De nieuwe cookie wetgeving
In juni 2012 is de Cookiewet van kracht geworden. Deze wet heeft belangrijke consequenties voor de eigenaren van bijna alle websites. Bezoekers van een website moeten expliciet toestemming geven voor het plaatsen van cookies, vóórdat deze cookies geplaatst mogen worden. Lees hier wat je kan doen om te zorgen dat je website voldoet aan de nieuwe wetgeving.
Wat is een cookie?
Een cookie is een kleine hoeveelheid gegevens, die door een website op de computer van de bezoeker kan worden achtergelaten. Bij een volgend bezoek kan de website deze data weer uitlezen. Cookies zijn nooit toegankelijk voor andere partijen dan de partij die de cookie heeft geplaatst.
Wanneer toestemming vragen?
We maken onderscheid tussen functionele cookies (cookies die het mogelijk maken een winkelwagen met bestellingen bij te houden of om automatisch in te loggen) en tracking cookies (cookies die de activiteiten van een bezoeker analyseren). Voor functionele cookies hoef je geen toestemming te vragen aan de bezoeker, voor tracking cookies heb je die toestemming expliciet nodig. Die toestemming moet je dus ook vragen voor het gebruik van Google Analytics (het systeem dat de meeste sites gebruiken om bezoekcijfers bij te houden), en ook voor cookies die door derden worden geplaatst bij het bezoeken van jouw website.
Cookies van derden
Als een website advertentiebanners bevat, die worden geleverd door een advertentiebureau (bijv. DoubleClick) of bijvoorbeeld een Facebook-plugin, dan kunnen ook cookies worden achtergelaten door deze leveranciers. Stel dat DoubleClick een cookie plaatst op jouw site, is deze ook op andere sites waar DoubleClick op actief is door DoubleClick te lezen. Dat betekent dat een advertentiebureau kan bijhouden welke advertenties een gebruiker ziet en op welke advertenties wordt geklikt. Ook Youtube en Vimeo plaatsen tracking cookies als je deze diensten gebruikt voor het tonen van video’s.
Andere vormen van tracking
Ook andere methodes om gegevens op te slaan bij de gebruiker vallen onder de cookie wet. Als deze technieken worden ingezet voor dezelfde doelen als tracking cookies, dan moet ook hiervoor toestemming worden gekregen van de gebruiker.
Hoe toestemming vragen?
Elke website moet expliciet toestemming van de bezoeker hebben gekregen voor het plaatsen van tracking cookies. We noemen dat ook wel opt-in. Sommige browsers bevatten een ‘Do-not-track’ (volg-mij-niet) functie, die het plaatsen van cookies door adverteerders tegenhoudt. Deze functie is voor de wet niet voldoende, omdat je hier een handeling moet uitvoeren als je cookies niet wilt accepteren (opt-out). Je mag vanzelfsprekend een cookie plaatsen waarin je de gevraagde of geweigerde toestemming bijhoudt, zodat mensen deze vraag niet bij elk bezoek opnieuw hoeven te beantwoorden.
Als iemand toestemming weigert?
Een bezoeker moet de gelegenheid krijgen om toestemming te weigeren. In theorie zou je de bezoeker toegang tot de website kunnen onthouden zodra hij geen cookies accepteert, maar dat is erg onverstandig. Bijvoorbeeld het FOK forum ( https://forum.fok.nl) doet dit op dit moment wel, je kan de site alleen bezoeken als je toestemming geeft. Als iemand toestemming heeft geweigerd, mag de website onder meer geen embedded video’s van Youtube en Vimeo en geen plugins van sociale netwerken tonen.
Welke informatie moet je geven tijdens je vraag om toestemming?
Onderdeel van de vraag om toestemming is in ieder geval: contactgegevens van de afzender (bedrijfsnaam, kvk-nummer, adres, telefoon, emailadres), de gebruikswijze en doelstellingen van de trackingcookies (en dat zo expliciet mogelijk). Het is niet voldoende om iets te zeggen als 'het optimaliseren van de gebruikerservaring', terwijl je eigenlijk bedoeld: 'we tonen aangepaste advertenties op basis van je surfgedrag', 'we meten bezoekersgegevens met Google Analytics'. Je moet ook melden hoe je je toestemming kan intrekken. Dat is functionaliteit die in de browser aanwezig is, maar meld in ieder geval welke cookies er worden geplaatst en waar ze voor zijn. En je moet melden hoelang de cookies geldig zijn. Een cookie heeft altijd een levensduur (zo lang als de sessie duurt, of langer).
Google Analytics
Als je Google Analytics gebruikt om statistieken van je website bij te houden (en dat is vrijwel altijd het geval), plaatst Google hiervoor een cookie bij alle bezoekers. Hiervoor is dus toestemming nodig en je moet hierbij ook verwijzen naar het privacy-statement van Google. Google Analytics zal het bezoek niet meetellen als er geen toestemming is voor het plaatsen van cookies. Dat betekent dat de bezoekersstatistieken onbetrouwbaarder worden.
Zullen de mensen de cookies accepteren?
Op de website van de britse tegenhanger van de OPTA (Ofcom) is dat onderzocht, daar is een mildere wet geldig, en op die website wordt het plaatsen van cookies door 10% van de bezoekers geaccepteerd. Dat is erg laag. Veel mensen gaan er nu vanuit dat het acceptatiepercentage tussen vijf en vijftien procent zal liggen. Men gaat er vanuit dat het acceptatiegedrag beter wordt, naarmate de afzender meer bekendheid heeft. Dat zou betekenen dat grote merken een sterkere positie krijgen, ten koste van kleinere spelers. Het is in ieder geval belangrijk om heel veel aandacht te besteden aan de vormgeving en formulering van de vraag om toestemming. Ik verwacht dat er in de komende tijd onderzoeksresultaten beschikbaar komen waaruit we meer kunnen leren over welke aanpak het meeste acceptatie tot gevolg heeft.
Eerst vragen dan plaatsen!
Normaal gesproken plaatsen we al cookies tijdens het laden van de eerste pagina van de website. Dat is een session-cookie (niet van belang voor deze wet) en doorgaans cookies van Google Analytics. Deze laatste cookie mag pas worden geplaatst als er toestemming is. Dat heeft technisch behoorlijke consequenties.
Mobiele websites
Ook voor mobiele apparaten geldt de cookiewet, dus ook hier moeten we toestemming vragen of besluiten af te zien van het plaatsen van cookies.
Robots
Websites worden niet alleen door mensen bezocht, ook door computers. Bijvoorbeeld door de computers van Google, die alle teksten doorzoeken en indexeren om hun zoekmachine te laten werken. Als bovenaan de website een verzoek staat voor het accepteren van cookies, moeten we zorgen dat Google deze tekst niet opslaat ten koste van de werkelijke inhoud van de website, of bijvoorbeeld aanziet voor de samenvatting van een website.
Privacy algemeen
Los van de nieuwe Cookiewet zijn er nog een aantal andere
wettelijke verplichtingen rond privacy en websites:
Indien
sprake is van opslag van persoonsgegevens, moet een website zich te
conformeren aan de Wet Bescherming Persoonsgegevens (WBP). Dit is
bijvoorbeeld van belang bij webwinkels. Bekijk de richtlijnen op de
website van het College Bescherming Persoonsgegevens. IP-adressen gelden in de wetgeving als
beschermde persoonsgegevens. Er is sinds enige tijd een
mogelijkheid om het bijhouden van IP-adressen in Google Analytics
tegen te houden. Een deel van het IP-adres wordt dan gemaskeerd.
Alle website-eigenaren die Google Analytics gebruiken, moeten een
privacybeleid publiceren waarin het gebruik van Google Analytics
volledig openbaar wordt gemaakt.
Wat te doen?
Maak je gebruik van Google Analytics voor het meten van bezoekersstatistieken? Maak je gebruik van een mediapartner voor het tonen van advertenties? Gebruik je plugins van Facebook, Twitter of andere partijen? Toon je video’s van Youtube of Vimeo op je website? In deze situaties ben je in ieder geval wettelijk verplicht informatie te verstrekken over de cookies die hierdoor bij bezoekers worden geplaatst en moet je toestemming vragen voor het plaatsen van deze cookies. Geeft de bezoeker die toestemming niet dan moet Google Analytics voor deze bezoeker worden uitgeschakeld en moeten de plugins worden gefilterd. Mogelijk betekent dat zelfs dat video’s voor deze gebruiker niet beschikbaar zijn.
We beantwoorden graag al je vragen over de gevolgen
van de nieuwe wetgeving voor jouw website. Neem contact op met ons
via