OPTA: “De cookiewet is duidelijk.” Maar geldt dat ook voor OPTA zelf?

Verslag van DDMA's iLounge ‘Het cookiedebat 2.0’

       @bramkoster    8306 x bekeken

OPTA: “De cookiewet is duidelijk.” Maar geldt dat ook voor OPTA zelf?

Gisteren vond in Amsterdam DDMA's iLounge plaats met als thema 'Het cookiedebat 2.0'. Op 1 januari jl. startte de actieve handhaving op de naleving van de 'cookiewetgeving' door OPTA, dus het was een mooi moment om de balans eens op te maken. En al helemaal omdat o.a. OPTA zelf aanwezig was om te spreken. Het werd een … laten we zeggen interessante discussie tussen de sprekers onderling en met het publiek.

OPTA

OPTA opende de middag in de persoon van Evert-Jan Hummelen, Plaatsvervangend Afdelingshoofd Consument, Nummers en Bestuur. Hij formuleerde het doel van de cookiewetgeving als volgt:

De gebuiker weet wat er met zijn surfgegevens gebeurt en heeft de keuze of hij deze gegevens deelt.

Daarbij was het probleem dat er qua 'weten' een kenniskloof bestaat tussen de markt en de gebruiker en qua 'keuze' dat gebruikers iets te kiezen moeten hebben.

De wetgeving die nu bepaalt wat wel en niet mag, laat volgens Hummelen aan duidelijkheid niets te wensen over. En ook juristen beamen dat: de bepalingen in de wet zijn helder. Wel is het implementeren ervan vervelend voor de branche.

Een beetje tegenstrijdig was het wel dat in zijn volgende slide de eerste onduidelijkheden de kop opstaken. Want waar het niet is toegestaan om (niet-functionele) cookies te plaatsen zonder toestemming, kun je toestemming toch wel op veel verschillende manieren interpreteren. De wet geeft aan de de toestemming "vrij, specifiek en op informatie berustend" gegeven moet worden. Maar is die toestemming ondubbelzinnig, uitdrukkelijk, voorafgaand aan of volgend op, expliciet of impliciet?

Hummelen ging ook in op de huidige stand van zaken voor wat betreft de implementatie door de branche. Een aantal punten dat hij noemde:

  1. 12 van de websites uit de STIR top-25 gebruiken de informatieteksten zoals opgesteld door DDMA & IAB (i.s.m. OPTA).
  2. 22  van diezelfde websites vragen toestemming voor het plaatsen van cookies (status vorige week).

Cookiemuur

Maar het meest opvallende punt dat Hummelen aanhaalde, was dat van de 'cookiemuur'. Deze constructie - waarbij bezoekers van een website alleen toegang krijgen als ze (alle soorten) cookies accepteren, zoals ook hier op Marketingfacts gebruikt - is volgens hem nl. niet in lijn met de geest van de wet. En hij gaf toe verrast te zijn van die uitwerking van de cookiewetgeving. Het was immers de bedoeling om de gebruikers meer keuze te geven. En is die er eigenlijk wel?

De cookiemuur van Marketingfacts

Als de enige keuze is: accepteer alles of je bent niet welkom, is er dan wel echt sprake van een keuze? Natuurlijk is er de mogelijkheid om de website niet te betreden. En Hummelen geeft aan dat dat inderdaad met het oog op de wet voldoende keuze is.

Interessanter nog is de vraag of het accepteren van cookies in het geval van een cookiemuur wel een 'echte' ja is. Immers: is die keuze dan wel "vrij, specifiek en op informatie berustend"? Hierover heerst momenteel twijfel bij OPTA, dus de kans bestaat dat ze hier op termijn een stelling over innemen.

Dat kan overigens volgende week al zijn, omdat dan de update van de bestaande Frequently Asked Questions verschijnt. Eigenlijk was de publicatie ervan gepland tijdens het event, maar er moesten toch nog wat mensen naar kijken…

Publieke omroep

Jeroen Verspeek, Hoofd Kijk- en LuisterOnderzoek Nederlandse Publieke Omroep, vervolgde het programma. Saillant, omdat de NPO een van de eerste organisaties was die op grote schaal een 'cookiemuur' metselde. Of, in Hilversumjargon: een 'omroepbrede toestemmings-overlay'.

Al snel na de ingebruikname van de wet in juni vorig jaar kwam binnen de NPO de discussie op gang over de cookiewetgeving. En daarbij was de realisatie volgens Verspeek: "Dit gaat niet leuk worden. De effecten zijn sowieso negatief en er is geen enkele oplossing die alle nadelen tegengaat."

Daarbij zit de NPO ook nog in de squeeze dat het als doel heeft een hoog publieksbereik te behalen, terwijl het wel cookies moet voeren voor webmetingen voor bereiksmeting (comScore/STIR), voor STER-doeleinden, social media-toepassingen en nog veel meer. Al deze belangen vergen nauwkeurige afweging.

Om de belasting bij de gebruiker te beperken en deze niet nodeloos met dezelfde vraagstelling te confronteren, werd gekozen voor de omroepbrede implementatie. Bij de ingebruikname van de cookiemuur was er het besef dat dat niet de meest publieksvriendelijke oplossing was, dat er negatieve gevolgen zouden zijn voor het websitebezoek en het bereik en dat er imagoschade zou ontstaan. Juist daarom is gekozen voor publieksvriendelijke communicatie rond het onderwerp, o.a. in de vorm van een korte uitlegvideo.

Resultaten

Wat zijn uiteindelijk de resultaten? Uit onderzoek (een survey, geen meting) blijkt dat 92% van de bezoekers gaat akkoord met de cookies, 8% niet. Om verschillende redenen is het effect op het bereik lastig om exact vast te stellen. Er was een tijdelijke dip te zien van 10 tot 20% qua bereik, inmiddels lijkt er sprake van 0 tot 5% verlies in bereik op de middellange termijn. Door de continue autonome groei is het absolute bereik overigens alweer uitgestegen boven het niveau van vorig jaar én van vlak voor de invoering van de cookiemuur.

Sundio

De Sundio Group, dat veel reislabels voert zoals Sunweb, Jiba, GOGO, Sudtours en Eliza was here, behaalt 95% van z'n omzet via internet. Vandaar dat Bas Geenen, E-Commerce Manager van Sundio, het vermoeden had dat de implementatie van de cookiewetgeving wel impact ging hebben. Dat bleek mee te vallen.

Sundio liet voor alle alternatieven van implementatie (afwachten, opt-out i.p.v. opt-in en de cookiemuur) oplossingen bouwen en startte met de cookiemuur. Deze is overigens minder strikt doorgevoerd dan bij de NPO, want je krijgt als bezoeker van een Sundio-website wél toegang tot de site als je de cookies niet accepteert. De muur dwingt wel een keuze af, want zonder keuze krijgen bezoekers géén toegang.

Funnel

De cookiemuur werd beschouwd als een funnel die geoptimaliseerd kan worden. Er werd dan ook nauwkeurig gemeten welke keuzes bezoekers maakten. Al met al bleek dat enorm mee te vallen.

  • Het percentages bounces ligt op 25% en dat is vergelijkbaar met de situatie vóór de implementatie van de cookiemuur.
  • 45% van de bezoekers accepteren direct de cookies.
  • 29% van de bezoekers accepteren alsnog de cookies na gekozen te hebben voor de optie met 'meer informatie'.
  • Slechts 1% weigert de cookies.

Bij nadere analyse bleken er bovendien geen verschillen te zijn tussen de diverse (label)websites en hun respectievelijke doelgroepen, noch tussen de seizoenen.

Sunwebs uitleg over de cookie-instellingen. Dit is de defaultwaarde, waarbij de gebruiker alle cookies accepteert.

En het belangrijkste: de omzet daalde niet. Al met al reden genoeg om te stellen dat de invoering van de cookiewetgeving bij Sundio geen effect heeft gehad. Of toch, maar dan bij de consument: die stoort zich nl. aan het moeten nadenken over en wegklikken van het cookiescherm.

Observaties

Geenen sloot af met een aantal observaties:

  • De consument zit niet op deze wet te wachten en/of begrijpt deze niet.
  • De invoering heeft geen impact voor e-commercepartijen, althans niet op die partijen met een vergelijkbare lange 'customer journey' als bij reizen. In het geval van impulsaankopen, het andere uiterste, zal het effect wellicht anders zijn.
  • Er zijn aanwijzingen dat de effecten van de invoering anders zijn voor sterke merken dan voor non-brands. Sterke merken ondervinden al met al minder hinder.
  • De informatieplicht ligt nu bij de website-eigenaar, maar het incentive daartoe mist. Bovendien zit de klant er niet op te wachten, waardoor het sterk de vraag is of het logisch is deze constructie te handhaven. Wellicht is het logischer de informatieplicht te centraliseren.

Concluderend stelde Geenen vast dat privacy een kwestie is van vertrouwen. Juist voor een partij als Sundio is klantvertrouwen van levensbelang. Daarom lijkt het logischer om privacy te koppelen aan die klantrelatie, dan het te vast te leggen in een proces dat juist tot minder vertrouwen leidt.

Discussie

In de afsluitende discussie met de drie sprekers - onder leiding van moderator Arnoud Engelfriet, privacy jurist bij ICTRecht.nl - kwamen er veel (terechte) vragen los vanuit de zaal.

Veel daarvan spitsten zich toe op de opmerking van Hummelen van OPTA dat cookiemuren "niet de bedoeling van de wet" waren. Maar ondanks enkele pogingen liet hij zich niet verleiden tot het doen van (juridische) uitspraken over wat wel en niet past.

Daarnaast wekte Hummelen verbazing door te stellen dat er in de nieuwe versie van de Frequently Asked Questions, die volgende week uitkomt, de eisen t.a.v. omgekeerde bewijslast wellicht worden versoepeld. Het bijhouden, opslaan en kunnen aantonen van de toestemmingsvereisten heeft immers veel bedrijven voor flinke investeringen gesteld. Het zou op z'n zachtst gezegd wrang zijn als nu blijkt dat een deel van die investeringen niet nodig blijken te zijn.

Engelfriet maakte nog de opmerking dat de discussie over privacy eigenlijk niet thuishoort bij de wetgeving die de 'cookiewet' is gaan heten. Allereerst gaat die wet zeker niet alleen over cookies, maar over alle momenten waarop bedrijven informatie bij een gebruiker willen plaatsen of aflezen. Het oorspronkelijke voorstel was bijv. bedoeld om te zorgen dat bedrijven niet zomaar een browserbalk mogen installeren.

Pas op een later moment is daar het aspect van persoonlijke informatie en de uitwisseling ervan over meerdere websites aan toegevoegd. Daarbij wordt gesproken over privacy, maar daarvoor zijn al langere tijd andere wetten van kracht. Dat maakt de discussie soms wat lastig.

Conclusie

Het is en blijft een rare situatie. Zoals jurist Frans Blanchard na afloop terecht stelde: als de VS al onze persoonlijke gegevens willen hebben zodra wij in een vliegtuig naar dat land stappen, geeft de EU die zeer gemakkelijk prijs. Maar binnen de EU zelf wordt er op het gebied van privacy opeens streng opgetreden. En binnen de EU vormt Nederland nog eens een uitzonderingspositie door het vereisen van expliciete toestemming.

Al met al kan ik me dan ook niet anders voorstellen dan dat we over een paar jaar, als we met een wijntje erbij terugkijken naar hoe het ooit was, in de lach schieten als de discussie op de cookiewetgeving komt. We lijken immers te verzanden in technische discussies over welke cookies wel of niet 1st party zijn en hoe de toestemming moet verlopen. Daarbij lijkt de relatie met het échte probleem, nl. het verlies van privacy bij de consument, uit het oog verloren te zijn. 

Bij mij persoonlijk kwam de parallel op met digital rights management (DRM) in de muziekindustrie, waarbij de discussie ook verzandde in technische standaarden, interoperabiliteit, etc. Uiteindelijk vindt de consument z'n weg wel om dergelijke hindernissen heen, om weer vrolijk verder te gaan waar hij gebleven was. Wat er in de discussie ontbrak, was dan ook de visie op hoe de dagelijkse praktijk van de cookiewetgeving er over 2 jaar uit moet zien en welke stappen er gezet moeten worden om daar te komen.

Dat is niet per se gek vanuit het perspectief van OPTA. Het is immers handhaver en toezichthouder, niet de bepalende partij. Wat wél gek is, is dat OPTA niet de consequenties van de wetgeving doorzag. Want door aan te geven niet te hebben voorzien dat veel partijen zouden kiezen voor een 'cookiemuur', labelt het zichzelf als naïef. En het bewijst ermee ver te staan van de dagelijkse praktijk; de praktijk waarop het geacht wordt toezicht te houden.

Die afstand is, meer nog dan de afstand tussen politiek en praktijk, bepalend voor de manier waarop de wetgeving in de komende tijd ingevoerd, gecontroleerd en gehandhaafd gaat worden. En die afstand doet vrezen dat de discussies rond dit onderwerp nog wel even zullen aanhouden. Aan de wet kan het niet liggen, want die is volgens OPTA zelf 'klip en klaar'. De onduidelijkheid wordt dus veroorzaakt door de interpretatie van die wetgeving. Door details, door de dagelijkse praktijk. En die onduidelijkheid is groot, getuige de minimaal 150 aanwezigen tijdens de iLounge.

De enige partij die de zo gewenste duidelijkheid kan brengen, is OPTA. Gisteren liet het dat glansrijk na. Het maakt dat we alleen maar nóg reikhalzender uitkijken naar de nieuwe versie van die Frequently Asked Questions van volgende week, al weet iedere online professional dat als je FAQs nodig hebt ... Juist.

Wordt vervolgd!

0

Gepost in: E-business , cookiewet, juridisch, privacy

13 Reacties

Interessant om te zien is dat de ICO, equivalent van de OPTA in de UK, zojuist bekend heeft gemaakt op de eigen website geen toestemming meer te vragen alvorens cookies te plaatsen. Daar wordt nu duidelijk gekozen voor een opt-out.

Zie hier en ico.gov.uk.

Benieuwd of de Nederlandse wetgever, of handhaver, daar ooit een voorbeeld aan zal nemen.

geplaatst op om 13:09 uur

@Ruud: Evert-Jan Hummelen ging kort in op ICO. Ik kreeg de vraag vanuit het publiek niet helemaal mee, maar volgens mij ging die hierover. Hummelens antwoord was dat hij hierover heeft gesproken met ICO en dat hij had aangegeven dat hij zich op geen enkele manier kon indenken hoe hun keuze te 'matchen' is met de Europese regelgeving. Volgens hem gaan ze dan ook een verkeerde kant op.

Nogmaals, ik weet niet 100% zeker dat het over dit exacte punt ging, maar het kan zeker een interessante discussie worden om in de gaten te houden. Het lijkt erop dat 'Europa' het nooit met zowel de Engelse als de Nederlandse interpretatie eens kan zijn. Dus wie weet komt er vanuit hen binnenkort meer richting?

geplaatst op om 13:28 uur

@Bram,
Je hebt het helemaal goed begrepen. OPTA is het niet eens met de lijn van de ICO en vindt dit geen goede invulling van de vereisten uit de ePrivacy Richtlijn (toestemming en informeren).

geplaatst op om 14:57 uur

Dat lijkt me ook vrij vanzelfsprekend, de insteek van de ICO lijkt me ook niet de beste. Maar het zegt wellicht wel iets over de haalbaarheid van de wetgeving en de handhaving daarvan. Zeker als je nagaat dat de implementatie in Nederland in de basis nog een stuk stricter is.

geplaatst op om 15:03 uur

Top stuk , dank voor de info, wat zonde dat mensen die er geen verstand van hebben beslissen over dit soort zaken. Consument snapt er niets meer van.

Muzikale noot
the Cookie anthem 2013; Andre Hazes - Zo heb ik het nooit bedoeld

geplaatst op om 15:42 uur

@Jitty: Dank voor de bevestiging! Wel opvallend dat er zulke verschillende interpretaties zijn tussen landen. En dat is een understatement. Zeker multinationals zullen dat zeker gaan gebruiken richting 'Europa' om aan te dringen op uniformering. Erg benieuwd naar de volgende ontwikkelingen in dit proces dat langzamerhand iets wegkrijgt van een soap.

geplaatst op om 15:58 uur

Dank voor de link Bram :) Tis idd een soap geworden. Mijn bedrijf is actief in 7 Europese landen en heeft dus ook sites in die landen en de NLse interpretatie is in vergelijking absoluut de lastigste en schiet m.i. zijn doel rijkelijk voorbij.

geplaatst op om 16:35 uur

Oef, goed artikel dit.. Het uit de maat lopen met EU blijf ik bizar vinden. Zo bizar om juist een wet als dit te kiezen (forse economische schade) om zeer streng toe te passen. NL doet hiermee niet alleen schade toe aan Nederland maar ook aan andere Europese landen die wel het belang van E-commerce begrijpen en nu dus gefoceerd worden 'strenger' te zijn. Wat een onzin, en waarvoor? Privacy? Daar gaat het toch allang niet meer over...

Dat de UK/ICO afwijkt van deze wet heeft er wellicht mee te maken dat de markt daar al een stuk verder / volwassener is. Of dat daar wel goede online lobby clubs rondlopen.. Of dat de politiek daar wel online kennis heeft..

Afijn.. Maar weer doorontwikkelen dan aan onzinnige tijdelijke cookiebalken.

geplaatst op om 17:52 uur

Ik zou zo graag eens gewoon twee uur lang met iemand van de OPTA om tafel gaan en vertellen wat we doen.

Dan zou ik vertellen dat cookies inderdaad gebruikt kunnen worden om allerlei persoonsgegevens op te slaan, maar dat dat om uitzonderingen gaat. Ik zou vertellen dat we doorgaans naar totalen kijken omdat we proberen betere sites en betere campagnes te maken.

We gebruiken wel cookies, maar dat doen we alleen om vragen te beantwoorden van het niveau: Hoeveel procent van de mensen uit campagne x haakt af op de site? Waar haken ze af? Wat is het rendement van een campagne? enz.

Ja, daar gebruiken we cookies voor. En ja, in technische zin 'volgen' we dan mensen. Maar we zijn helemaal niet geïnteresseerd in die individuele personen. We kijken naar groepen en we kijken naar trends. En dat doen we omdat we als marketeers en eigenaars van websites dingen willen verbeteren.

Hoe meer ik hoor van de OPTA, hoe meer ik het idee krijg dat ze denken dat marketeers allemaal boeven zijn die erop uit zijn om de privacy van mensen zo veel mogelijk te schaadden. Ik krijg het idee dat ze nog nooit langer dan een minuut met een marketeer gepraat hebben en gewoon geïnteresseerd hebben doorgevraagd wat zo'n marketeer nou eigenlijk de hele dag doet en waarom.

Mocht iemand van de OPTA (of een van de vele waardeloze politici) dit lezen: Ik bied me aan. Mail of bel me even (zie mijn gegevens op < a href="http://www.stormmc.nl">storm marketing consultants</a>) en ik leg je in twee uur uit wat digital marketing is en wat marketeers doen en waarom. Ik zou het leuk vinden om te vertellen over ons vak en te laten zien dat we best aardig zijn.

Al vraag ik me af of iemand van de OPTA, of een politicus uberhaubt op marketingfacts komt, en dan naar de 10de comment gaat om zich in te lezen....

geplaatst op om 16:35 uur

@remi: jij niet, wij, of delen van de industrie, niet, maar er zijn ook hele foute partijen bij. Het probleem is dat de wet altijd weer generiek moet zijn en men nog steeds niet in staat is om onderscheid te maken tussen algemeen en specifiek.

Het is op zich jammer en vreemd dat we ons Europese systeem, waarbij de intentie van de wet belangrijker was dan de exacte bewoording (rule based). In de VS is het veel meer rule based en we nemen dat systeem helaas over. Dat is jammer. Ik zou zelf graag zien dat we hier duidelijker zouden worden over de intentie en op basis daarvan niet de exacte wet voorschrijven.

geplaatst op om 11:04 uur

Complete non discussie.
Elke browser biedt de gebruiker de mogelijkheid om cookies helemaal niet of onder bepaalde voorwaarden te accepteren.

Default zou deze instelling "niet" moeten zijn.

Wie geen idee heeft waar het over gaat doet er verstandig aan zich niet op het internet te begeven.

Het is net als met apparatuur, maak het web geschikt voor dummies en alleen dummies zullen het nog gebruiken.

Misschien moet er een differentiatie komen in internetabo's waarbij onderscheid wordt gemaakt in een volwaardig internet of een internet abo met een dummie slot.
Via het dummie abonnement is het niet mogelijk om cookies op te slaan, betalingen te verrichten, webwinkels te bezoeken enz enz.

geplaatst op om 13:38 uur

Ik zie 2 problemen nog onbesproken.

1. Behavioural targeting dmv cookies wekte irritatie. Je kijkt 1x naar slippers bij Wehkamp en tot in lengte van dagen zie je overal die slippers opduiken. Dat is nu niet meer, maar in ruil daarvoor hebben we op elke site een cookiemelding. Als consument zijn we van de regen in de drup geraakt (niet de schuld van de OPTA trouwens maar van de wetgever). Nog krommer: spam kon je ook wegklikken maar nee, dat kost toch veel productiviteit dus daar is wetgeving tegen. Wrang dat dezelfde wet nu veroorzaakt dat we alsnog de hele dag irritante dingen moeten wegklikken.

2. OPTA geeft aan niet in het buitenland te handhaven. Daarmee krijgen buitenlandse ondernemers een significante voorsprong bij het bereiken van de Nederlandse consument. Dit is niet hypothetisch: een club als Pixmania heeft veel meer mogelijkheden omdat ze de OPTA niet hoeven vrezen en kan dus makkelijker dezelfde fototoestellen aan Nederlanders verkopen. Dit staat op gespannen voet met Europese mededingingsregels. Ik ben zelfs benieuwd of de Tw niet moet wijken voor deze mededingingsregels, weet een jurist hier dat?

geplaatst op om 19:58 uur

Plaats een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

  • Maximaal 5000 karakters. Basis HTML tags zoals <a> zijn toegestaan.

  • Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.