meeste publishers de informatieplicht van de nieuwe cookiewet. In deze blog ga ik in op hoe en wat je in een dergeljke informatiepagina schrijft.

Opt-in

Dat veel bedrijven niet kiezen voor de implementatie van het opt-in beleid zou je 'burgerlijke ongehoorzaamheid' kunnen noemen. Zoveel keuzevrijheid om deze opt-in daadwerkelijk te implementeren bestaat er echter niet. Content management systemen en browsers zijn er simpelweg niet op gebouwd. Je kunt een dergelijke opt-in op siteniveau implementeren, maar met (de vaak grote hoeveelheid aan) third-party cookies kun je niet zoveel. Als site of platform heb je simpelweg geen controle over wat bv. een Google doet met de gegevens die ze in Analytics verzameld. Desalniettemin ben je als website eigenaar wel verantwoordelijk voor de plaatsing van deze cookie.

Een complexe situatie dus. Op dit moment wordt er door meerdere partijen druk gewerkt aan een mogelijke oplossing. Persoonlijk verwacht ik dat de browsers het probleem gaan oplossen door gebruikers meer controle te geven over de plaatsing van cookies. 

Informatieplicht

Zonder teveel die discussie weer open te gooien, wil ik het in deze blog hebben over de informatieplicht. Om al wel tegemoet te komen aan de nieuwe regelgeving zijn de afgelopen tijd steeds meer websites overgegaan op het informeren over de plaatsing van cookies. Veel sites hebben ervoor gekozen om gebruikers middels een infobalk te informeren, die veelal op een relatieve positie zichtbaar blijft wanneer gebruikers scrollen (bv. Nu.nl en Telegraaf.nl). Een plugin die ik ook vaker ben tegen gekomen is Cookie Control, die onder andere gebruikt wordt door ICT Recht. Een vergelijkbare tool is Cookie Consent. Vanuit de melding wordt verwezen naar het cookiebeleid van de website.

Wat moet je nu in een dergelijk cookiebeleid opnemen? Voor Marketingfacts ben ik bezig gweest om een dergelijke informatiepagina te schrijven. Hierna ga ik in op de onderdelen die je in overweging moet nemen.

Algemene uitleg over cookies

Leuk en aardig die cookiewet, maar de gemiddelde internetter, laat staan Henk en Ingrid, hebben weinig benul van wat cookies nu daadwerkelijk doen, en waarom je ze wel of niet zou accepteren. Het is daarom verstandig om bezoekers te informeren over wat cookies zijn en waar ze toe dienen. De Cookie Verklaring van Telegraaf/TMG beschrijft dit als volgt:

Bij het gebruik van websites van TMG kan door TMG en/of door derden informatie over uw gebruik van deze en andere websites worden verzameld, bijvoorbeeld door middel van cookies. Een cookie is een klein bestandje dat met pagina’s van een website wordt meegestuurd en door uw browser op de harde schijf van uw computer wordt opgeslagen. De cookie laat toe dat uw browser vervolgens wordt herkend bij herhaald bezoek aan een website.

Andere bedrijven, zoals Sanoma, vermelden expliciet wat cookies wél en niet doen om zo onterechte aannames over de opslag van persoonlijke gegevens weg te nemen:

"Weten cookies wie ik ben?"
Nee! Je naam, adres, leeftijd en andere persoonlijke gegevens weet een cookie niet. Ze onthouden alleen je voorkeuren en je interesses op basis van je surfgedrag.

Waarom?

Veel sites kiezen er voor om te benadrukken waarom ze cookies gebruiken. Ook voor het cookiebeleid van Marketingfacts heb ik dit beschreven. Of cookies nodig zijn voor het platform is uiteindelijk immers eigen keuze, en die moet je die ook kunnen uitleggen:

Het gebruik van cookies is van groot belang voor het goed laten draaien van onze website, maar ook cookies waarvan je niet direct het effect ziet (zoals Google Analytics) zijn zeer belangrijk. Zonder anonieme input van bezoekers hebben wij geen beeld van het gebruik van de website en hoe we hem kunnen verbeteren. De advertising cookie die wordt geplaatst zorgt middels een zogeheten ‘frequency cap’ dat je niet continu wordt benaderd door dezelfde advertentie.

TMG vermeldt ook expliciet de doeleinden van de plaatsing van haar cookies:

1) Voor functionele doeleinden: om het navigeren en het inloggen op de websites van TMG te vergemakkelijken of om uw instellingen en/of voorkeuren bij gebruik van websites van TMG te onthouden.

Voorbeeld: u logt in op een website en via een cookie weet ons systeem bij uw volgende bezoek aan dezelfde website dat u ingelogd bent. U hoeft dus niet opnieuw in te loggen.

2) Voor analytische doeleinden: om het gebruik van de TMG websites te analyseren.

Voorbeeld: er kan worden bijgehouden hoeveel bezoekers een bepaalde webpagina bezoeken, zodat TMG weet welke (onderdelen) van haar websites populair zijn.

3) Voor commerciële doeleinden: om bij te houden hoeveel en welke advertenties aan u zijn getoond (om te voorkomen dat u steeds dezelfde advertentie ziet) en om te kunnen nagaan of u op een advertentie heeft geklikt.

Voorbeeld: voor het vertonen van een video kan aan u een commercial worden vertoond. Om te voorkomen dat u telkens dezelfde commercial ziet, kan worden bijgehouden welke commercials al aan u zijn vertoond.

4) Voor “targeting” doeleinden: om op basis van uw surfgedrag een profiel van u op te bouwen, zodat op uw (vermoedelijke) interesses afgestemde advertenties kunnen worden vertoond. Dit profiel kan mede worden opgebouwd op basis van informatie van uw bezoek aan andere websites.

Voorbeeld: als u geregeld op www.telegraaf.nl/autovisie komt wordt er van uitgegaan dat u geïnteresseerd bent in auto’s

Mogelijkheid tot opt-out

Wanneer je niet aan de opt-in voldoet is het wel zo netjes om bezoekers zoveel mogelijk te informeren over de opt-out mogelijkheden. De meeste bedrijven verwijzen zodoende naar de mogelijkheid om cookies uit te schakelen in de webbrowser. ICT Recht wijst bijvoorbeeld op de uitleg van de Consumentenbond hierover:

U kunt deze cookies uitzetten via uw browser, zie bijvoorbeeld deze toelichting door de Consumentenbond voor uitleg.

Cookies voor advertenties kunnen door bezoekers worden uitgeschakeld via YourChoicesOnline, het zelfregulerende initiatief van de Europese reclamesector om gebruikers de mogelijkheid te geven advertentiecookies uit te schakelen. Hyves legt dit als volgt uit in haar policy:

[...] Daarnaast kun je de meeste cookies die bij gebruik van Hyves.nl worden geplaatst, zowel individueel als collectief weigeren via www.youronlinechoices.com/nl/uw-advertentie-voorkeuren. Hier kun je ook zien welke van de genoemde cookies actief zijn op jouw browser.

Ook voor Google Analytics is een opt-out beschikbaar. Via de website van Google kun je een browser plugin downloaden die de plaatsing van cookies voorkomt. Deze instelling geldt dan voor alle websites die worden bezocht.

Welke cookies?

De volgende stap is te vermelden welke cookies daadwerkelijk via de site worden geplaatst. De ene site gaat daar verder in dan de andere. De website van de BBC is een extreem voorbeeld dat op de cookie nauwkeurig uitlegt waartoe het dient:

De meeste sites gaan zover niet, maar vermelden wel welke type cookies worden geplaatst. Als het voor jezelf niet duidelijk is welke cookies er via je platform worden geplaatst kun je gebruik maken van de 'View Cookies' plugin voor Firefox. Deze laat per pagina zien welke cookies er worden gebruikt. Voor Marketingfacts heb ik de volgende onderverdeling aangehouden:

  • Functionele cookies
    • Cookies tbv kernfuncties
    • Sociale knoppen
    • Embedded content
  • Analytics cookies
  • Advertising cookies

Om een idee te geven van een uitwerking volgt hier de pagina van Marketingfacts:

Functionele cookies

Kernfuncties
Dit zijn cookies die strict noodzakelijk zijn voor het functioneren van de website. Zonder deze cookies kunnen bepaalde onderdelen niet worden gebruikt. Zo wordt er op Marketingfacts gebruik gemaakt van cookies om in te kunnen loggen en te reageren. Ook worden cookies gebruikt om instellingen en voorkeuren te onthouden.

Sociale knoppen
Op de site zijn knoppen opgenomen om pagina’s te kunnen promoten of delen op Facebook, Twitter, Google Plus en LinkedIn. Deze knoppen zijn stukjes code van de sociale media zelf, en maken gebruik van een cookie. Deze cookie onthoudt dat je ingelogd bent zodat je niet elke keer op Twitter of Facebook hoeft in te loggen zodra je iets wilt delen. Om te zien wat zij met persoonsgegevens doen die zij met deze code binnen krijgen, kun je de privacyverklaringen van Facebook, Twitter, Google+ en LinkedIn (welke regelmatig kunnen wijzigen) inzien.

Embedded content
In blogartikelen kan gebruik worden gemaakt van content die op andere sites wordt gehost en op Marketingfacts wordt ontsloten. Denk hierbij aan Slideshare presentaties, YouTube video's en Storify. Op vergelijkbare wijze als de sociale knoppen maken deze codes vaak gebruik van cookies. Wat zij met de cookies en persoonsgegevens doen kun je vinden in het privacybeleid van de desbetreffende dienst. Wij hebben hier geen controle op.

Advertising cookies

Om advertenties te serveren wordt een cookie van DoubleClick geplaatst. Deze cookie houdt geen surfgedrag en persoonlijke informatie bij, en zorgt er alleen voor dat niet continu dezelfde advertenties worden vertoond. Dit wordt ook wel een 'frequency cap' genoemd. Als je desondanks deze cookie niet wilt laten plaatsen kun je dit aangeven op de website van YourChoicesOnline.

Stijl

Ieder platform heeft zijn eigen tone of voice. Zo merk je al op dat bovenstaande tekst niet heel formeel is. Om de cookiebepalingen toegankelijk te maken is het verstandig het in eigen taal te vertellen. Zo zal je zien dat de teksten op de website van ICT Recht formeler en meer juridisch zijn ingestoken.

GeenStijl is mooi voorbeeld van een platform dat de regels in eigen stijl beschrijft:

Tot slot
Meer weten over het achterlijke 'cookieverbod' en onze visie erop? Zie hier.
Mocht je na het lezen van dit alles bezwaar hebben tegen ons beleid? Dan is de oplossing heel simpel: leeg je cache, verwijder je browsergeschiedenis en flikker lekker op. Wij hebben geen zin om door allemaal hoepels te springen omdat Den Haag niet begrijpt hoe het internet werkt.

Conclusie

Met bovenstaande voorbeelden hoop ik op weg te hebben geholpen om ook zelf een cookiebeleid te kunnen schrijven. Ken jij mooie voorbeelden van andere sites? Ik hoor ze graag in de reacties!

[update]

Ik krijg zojuist van blogger Yoteng Pat door dat zij voor m4n/zanox een infographic hebben ontwikkeld om zo gebruikers nog duidelijker te kunnen vertellen waartoe cookies dienen en wat ze precies doen:

Meer weten over de cookiewet? Bekijk het boek/ebook 'Cookies: Deskundig en praktisch juridisch advies' van Arnoud Engelfriet.

Afbeelding: Iryna Yeroshko (cc)

0

Gepost in: Online advertising , How-to , cookiewet, juridisch

8 Reacties

Opzich zou het wel mooi zijn als 'de overheid' met een paar voorbeelden komt hiervan. Zij willen toch namelijk dat wij het invoeren. Anders komen er straks weer allemaal verschillende versies waar iedereen zijn eigen draai aan gaat geven, waardoor het uiteindelijk mss ontzettend onduidelijk wordt. Moet er dalijk nog een 'cookie keurmerk' gaan komen ;)

geplaatst op om 22:38 uur

Ook al is de cookiewet slechts een naamconventie die makkelijk uitkwam, wil het niet zeggen dat het zich tot cookies beperkt. Denk bijvoorbeeld aan andere vormen van profilering & voorkeur opslag (zoals via databases). Een kleine tip voor diegene die helemaal van hun cookie plaatsende analytics software af willen zien: is het gebruiken van open source software zoals Open Web Analytics. Hierbij is het mogelijk om niet van cookies gebruik te maken maar enkel van PHP code.

geplaatst op om 22:44 uur

@Marijn

Ik heb enige tijd geleden met OPTA gesproken, en ze bieden juist geen concrete voorbeelden omdat elke situatie te verschillend is. Een beetje webmaster zal zich niet door de techniek af laten schrikken.

geplaatst op om 22:46 uur

Bedankt Danny, voor de heldere uitleg... moet er toch maar eens aan de slag geloof ik :)

geplaatst op om 08:07 uur

Sorry daarvoor ;-)

Maar het maakt het je wel wat makkelijker hoop ik

geplaatst op om 09:57 uur

@ Danny, goede informatie.

Ik vul het graag aan met wat informatie.

De cookie wet is een EU wet. Is niet in NL verzonnen, en geldt voor alle EU landen. Nederland werd samen met een paar andere EU landen onlangs door de EU gedwongen op straffe van een boete om deze wet heel snel te implementeren, de meeste EU landen waren namelijk al verder met de implementatie. Dat is de reden dat de wet versneld is ingevoerd in NL.

De cookie wet geldt voor ieder EU land, en is dus overal hetzelfde als de wet letterlijk wordt geïnterpreteerd: namelijk expliciete toestemming is vereist voor het zetten van een cookie.

De praktijk is gelukkig genuanceerder: de lokale handhaver (bijvoorbeeld de OPTA in NL, en de ICO in de UK) kunnen in hun handhavingsbeleid rekening houden met hun eigen interpretatie van de wet.

Een goed voorbeeld is de ICO in de UK. In eenvoudige taal (even niet juridisch) komt het erop neer dat de ICO zeer recent (vlak voor het in werking treden van de cookie wet) heeft aangegeven dat het niet reageren op een cookie melding of het wegklikken van een cookie melding betekent dat iemand akkoord gaat met de cookies. Dit is een interpretatie van de EU wet die op lokaal niveau kan worden toegepast.

Ik verwacht dat de OPTA dezelfde koers gaat varen als de Britse ICO.

geplaatst op om 21:02 uur

Het principe is eenvoudig, over de praktische uitvoer van deze wet is helaas slecht nagedacht. Een leuk artikel op deze site is ook http://www.marketingfacts.nl/berichten/websites-negeren-massaal-de-cookiewet

geplaatst op om 15:55 uur

Het is en blijft een lastig ding. Wij zijn ook bezig met een cookie pop-up en beleid, maar weten nog niet zo goed wat nu precies wel en niet mag. Vandaar dat ik bij dit artikel terecht kwam. Erg handig, bedankt daarvoor!

geplaatst op om 16:02 uur

Plaats een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

  • Maximaal 5000 karakters. Basis HTML tags zoals <a> zijn toegestaan.

  • Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.