Versoepeling cookiewet staat analytics en A/B-testen toe

Onverwacht krijgen webanalisten nog een mooi kerstcadeau uit Den Haag: Minister Kamp van Economische Zaken gaat de cookiewet versoepelen, zo laat nu.nl weten.

Na een eerder voorstel van D66-Kamerlid Kees Verhoeven, laat Kamp nu in een brief weten dat “er mogelijkheden zijn de wet zo toe te passen dat voor het plaatsen en lezen van first party analytische cookies geen toestemming hoeft te worden verkregen van de gebruiker.”

In het algemeen overleg werd voorgesteld om first party analytische cookies, dat wil zeggen cookies waarmee uitsluitend gegevens over het gebruik van de eigen website worden verzameld ten behoeve van het verbeteren van de werking van die website, niet te laten vallen onder het toestemmingsvereiste.

Daarmee is het grootste hoofdpijnpunt voor webanalisten en online marketeers gelukkig weggenomen: de verplichte opt-in voor al ons werk.

Wat betekent dit nu?

Door het toestaan van ‘first party analytische cookies’ zijn de volgende zaken toegestaan om zonder opt-in te blijven doen:

  • Analytics (anoniem)
  • A/B-testen
  • On-site segmented behavioral targeting

First party cookies mogen gebruikt worden zonder opt-in, mits anoniem en niet gedeeld met derden.

Websites zullen (waarschijnlijk) wel de mogelijkheid moeten blijven bieden voor bezoekers tot een opt-out.

Nog wel verplicht is het hebben van een opt-in voor:

  • Social media buttons
  • Re-targeting

Dat zijn immers third party cookies.

Uiteraard zal de komende tijd meer duidelijk moeten worden over de precieze aanpassingen die gemaakt gaan worden en de impact die dat zal hebben op ons werk, maar het is een heel goed begin!

Overigens is het wel nog wachten op wat de OPTA gaat plaatsen als opvolging. Tot die tijd geldt de huidige wetgeving zonder meer. Vraag is alleen of de OPTA gaat handhaven als je op 1 januari nog steeds zonder opt-in analytics cookies plaatst. Dat risico is zoals altijd aan jezelf.

Note redactie: Zie onderstaande 2 opmerkingen van Ton Wesseling met extra informatie / vraagstukken

Note 2 redactie: Google Analytics lijkt hiermee zonder opt-in toegestaan, mits je “deel data” vakjes uitvinkt.

Reacties (11)

  1. Mooi kerstnieuws. 2 gevolgen:

    – adverstising partijen zullen zich in allerlei bochten gaan wringen om hun tracking cookie in een first party cookie te verstoppen
    – we hadden al cases met 99% opt-in (voor ook third party cookies zoals retargeting en social media buttons), blijven we dit nu alsnog zo vragen? (oftewel: veranderd er in de praktijk niets?)

    en ook 2 vragen:

    – is een analytics ID een anoniem gegevens? Is immers uniek voor elk individu en een IP nummer wordt in Nederland ook gezien als een persoonsgegeven.
    – “niet delen met derden”. Betekent dit alleen een verbod op verkoop van jouw klanten gedrag aan andere organisaties, of mag je ook in een SaaS analytics tool geen data opslaan en met een bureau waarmee je werkt, geen data delen?

  2. Kees Verhoeven geeft op twitter aan:
    Google Analytics mag gewoon: je kunt binnen het programma delen van gegevens uitzetten (de benchmark functie)
    https://twitter.com/KeesVee/status/281756840403017728

    Tevens noemt hij als reden degene die we al zagen aankomen “huidige oplossing zorgt voor een optin voor iedereen (iedereen klikt op ja)”. Dat is niet de opzet: https://twitter.com/KeesVee/status/281757862596849664
    Lijkt mij echter dat uitgevers nog steeds voor de full opt-in zullen gaan.

    Ik vraag me wel af of opt-out aanbieden voor first party cookies uberhaupt nog moet (wordt namelijk niets over gezegd). Daarnaast gaat het nu opeens over cookies terwijl de wet sprak over schrijven op en uitlezen van devices van gebruikers. Er is immers veel meer mogelijk dan alleen cookies: http://samy.pl/evercookie/

    • tim.heijt@onmarc.nl'

      Zeer interessante vraagstukken die Ton Wesseling hierboven terecht naar voren brengt. Hieronder mijn bescheiden kijk hierop.

      Je kunt dan wel het ‘vinkje’ uitzetten dat Google de data anoniem met derden en zichzelf zal delen, echter neemt dit niet weg dat Google eigenaar is van de data en niet jijzelf, hier ligt dan ook de crux in het verhaal.
      De data niet voor interne analyses van Google laten gebruiken betekend niet automatisch dat de data dan niet met derden is/wordt gedeeld. Echter de data van jou website eigendom van Google laten worden, door akkoord te gaan met de voorwaarden van Google Analytics, betekend automatisch dat je als website eigenaar deze data, al dan niet anoniem, met een derde hebt gedeeld (namelijk Google). Dat Google hierop volgend niets met deze data onderneemt, neemt het argument van niet delen met derden niet weg, gezien Google eigenaar is/wordt van deze data.

      Ik verwacht dan ook dat er dit jaar een vlucht zal komen van (grootzakelijke) bedrijven die Google Analytics de rug toe zullen keren en zullen kiezen voor een in-house Web Analytics pakket of voor andere SaaS oplossingen zullen kiezen waarbij men zelf eigenaar van de data blijft te allen tijde.

      • @Tim ik ben het niet eens met je conclusie(s). Hoewel er nu nog juridische kanttekeningen zijn zal m.i. er alles aan gedaan worden om Google Analytics buiten een opt-in te laten vallen. 90%+ van de websites waarbij de eigenaar geen idee heeft hoe hij een opt-in moet regelen draait Google Analytics… De oplossing zal zich vanzelf aanbieden (maar let op beste gebruiker: nu nog niet, hoewel handhaving op dit moment niet logisch lijkt).

        Tevens zullen de grotere bedrijven niet snel Google Analytics de rug toe keren. Daarvoor is het systeem te goed (zeker met de komst van Universal Analytics) en de wil van marketing te sterk. Daarnaast wil je als een SaaS oplossing eenmaal is toegestaan vanuit IT liever niet terug naar een inhouse oplossing en bijbehorende trage stappen / capaciteit issues…

        Pas als binnen je bedrijf marketing en IT op een zeer hoog volwassenheidsniveau zitten en je de beste mensen in dienst heb binnen deze afdelingen en je focus 100% online is, dan zou je aan de gang kunnen gaan met een eigen platform, systemen en data koppelen en echt het verschil maken…

        Mijn reactie is die vanuit de blik van een consultant die onafhankelijk van software leveranciers opereert. Goed om te melden dat jij werkzaam bent voor On-Marc, leverancier van Celebrus (het oude Speed Trap), een betaalde en ook als inhouse analytics verkrijgbare software oplossing.

  3. taco@goalgorilla.com'

    Er is nog steeds terechte grote onduidelijkheid over het delen met ‘derden’.

    Google Voorwaarden stellen:

    “6. Aanvullende Licenties. Google en haar 100% dochterondernemingen mogen, met inachtneming van de voorwaarden van haar privacybeleid, tijdens Uw gebruik van de Service verzamelde informatie behouden en gebruiken. ”

    Waar kun je dit in Google uitzetten dan? Over dit uitschrijven schrijft Goog

    “Als u geen van beide opties selecteert, worden uw gegevens niet opgenomen in verschillende geautomatiseerde processen die niet specifiek gerelateerd zijn aan het onderhouden en verbeteren van Google Analytics of het handhaven van de veiligheid en integriteit van de gegevens. ”

    Prima, maar je gegevens gaan nog wel naar Google, dus derde partij, dus GA mag niet.

    (Mieszko is dit wat beter aan het uitzoeken hier)

    • @Taco let op de intentie van de brief. Die zegt eigenlijk gewoon: je mag je eigen winkel uitbaten (gebruik meten, on site targeten, A/B-testen). Dat betreft de (first party) cookies. Data niet met derden delen is een ander issue. Voorlopig even wachten op wat de Opta gaat zeggen. Inhouse analytics is geen issue meer. SaaS een ander verhaal. Met contract (betaalde tool) en zonder contract (gratis tool) ook weer. De intentie is echter: mag.

      De “Uw gebruik van de Service verzamelde informatie” betreft m.i. wat zij meten voor optimalisatie van jouw gedrag in hun backoffice omgeving. Niet de data die zij opslaan namens jou.

  4. grathenau@anwbverzekeren.nl'

    @ Ton, Hoe zit het met feedback tools? (Kampyle, Mopinion, Usabilla Live)

    Dat zijn SAAS oplossing, maar wel third party cookies toch?

    Dien je hier opt-in of opt-out optie voor aan te bieden?

    • @Gerard Dit soort survey / feedback tools zijn tools die ook prima kunnen werken zonder cookies (iedereen met een link uitnodigen naar het domein van de aanbieder, daarna zijn cookies hun probleem. Als je wel gebruikt maakt van integratie gaat het hier nagenoeg altijd om cookies die vanuit jouw domein worden weggeschreven (first party cookie). Controleer dit wel zelf. Kan me goed voorstellen dat het business model van gratis tools het plaatsen van een third party cookie is (en daarmee opbouwen van advertentie profielen).. Lokaal hosten van scripts geeft je het voordeel dat wijzigingen niet op jouw site plaatsvinden (dat is ook meteen het nadeel, je moet het zelf gaan bijhouden).

  5. tim.heijt@onmarc.nl'

    @Ton, zoals je aangeeft heeft Google Analytics zeer zeker zijn sterke punten, wat jij als reden geeft dat bedrijven deze oplossing zullen blijven gebruiken. Echter als zij deze oplossing niet kunnen blijven gebruiken (zonder opt-in wel te verstaan), omdat dit niet legaal is, dan gaat dit argument mijn inziens niet op. Wat wij zien is dat de wensen/druk vanuit marketing bij grote bedrijven dan nog zo groot kan zijn, compliance/legal heeft gewoonweg meer macht.

    Daarnaast heb je op 1 heel belangrijk feit nog helemaal niet gereageerd en ben dan ook zeer geïnteresseerd in je reactie hierop, namelijk het feit dat de data die je verzameld met Google Analytics niet jouw eigendom is maar dat van Google. Tot slot denk ik dat hier met name het probleem zit, gezien Google echt niet snel zijn voorwaarden zal gaan aanpassen voor Nederland en hiermee het eigendom van de gecollecteerde data dus zal opgeven.

    • Hi Tim, dank voor je reply. De geest van de brief van Kamp is m.i. zorgen dat Analytics wordt toegestaan (en dus een opt-out variant wordt). Ook Google Analytics. Google zal als data beheerder vast een audit moeten toestaan (zover ze dat niet al doen) over data opslag, opgelegd vanuit Europa. Dat zullen ze zeker opvolgen. Zaak is met name om te zorgen dat Nederland in de pas bij Europa blijft volgen qua beleid. Klinkt tevens dat de Enterprise oplossing van Google Analytics voor bedrijven met de zwaardere legal & compliance de weg is die ze zullen bewandelen? Daar blijf je wel eigenaar van de data. Kleinere bedrijven zullen hiermee geen probleem hebben.

      Overigens vindt Google zelf dat de gebruiker altijd eigenaar is van de data. Zie de discussie over privacy in Noorwegen bij Brian Clifton: http://www.advanced-web-metrics.com/blog/2012/08/21/google-analytics-illegal-to-use/ en de presentatie van Stephane Hamel: http://online-behavior.com/googleanalytics/myths zit interessante kennis tussen!

  6. wouter@netwink.com'

    Je kunt ook redeneren dat als je een VPS huurt je geen eigen Analytics DB mag aanleggen. Je slaat de data dan immers op hardware van een derde partij.

    Vooralsnog ga ik er vanuit dat Kamp en de Opta er op uit zijn om Google Analytics toe te gaan staan.

    Als is het maar om de Nederlandse wetgeving meer in lijn te laten komen met de rest van europa.

    Maar om het falen van de overheid nog een beetje te verbloemen zullen ze er langzaam, in kleine stapjes, naar toe werken om op dat punt te komen.

    Om gezichtsverlies te voorkomen kunnen/willen ze natuurlijk niet van de één op de andere dag de wet volledig overboord gooien en met iets totaal anders komen.

Reacties zijn gesloten.