Hoe om te gaan met de nieuwe cookieregels?

30 augustus 2011, 11:04

De cookiewet is er niet zonder slag of stoot gekomen. Vooral in de marketingbranche, die veel met zogenaamde tracking cookies werkt, is er sprake van veel verwarring. Mogen cookies nog, en zo ja, wanneer dan? Moet er voor elk cookie een venster getoond worden waarin toestemming gevraagd wordt, of kan worden volstaan met een algemene zin in de privacyverklaring?

Het korte antwoord: technisch noodzakelijke cookies blijven gewoon legaal, maar tracking cookies vallen onder de privacywet en vereisen expliciete en ondubbelzinnige toestemming voordat ze mogen worden geplaatst. En ja, dat wordt dus een probleem – toestemming in een popup vragen wil je écht niet, maar de opt-out van Youronlinechoices is niet genoeg. En voor het lange antwoord mag u doorklikken!

De strenge cookiewet (die overigens nog door de Eerste Kamer moet, maar dat lijkt een hamerstuk te worden) is aangenomen na een heftig debat, dat op het scherpst van de snede gevoerd werd: is er verschil tussen expliciet en ondubbelzinnig, impliceert “toestemming” dat deze vooraf gevraagd moet worden of kan het ook achteraf, en is de uiteindelijk gekozen formulering van “toestemming” met verwijzing naar de privacywet wel in overeenstemming met de Europese wet?

Om maar met dat laatste te beginnen: de Europese richtlijn waar dit allemaal uit voortkomt, eist “toestemming” zonder allerlei bijvoeglijke naamwoorden er voor of achter. Nederland ging in eerste instantie verder en eiste “ondubbelzinnige” toestemming. Met die formulering zou alleen nog een popup met “Hallo lieve bezoeker wilt u een cookie waarmee we uw surfgedrag tot in detail gaan volgen” legaal zijn. Niet verbazingwekkend dat de marketingbranche daar dus hard over is gaan gillen. De uiteindelijke formulering is identiek aan die uit de richtlijn – “toestemming” dus – maar verwijst wel naar de privacywet, waar stiekem toch wat meer staat: een “vrije, specifieke en op informatie berustende wilsuiting”. En die mond vol wordt opgevat als “vooraf en expliciet vragen”.

Oftewel: ja, je hebt een probleem als je tracking cookies wilt gebruiken en niet zo’n afschrikwekkende popup wilt inzetten.

Je zou natuurlijk kunnen zeggen dat het tracking cookie alleen gebruikt wordt voor geanonimiseerd volgen, zodat de privacywet niet geldt. Een leuk argument, alleen staat in deze nieuwe wet dat elk gebruik van tracking cookies wordt “vermoed” onder de privacywet te vallen. Oftewel, je moet dan een duidelijke toelichting publiceren waarom niets dat jij doet, te herleiden is tot de bezoeker. Het IP-adres van je bezoeker bewaren (of welk gegeven dan ook dat indirect tot hem te herleiden is) is echt al genoeg om toch onder de privacywet te vallen.

Wat wel kan, is tracking uit te zetten en alleen op verzoek van de bezoeker inschakelen. Maar waarom zou die dat doen? Hier had de site Youronlinechoices een goede dienst kunnen bewijzen. Immers, als je op één plaats je profiel kunt instellen en kunt zeggen wie wat mag bijhouden, zodat je alleen relevante advertenties ziet, zou dat zeker aantrekkelijk moeten zijn. Alleen, de site nodigt echt niet bepaald uit om hier actief gebruik van te maken moet ik zeggen. Ik zie vooral opt-out opties. De naam volg-me-niet register die het ding nu dan ook heeft gekregen, zal er voor zorgen dat hij alleen gebruikt wordt om snel even alle opties uit te vinken, vanuit de gedachte dat je dan gevrijwaard blijft van advertenties.

Wie gebruikers laat registreren, kan bij registratie de toestemming vragen voor het profileren en/of volgen van gebruikers. Dat vereist wel een expliciete vraag, deze toestemming verstoppen in de algemene voorwaarden of de privacyverklaring is absoluut onvoldoende. Wel moet de privacyverklaring een toelichting bevatten om wat voor profileren of volgen het gaat, hoe men inzage kan krijgen in zijn eigen profiel en welke opt-out mogelijkheden er zijn.

Wie alles nog eens in detail wil nalezen, kan onze factsheet over de cookiewet nalezen. En natuurlijk beantwoord ik jullie vragen hieronder graag!

Arnoud Engelfriet is ICT-jurist, blogger en partner bij juridisch adviesbureau ICTRecht. Sinds 2001 beheert hij de site Iusmentis.com met meer dan 350 artikelen over internetrecht.

Categorie
Tags

20 Reacties

    Marco Dekkers

    Vallen cookies van analytics software zoals Google Analytics ook onder deze wetgeving? Met andere woorden, moet men om site bezoek te meten bezoekers ook toestemming vragen?


    30 augustus 2011 om 13:19
    ArnoudEngelfriet

    Ja. Google Analytics verzamelt persoonsgegevens, en Google slaat deze op persoonsgebonden niveau op. Daarmee is de Wbp van toepassing (ondanks dat Google dit in de VS doet) en moet toestemming worden verkregen.

    Misschien is er een modus in Analytics waarbij alleen geaggregeerde gegevens worden verzameld, dat zou een oplossing zijn. Maar ik ken hem niet.

    Het is niet genoeg dat de webmaster alleen geaggregeerde informatie ziet: het gaat erom dat NIEMAND profielen van personen mag bijhouden tenzij hij toestemming heeft. Ook Google niet.


    30 augustus 2011 om 13:22
    Erik Huisman

    @arnoud

    Het is toch zo dat GA altijd geaggregeerde data verzameld (misschien ken ik niet de juridische term van aggregeren). Maar anyways, ik ben bang dat veel internationale producten/diensten in de ignore nl_NL modus gaan als deze wet strikt gehandhaafd zou kunnen worden (wat me erg sterk lijkt). Daarnaast zullen de advertentie platformen simpelweg geforceerd worden over te stappen op serverside tracking (op basis van ip adres en andere indicatoren) waardoor je als gebruiker al helemaal de controle verliest. Laat de overheid zich lekker focussen op netneutraliteit. Dit is een beetje nutteloos en meer een klus voor browservendors.


    30 augustus 2011 om 15:10
    ArnoudEngelfriet

    Geweldige vondst Joost. Ja, dat lijkt me genoeg. De tracker stuurt zo geen IP-adressen naar Google, zodat er in principe niet meer op persoonsniveau gevolgd kan worden. In principe, want Google heeft misschien nog andere trucs ingebouwd.

    Heb je deze optie wel eens gebruikt in de praktijk? Hoe goed vind je de resultaten dan?


    31 augustus 2011 om 04:04
    jdevalk

    De resultaten zijn dan ook prima, iets minder goede geografische rapporten maar verder weinig anders, deze functie bestaat al een tijd, ik meen omdat het in de Duitse markt een vereiste is.

    Nog een vraag: als een website gehost wordt in de Verenigde Staten, valt die dan ook onder deze wetgeving?


    31 augustus 2011 om 04:32
    ArnoudEngelfriet

    Volgens de Europese privacytoezichthouders wel. Je valt onder de Europese wetten als je een computer in Europa gebruikt voor verwerking van persoonsgegevens. En dat doe je als je een cookie parkeert op een computer in Europa: dat cookie is immers de sleutel om de persoon in kwestie te kunnen volgen.


    31 augustus 2011 om 05:57
    jdevalk

    Hehe ok, dus de hele wereld krijgt dit probleem.


    31 augustus 2011 om 06:19
    Simon Hania

    M.b.t. de jurisdictievraag: “geldt deze wet ook voor bijvoorbeeld bedrijven uit de US”. Als het antwoord “ja” opgehangen wordt aan het ter beschikking hebben en gebruiken van processing elements in de EU en als dat standhoudt (ook nog maar de vraag, dunkt me), dan leidt dat tot een groot handhavingsprobleem. Gaan OPTA en/of CBP dan achter aan? Is handhaafbaarheid van een wet niet ook een criterium ter beoordeling voor de Senaat? Zo ja, tijd dat ze hierop gewezen gaan worden.


    1 september 2011 om 09:23
    Martijn van Vreeden

    Goed artikel en nuttige comments. Nog 1 aanvullende vraag nav deze comment richting @Yoast

    “Geweldige vondst Joost. Ja, dat lijkt me genoeg. De tracker stuurt zo geen IP-adressen naar Google, zodat er in principe niet meer op persoonsniveau gevolgd kan worden. In principe, want Google heeft misschien nog andere trucs ingebouwd.”

    In hoeverre is dit voldoende om aan de wet te voldoen voor Google Analytics? Is dit niet een van de twee voorwaarden waar een cookie aan moet voldoen:

    – niet op persoonsniveau volgen

    – noodzakelijk zijn om de functionaliteiten van de website te laten werken.

    Met die laatste heeft Google Analytics niet veel te maken.


    2 september 2011 om 10:18
    Malta

    Als ik het goed begrijp is dit dus ook het absolute einde van Google Adsense (en dus ook Adwords) want iedereen die op een adsense advertentie klikt wordt compleet gelogd met IP etc.

    Dit gebruikt Google om frauduleuze kliks te meten.

    Of valt big G buiten de wet?


    5 september 2011 om 07:01
    ArnoudEngelfriet

    Google vindt dat ze alleen onder de Amerikaanse wet valt, en daar is wat zij doen toegestaan.

    Ik denk dat de oplossing van Yoast genoeg zou moeten zijn naar Nederlands recht.


    5 september 2011 om 07:19
    Malta

    Dat is fantastisch nieuws voor mij want aangezien Malta (mijn thuisland) ook de cookiewetgeving niet accepteert (uiteraard door de vele gokbedrijven die de dienst uitmaken) kan ik dus net als Google doen wat ik wil.

    Maar mij lijkt dat big G mag denken wat ze willen. Op het moment dat onze overheid zegt dat het verboden is om adsense op NL sites te plaatsen brokkelt er toch een stukje (flink stuk) van big G af.

    Arie


    5 september 2011 om 07:55
    Bobby Verlaan

    Hi Arnoud,

    Wellicht is het interessant om eens te kijken naar social sign in (bijvoorbeeld login met Facebook) en tracking vergeleken met cookies? Met een Facebook login leg je een actieve koppeling tussen een profiel dat iemand zélf bijhoudt en een bedrijf die toestemming krijgt om dit profiel in te zie (opt-in). Voor de login kun je vooral de waarde communiceren om ook te zien wat jouw vrienden op deze website hebben gedaan. Een win-win situatie voor bedrijf en bezoeker. Wat zijn volgens jou de haken en ogen achter social sign in en de WBP?

    Groet, Bobby


    6 september 2011 om 07:05
    Arie

    Het gaat eigenlijk niet eens zo diep Bobby.

    Het vervelende van deze cookiewet is dat adverteerders op het internet veel minder kunnen en mogen en dus minder verdienen.

    Leuk…. zul je denken. Minder reclame.

    Maar wie denk je dat al dat internetgedoe al die jaren heeft betaald? Juist, die adverteerders.

    Zie het maar als een gratis krant die leeft ook van de adverteerders.

    En een Glossy… die moet je kopen.

    Met deze wet wordt internet kaler (minder websites) en duurder.


    6 september 2011 om 07:28
    Vincent Oord

    “Het IP-adres van je bezoeker bewaren (of welk gegeven dan ook dat indirect tot hem te herleiden is) is echt al genoeg om toch onder de privacywet te vallen.”

    Hoe verhoudt zich dat dan tot de logfiles van je webserver? Daar worden per request (pagina) die je ophaalt ook IP-adressen in opgeslagen (en er zijn ook voldoende statistieken en analyticspakketten die op basis van deze files hun werk doen). Mag dit ook niet zonder opt-in? Dat zou namelijk vrij bizar zijn.


    6 juni 2012 om 08:55
    Nodin

    Giuseppe Gran!Felicitacions pel seu èxit i, per descomptat, gràcies per la cita!!L’èxit del teu bloc, però, EXCLUSIVAMENT es deu a la professionalitat que vostè posa en els seus articles i la constant nell’aggiornarli! I els lectors, Com es pot veure, apiicrar!Felecitats de nou!


    9 augustus 2016 om 05:28

Marketingfacts. Elke dag vers. Mis niks!