Deadline voor cookiewet is voorbij, wat nu?
Vandaag is het zo ver: de wetten in alle Europese landen moeten een expliciete opt-in voor tracking cookies voorschrijven. Dit volgt uit de Europese e-Privacy Richtlijn. Wat de opt-in precies inhoudt en of je deze met browserinstellingen mag achterhalen, is volstrekt onduidelijk. Met name in Nederland is er een heftig debat gaande over de cookiewet. Het eerste Nederlandse wetsvoorstel sprak namelijk van “ondubbelzinnige toestemming”, wat zorgde voor veel beroering. Met een dergelijke formulering zou eigenlijk alleen een dialoogvenster met “Dit cookie volgt uw surfgedrag. Wilt u dit installeren?” aan de wet voldoen. Het moge duidelijk zijn dat dat niet gaat werken en door niemand gewenst is.
Wat dan het alternatief moet zijn, en hoe je dat in een wet formuleert, leidde echter tot zó veel discussie dat het huidige Nederlandse wetsvoorstel nog niet eens voorbij de Tweede Kamer is. Die deadline gaan we niet halen. En nu?
Nou, niet zo heel veel eigenlijk. De e-Privacy richtlijn wordt vaak een Europese wet genoemd, maar richtlijnen hebben niet dezelfde status als wetten. Kort gezegd is een richtlijn een instructie aan de Europese landen om hun wet aan te passen zodat deze matcht met de richtlijn. Echter, totdat die wetten zijn aangepast heb je als burger niets te maken met die richtlijn. Je kunt je niet beroepen op wat in de richtlijn staat, en er kunnen geen boetes worden opgelegd aan bedrijven die zich niet houden aan de opt-in eis uit de richtlijn.
Praktisch gezien heeft het missen van deze deadline dan ook weinig gevolgen. De huidige wet (die alleen een informatieplicht bevat) blijft van kracht. Pas als de nieuwe wet in werking treedt, gaan eventuele nieuwe, strengere regels gelden – maar dat hangt dus af van wat de Tweede Kamer ervan maakt en wat de Eerste Kamer daar dan weer van vindt.
Iemand die meent schade te lijden door de te late implementatie, kan een schadeclaim indienen bij de Nederlandse Staat. Maar zoals zo vaak bij privacyzaken is dat een vrijwel kansloze claim: bewijs maar eens dat je schade hebt geleden door een tracking cookie dat zonder opt-in op je harde schijf verscheen. Of welke schade je hebt geleden doordat je tracking cookies uit je site hebt gesloopt omdat je opt-in verkrijgen niet zag zitten.
Arnoud Engelfriet is ICT-jurist, blogger en partner bij juridisch adviesbureau ICTRecht. Sinds 2001 beheert hij de site Iusmentis.com met meer dan 350 artikelen over internetrecht.
Dan laat ik Google Analytics nog ff aan staan 😉
Tja, als die wet eenmaal van kracht wordt dan is Google heer en meester. Door Google Analytics te gebruiken voedt je je concurrenten die met Google werken alleen maar jouw data.
Laat GA dus zeker draaien als je je potentiele klanten wilt laten targeten door je concurrenten.
@Remco: interessante stelling. Zou je dat eens kunnen toelichten?
@Remco: interessante stelling. Zou je dat eens kunnen toelichten?
Hey Maurits,
het is redelijk simpel. Google bouwt naar aanleiding van je surfgedrag een profiel van je op. In het geval van Gmailgebruikers zullen ook daar keywords vandaan worden gehaald.
Als elektronicagigant A GA gebruikt en ik bezoek die website dan sta ik te boek als elektronicaliefhebber. Als elektronicagigant B dan target op een audience dan target die dus onbewust de bezoekers van elektronicagigant A.
Cookies van Google zullen sneller geaccepteerd worden. Velen van ons gebruiken immers google.com, YouTube, Gmail, Google maps, etc.
Ah, zo bedoel je. Maar Google heeft daar toch helemaal geen GA voor nodig? Ze hebben immers, op basis van de bronnen die je noemt, voldoende informatie over je voorkeuren om je te kunnen (laten) targeten zonder GA?
Tja, Maurtis en Remco, dan is het dus zaak om te zorgen dat je beter bent dan je concurrenten. En ze hebben zo ook wel informatie genoeg om iets van je te weten. En als jij niet weet wie er op jouw site zit omdat je GA niet gebruikt dan loop je sowieso iets mis lijkt mij. Maar voorlopig is er nog niets aan het handje.
@Annelies: Helemaal eens. Ik hoor regelmatig ongeveer dezelfde stelling als die van Remco mbt GA in gesprekken die ik voer en heb inmiddels gemerkt dat dergelijke stellingen vaak gebaseerd zijn op emotie (angst).
Het is natuurlijk prima om iets goed- of af- te keuren op basis van emoties: dat doen we allemaal. En als je dus zegt dat heel erg bang bent voor Google en wat ze allemaal over je (bedrijf) weten, dan is dat prima. Maar dat maakt het nog niet een rationele afweging: het berust niet op zaken die feitelijk vast te stellen zijn…Dus waarom zou je het wel op die manier verpakken?
@Remco: stel dat ik van site A naar B ga en op beide staat GA geinstalleerd. Hoe ziet Google dan dat ik dezelfde persoon ben op beide sites? Op beide sites hebben mijn GA cookies een ander userID, en vanaf die sites kan ook niet gekeken worden of ik ingelogd ben…wat jij dus voorstelt kan niet. Gelukkig niet zeg.
Maar, er zijn partijen die het wel kunnen, die dus wel gebruik maken van de veelbesproken third party cookie (en niet de first party cookie zoals GA), of nog erger de Flash cookie of evercookie. Die partijen kunnen elke pagina bijhouden je je in het verleden bezocht hebt, en juist daarvoor komt die nieuwe wet.
Gerelateerde artikelen
Marketingfacts. Elke dag vers. Mis niks!
Marketingfacts. Elke dag vers. Mis niks!