Reacties op het D66-voorstel voor verruiming van de cookiewet
Eerder vandaag werd bekend dat D66 een voorstel indient voor de verruiming van de cookiewetgeving. Het voorstel heeft m.n. tot doel om een uitzondering te maken voor analytics-cookies, zodat website-eigenaren geen toestemming hoeven te vragen voor het tracken van bezoekers. Een nobel streven, ware het niet dat Google Analytics en vele andere analytics-pakketten buiten de boot dreigen te vallen. En gaat het voorstel eigenlijk wel ver genoeg? We vroegen het aan drie mensen met verstand van cookie-zaken: Lauren van der Heijden (IAB), Peter Kager (ICTrecht) en Remi van Beekum (StormMC).
Update 22 november 2012, 12:10: reactie van Jitty van Doodewaerd van DDMA toegevoegd, incl. reactie op debat met minister.
Voorstel D66
Het voorstel van D66's Tweede Kamer-lid Kees Verhoeven houdt in, dat first-party analytics-cookies zonder expliciete toestemming mogen worden gebruikt. De term “first-party analytics-cookies” betekent dat het gaat om oplossingen die de geregistreerde data niet deelt met een andere partij dan de website-eigenaar zelf. Dus ook niet met de leverancier van het analytics-pakket, zoals wel het geval is bij bijv. Google Analytics.
Verhoeven zal het voorstel vanavond tijdens een overleg bespreken met minister Kamp van Economische Zaken, waarbij meer helderheid zal ontstaan over de exacte bedoeling van het voorstel.
We vroegen op voorhand een aantal close watchers om hun mening.
Lauren van der Heijden
Lauren van der Heijden is directeur van IAB Nederland en vanuit die rol nauw betrokken bij de onderhandelingen met de overheid over de invoeren en interpretatie van de cookiewetgeving.
Is het voorstel van D66 een antwoord op het probleem? Dat valt nog te voorzien. Maar vanuit het IAB zijn we vooralsnog vooral heel blij met het feit dat er gesproken wordt over verruiming van de wetgeving. Het bericht op zich zegt nog niet zo veel en kan heel goed een eerste proefballonnetje zijn van D66. Interessanter is het overleg van vanavond, waarbij Kees Verhoeven minister Kamp vragen gaat stellen. Na dat algemene overleg hebben we meer duidelijkheid.
Zoals gezegd zijn we vooral positief over het feit dat er een opening gezocht wordt. Uiteindelijk is dit voorstel een kleine oplossing voor een veel groter probleem. Want ook bij goedkeuring van dit voorstel opereren we nog niet in lijn met Europa, met de UK, is er bij ons sprake van expliciete goedkeuring, kennen wij omgekeerde bewijslast, etc. Toch positief over eerste stap, want het is een eerste aanzet. En het is een duidelijk signaal dat er in de politiek meer begrip is voor de belangen van het bedrijfsleven.
Peter Kager
Peter Kager is juridisch adviseur bij ICTrecht, een juridisch adviesbureau dat o.a. publiceert over de cookiewetgeving via Cookierecht.nl.
Ik heb het voorstel inhoudelijk nog niet kunnen bekijken, maar de opzet ervan is prima. Het biedt de ruimte voor partijen om zonder expliciete toestemming van de gebruikers hun bezoekers en bezoeken te analyseren. Overigens geldt dat alleen voor analytics-oplossingen waarbij de gegevens niet worden gedeeld met derde partijen, waardoor de uitzondering voor bijv. Google Analytics niet opgaat. Google Analytics is wel te anonimiseren, maar de data worden alsnog naar de VS gestuurd en blijven niet in eigen beheer.
Dat zou in de praktijk betekenen dat partijen op zoek moeten naar alternatieve oplossingen.
Het voorstel lijkt erg in lijn te zijn met de voorstellen van de Artikel 29 Werkgroep, het onafhankelijke advies- en overlegorgaan van Europese privacytoezichthouders [in Nederland het College Bescherming Persoonsgegevens, red.]. Zij hebben eerder al aangegeven om naast de bestaande twee uitzonderingen – functionele cookies, zoals voor winkelwagentjes, en communicatie-cookies, voor het routeren van traffic naar de juiste server – een derde uitzondering op te nemen, nl. voor first-party analytics.
De wetgeving in de landen om ons heen wordt inderdaad wel nog steeds ander geïnterpreteerd dan dit voorstel. In Duitsland wordt toestemming gegeven via de browser, in Engeland is er sprake van impliciete toestemming. Het zou mooi zijn als het op Europees niveau geregeld wordt, want doordat de toestemmingsvereiste bij ons anders wordt vormgegeven, kunnen m.n. e-commerce-partijen in Nederland oneerlijke concurrentie ervaren. En dat is raar, want concreet is het enige waarin onze wetgeving daadwerkelijk verschilt het feit dat bij ons de bewijslast is omgedraaid.
Remi van Beekum
Remi van Beekum is chief operations officer bij StormMC en Marketingfacts-blogger. Remi volgt de discussie omtrent de cookie- en privacywetgeving op de voet.
Allereerst vind ik het goed nieuws dat er nu iemand in de Nederlandse politiek is die inziet dat de huidige Telecomwet (met daarin de ‘cookiewet’ onder artikel 11.7) doorgeslagen is en daardoor de Nederlandse online branche op achterstand zet en de consument opzadelt met een wirwar aan pop-ups en meldingen.
Zijn oplossing, het verdelen van cookies in drie categorieën i.p.v. twee, klinkt ook logisch. Moreel is er natuurlijk een flink verschil tussen cookies voor anonieme statistieken om verkeer op een site te analyseren en usability te verbeteren en cookies voor profiling, retargeting en audience targeting. Dus in die zin lijkt het me een goede balans om analytics onder het uitzonderingsregime te laten vallen.
Ik heb de details van het voorstel nog niet gezien, dus daar kan ik slecht over oordelen, maar ik maak me daar wel een beetje zorgen om. Met name omdat Verhoeven dit heeft gezegd: “Dit betekent wel dat de gegevens verzameld via statistiekenprogramma Google Analytics niet met Google gedeeld mogen worden” (nu.nl). Alle serieuze, gangbare analytics pakketten komen uit ‘het buitenland’ (meestal de VS) en die werken allemaal met cookies en verzamelen allemaal de data op servers in datacenters over de hele wereld.
In strikte zin wordt de data dan dus gedeeld met Google (of Adobe, Webtrends of een ander). Dus als we deze quote van Verhoeven heel streng uitleggen, is deze wetsaanpassing een wassen neus. Namelijk: Webanalytics valt buiten de opt-in regeling, maar er is geen gangbaar systeem dat vervolgens op je eigen server kan draaien. En dus zitten we als branche nog steeds met het probleem dat we moeten terugvallen op systemen die specifiek voor Nederland ontwikkelt moeten gaan worden en dus zwaar achter lopen op de tools die onze concurrenten in Duitsland, België en Groot Brittannië hebben. Want de huidige serieuze systemen zullen zich niet aanpassen aan een klein landje als Nederland.
Hierbij moet ik de nuance vertellen dat er wel een paar systemen beschikbaar zijn die je op je eigen server kunt installeren, en die dus aan de eisen van Verhoeven voldoen, maar.. die zijn erg duur en daardoor alleen bereikbaar voor de grote adverteerders. Die oplossing zou de grote spelers dus een flink concurrentievoordeel opleveren ten opzichte van de middelgrote en kleine websites, en dat kan nooit de bedoeling zijn van een liberale partij als D66.
Verder ben ik natuurlijk erg benieuwd naar welke politieke partijen dit initiatief zullen steunen en hoe snel dat gaat. Veel bedrijven zijn nu investeringen aan het doen, en het zou erg zonde zijn als de bedrijven die nu investeren in nette oplossingen, straks allemaal kosten hebben gemaakt voor niets. Haast is geboden, want dit soort initiatieven geven hoop op een betere oplossing, maar leggen ook alle investeringen in het voldoen aan de huidige wet stil.
Dan nog een toekomstvoorspelling gericht op online marketing: Als de huidige telecomwet doorgaat, gaan alle sites pop-ups installeren en krijgen we een spel “wie heeft de meeste opt-ins”. Retargeting e.d. zullen gewoon doorgaan, alleen met een iets kleinere pool. Als de wet wordt aangepast en analytics eruit gehaald wordt, is de noodzaak om opt-ins te verzamelen ineens een stuk kleiner. In dat geval zullen veel sites helemaal geen opt-ins verzamelen en dan zal de display branche een flinke tik krijgen en over moeten gaan op andere vormen van targeting (umfelt, context, e.d.).
Vanavond tussen 18:00 en 22:00 is er een debat over de telecommunicatie in de Troelstrazaal (live te volgen) , hierin zal het voorstel verder toegelicht worden, dus hopelijk krijgen we daar meer duidelijkheid!
Jitty van Doodewaerd
Jitty van Doodewaerd is compliance officer bij DDMA en licht DDMA-leden voor over de toepassing van de cookiewetgeving.
Wij zijn uiteraard enorm blij dat Kees Verhoeven met het voorstel komt om first-party analytics-cookies uit te zonderen. De Artikel 29 Werkgroep had al geconcludeerd dat dergelijke cookies geen of een zeer geringe impact hebben op de privacy en adviseerde daarom een uitzondering te maken ervoor.
Gisteravond is het voorstel behandeld en de minister leek er niet onwelwillend tegenover te staan. Maar belangrijker nog: een kamermeerderheid van D66, PvdA en VVD steunde het voorstel. De minister gaf ook aan dat wat hem betreft OPTA terughoudend moet optreden zolang er zoveel onduidelijkheid is over de interpretatie van de wetgeving.
Overigens zegt dat niet veel, want OPTA is een zelfstandig bestuursorgaan en hoeft daarom niet naar hem te luisteren. Ze leggen geen verantwoording aan hem af en kunnen hun eigen beleid bepalen. Maar het is wel een heel duidelijk politiek signaal, net als in het voorjaar is afgegeven. OPTA heeft daarna besloten voorlopig geen boetes uit te delen en is pro-actief in gesprek gegaan met andere partijen. Of dat politieke signaal de oorzaak was, is onduidelijk. En ik kan ook niet inschatten of het betekent dat OPTA na 1 januari toch geen boetes gaat uitdelen.
Bovendien zei de minister nog de ontwikkelingen in Brussel op de voet te volgen. Ik denk dat hij daarmee doelt op de besprekingen vanuit het W3C, die pogingen doen om de toestemmingsvereiste te regelen in de browser. Ik heb daar zelf een hard hoofd in, want de Amerikaanse partijen zullen niet willen standaardiseren omdat de US-wetgeving veel ruimer is. Maar het zou wel mooi zijn als we dit op Nederlands niveau kunnen regelen.
Hoe dan ook, we zijn blij met deze beweging. Wel zijn we benieuwd naar de uitwerking ervan. Tracking cookies worden als persoonsgegevens gezien, daar zijn we het wel over eens. Maar bij first-party analytics ligt dit anders, zeker op geaggregeerd niveau. Maar wat gaat bijv. Google als third-party analytics-partij doen? Google ziet nu precies wie jouw website bezoekt, maar ik heb begrepen dat er code is die je kunt toevoegen aan je Google Analytics-script waardoor Google dat niet meer kan zien. Is dat dan ook voldoende? Het is afwachten wat daarbij gaat gebeuren, zeker omdat wij vanuit Europa Google niet kunnen controleren.
Ik werk als consultant bij Evolve, een bureau dat is gespecialiseerd in het verbeteren van de interne communicatie en interne processen met behulp van interne sociale media. Was voorheen hoofdredacteur bij Marketingfacts en betrokken bij o.a. Online Tuesday en NIMA.
Het belangrijkste lijkt me dat als ze iets willen veranderen aan deze wet ze het dit keer wel doordacht doen. Niet weer belanden in een onkundig politiek spelletje.
Er zijn vier partijen in deze case: de consument, de e-commerce partij die je geen pijn wilt doen, de e-commerce partij die je wel pijn wilt doen en Europa. Zorg dat de wet oplossingen biedt voor die vier partijen en je bent er. (zo moeilijk kan dit toch niet zijn?)
Enne nooit een e-commerce wet strenger maken dan omringende landen. Op Internet kan dat hele bedrijfstakken om zeep helpen.
Afijn, we zullen zien =) Aandacht is in ieder geval goed.
@Jochem: bij die vier partijen zie je de Nederlandse overheid over het hoofd. Nou begrijp ik dat je die wellicht bewust er buiten laat omdat het momenteel de partij is die het juist moeilijk maakt, maar vanuit consumentenperspectief is hun streven eigenlijk best lovenswaardig, nl. een goede bescherming van onze privacy. En naast marketeer zijn we ook allemaal consument, toch?
WA en cookies tbv frequency capping van bepaalde uitingen zijn functioneel en in het belang van de gebruikerservaring. Dat is heel wat anders dan profiling tbv (re)targeting. Goed dat erop lijkt dat deze nuance onderzocht gaat worden. Moet natuurlijk wel 3rd party kunnen, alleen moeten die leveranciers die data niet gebruiken voor andere doeleinden dan die de gebruiker dienen.
@Phileas: Dat die nuance onderzocht gaat worden, haal je dat uit het voorstel? Of uit de discussie gisteravond (heb ik niet gevolgd, eerlijk gezegd)?
Overigens is het niet hergebruiken door third parties wel een erg lastig punt, zeker als die parties onder US-wetgeving vallen en zich van EU-wetgeving niet zo veel aantrekken. Benieuwd of er partijen zijn die die service willen aanbieden!
Betreffende de analytics-pakketten die op de eigen server geïnstalleerd kunnen worden: Piwik is mijns inziens een volwaardig alternatief, dat volledig kostenloos gebruikt kan worden en behoorlijk goede statistieken biedt.
Piwik kan zelfs zonder cookies werken (maar voldoet daarmee niet aan de huidige implementatie van de telecomwet; er wordt gebruik gemaakt van fingerprinting en dat is ook niet toegestaan zonder expliciete toestemming).
Ik lees het volgende:
“Dus ook niet met de leverancier van het analytics-pakket, zoals wel het geval is bij bijv. Google Analytics.”
Maar bij Google Analytics heb je een optie waarbij je aangeeft dat je de data niet deelt, ook niet met Google. Technisch ligt de data dus wel bij Google, maar ze mogen er niet bij, dat is opgenomen in de gebruiksvoorwaarden. Dat lijkt me voor die nieuwe wet dus een prima optie, toch.
Veel andere grote pakketten bieden deze optie (nog) niet en hebben dus automatisch inzage in je data, wat dus niet wenselijk is.
En @Tom: Piwik is zeker geen volwaardig alternatief als je een miljard pageviews, events, etc moet meten. Dan zijn de kosten dermate hoog dat andere pakketten interessanter worden.
@André: Dan wordt het een interessante juridische discussie of die optie in GA Google tot een ‘first-party analytics’-partij maakt. Is het voldoende dat die data niet ingezien mag worden? Of mag de mogelijkheid niet eens bestaan?
Vooral het feit dat de data zich binnen Amerikaanse jurisdictie bevinden en de EU en de Nederlandse overheid er daarom niets over te zeggen hebben, maken dat wel een lekker kluifje voor een setje advocaten, denk ik!
Ik hoop echt dat er verandering gaat komen in de cookiewet in deze vorm. Het is schadelijk voor het gebruiksgemak van het Nederlandse internet. 99% van de bezoekers zijn helemaal niet bezig met cookies en klikken graag op ja, om die irritante vensters maar weg te krijgen. En als ze willen kunnen ze in de browser gewoon hun cookievoorkeuren invullen, maar dat doen ze vaak ook niet. (Bijna) niemand zit op de cookiewet te wachten en ik snap niet waarom het toch wordt doorgevoerd?! Wat kunnen we er nog tegen doen?
Vreemd dat iedereen direct naar Google wijst. Terwijl Google Analytics op dit moment het meest betrouwbare statistieken pakket is wat betreft privacy. Google Analytics is first party (niet Google plaatst het cookie, maar de eigenaar van de website. De statistieken worden niet met Google gedeeld en Google kan ze zonder expliciete toestemming van de eigenaar niet inzien. Nu kun je natuurlijk blijven roepen dat Google niet te vertrouwen is, dat doet het tegenwoordig erg goed, maar voor wie geldt dat dan wel? Voor Apple? Voor Sanoma of Telegraaf Media Groep met een pakket dat draait op een eigen server? Dan zit ik toch echt liever bij Google. En het is sowieso de klok terugdraaien in dit Cloud tijdperk om iets op je eigen server te draaien. En wat is nu eigenlijk een eigen server? Geldt dat ook voor een shared server bij een webhosting pakket? Een nederlandse hosting partij kan toch ook bij alle gegevens? Kortom; dit voorstel van D66 is goed, maar moet ook gelden voor Analytics om een gelijk speelveld te krijgen voor Nederlandse bedrijven en met name ook voor MKB-ers die nu gratis het beste statistiekenpakket dat bestaat kunnen gebruiken.
Allereerst een opvallende ommezwaai van de politicus die mede-indiener was van het amendement om de cookiewet strenger te maken dan de Europese richtlijn vereiste.
Ik denk pas dat de politiek pas op het juiste spoor zit als ze de wet gaan inrichten op de doelstelling die wordt nagestreeft met het plaatsen van cookies, in plaats van te concentreren op de technische aard ervan.
Plaats ik een cookie voor het anoniem verzamelen van statistieken op mijn eigen website, dan valt dat niet onder de Europese richtlijn en zou dat ook niet onder de wet moeten vallen. Ongeacht of dit gebeurt met een SaaS oplossing (bijvoorbeeld Google Analytics, Adobe, Coremetrics) of een on-premise oplossing (bijvoorbeeld Unica), waarbij de data binnen de muren van je eigen bedrijf blijft.
De opmerking van de heer Verhoeven op nu.nl dat Google geen inzage mag krijgen in de data verzameld met Google Analytics is opnieuw voor velerlei uitleg vatbaar en daardoor schadelijk voor de discussie.
Op het moment dat de anonieme data gebruikt kan worden voor targeting van content en advertising dan heb je het over een andere relatie die je met je bezoeker aangaat en zou je daarvoor toestemming moeten verkrijgen. Ik kan bijvoorbeeld alleen retargeting toepassen op basis van Google Analytics data als ik daarvoor een wijziging aanbreng in mijn tracking code, waarvoor Google ook aangeeft dat een aanpassing van de privacy policy noodzakelijk is.
Datzelfde geldt als de data niet anoniem meer is, als je bezoeker klant is geworden. Op dat moment heb je echter al een dialoog met de bezoeker en is het vragen om die toestemming niet meer een onderbreking van de surfervaring. Ook pas op dat moment gaat de WBP gelden, want pas dan hebben we het over persoonsgegevens en eventuele verhandeling daarvan.
Kortom, het is goed om te zien dat de politiek zich realiseert dat ze een onuitvoerbare wet hebben aangenomen; het is nooit te laat om fouten te erkennen en op de schreden terug te keren. Laten we dan nu alleen wel op feiten gebaseerde uitgangspunten nemen en ons niet opnieuw verliezen in populistische plattitudes.
@Rick: ik kan me voorstellen dat Kees Verhoeven zich niet wil vastleggen op de details en het is de vraag of het ook wel zijn rol is. Maar uiteindelijk is er wel behoefte aan een uitwerking van de (interpretatie van de) cookiewet op dat niveau, omdat alleen dán je zeker weet of je je er als website-eigenaar aan houdt. En het liefst komt die duidelijkheid er enige tijd vóór 1 januari, maar dat is niet heel realistisch, gok ik…
@Bram: Ik vraag het me af. Is het nodig dat we alles in beton vastleggen? De techniek verandert zo snel dat als je details gaat vastleggen de kans groot is dat je de week erop alweer de wet moet aanpassen. Het lijkt mij dat het zo snel mogelijk duidelijk wordt welk gedrag wel en welk gedrag niet is toegestaan, ongeacht van de manier waarop je dit doet.
Ben het helemaal met je eens dat dit voor 1 januari (of in ieder geval voordat de OPTA gaat handhaven) duidelijk moet zijn. Vrees helaas ook dat dit niet gaat lukken…
Gerelateerde artikelen
Marketingfacts. Elke dag vers. Mis niks!
Marketingfacts. Elke dag vers. Mis niks!