IAB komt met standaardteksten voor informatieplicht nieuwe cookiewet

6 november 2012, 15:36

Het IAB heeft vandaag een nieuwe code gepubliceerd waarmee het website-eigenaren eenvoudiger wil maken te voldoen aan de informatieplicht die is vastgelegd in de nieuwe cookiewetgeving. De code bestaat uit standaardteksten die kunnen worden opgenomen op een website en een instructie voor de implementatie ervan. De teksten zijn in stand gekomen met marktpartijen als TMG, Sanoma en Persgroen én – misschien nog wel belangrijker – cookiewaakhond OPTA heeft meegekeken bij de totstandkoming ervan.

De nieuwe cookiewetgeving, die op 5 juni jl. van kracht ging, maar pas vanaf 1 januari a.s. actief zal worden gecontroleerd door de Onafhankelijke Post en Telecommunicatie Autoriteit, kortweg OPTA, legt bedrijven die cookies willen toepassen een informatie– en een toestemmingsplicht. Anders gezegd: mensen moet duidelijk worden verteld wat cookies zijn en waarom ze worden toegepast, waarna de bezoeker per website expliciet moet aangeven of hij/zij de cookies van die website toestaat – incl. de cookies van derde partijen die de betreffende website gebruikt.

Standaardteksten voor Informatieplicht

Om het voor bedrijven eenvoudig te maken om te voldoen aan het eerste deel, de informatieplicht, heeft IAB Nederland samen met een groep van grote bedrijven het initiatief genomen te komen tot standaardteksten die op websites kunnen worden gebruikt. Deze teksten en de bijbehorende handleiding zijn bovendien in nauw contact met OPTA samengesteld.

“Het doel van deze code is te komen tot een uniforme aanpak voor de informatieplicht, met als achterliggend idee dat die aanpak goed is voor het vertrouwen bij de consument en uiteindelijk leidt tot een hogere opt-in”, zegt Lauren van der Heijden, directeur IAB Nederland. “De informatieteksten zijn dan ook opgesteld in een dusdanig model dat het gebruik van deze teksten door de hele online industrie gemakkelijk te verwezenlijken is.”

Drietrapspiramide

Het model bestaat uit een 'drietrapspiramide', bestaande uit:

  1. een eenduidige pop-up bar;

  2. een korte algemene verklaring ‘waarom cookies’;

  3. een website-specifieke uitleg.

De eerste twee onderdelen, de pop-up bar en verklaring, betreffen standaardteksten die ongewijzigd overgenomen moeten worden. De derde trap, de websitespecifieke uitleg, is opgebouwd volgens het cafetariamodel: elke website-eigenaar kan de onderdelen overnemen die op betreffende website van toepassing zijn. De onderdelen die worden aangeboden, zijn:

  1. Algemene tekst ter inleiding (vast standaardblok);

  2. Functionele cookies (keuzeblok);

  3. Cookies om statistieken bij te houden (keuzeblok);

  4. Social media cookies (keuzeblok);

  5. Cookies om advertenties te kunnen tonen (keuzeblok);

  6. Cookies ten behoeve van gedragsafhankelijke inhoud van een webpagina (keuzeblok);

  7. Overige / onvoorziene cookies (vast standaardblok);

  8. Browser instellingen (vast standaardblok);

  9. Slotopmerkingen (vast standaardblok).

De gids over de standaard cookieteksten is verkrijgbaar op de website van IAB. De teksten zelf kunnen worden opgevraagd via mail door een verzoek te sturen naar info@iab.nl. Waarom is ervoor gekozen de teksten niet openbaar beschikbaar te maken? Van der Heijden: “Het is voor ons handig om bij te houden welke partijen met deze teksten aan de slag gaan, zodat we er controle op kunnen uitvoeren. We zullen geen stricte compliance toepassen, we gaan geen sommaties versturen of zo, maar we houden wel netjes in een database bij in hoeverre er gehoor wordt gegeven aan die oproep.”

Toestemmingsplicht

De teksten die het IAB aanbiedt voorzien niet in de tweede stap die websitehouders moeten doorlopen, nl. de zgn. toestemmingsvereiste. “Die stap kent zo veel variabelen en is dermate specifiek dat siteowners de naleving van die stap vanuit de eigen business moeten bepalen. Vraag je in een keer toestemming voor alle cookies of per type? En ontneem je mensen compleet de toegang tot de website als ze cookies weigeren, of niet? Die keuzes kunnen we niet voor hen maken. Bovendien komen er de laatste maanden meerdere commerciële oplossingen op de markt en daar willen wij als brancheverenging buiten blijven.”

1 januari a.s.

Wat staat ons eigenlijk nog te wachten in aanloop naar 1 januari? “Als IAB zijn we wel aan het inventariseren of we samen met de overheid een gezamenlijke communicatiecampagne kunnen opzetten om consumenten te informeren over wat cookies doen”, zegt Van der Heijden.

En verwacht het IAB eigenlijk nog een versoepeling van de cookiewetgeving vóór 1 januari a.s.? Van der Heijden ziet dat niet gebeuren: “Nee, dat verwachten wij niet. Vanuit het IAB vinden we nog steeds dat de nieuwe wetgeving te ver gaat en niet in lijn is met 'Europa'. Ik sluit dan ook niet uit dat er op termijn een afzwakking komt van de interpretatie van de wetgeving, maar niet vóór 1 januari. En een aanpassing of terugtrekking van de wet zie ik sowieso niet snel gebeuren, dat zou veel te radicaal zijn.”

Credits afbeelding: joe.oconnell (CC)

Bram Koster
Senior consultant bij Evolve

Ik werk als consultant bij Evolve, een bureau dat is gespecialiseerd in het verbeteren van de interne communicatie en interne processen met behulp van interne sociale media. Was voorheen hoofdredacteur bij Marketingfacts en betrokken bij o.a. Online Tuesday en NIMA.

Categorie
Tags

18 Reacties

    Remi

    Een goed initiatief dat het IAB met een standaard cookieverklaring komt! Echter, deze aanpak rammelt aan alle kanten.

    Allereerst voldoet dit document alleen aan de informatieplicht, niet aan het toestemmingsvereiste. En daarmee dus maar aan de helft van de wet.

    Nou kan een website zelf de toestemming verzorgen, en alleen voor het eerste deel deze tekst gebruiken. Maar dat kan helaas niet, want “het is niet de bedoeling dat er wijzigingen in de teksten worden aangebracht. Dat zou immers de uniformiteit waarnaar gestreefd is, aantasten.”

    Nou weet ik dat een aantal grote uitgevers aansturen op een rechtszaak over de wet. En vanuit dat perspectief is het logisch om alleen aan de informatieplicht te voldoen. Want daarmee zijn ze wel in lijn met de wet in een aantal omliggende landen. En vanuit dat perspectief is het ook logisch om een klein grijs balkje te implementeren met een stukje informatie over cookies.

    Maar websites die niet aansturen op een rechtszaak, willen juist opt-in’s verzamelen. Dan is een klein grijs balkje onvoldoende en wil je waarschijnlijk met een flinke lay-over werken om zo een hoger toestemmings-percentage te verkrijgen. En juist daarbinnen is een uniforme basis-tekst erg interessant.

    Maar dat mag niet van de IAB, want we mogen de tekst alleen gebruiken als we er niet aan sleutelen en hem combineren met een standaard grijs balkje. En daarmee is de tekst dus zinloos voor eenieder die zich nu wel aan de wet wil houden en zich aan de nieuwe realiteit probeert aan te passen.

    Wat het IAB doet is de kop in het zand steken en zich bij de struisvogels scharen die nog steeds hopen dat de wet wel even overwaait. Ik hoop dat ze gelijk hebben, maar zelf kies ik nu voor actie. Het is tijd om nu bezig te gaan met cookie-rate-optimization/ opt-in-optimalisatie/ cookieless analytics enz.


    6 november 2012 om 16:44
    Remi

    Wellicht zie ik het verkeerd en kan iemand van het IAB hier e.e.a. over verduidelijken. Maar ik heb het document gelezen en zie daarin de volgende zaken:

    De auteurs: “De informatieteksten zijn in opdracht van IAB Nederland en in nauwe samenwerking

    met de grote internetexploitanten door Deloitte opgesteld. OPTA was nauw bij het

    project betrokken”.

    De voorbeelden die gebruikt worden in het document zijn Sanoma en TMG. Dus ik ga er vanuit dat zij de “grote internetexploitanten” zijn. Uitgevers dus.

    Er wordt verder niet gesproken over adverteerders of bureaus. En in dit spelletje hebben adverteerders en uitgevers grotendeels de zelfde belangen, maar vertalen die belangen zich wel naar een iets andere aanpak.

    Wellicht is het kort door de bocht om te veronderstellen dat het document en de aanpak dus volledig vanuit het gezichtspunt van de uitgevers is geschreven. Maar tegelijk heb ik die indruk wel. En ik zal vertellen waarom:

    Dit document zegt duidelijk dat het alléén aan de informatieplicht voldoet en niet aan het toestemmingsvereiste. Websites moeten dat zelf regelen. Op zich prima, maar in de praktijk wil je die twee natuurlijk integreren. De wet bestaat wel uit twee losse delen, maar op je site wil je de bezoekers één verhaal vertellen waarin je meteen die toestemming regelt.

    Alleen dat kan niet op basis van deze standaard tekst, omdat het IAB dat dichtgetimmerd heeft. Bij de FAQ staan de volgende twee dingen:

    “Q. Mogen websites zelf wijzigingen aanbrengen in de tekst?

    A. Nee, het is niet de bedoeling dat er wijzigingen in de teksten worden aangebracht. Dat zou immers de uniformiteit waarnaar gestreefd is, aantasten”

    “Q. Op welke locatie op de webpagina moet de pop-up banner geplaatst worden?

    A. Onder of bovenaan aan de pagina”.

    Met andere woorden: als je deze teksten gebruikt MOET je met een klein grijs balkje werken en mag je niets aan de tekst wijzigen.

    Maar een slimme adverteerder wil helemaal geen klein grijs balkje. Want bezoekers zullen dat massaal negeren. Met een enorm lage opt-in-rate als gevolg. Slimme adverteerders zullen waarschijnlijk gaan voor implementaties zoals bijvoorbeeld Sunweb doet. Daarin zijn de informatieplicht en het toestemmingsvereiste geïntegreerd in één aanpak, waarin de primaire focus van de adverteerder het verkrijgen van zo veel mogelijk opt-ins is.

    Mijn conclusie is dan ook dat dit document, met deze standaard teksten, voor adverteerders die zich aan de wet willen houden en zich daarbinnen willen richten op gezonde cookie-rates, onbruikbaar is.

    Dat de OPTA heeft meegekeken en heeft gezegd dat dit voldoet aan de informatieplicht doet daar niets aan af, want de informatieplicht is het makkelijke deel van de wet.


    7 november 2012 om 08:27
    bramkoster

    @Remi: via de mail heb ik antwoord ontvangen van Lauren:

    “De grijze balk is inderdaad onderdeel van het ‘standaard pakket’ en dus onderdeel van de informatieplicht. Er is bewust voor gekozen de informatie in de balk te beperken omdat je qua ruimte nooit volledig kunt zijn in een pop up balk en daar echt een vervolgpagina(s) voor nodig hebt. E.e.a. staat toestemming zeker niet in de weg. Sterker nog je kunt pas om toestemming vragen nadat je op de juiste manier informeert.”

    Neemt jouw twijfels vast niet weg? 🙂

    Wel een vraagje: jij hebt het over adverteerders. Maar in principe kun je elke website-eigenaar zien als een uitgever, groot of klein. Hoe zie jij die ‘adverteerder’ dan? Is dat de eigen website van een adverteerder, zoals Lay’s, McDonalds, Ford, Heineken, etc.?


    7 november 2012 om 09:12
    Remi

    @ Bram,

    Nee dat neemt mijn twijfel niet weg, maar onderschrijft mijn verhaal juist.

    Het spel wat we nu gaan spelen is “hoe krijg ik als adverteerder een hoger % cookies dan mijn concurrent”. Hoe hoger dat percentage, hoe beter de marketingdata en dus hoe competatiever je bent.

    Je krijgt straks hybride webanalytics waarin je cookieless-analytics (mensen zonder opt-in) combineert met cookie-analytics (mensen met opt-in). Stel dat 30% van je bezoek ‘ja’ zegt, dan gebruik je die data om de andere 70% van de data te ‘verrijken’. De mate waarin dat betrouwbaar is, hangt af van de percentages. Dus als je concurrent 60% opt-ins heeft, dan heeft die betere data en kan die dus betere marketingbeslissingen nemen.

    Een voorbeeld:

    Sunweb heeft twee weken geleden die cookiepop-up gemaakt en verzamelt dus nu flinke aantallen opt-ins. Daardoor hebben ze straks een grote pool dan Jiba, Bizztravel en Arke. En dus kan Sunweb straks beschikken over rijkere data en een grote retargetingpool. Dat maakt alle vormen van online marketing straks voor Sunweb een beetje makkelijker dan voor de concurrenten.

    De vraag is dus hoe je een zo hoog mogelijk aantal opt-ins krijgt. De hele essentie is dus het spelen met uitingen, het A/B testen met verschillende versies van de pop-up, het A/B testen met verschillende teksten enz.

    En om dat te doen, heb je de vrijheid nodig om dat grijze balkje te vervangen door een blauw vierkantje of een geel rondje als je daar zin in hebt. En je hebt de vrijheid nodig om de tekst zo te formuleren dat deze beter converteert in cookies.

    Nou vind ik een standaard basis-tekst een goed idee, maar dan wel met een zekere mate van vrijheid. Zonder die vrijheid om te testen en te optimaliseren is de standaard alleen maar een beperking.


    7 november 2012 om 10:11
    Remi

    @Bram,

    Er gaat een hardnekkig gerucht in de markt dat er een aantal hele grote uitgevers samen hebben afgesproken dat ze alléén aan de informatieplicht gaan voldoen, niet aan het toestemmingsvereiste. Deze grote uitgevers zouden, alsdus het gerucht, samen een eventuele confrontatie met de OPTA aangaan en samen de juridische kosten dekken.

    Als dat gerucht klopt, zijn deze partijen dus niet bezig met concurrentievoordeel ten opzichte van elkaar, maar ze zijn bezig zich voor te bereiden op een rechtszaak. En die zaak heeft als inzet dat de Nederlandse wet, wordt aangepast naar de situatie zoals ze die in bijvoorbeeld Engeland hebben (impliet consent). In feite zijn ze dus bezig met concurrentienadeel van Nederland ten opzichte van omliggende landen wegnemen.

    Hierbij wil ik wel meteen uitdrukkelijk noemen dat het om een gerucht gaat dat ik uit tweede hand heb en waarin alleen “een aantal van de grote uitgevers” werden genoemd. Ik weet niet of dat zo is en als het zo is weet ik dus niet of het Sanoma, TMG en Persgroep zijn.


    7 november 2012 om 12:52
    media

    @Bram @Remi en wat is de mening van IAB in deze? Hebben jullie ze al gevraagd een reactie hierop te geven?


    7 november 2012 om 14:01
    bramkoster

    @Marco: yep, zie eerdere reactie, heb per mail reactie gekregen van Lauren van der Heijden.


    7 november 2012 om 14:08
    Barry

    Citaat 1 Bram: ‘Tot slot: inderdaad dekken deze teksten alleen de informatieplicht af. Maar ik zie niet in waarom de toestemmingsvereiste het gebruik van deze teksten in de weg zit. Na het tonen van deze teksten kun je toch prima om toestemming vragen op je eigen manier (1 x toestemming voor alles, of onderverdeeld naar type; toegang weigeren als cookies worden geweigerd, etc.)?’

    Citaat 2: ‘”De grijze balk is inderdaad onderdeel van het ‘standaard pakket’ en dus onderdeel van de informatieplicht. Er is bewust voor gekozen de informatie in de balk te beperken omdat je qua ruimte nooit volledig kunt zijn in een pop up balk en daar echt een vervolgpagina(s) voor nodig hebt. E.e.a. staat toestemming zeker niet in de weg. Sterker nog je kunt pas om toestemming vragen nadat je op de juiste manier informeert.”

    Wetsartikel:

    § 11.1. Algemene bepalingen

    Artikel 11.7a

    1.

    Onverminderd de Wet bescherming persoonsgegevens dient een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker:

    a. de gebruiker duidelijke en volledige informatie te verstrekken overeenkomstig de Wet bescherming persoonsgegevens, en in ieder geval omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en

    b. van de gebruiker toestemming te hebben verkregen voor de desbetreffende handeling.

    Mijn argument:

    De wet schrijft dat er toestemming moet worden gevraagd om de cookies te installeren op randapparatuur. Als een website wordt geladen worden de cookies ook meteen geinstalleerd. hier is dan nog geen toestemming voor gevraagd.

    Als ik het goed lees wat Bram schrijft moet de bezoeker van de website eerst via een grijze balk naar de informatie van de cookies gaan. ( als je op sluit klikt gebeurd dit niet) En na het zien van deze tekst kan de eigennaar van de website toestemming vragen om de cookies te installeren.

    Leg mij nou eens uit wanneer je voor die cookies die bij het openen van de homepage van te voren toestemming hebt vraagt?


    7 november 2012 om 16:05
    bramkoster

    @Barry: De bedoeling is volgens mij dat er geen cookies worden geplaatst tot het moment dat je daar expliciet goedkeuring voor hebt gegeven. Jij lijkt er overigens vanuit te gaan dat dat standaard wel gebeurt en waarschijnlijk is dat nu ook in de meeste gevallen wel zo. Maar vanaf 1 januari zal daar dus op gecontroleerd gaan worden door OPTA. Als ik het goed begrijp…

    De vraag is – en daar refereert Remi ook aan – wat je als site owner doet met mensen die cookies weigeren. Laat je ze toe zonder cookies te plaatsen of blokkeer je hen de toegang (zoals de publieke omroep nu doet)? Maar dat is dus die toestemmingvereiste, de tweede stap, waar deze teksten geen betrekking op hebben.


    7 november 2012 om 16:13
    Erik G

    Een heel mooi initiatief. Maar dat het lastig te gebruiken is in combinatie met toestemmingsvereiste ben ik met Remi eens.

    Wil ik toestemming vragen in die grijze balk dan mag dat niet want die balk moet uniform blijven.

    En als ik toestemming vraag in een ander (meer opvallend) vak dan moet ik nog steeds die grijze balk opnemen en heb ik ineens 2 meldingen.

    Dat toestemming verschillend geïmplementeerd kan worden en moeilijk te uniformeren is snap ik. maar het zou wel handig zijn als er in de standaard opzet van het iab plek is om toestemming te vragen.


    7 november 2012 om 17:49
    Lauren van der Heijden

    Helemaal eens dat dit slechts de eerste helft van de wet betreft. Het is belangrijk om eerst te informeren anders weet de consument niet waar hij ja of nee tegen zegt. De realiteit is dat de meeste internetbedrijven het toestemming vereiste nog niet voorelkaar hebben. Dit is namelijk (technisch) nogal complex en moeilijk te uniformeren omdat elke site eigenaar hier zijn eigen commerciële afweging zal gaan maken. Op dit moment is er daarom, in het belang van zowel consument als industrie, behoefte aan standaard informatieteksten. Dat is urgent en daar heeft IAB het voortouw genomen. Wanneer meer zichtbaar wordt hoe partijen om gaan met het toestemmingvereiste sluit ik niet uit dat de standaard balk die nu wordt gebruikt bijvoorbeeld geïntegreerd wordt in de toestemmingtool van website eigenaar of andersom dat de toestemmingtool geïnterfereerd wordt in de huidige standaard balk. Om te voorkomen dat partijen suggereren met deze standaard te werken maar stiekem gedeeltes van de informatie weglaten of een veel minder opvallendere balk gebruiken hebben we ervoor gekozen dat de teksten en balk integraal overgenomen dienen te worden. Informeren werkt echt het best als iedereen het op dezelfde manier doet (zie Sanoma, Persgroep, Telegraaf etc.) en ook daarom vinden wij het niet wijs om aan standaarden te gaan sleutelen. Het mooie van de aanpak zoals IAB met Opta heeft vormgegeven is dat ie voor alle spelers in het ecosysteem toepasbaar is. Daarmee is het goede guidance maar uiteindelijk moet iedere partij een eigen afweging maken hoe hij met deze veranderende situatie omgaat.


    8 november 2012 om 09:21
    Remi

    @Lauren van der Heijden

    Bedankt voor de toelichting vanuit het IAB.

    Nog één vraag:

    Je zegt “Om te voorkomen dat partijen suggereren met deze standaard te werken maar stiekem gedeeltes van de informatie weglaten of een veel minder opvallendere balk gebruiken hebben we ervoor gekozen dat de teksten en balk integraal overgenomen dienen te worden.”

    Als ik je goed begrijp gaat het er dus om dat het _niet minder opvallend_ mag zijn dan die balk. Betekent dat, dat we de balk wel mogen vervangen door iets wat prominenter is? Zoals een volledige overlay of pop-up?

    Dat zou mijn bezwaren namelijk wegnemen. Want ik heb zo’n overlay nodig om aan opt-in optimalisatie te doen.


    8 november 2012 om 10:23
    Chris

    Opzich geen slecht idee om standaardteksten te maken, dat ten eerste. Maar er zitten, zoals Remi van Beekum al aangaf, heel wat haken en ogen aan. Ik heb even zitten snoepen op de website van de tmg. Daaruit blijkt dat de wet gewoonweg niet wordt gehanteerd met de standaard teksten. Dat blijkt ook uit het artikel, het geldt alleen voor de informatieplicht van de wet.

    Daarnaast is er dus ook een toestemmingsplicht en dat vindt ik dan ook lastig toe te passen. Wanneer er in de balk niet op sluiten gedrukt gaat worden (welke overigens ook standaard is van kleur, en dat zou moeten kunnen veranderden. Ik heb bijvoorbeeld een zwarte website?) moet de site worden getoond zonder coockies? Is er wel eens gekeken naar een website met veel social media op de voorkant? Als je de coockies weghaalt dan ziet dat er werkelijk niet uit?! In deze oplossing is er dus geen andere mogelijkheid voor? Ik vind dat de teksten opzich goed zijn, maar dat de balk toch enigszins beheerd moet kunnen worden, mede doordat sommige website willen dat er eerst om toestemming wordt gevraagd.

    Overigens wordt in dit artikel helemaal niet geduid op het feit dat je ook nog verplicht bent om 5 jaar lang de gegevens vast te houden van iedereen die op “ja” klikt. Zie artikel 5:45 Awb.


    8 november 2012 om 11:58
    Wout van den Dool

    Begrijp ik goed dat de toezichthouder van deze wetgeving (Opta) nauw betrokken is geweest bij de totstandkoming van deze IAB hulpmiddelen? Betekent dat dat Opta impliciet dit voldoende vind voor 1 januari 2013 en verder?

    Of volgt er eerdaags een standaardoplossing voor de explicite opt in vanuit IAB in samenwerking met Opta?

    De situatie nu is namelijk dat je de bezoeker een flow instuurt (zijn gedrag niet mag meten bij wet) en dan op enig moment in de flow vraag je om toestemming > Expliciete opt-in. Dan ben je toch al een grote hoeveelheid data zoals herkomst informatie kwijt?


    9 november 2012 om 13:51

Marketingfacts. Elke dag vers. Mis niks!