De nieuwe cookiewetgeving; wat nu?

Op 15 mei is de nieuwe Telecomwet in werking getreden, inclusief de nieuwe cookieregels. Daardoor moet iedereen aan mensen die haar site bezoeken niet alleen toestemming vragen voor het gebruik van bepaalde cookies, maar ook voor bijvoorbeeld Google Analytics. Dat is echter makkelijker gezegd dan gedaan. Waar moet je rekening mee houden en hoe voer je de nieuwe cookieregels in?

Niet voor alle cookies

Dit is echter niet voor álle cookies nodig. Je hebt geen toestemming nodig voor zogeheten technische of functionele cookies, waarmee bijvoorbeeld een inlognaam wordt onthouden of wat iemand in zijn winkelmandje stopt als hij online aankopen doet.

De nieuwe regels richten zich op de niet-functionele cookies, die worden gebruikt om bezoekersgedrag te registeren en op basis daarvan gericht aanbiedingen te doen.

Hierbij wordt onderscheid gemaakt tussen:

  • First party (direct) cookie. Wordt geplaatst door het domein dat iemand bezoekt. Bijvoorbeeld: iemand surft naar www.wehkamp.nl en dat bedrijf plaatst een cookie om bij te houden welke producten bekeken worden. Bij een volgend bezoek aan de site kan dan op basis daarvan een aanbieding worden gedaan.
  • Third party (indirecte) cookie. Wordt gebruikt door adverteerders die op websites van andere bedrijven gerichte aanbiedingen doen op basis van surfgedrag.

Wie moet toestemming vragen?

Wettelijk gezien moet de partij die de cookies plaatst toestemming vragen. Dat geldt ook als dat een derde partij is die op de website van een ander cookies plaatst om surfgedrag bij te houden en op basis daarvan gericht te adverteren.

Om een en ander praktisch te houden, zou de andere partij deze plicht kunnen overnemen. De verplichting om toestemming te vragen is dus overdraagbaar, waardoor het mogelijk is om een systeem in te voeren waarbij eenmalig toestemming wordt gevraagd voor alle cookies die op een website worden geplaatst.

Consequenties

Wat de consequenties zijn van de nieuwe wet is moeilijk te voorspellen, maar dat het impact zal hebben op het online surfgedrag en de informatie die beschikbaar is van de websitebezoekers is onvermijdelijk; er zal minder data voorhanden zijn waardoor een aantal activiteiten minder efficiënt, effectief en betrouwbaar kunnen worden uitgevoerd.

Wordt er ook gelijk streng gecontroleerd?

Hoewel de cookieregels sinds 15 mei gelden, is besloten dat bedrijven pas vanaf 1 januari 2013 moeten kunnen bewijzen dat zij toestemming hebben gekregen voor het gebruik van cookies. Tot die tijd ligt de bewijslast bij de Opta of het College Bescherming Persoonsgegevens (CBP).

De OPTA is daarbij gevraagd om, in afwachting van de technische standaard voor het regelen van toestemming, terughoudend te zijn, maar gaat vrijwel zeker wel controleren op de informatieplicht over het gebruik van cookies.

OPTA zal onmiddellijk toezien op de informatieplicht. Dit betekent dat de cookiebepaling bestaat uit twee verplichtingen. Websites die cookies plaatsen moeten de webbezoeker:

  1. duidelijk en volledig informeren dat zij cookies plaatsen en wat de doeleinden van deze cookies zijn;
  2. de gebruiker hiervoor expliciet toestemming vragen.

Duidelijk en volledig informeren
Je moet ervoor zorgen dat je jouw websitebezoekers nu al expliciet gaat informeren, doch uiterlijk vóór 1 juli 2012.

Toestemming vragen
Over de wijze waarop toestemming verkregen moet worden is nog onduidelijkheid. OPTA kijkt daarvoor momenteel nauwlettend naar de ontwikkelingen in de EU en de vorderingen van de browserbouwers. OPTA zal echter wel onmiddellijk toezien op de informatieplicht. Het IAB werkt momenteel ook aan een “compliance guide” welke bedrijven informeert over de wijze waarop ze met de nieuwe wetgeving om moeten gaan. Links en rechts zie ik al wel oplossingen verschijnen. Veelal een overlay bij binnenkomst op de website met daarin de melding over het gebruik van de cookies. Zie de afbeelding hieronder die ik tegenkwam.

Wat kun je nu doen?

Aan de hand van een aantal stappen komen tot de invulling van 1 van de verplichtingen namelijk het duidelijk en volledig informeren van je website bezoekers.

Stap 1 Identificeer de cookies op je website

Tijdens mijn speurtocht naar cookies kwam ik deze plugin voor Chrome tegen. Het helpt je de cookies op je website op te sporen en verwerkt deze in een rapport.

Plugin Chrome: Attacat Cookie Audit Tool

Hieronder zie je een film waarin de werking van de tool wordt uitgelegd.

Het rapport dat wordt gegenereerd geeft je gelijk een mooie ingang om met de belanghebbenden te gaan praten en te bepalen welke cookies wel of niet meer nodig zijn. Cookies welke niet meer nodig zijn verwijder je natuurlijk en voor de overige niet-functionele cookies die wel nodig zijn, ga je verder met stap 2.

Stap 2 Maak een Cookiepolicy

Ga vervolgens met jouw juridische afdeling om tafel en ga samen werken aan een cookiepolicy. De tool geeft een voorbeeld tekst die je kan gebruiken nadat je een aantal vragen hebt beantwoord. Zeker handig om mee te starten en te komen tot je eigen tekst.

Stap 3 Maak het beleid zichtbaar

Maak tenslotte het beleid op cookies zichtbaar. Zet op iedere pagina een link naar het beleid. Je kan dit middels een plaatje of tekst doen. Zelf ben ik voorstander van een visualisatie die laat zien dat je het belangrijk vindt om je bezoeker hierover te informeren en dit niet onder stoelen of banken schuift.

Hier een voorbeeld met een opt-in erbij: Voorbeeld Cookie-Policy

Ga hierna verder met het nadenken over en het uitwerken van de opt-in. Er zijn al voorbeelden in de markt dus doe daar je voordeel mee.

Laat hieronder jouw ervaringen, tips en trucs achter.

Reacties (8)

Reacties zijn gesloten.