Vanaf vandaag is de nieuwe cookiewetgeving van kracht. Dat houdt in dat, zoals Arnoud Engelfriet eerder blogde, toestemming moet worden gevraagd voor het plaatsen van cookies, tenzij deze alleen maar bedoeld zijn voor het technisch goed laten werken van een dienst. In theorie zou elke Nederlandse website vanaf vandaag erop ingericht moeten zijn om, waar nodig, die toestemming expliciet te vragen. De praktijk leert dat dat nog niet het geval is - inderdaad, ook wijzelf voldoen nog niet. In deze blogpost bieden wij informatie over de cookiewetgeving en concrete voorbeelden hoe de wetgeving wordt toegepast. Ter lering en deels ook ter vermaak.
Deze blogpost wordt continu aangevuld en aangepast. Tips en suggesties zijn dus erg welkom via de comments of via Twitter!
Update 5 juni 2012, 14:23u: voorbeeld van de BBC toegevoegd.
Update 5 juni 2012, 13:57u: de PVV maakt het nog bonter dan de PvdA door het gebruik van IP-tracking.
Update 5 juni 2012, 12:45u: voorbeelden van PvdA en Sooptoo en aanvulling op cookievergaring Telegraaf toegevoegd.
Update 5 juni 2012, 12:30u: info toegevoegd over OPTA's website voor het jaarverslag 2011 toegevoegd, het feit dat alleen telefonisch overtredingen gemeld kunnen worden en een good practice van Orange Valley.
Sites moeten dus toestemming vragen voor het plaatsen en gebruiken van cookies, behalve in het geval van 'noodzakelijke cookies': cookies die de technische werking van de site verbeteren. Hiermee wordt overigens bedoeld dat de site beter moet werken vanuit het perspectief van de gebruiker, niet dat van de site-eigenaar. Concreet: het plaatsen van een cookie voor het onthouden van een inlog of van de inhoud van een winkelwagen is prima, een cookie voor het opbouwen van een interesseprofiel vereist expliciete toestemming. Dit geldt zowel voor first party cookies (cookies die de site zelf installeert en aanspreekt) als voor third party cookies (cookies van diensten waarvan de site gebruikmaakt, bijv. Google Analytics).
De Nederlandse wetgeving op dit gebied is strenger dan de Europese. In Nederland wordt uitgegaan van de noodzaak van een 'opt-in', terwijl in de rest van de EU een 'opt-out'-regel geldt. Dit heeft tot gevolg dat Nederlandse sites geen gebruik mogen maken van de browserinstellingen voor het verkrijgen van de toestemming, waar dat in de overige landen wel volstaat.
Dat veel websites nog niet voldoen aan de wetgeving heeft waarschijnlijk te maken met de onduidelijkheid over de wetgeving en het feit dat is aangekondigd dat tot 2013 geen handhaving zal plaatsvinden. Overigens lijkt zelfs over dat laatste aspect geen zekerheid te bestaan.
Onderstaand bieden wij een overzicht van nuttige informatie en voorbeelden van sites die de wetgeving -al dan niet correct- hebben doorgevoerd. Dit overzicht wordt voorlopig continu geüpdatet; tips, suggesties en aanvullingen zijn van harte welkom!
Dossier Cookiewetgeving
Naast de al genoemde blogpost van Arnoud Engelfriet schreef Sebastiaan Hulshof vorige week een uitgebreid verslag van de discussie tijdens het DDMA-cookiedebat. Voor de overzichtelijkheid zijn alle Marketingfacts-artikelen over deze wet gebundeld in ons dossier Cookiewetgeving.
DDMA: handleiding Cookiewet ‘Wet en werkelijkheid’
De DDMA, de de branchevereniging voor dialoogmarketing, heeft vandaag een handleiding gepubliceerd, de DDMA handleiding Cookiewet ‘Wet en werkelijkheid’ (pdf-alert).
Telefonisch overtredingen melden
Pieter Bas Elskamp meldt dat het erop lijkt dat overtredingen van de cookiewetgeving alleen telefonisch kunnen worden doorgegeven aan de OPTA.
Bij overtreding vd #cookiewet kun je dat alleen telefonisch (?!) melden bij de #OPTA bit.ly/MwDE5n
— Pieter Bas Elskamp (@elskamp) June 5, 2012
Voorbeelden
OPTA
Toezichthouder OPTA is belast met de handhaving van de cookiewetgeving. Op de eigen site wordt geen toestemming gevraagd voor het plaatsen van cookies. De simpele reden is dat er geen cookies worden geplaatst.
Maar...
Op de website van OPTA's jaarverslag over 2011 worden wel cookies gebruikt, waaronder cookies van Sitestat voor het vergaren van analytics-data. Hiervoor moet vanuit de nieuwe wetgeving wel degelijk expliciete toestemming worden verkregen. Daarvan is momenteel nog geen sprake.
DDMA
De site van DDMA doet ook een poging tot naleving door een overlay. Deze is echter ietwat ongelukkig, want:
- in Google Chrome werkt de overlay niet (althans bij ons);
- in andere browsers werkt de overlay wel, maar niet correct: de overlay verdwijnt in sommige gevallen na een aantal seconden en als dat niet gebeurt, is het wegklikken van de overlay, dus zonder het geven van de toestemming, voldoende om verder te gaan in de website.
FOK!
FOK.nl lijkt de meest rigoreuze variant gekozen te hebben voor het verkrijgen van toestemming van de gebruiker tot het plaatsen van cookies: zonder deze toestemming heb je geen toegang tot de site. Vanuit de gebruiker gezien wellicht confronterend en onvriendelijk, vanuit het perspectief van de site-eigenaar wel handig omdat het je in staat stelt je bezoekers alle bestaande functionaliteit te bieden. Bovendien maakt FOK! met deze aanpak een flinke statement; de vraag is alleen of die niet aan dovemansoren gericht is.
Telegraaf
De website van de Telegraaf heeft ook een overlay bovenaan de pagina. Er lijkt, gezien de uitleg die wordt gegeven, echter sprake te zijn van een opt-out-mechanisme en niet van de in Nederland verplichte opt-in. Bovendien plaatst de Telegraaf al cookies voordat de toestemming wordt gevraagd. Daarbij moeten we wel toevoegen dat het onduidelijk is of het hier misschien 'noodzakelijke' cookies betreft, waarvoor geen toestemming nodig is.
Een overzicht van de cookies die Telegraaf.nl plaatst voordat toestemming wordt gevraagd.
Orange Valley
Online marketingbureau Orange Valley gebruikt ook een overlay voor het vragen van toestemming. Het fraaie van hun oplossing is dat als je geen toestemming geeft, dit onderin het scherm getoond wordt. Dit geeft zekerheid aan de gebruiker dat er netjes wordt omgegaan met zijn keuze, maar bovendien kan via een klik op de melding de keuze gewijzigd worden. Overigens verdwijnt de melding na goedkeuring, dus het terugdraaien van die beslissing is wat omslachtiger...
PvdA
De Partij van de Arbeid maakte zich hard voor de doorvoering van de huidige cookiewetgeving. Des te vreemder is het dat het op de eigen website Google Analytics-cookies plaatst zonder daarvoor toestemming te vragen. Overigens is dit niet per se een overtreding, want zoals Arnoud Engelfriet op zijn eigen website al meldde, zei de minister in de Eerste Kamer:
Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.
PVV
Samen met PvdA steunde o.a. de PVV de cookiewetgeving. Ook hun website voldoet echter niet aan die wetgeving, want het installeert ongevraagd cookies voor Google Analytics. Maar erger nog lijkt het feit dat de PVV via de cookies gebruikmaakt van IP-tracking! Dat lijkt wel heel erg in strijd met het gewenste imago van strijder voor het recht op privacy van de consument...
Sooptoo
Een van de eerste partijen die z'n conclusies trok uit de wetgeving was Sooptoo. Het vermakelijk aan hun oplossing is dat als je geen toestemming geeft, je direct wordt doorgelinkt naar een YouTube-video die uitlegt hoe schadelijk deze wetgeving wel niet is.
BBC
In de UK is vorige week ook nieuwe wetgeving ingevoerd. Het verschil met Nederland is het al eerder genoemde feit dat het daarbij om een 'opt-out'-regel gaat én dat het alleen om first party cookies gaat; voor third party cookies hoeven website-eigenaren geen verantwoordelijkheid te nemen. Maar de wijze waarop de BBC haar bezoekers informeert en de opt-out aanbiedt, is fraai.