Hoe om te gaan met de nieuwe cookieregels?

Hoe om te gaan met de nieuwe cookieregels?

De cookiewet is er niet zonder slag of stoot gekomen. Vooral in de marketingbranche, die veel met zogenaamde tracking cookies werkt, is er sprake van veel verwarring. Mogen cookies nog, en zo ja, wanneer dan? Moet er voor elk cookie een venster getoond worden waarin toestemming gevraagd wordt, of kan worden volstaan met een algemene zin in de privacyverklaring?

Het korte antwoord: technisch noodzakelijke cookies blijven gewoon legaal, maar tracking cookies vallen onder de privacywet en vereisen expliciete en ondubbelzinnige toestemming voordat ze mogen worden geplaatst. En ja, dat wordt dus een probleem - toestemming in een popup vragen wil je écht niet, maar de opt-out van Youronlinechoices is niet genoeg. En voor het lange antwoord mag u doorklikken!

De strenge cookiewet (die overigens nog door de Eerste Kamer moet, maar dat lijkt een hamerstuk te worden) is aangenomen na een heftig debat, dat op het scherpst van de snede gevoerd werd: is er verschil tussen expliciet en ondubbelzinnig, impliceert “toestemming” dat deze vooraf gevraagd moet worden of kan het ook achteraf, en is de uiteindelijk gekozen formulering van “toestemming” met verwijzing naar de privacywet wel in overeenstemming met de Europese wet?

Om maar met dat laatste te beginnen: de Europese richtlijn waar dit allemaal uit voortkomt, eist “toestemming” zonder allerlei bijvoeglijke naamwoorden er voor of achter. Nederland ging in eerste instantie verder en eiste “ondubbelzinnige” toestemming. Met die formulering zou alleen nog een popup met “Hallo lieve bezoeker wilt u een cookie waarmee we uw surfgedrag tot in detail gaan volgen” legaal zijn. Niet verbazingwekkend dat de marketingbranche daar dus hard over is gaan gillen. De uiteindelijke formulering is identiek aan die uit de richtlijn - “toestemming” dus - maar verwijst wel naar de privacywet, waar stiekem toch wat meer staat: een “vrije, specifieke en op informatie berustende wilsuiting”. En die mond vol wordt opgevat als “vooraf en expliciet vragen”.

Oftewel: ja, je hebt een probleem als je tracking cookies wilt gebruiken en niet zo’n afschrikwekkende popup wilt inzetten.

Je zou natuurlijk kunnen zeggen dat het tracking cookie alleen gebruikt wordt voor geanonimiseerd volgen, zodat de privacywet niet geldt. Een leuk argument, alleen staat in deze nieuwe wet dat elk gebruik van tracking cookies wordt “vermoed” onder de privacywet te vallen. Oftewel, je moet dan een duidelijke toelichting publiceren waarom niets dat jij doet, te herleiden is tot de bezoeker. Het IP-adres van je bezoeker bewaren (of welk gegeven dan ook dat indirect tot hem te herleiden is) is echt al genoeg om toch onder de privacywet te vallen.

Wat wel kan, is tracking uit te zetten en alleen op verzoek van de bezoeker inschakelen. Maar waarom zou die dat doen? Hier had de site Youronlinechoices een goede dienst kunnen bewijzen. Immers, als je op één plaats je profiel kunt instellen en kunt zeggen wie wat mag bijhouden, zodat je alleen relevante advertenties ziet, zou dat zeker aantrekkelijk moeten zijn. Alleen, de site nodigt echt niet bepaald uit om hier actief gebruik van te maken moet ik zeggen. Ik zie vooral opt-out opties. De naam volg-me-niet register die het ding nu dan ook heeft gekregen, zal er voor zorgen dat hij alleen gebruikt wordt om snel even alle opties uit te vinken, vanuit de gedachte dat je dan gevrijwaard blijft van advertenties.

Wie gebruikers laat registreren, kan bij registratie de toestemming vragen voor het profileren en/of volgen van gebruikers. Dat vereist wel een expliciete vraag, deze toestemming verstoppen in de algemene voorwaarden of de privacyverklaring is absoluut onvoldoende. Wel moet de privacyverklaring een toelichting bevatten om wat voor profileren of volgen het gaat, hoe men inzage kan krijgen in zijn eigen profiel en welke opt-out mogelijkheden er zijn.

Wie alles nog eens in detail wil nalezen, kan onze factsheet over de cookiewet nalezen. En natuurlijk beantwoord ik jullie vragen hieronder graag!


Delen

0
0


Er zijn 18 reacties op dit artikel

  • Vallen cookies van analytics software zoals Google Analytics ook onder deze wetgeving? Met andere woorden, moet men om site bezoek te meten bezoekers ook toestemming vragen?

    geplaatst op
  • Ja. Google Analytics verzamelt persoonsgegevens, en Google slaat deze op persoonsgebonden niveau op. Daarmee is de Wbp van toepassing (ondanks dat Google dit in de VS doet) en moet toestemming worden verkregen.

    Misschien is er een modus in Analytics waarbij alleen geaggregeerde gegevens worden verzameld, dat zou een oplossing zijn. Maar ik ken hem niet.

    Het is niet genoeg dat de webmaster alleen geaggregeerde informatie ziet: het gaat erom dat NIEMAND profielen van personen mag bijhouden tenzij hij toestemming heeft. Ook Google niet.

    geplaatst op
  • @arnoud

    Het is toch zo dat GA altijd geaggregeerde data verzameld (misschien ken ik niet de juridische term van aggregeren). Maar anyways, ik ben bang dat veel internationale producten/diensten in de ignore nl_NL modus gaan als deze wet strikt gehandhaafd zou kunnen worden (wat me erg sterk lijkt). Daarnaast zullen de advertentie platformen simpelweg geforceerd worden over te stappen op serverside tracking (op basis van ip adres en andere indicatoren) waardoor je als gebruiker al helemaal de controle verliest. Laat de overheid zich lekker focussen op netneutraliteit. Dit is een beetje nutteloos en meer een klus voor browservendors.

    geplaatst op
  • Geweldige vondst Joost. Ja, dat lijkt me genoeg. De tracker stuurt zo geen IP-adressen naar Google, zodat er in principe niet meer op persoonsniveau gevolgd kan worden. In principe, want Google heeft misschien nog andere trucs ingebouwd.

    Heb je deze optie wel eens gebruikt in de praktijk? Hoe goed vind je de resultaten dan?

    geplaatst op
  • De resultaten zijn dan ook prima, iets minder goede geografische rapporten maar verder weinig anders, deze functie bestaat al een tijd, ik meen omdat het in de Duitse markt een vereiste is.

    Nog een vraag: als een website gehost wordt in de Verenigde Staten, valt die dan ook onder deze wetgeving?

    geplaatst op
  • Volgens de Europese privacytoezichthouders wel. Je valt onder de Europese wetten als je een computer in Europa gebruikt voor verwerking van persoonsgegevens. En dat doe je als je een cookie parkeert op een computer in Europa: dat cookie is immers de sleutel om de persoon in kwestie te kunnen volgen.

    geplaatst op
  • Hehe ok, dus de hele wereld krijgt dit probleem.

    geplaatst op
  • Ik las gisteren het artikel op Emerce, waarin advocatenkantoor Kennedy Van der Laan stelt dat de cookiewet juridisch gezien aan alle kanten kraakt, en op meerdere punten in strijd zou zijn met Europees recht.

    Als ik het goed samenvat heeft hun argumentatie te maken met het al dan niet herleidbaar zijn tot een persoon van informatie in een cookie, de verschillen met de manier waarop Nederland de richtlijnen invult tov andere Europese landen, omgekeerde bewijslast en de mogelijk nadelige invloed op het gebruiksgemak, wat van de wet ook niet zou mogen.

    Arnoud, ik ben benieuwd hoe jij daar tegenaan kijkt?

    geplaatst op
  • De cookiewet is gebaseerd op Europese richtlijnen, en die acteren op een nog ondoorzichtiger manier met elkaar dan Windows DLL's. Het discussiepunt is of een tracking cookie als persoonsgegeven te zien is. De cookierichtlijn biedt ruimte voor die opvatting, net als de privacywet waar het uiteindelijk allemaal op gebaseerd is. Doel van deze richtlijn is de privacy van de burger waarborgen, dus er valt wat voor te zeggen om dan een pro-privacy interpretatie te kiezen.

    Het overheersende standpunt onder privacyjuristen is dat een IP-adres of een uniek gebruikersnummer in een cookie toch tot een persoon te herleiden is, ook al doet in de praktijk niemand dat. Het verweer vanuit de marketingindustrie is dat niemand het doet en er dus geen sprake is/zou moeten zijn van een privacyprobleem.

    De huidige wet verdient geen schoonheidsprijs. Ze gebruikt de term 'toestemming' zoals die is gedefinieerd in de privacywet (wet bescherming persoonsgegevens) en dat is een strenge vorm van toestemming. Zo mag je niet werken met een toestemmingsfrase in je algemene voorwaarden of met een opt-out, maar moet het een geïnformeerde expliciete opt-in zijn. Terecht, voor persoonsgegevens. Maar de cookiewet breidt dit uit naar alle trackingsystemen, ook diegenen die niet persoonsgebonden tracken. De vraag is of dat de bedoeling is van de cookiewet.

    Volgens de DDMA is de Nederlandse wet te streng en in strijd met de Europese regels. Daar staat tegenover dat de privacytoezichthouders juist stellen dat de implementatie niet ver genoeg gaat. Hoewel eerder Kroes heeft gezegd dat expliciete opt-in voor cookies niet nodig moet zijn.

    De zin over omgekeerde bewijslast (elke tracking valt onder privacywet tenzij website kan bewijzen dat géén persoonlijke info wordt verzameld) is uniek voor Nederland. Of het heel veel uitmaakt, weet ik niet. Ik snap zelf het nut niet, behalve dan dat het een ander accent in de discussie legt: niet de toezichthouder moet bewijzen dat persoonlijke profielen worden opgebouwd, maar de website-exploitant moet bewijzen dat dat NIET gebeurt.

    Het argument van het level playing field komt neer op de stelling dat alle landen dezelfde implementatie van de cookierichtlijn moeten volgen. Dat is waar, maar betekent niet automatisch dat Nederland het dus fout doet. Als iedereen nu hetzelfde gaat doen als Nederland, zitten we ook op een level playing field toch?

    geplaatst op
  • M.b.t. de jurisdictievraag: "geldt deze wet ook voor bijvoorbeeld bedrijven uit de US". Als het antwoord "ja" opgehangen wordt aan het ter beschikking hebben en gebruiken van processing elements in de EU en als dat standhoudt (ook nog maar de vraag, dunkt me), dan leidt dat tot een groot handhavingsprobleem. Gaan OPTA en/of CBP dan achter <vul maar in> aan? Is handhaafbaarheid van een wet niet ook een criterium ter beoordeling voor de Senaat? Zo ja, tijd dat ze hierop gewezen gaan worden.

    geplaatst op
  • Goed artikel en nuttige comments. Nog 1 aanvullende vraag nav deze comment richting @Yoast

    "Geweldige vondst Joost. Ja, dat lijkt me genoeg. De tracker stuurt zo geen IP-adressen naar Google, zodat er in principe niet meer op persoonsniveau gevolgd kan worden. In principe, want Google heeft misschien nog andere trucs ingebouwd."

    In hoeverre is dit voldoende om aan de wet te voldoen voor Google Analytics? Is dit niet een van de twee voorwaarden waar een cookie aan moet voldoen:
    - niet op persoonsniveau volgen
    - noodzakelijk zijn om de functionaliteiten van de website te laten werken.

    Met die laatste heeft Google Analytics niet veel te maken.

    geplaatst op
  • Als ik het goed begrijp is dit dus ook het absolute einde van Google Adsense (en dus ook Adwords) want iedereen die op een adsense advertentie klikt wordt compleet gelogd met IP etc.
    Dit gebruikt Google om frauduleuze kliks te meten.

    Of valt big G buiten de wet?

    geplaatst op
  • Google vindt dat ze alleen onder de Amerikaanse wet valt, en daar is wat zij doen toegestaan.

    Ik denk dat de oplossing van Yoast genoeg zou moeten zijn naar Nederlands recht.

    geplaatst op
  • Dat is fantastisch nieuws voor mij want aangezien Malta (mijn thuisland) ook de cookiewetgeving niet accepteert (uiteraard door de vele gokbedrijven die de dienst uitmaken) kan ik dus net als Google doen wat ik wil.

    Maar mij lijkt dat big G mag denken wat ze willen. Op het moment dat onze overheid zegt dat het verboden is om adsense op NL sites te plaatsen brokkelt er toch een stukje (flink stuk) van big G af.

    Arie

    geplaatst op
  • Hi Arnoud,

    Wellicht is het interessant om eens te kijken naar social sign in (bijvoorbeeld login met Facebook) en tracking vergeleken met cookies? Met een Facebook login leg je een actieve koppeling tussen een profiel dat iemand zélf bijhoudt en een bedrijf die toestemming krijgt om dit profiel in te zie (opt-in). Voor de login kun je vooral de waarde communiceren om ook te zien wat jouw vrienden op deze website hebben gedaan. Een win-win situatie voor bedrijf en bezoeker. Wat zijn volgens jou de haken en ogen achter social sign in en de WBP?

    Groet, Bobby

    geplaatst op
  • Het gaat eigenlijk niet eens zo diep Bobby.
    Het vervelende van deze cookiewet is dat adverteerders op het internet veel minder kunnen en mogen en dus minder verdienen.

    Leuk.... zul je denken. Minder reclame.

    Maar wie denk je dat al dat internetgedoe al die jaren heeft betaald? Juist, die adverteerders.
    Zie het maar als een gratis krant die leeft ook van de adverteerders.

    En een Glossy... die moet je kopen.

    Met deze wet wordt internet kaler (minder websites) en duurder.

    geplaatst op
  • "Het IP-adres van je bezoeker bewaren (of welk gegeven dan ook dat indirect tot hem te herleiden is) is echt al genoeg om toch onder de privacywet te vallen."
    Hoe verhoudt zich dat dan tot de logfiles van je webserver? Daar worden per request (pagina) die je ophaalt ook IP-adressen in opgeslagen (en er zijn ook voldoende statistieken en analyticspakketten die op basis van deze files hun werk doen). Mag dit ook niet zonder opt-in? Dat zou namelijk vrij bizar zijn.

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.