De nieuwe cookiewetgeving; wat nu?

Op 15 mei is de nieuwe Telecomwet in werking getreden, inclusief de nieuwe cookieregels. Daardoor moet iedereen aan mensen die haar site bezoeken niet alleen toestemming vragen voor het gebruik van bepaalde cookies, maar ook voor bijvoorbeeld Google Analytics. Dat is echter makkelijker gezegd dan gedaan. Waar moet je rekening mee houden en hoe voer je de nieuwe cookieregels in?

Niet voor alle cookies

Dit is echter niet voor álle cookies nodig. Je hebt geen toestemming nodig voor zogeheten technische of functionele cookies, waarmee bijvoorbeeld een inlognaam wordt onthouden of wat iemand in zijn winkelmandje stopt als hij online aankopen doet.

De nieuwe regels richten zich op de niet-functionele cookies, die worden gebruikt om bezoekersgedrag te registeren en op basis daarvan gericht aanbiedingen te doen.

Hierbij wordt onderscheid gemaakt tussen:

  • First party (direct) cookie. Wordt geplaatst door het domein dat iemand bezoekt. Bijvoorbeeld: iemand surft naar www.wehkamp.nl en dat bedrijf plaatst een cookie om bij te houden welke producten bekeken worden. Bij een volgend bezoek aan de site kan dan op basis daarvan een aanbieding worden gedaan.
  • Third party (indirecte) cookie. Wordt gebruikt door adverteerders die op websites van andere bedrijven gerichte aanbiedingen doen op basis van surfgedrag.

Wie moet toestemming vragen?

Wettelijk gezien moet de partij die de cookies plaatst toestemming vragen. Dat geldt ook als dat een derde partij is die op de website van een ander cookies plaatst om surfgedrag bij te houden en op basis daarvan gericht te adverteren.

Om een en ander praktisch te houden, zou de andere partij deze plicht kunnen overnemen. De verplichting om toestemming te vragen is dus overdraagbaar, waardoor het mogelijk is om een systeem in te voeren waarbij eenmalig toestemming wordt gevraagd voor alle cookies die op een website worden geplaatst.

Consequenties

Wat de consequenties zijn van de nieuwe wet is moeilijk te voorspellen, maar dat het impact zal hebben op het online surfgedrag en de informatie die beschikbaar is van de websitebezoekers is onvermijdelijk; er zal minder data voorhanden zijn waardoor een aantal activiteiten minder efficiënt, effectief en betrouwbaar kunnen worden uitgevoerd.

Wordt er ook gelijk streng gecontroleerd?

Hoewel de cookieregels sinds 15 mei gelden, is besloten dat bedrijven pas vanaf 1 januari 2013 moeten kunnen bewijzen dat zij toestemming hebben gekregen voor het gebruik van cookies. Tot die tijd ligt de bewijslast bij de Opta of het College Bescherming Persoonsgegevens (CBP).

De OPTA is daarbij gevraagd om, in afwachting van de technische standaard voor het regelen van toestemming, terughoudend te zijn, maar gaat vrijwel zeker wel controleren op de informatieplicht over het gebruik van cookies.

OPTA zal onmiddellijk toezien op de informatieplicht. Dit betekent dat de cookiebepaling bestaat uit twee verplichtingen. Websites die cookies plaatsen moeten de webbezoeker:

  1. duidelijk en volledig informeren dat zij cookies plaatsen en wat de doeleinden van deze cookies zijn;
  2. de gebruiker hiervoor expliciet toestemming vragen.

Duidelijk en volledig informeren
Je moet ervoor zorgen dat je jouw websitebezoekers nu al expliciet gaat informeren, doch uiterlijk vóór 1 juli 2012.

Toestemming vragen
Over de wijze waarop toestemming verkregen moet worden is nog onduidelijkheid. OPTA kijkt daarvoor momenteel nauwlettend naar de ontwikkelingen in de EU en de vorderingen van de browserbouwers. OPTA zal echter wel onmiddellijk toezien op de informatieplicht. Het IAB werkt momenteel ook aan een “compliance guide” welke bedrijven informeert over de wijze waarop ze met de nieuwe wetgeving om moeten gaan. Links en rechts zie ik al wel oplossingen verschijnen. Veelal een overlay bij binnenkomst op de website met daarin de melding over het gebruik van de cookies. Zie de afbeelding hieronder die ik tegenkwam.

Wat kun je nu doen?

Aan de hand van een aantal stappen komen tot de invulling van 1 van de verplichtingen namelijk het duidelijk en volledig informeren van je website bezoekers.

Stap 1 Identificeer de cookies op je website

Tijdens mijn speurtocht naar cookies kwam ik deze plugin voor Chrome tegen. Het helpt je de cookies op je website op te sporen en verwerkt deze in een rapport.

Plugin Chrome: Attacat Cookie Audit Tool

Hieronder zie je een film waarin de werking van de tool wordt uitgelegd.

Het rapport dat wordt gegenereerd geeft je gelijk een mooie ingang om met de belanghebbenden te gaan praten en te bepalen welke cookies wel of niet meer nodig zijn. Cookies welke niet meer nodig zijn verwijder je natuurlijk en voor de overige niet-functionele cookies die wel nodig zijn, ga je verder met stap 2.

Stap 2 Maak een Cookiepolicy

Ga vervolgens met jouw juridische afdeling om tafel en ga samen werken aan een cookiepolicy. De tool geeft een voorbeeld tekst die je kan gebruiken nadat je een aantal vragen hebt beantwoord. Zeker handig om mee te starten en te komen tot je eigen tekst.

Stap 3 Maak het beleid zichtbaar

Maak tenslotte het beleid op cookies zichtbaar. Zet op iedere pagina een link naar het beleid. Je kan dit middels een plaatje of tekst doen. Zelf ben ik voorstander van een visualisatie die laat zien dat je het belangrijk vindt om je bezoeker hierover te informeren en dit niet onder stoelen of banken schuift.

Hier een voorbeeld met een opt-in erbij: Voorbeeld Cookie-Policy

Ga hierna verder met het nadenken over en het uitwerken van de opt-in. Er zijn al voorbeelden in de markt dus doe daar je voordeel mee.

Laat hieronder jouw ervaringen, tips en trucs achter.

Reacties (8)

  1. Hoi Jan,

    Duidelijk artikel over een lastig onderwerp.

    Ik heb Attacat een tijdje geleden eens geprobeerd, maar lang niet alle cookies worden in de audit opgenomen. Het is dus handig om even een dubbelcheck te doen.

  2. Klopt Martijn maar dit is dan ook afhankelijk van welke pagina’s je alllemaal kan bezoeken op je website. Inlogomgevingen zijn dan al vaak een probleem. De tool maakt alleen een rapport van de pagina’s die je bezoekt. Ik denk dat het in ieder geval een mooi start punt is voor iedereen die hiermee aan de slag wil/moet.

  3. Is dit niet de doodsteek voor web analytics? Volgens de wet moet je iedereen om toestemming vragen, en wie geeft er nou toestemming voor Google Analytics, bijvoorbeeld?

    Wat denken jullie?

  4. Ik zou bij het gebruik van de plugin een kleine waarschuwing plaatsen. Als je de plugin activeert verwijderd hij namelijk alle bestaande cookies 🙁

    Het wordt wel aangegeven. Maar daar kijk je makkelijk overheen.

  5. @Dennis dat denk ik niet. Een analytics tool kan geen exacte aantallen meer aangeven aangezien die afwijken van het werkelijke aantal. Maar voor mij zit de waarde van de analytics tool in de trend- en knelpunten analyses van de website en ik verwacht niet dat die hiermee komen te vervallen. Maar de tijd zal het leren 🙂

    @Rein keek jij erover heen? Goed dat jij het hier nog even meldt!

  6. @Jan ja, helaas keek ik er overheen. Maar zelfs als ik het had gezien, vind ik het een vrij ingrijpende actie. Ik moet op al mijn accounts opnieuw inloggen.

    Het zou handig zijn als ze de plugin ook voor Firefox aanbieden. Dan kan je de plugin gebruiken in de browser die je niet gebruikt.

  7. In de wettekst is geen onderscheid genoemd tussen first- en third party cookies. Het woord cookie komt er zelf helemaal niet in voor.

    De website-eigenaar blijft verantwoordelijk voor alle cookies die op/via zijn website geplaatst worden. Deze verantwoordelijkheid kun je niet neerleggen bij bijvoorbeeld Google.

Reacties zijn gesloten.