De ACM is websites aan het waarschuwen die niet aan de cookiewet voldoen, blijkt uit een artikel op Geenstijl vanochtend. De gemiddelde marketeer ziet door de bomen het bos niet meer: moet die toestemming nou impliciet, expliciet, uitdrukkelijk, geïnformeerd of ondubbelzinnig? Hij moet sowieso vrij en specifiek, maar dat kan ook collectief. En wel een beetje gebruiksvriendelijk graag. Daarom nog één keer tekst en uitleg over cookie consent.
Voor wat?
Organisaties moeten op hun websites toestemming vragen voor cookies die invloed hebben op de privacy van de webbezoeker:
- Trackingcookies: cookies die óf binnen een domein (first-party tracking) óf over verschillende domeinen (third-party tracking) gebruikt worden om surfgedrag van bezoekers vast te leggen, zodat het mogelijk is hen op basis hiervan gerichte aanbiedingen te doen of content te tonen.
- Social plug-in trackingcookies: cookies die gebruikt worden om sociale-mediamodules aan te bieden op een website, zoals een Facebook like-knop, LinkedIn share-knop of de mogelijkheid een bericht te retweeten.
- Analytische trackingcookies: indien een analyticscookie - bijvoorbeeld van comScore - een unieke identifier bevat en (eventueel i.s.m. andere cookies en ip-adres) herleidbaar is of gebruikt kan worden (let op! alleen de mogelijkheid is voldoende) om groepen bezoekers te individualiseren en te benaderen, is er sprake van invloed op de privacy en moet toestemming gevraagd worden.
Google Analytics neemt een speciale plek in en mag alleen onder voorwaarden zonder toestemming van de webbezoeker geplaatst worden:
- Google Analytics mag zonder toestemming worden geplaatst als een organisatie:
- een bewerkersovereenkomst heeft met Google, en
- de Anonimize ID-functie heeft ingeschakeld (Google ontvangt dan geen volledige IP-adressen), en
- de mogelijkheid om gegevens te delen met Google heeft uitgezet.
Google biedt een bewerkersovereenkomst in het instellingenmenu van Google Analytics. Log in met uw webmasteraccount, kies ‘Beheer’, vervolgens ‘Account instellingen’ en scroll dan naar de onderkant van de pagina naar het kopje 'Amendement gegevensverwerking'.
Uitzonderingen
Organisaties hoeven geen toestemming te vragen voor:
- Functionele cookies die communicatie mogelijk maken of noodzakelijk zijn voor het leveren van een dienst van de informatiemaatschappij.
- User input cookies: onthouden handelingen van de gebruiker op een website.
- Authenticatiecookies: identificeren de gebruiker als hij is ingelogd.
- User centric security-cookies: worden gebruikt voor beveiliging en fraudepreventie.
- Multi media player sessie-cookies: worden gebruikt om technische data op te slaan die het luisteren van audio- of videocontent mogelijk maken.
- Load balancing sessie-cookies: gebruikt om verzoeken aan de server te verspreiden om de bereikbaarheid van de website te garanderen.
- user interface customization-cookies: gebruikt om voorkeuren van de gebruiker te onthouden.
- Analytics-, a/b-testing en affiliatecookies, tenzij deze ook gebruikt worden om profielinformatie van de gebruiker te verzamelen, dan geldt de uitzondering niet (en dat is bijna altijd het geval).
Door wie?
Op basis van de cookiewet is de partij die cookie plaatst verantwoordelijk voor het vragen van toestemming en het geven van volledige en duidelijke informatie over de cookies de geplaatst worden. Advertentienetwerken zullen dus afspraken moeten maken met hun publishers over de wijze waarop toestemming wordt gevraagd aan de webbezoeker voor het plaatsen van trackingcookies. Overigens ontslaat het vastleggen van deze afspraken in subcontracten met publishers/site-eigenaren het netwerk niet van deze verantwoordelijkheid.
Wanneer?
Het 'niets doen' van een webbezoeker kan nooit tot toestemming leiden. Toestemming moet dus gevraagd (en gegeven) worden voordat er cookies geplaatst worden op de randapparatuur van de webbezoeker.
Hoe?
1. Duidelijke informatie
Als organisatie moet je de webbezoeker zo volledig mogelijk informeren over de cookies die je plaatst. Om de site gebruiksvriendelijk te houden, kan deze informatie gelaagd worden gegeven.
- De informatiebanner. Deze moet duidelijk zichtbaar zijn bij het eerste sitebezoek, ongeacht op welke pagina een bezoeker binnekomt. Met hierin:
- Welke categorieën cookies plaats je? Analytics, socialmedia-buttons, reclamecookies (eventueel van welke derden).
- Waarom plaats je deze cookies? Om gebruik van de website te meten/delen via social media mogelijk te maken/gerichte content en advertenties te tonen – cookies worden ook geplaatst door derde partijen/profielinformatie te verzamelen.
- Voor welke domeinen plaats je de cookies? Alle sites van uitgever x.
- Hoe geeft een webbezoeker toestemming? Door op akkoord te klikken/gebruik te blijven maken van de website/de melding weg te klikken geef je akkoord op het gebruik van cookies zoals hier omschreven.
- Hoe een gebruiker de instellingen kan aanpassen.
Voorbeeld:
Organisatie x maakt gebruik van cookies om het gebruik van de website te analyseren, om het mogelijk te maken content via social media te delen en om de inhoud van de site en advertenties af te stemmen op uw voorkeuren. Deze cookies worden ook geplaatst door derden. Door deze melding weg te klikken of gebruik te blijven maken van deze site stemt u hiermee in. Klik anders op cookie-instellingen aanpassen.
- De cookiestament. Met hierin:
- Wie de site-eigenaar is en voor welke domeinen de toestemming geldt.
- Welke categorieën cookies plaatst de website en (hoe) kan de bezoeker bepaalde categorieën wel of niet te accepteren?
- Wie zijn de derde partijen die cookies plaatsen en van wel netwerk maken zij onderdeel uit.
- Een overzicht van de cookies die via het domein geplaatst worden met daarbij het doel dat de cookies dienen, de bewaartermijnen en eventueel een link naar de privacy statements van derde partijen die cookies plaatsen vanuit het domein.
2. Een wilsuiting van de webbezoeker
Niets doen is geen toestemming. De webbezoeker moet door een handeling akkoord geven op het plaatsen van cookies en hij moet ook begrijpen dat die handeling toestemming impliceert.
3. Collectief, maar specifiek
Een organisatie mag in één keer toestemming vragen voor meerdere (eigen) domeinen en meerdere cookies, ook van derden. Dat wil zeggen dat toestemming kan gelden voor het binnen een langere periode meerdere malen lezen van een cookie, en op het opslaan en lezen van meerdere cookies. Ook kan het slaan op het plaatsen van een cookie en het lezen daarvan bij bezoeken aan verschillende sites, zoals dat gebeurt bij trackingcookies, als dit maar duidelijk is voor de internetgebruiker op het moment dat hij toestemming verleent.
4. Vrij
De definitie van toestemming schrijft voor dat sprake moet zijn van een vrije wilsuiting. De webbezoeker moet keuzevrijheid hebben. De gevolgen van geen toestemming geven mogen niet zo zwaar zijn dat deze de keuzevrijheid ondermijnen. Dit zal met de meeste commerciële websites die het accepteren van cookies als voorwaarde stellen aan webbezoek niet het geval zijn, dan heeft de consument immers de keuze om naar de concurrent te gaan of een betaalde dienst (online krant etc.) af te nemen. Bij organisaties die een oligopolistische of monopolistische marktpositie hebben, is een cookiewall lastiger te verdedigen, omdat de consument dan geen of weinig keuze heeft in alternatieven.
Overheidsdiensten en andere diensten die met publiek geld gefinancierd worden, mogen het accepteren van cookies nooit als voorwaarde stellen voor het bezoeken van de website.