Oh jee, de cookiewet is erdoor

@ictrecht 11 mei 2012

Grote consternatie in reclameland: de cookiewet is erdoor. Vanaf 1 juli is het verplicht om voor tracking cookies toestemming te vragen, en bovendien geldt daarop de privacywet zodat je eyeballs inzage kunnen eisen in 'hun' interesseprofiel. Er is hard gelobbyd tegen deze wet, maar uiteindelijk bleek ook de Eerste Kamer niet gevoelig voor de diverse aangedragen argumenten. We zouden uit de pas lopen met deze Nederlandse wet, toestemming via browserinstellingen werkt toch prima en we hebben een opt-out: het mocht niet baten. Cookiezettend Nederland moet dus nu héél snel gaan nadenken over hoe zij toestemming gaat vragen van bezoekers wiens surfgedrag zij wil profilen. En ja, dat geldt ook als het cookie van een netwerk van een derde komt.

De dinsdag aangenomen Telecommunicatiewet regelt niet alleen dat netneutraliteit wettelijk vastgelegd wordt. Ook wat wel "de cookiewet" heet, is onderdeel van deze wet. En de cookiewet komt erop neer dat vanaf 1 juli toestemming moet worden gevraagd voor het plaatsen van cookies, tenzij deze alleen maar bedoeld zijn voor het technisch goed laten werken van een dienst. Een winkelwagentje mag dus met cookies blijven werken, en ingelogd blijven dankzij een sessiecookie is en blijft prima zonder aparte toestemming. Maar een cookie dat ingezet wordt om bij te houden wat je voorkeuren of interesses zijn, mag vanaf 1 juli alleen nog met toestemming.

Het grote debat (met name bij marketeers die de bui wel zagen hangen dat dit nooit zou gaan werken) is hoe je die toestemming krijgt. Je zou met browserinstellingen kunnen werken, alleen zijn die veel te grofmazig - je kunt cookies aan en uit zetten, en dat is het wel zo’n beetje. Geen enkele browser biedt vandaag de dag een optie om te kunnen zeggen “Ga weg met je DoubleClick cookie, maar ach Sanoma mag me best volgen”. En dat is wat volgens de wet nodig is bij een browsergebaseerde toestemming.

Daar komt bij dat apart duidelijk moet worden gevraagd om toestemming om een profiel op te bouwen aan de hand van een cookie. Of nou ja, apart, het kán allemaal wel in één vraag ("Wij willen middels een cookie een interesseprofiel over u opbouwen zodat we u gepaste advertenties kunnen tonen, wilt u dat ja/nee") maar het grote probleem is dat geen hond dit snapt. En vervelend is wel dat de wet eist dat je het uitlegt op dat niveau.

We hebben al een tijdje het cookie-icoon, gekoppeld aan Your Online Choices. Hiermee kunnen mensen aangeven welke netwerken hen wel en niet mogen volgen. Prima, alleen standaard staan er de nodige netwerken áán. Dus van toestemming kun je hier niet spreken: dit is een opt-out. Een prima opt-out, daar niet van, maar wél een opt-out. En de wet eist een opt-in. (Overigens ken ik 99% van die netwerken niet, terwijl ik de namen mis van de sites waar ik regelmatig kom. Zo heb ik géén idee wie ik wel en niet wil opt-innen. Een gemiste kans, wat mij betreft.)

De marketeers en designers mogen dus aan de slag: hoe vraag je aan een websitebezoeker toestemming voor iets dat hem volstrekt niet interesseert?

Soms kan dit vrij eenvoudig: als mensen zich moeten registreren, is dat het moment om meteen even een verplicht vinkje te laten zetten bij de cookievraag. En mensen die denken dat enquêtepopups effectief zijn, kunnen hetzelfde mechanisme gebruiken voor cookiepopups. Enkele durfallen zullen misschien hun site op zwart gaan zetten als je geen trackingcookietoestemming geeft, maar daar durf ik geen geld op te zetten.

Waar ik wél geld op durf te zetten is dat een groot deel van de branche gaat doen of de toestemmingseis niet bestaat. Men zal de privacyverklaring wat aanscherpen (u kunt de teksten gratis copypasten van mijn bedrijfsblog) en cookie-iconen toevoegen, en dan hopen dat er inderdaad tot 2013 niet gehandhaafd wordt zoals de minister heeft aangekondigd. En rond december gaan we dan wéér het cookiedebat voeren, met mogelijk een nieuwe richtlijn uit Europa. Maar reken er niet te hard op.

Geplaatst in

Arnoud Engelfriet, ICTRecht

Arnoud Engelfriet is ICT-jurist, blogger en partner bij juridisch adviesbureau ICTRecht. Sinds 2001 beheert hij de site Iusmentis.com met meer dan 350 artikelen over internetrecht.

Er zijn 21 reacties op dit artikel

Edwin Vlems
Gelukkig, de cookiewet is erdoor! Waarom willen wij marketeers mensen zo graag stalken, of zoals een recent artikel in de Harvard Business Review beschrijft "hunting consumers like animals"? Ik heb het hier beschreven in een weblogje:
http://metaalmarketing.wordpress.com/2012/03/06/intention-economy-stop-maar-met-die-privacy-discussie-en-database-marketing/

geplaatst op 11-05-2012 om 14:15
Jasper
Hoe gaat Google daarmee om icm derde netwerken waar bijvoorbeeld AdSense advertenties worden getoond?
Zal Google dan een waarschuwing geven of is de persoon die advertenties van Google toont dit verplicht te doen?

geplaatst op 11-05-2012 om 23:58
Arnoud Engelfriet, ICTRecht
Google gaat zich weinig aantrekken van onze cookiewet vermoed ik. Of ze gaan zeggen dat zij geen namen en adressen opslaat en "dus" buiten de privacywet valt (dat zeggen ze ook bij andere privacygerelateerde kwesties).

In principe moet Google de toestemming vragen als Google het cookie plaatst. Maar als die dat niet doet, is het goed denkbaar dat de site-eigenaar alsnog aansprakelijk wordt voor de ontbrekende toestemming.

En omgekeerd, de site-eigenaar kan de toestemming vragen en dan hoeft Google dat niet ook nog een keer te doen.

geplaatst op 12-05-2012 om 08:31
Bauke
Kun je niet gewoon in je algemene voorwaarden een zinnetje opnemen als:
"Bij gebruik van deze website geeft u ons toestemming om tracking cookies te gebruiken".

Er is toch niemand die de voorwaarden leest :p

geplaatst op 12-05-2012 om 13:38
Arnoud Engelfriet, ICTRecht
Nee, de privacywet verbiedt elke constructie waarbij je via algemene voorwaarden toestemming vraagt. Precies omdat niemand die leest.

De privacywet eist volstrekte duidelijkheid en transparantie. Dus niet "Zorgvuldig geselecteerde partners mogen langs elektronische communicatiemiddelen conform RFC 5321 verkoopbevorderende uitingen sturen" maar "Marketingfacts en ICTRecht mogen mij reclamemail sturen".

geplaatst op 12-05-2012 om 13:52
Ruud
concreet : Google vanuit Amerika houdt zich niet aan de Nederlandse wetgeving, zodat elkeen die een Google advertentie plaatst een grote kans loopt om als wetsovertreder de gevolgen te dragen ?

1 -Dan dus beter om onverkort alle Google uitingen te schrappen ?
2 - meestal is een wet van kracht na plaatsing in de Staatscourant, geldt dat hier ook of is de instemming van de Eerste Kamer voldoende ?

geplaatst op 13-05-2012 om 11:04
Arnoud Engelfriet, ICTRecht
Dat is de grote vraag nu. Formeel is Google de eerste aansprakelijke, omdat zij de cookies plaatst en uitleest. Maar als uitgever heb je een afgeleide aansprakelijkheid wanneer jij willens en wetens cookies laat plaatsen door een derde die de privacywet structureel negeert. (Net zoals sites die linken naar illegale inhoud bij derden.)

De wet is formeel pas van kracht nadat deze in het Staatsblad is geplaatst, maar dat gaat 100% zeker gebeuren als de Eerste Kamer deze goedgekeurd heeft.

geplaatst op 13-05-2012 om 11:07
Jasper
Goed voor de werk gelegenheid, volgens mij plaatst elke website een cookie.

Even rekenen:
4,5 miljoen NL websites (bron: http://www.siggyvolgt.nl/2011/05/website-gespot.html)

Laten we er vanuit gaan dat je per website 30 minuten nodig hebt om de cookie tekst te componeren en te plaatsen.
Tegen een uur loon van 100 euro is dat 50 euro per website.

4.500.000 x 50,00 euro = 225.000.000 euro wat we in NL verspelen aan deze onzin, kunnen we dat geld niet ergens anders in stoppen???

geplaatst op 13-05-2012 om 21:35
Jan-Willem Sanders
Wat mij nog niet duidelijk is: aan wie geef je als bezoeker toestemming, aan de uitgever, of aan de technische partij die het cookie plaatst? Anders gezegd als ik op een e-commerce site komt die gebruik maakt van Criteo, geef ik daar dan toestemming aan criteo of aan de e-commerce partij? "wie is eigenaar van de opt-in". Ik zou het logisch vinden als de site owner de toestemming vraagt, krijgt en daar verantwoordelijk voor is. Maar feitelijk worden de meeste cookies geplaatst door hun leveranciers.

geplaatst op 14-05-2012 om 11:35
Arnoud Engelfriet, ICTRecht
Formeel is de adverteerder verantwoordelijk voor de toestemming, en hij heeft dus de opt-in.

De site-eigenaar kan een collectieve opt-in vragen, daarmee hoeven de adverteerders dat niet meer. Op die site dan. Dus Marketingfacts kan opt-in vragen voor alle cookies die haar adverteerders zetten. Dan krijg je hier maar één vraag en niet van elk netwerk eentje.

Andersom kan ook: een adverteerder kan meteen voor al zijn sites toestemming vragen. "Mogen wij een cookie plaatsen zodat we u over elke site waar onze advertenties staan, kunnen volgen".

geplaatst op 14-05-2012 om 11:49
Jan-Willem Sanders
dus iedereen moet gaan adverteren op de grote titels?

geplaatst op 14-05-2012 om 11:57
Willie
Hoe zit het met de handhaving, Gaan ze kijken waar de server staat, of het een NL onderneming is? En als het een NL onderneming is die is het buitenland verkoopt moet hij daar ook aan deze wet voldoen? Of is het voldoende om sites die vanuit NL opereren te Blokken voor de Nederlandse bezoeker.....

geplaatst op 14-05-2012 om 13:15
Willie
Als iemand hier betaald op wil reageren, welkom!

Dit is voor mij belangrijk!

geplaatst op 15-05-2012 om 19:44
Arnoud Engelfriet
Een onderneming valt onder de Nederlandse wet als zij tracking cookies zet op een Nederlandse computer. Ook geldt de Nederlandse wet wanneer de website die de cookies zet, zich "duidelijk richt op Nederland".

Het land van vestiging, de extensie in de domeinnaam en de teksten in de algemene voorwaarden zijn compleet irrelevant.

geplaatst op 15-05-2012 om 20:09
Pieter Overbeeke
Hoe het toestemmingsvereiste ingevuld moet worden laat de wet in het midden, zie punt 4 van artikel 11.7a:

Bij algemene maatregel van bestuur kunnen in overeenstemming met Onze Minister van Veiligheid en Justitie nadere regels worden gegeven met betrekking tot de in het eerste lid, onder a en b, genoemde vereisten. Het College bescherming persoonsgegevens wordt om advies gevraagd over een ontwerp van bedoelde algemene maatregel van bestuur.

Zie ook de toelichting in de motivering van het wetsontwerp:

In overleg met het college, consumentenorganisaties en het bedrijfsleven zal verder worden bekeken hoe het toestemmingsvereiste en de informatieplicht in het eerste lid praktisch kunnen worden vormgegeven. Indien dat uit het oogpunt van rechtszekerheid gewenst is kunnen bij algemene maatregel van bestuur nadere voorschriften worden gegeven omtrent de wijze waarop de toestemming moet worden verkregen en informatie moet worden verstrekt. Aangezien een dergelijke algemene maatregel van bestuur een nadere invulling van een begrip uit de Wbp kan inhouden, wordt deze regeling vastgesteld in overeenstemming met de Minister van Justitie en wordt daarop een advies gevraagd aan het College bescherming persoonsgegevens. Overigens bestaat thans niet het voornemen om nadere voorschriften te geven. Op dit moment worden namelijk door de Europese Commissie initiatieven ontplooid om met het bedrijfsleven te komen tot zelfregulering waarin binnen de grenzen van de e-Privacyrichtlijn – wordt gekomen tot een praktische invulling van de toestemmingseis.

geplaatst op 16-05-2012 om 14:33
Willie
Dank je. We gaan aan de slag :-)

geplaatst op 16-05-2012 om 14:37
Erik Stenhuis
Bezoekers wier, niet bezoekers wiens.
Verder helder en belangrijk artikel, compliment.

geplaatst op 18-05-2012 om 13:54
Gerard
Bij wie kan ik hier eigenlijk over klagen? Ik heb m'n browser al jaren zo ingesteld dat 'ie aan het eind van elke sessie alle cookies weg knikkert, maar nu kan ik daardoor dus elke dag een banner verwachten op alle sites die ik bezoek? Het enige alternatief wat ik heb is cookies juist weer AAN te zetten, hoe belachelijk kan het worden! Wat een stelletje digibeten daar in Den Haag zeg, het is echt te gek voor woorden.

geplaatst op 05-06-2012 om 09:10
Pieter Overbeeke
Als ik de inhoud van de geplaatste cookies bekijk lijkt het er toch zeer sterk op dat ik zonder toestemming wordt getracked op http://www.rijksoverheid.nl

geplaatst op 05-06-2012 om 13:41
Anoniem
Helaas overtreedt deze post zelf ook de wet:

http://www.marketingfacts.nl/berichten/oh-jee-de-cookiewet-is-erdoor

1 company tracking you:
Google Analytics Blocked here

4 social networks tracking you:
Twitter Badge Blocked here
Google +1 Blocked here
Facebook Connect Blocked here
LinkedIn Blocked here

source: Do Not Track Plus (DNT+) Firefox Add-on

geplaatst op 17-06-2012 om 13:17
Danny Oosterveer, Datasexual
Klopt.

geplaatst op 18-06-2012 om 09:37

Plaats zelf een reactie

Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.