Vandaag, 5 juni 2012 is de zogenaamde cookiewet van kracht geworden die onderdeel is van de nieuwe Telecomwet (zie hoofdstuk 11.7a). De cookiewet heeft gevolgen voor het gebruik van cookies op je website. Cookies zijn kleine tekstbestandjes die op de computer van de websitebezoeker worden gezet om bijvoorbeeld logingegevens op te slaan voor de volgende keer dat deze de site bezoekt. Er zijn veel soorten cookies, maar de nieuwe wet maakt onderscheidt tussen functionele en niet (direct) functionele cookies. Tot de laatste behoren ook de cookies die veel webanalytics pakketten zoals Google Analytics gebruiken. Ook veel social sharing buttons zetten een cookie bij het bezoeken van een website.
update cookiewetgeving 16-3-2015
Er is een nieuwe cookiewet aangenomen en daardoor is dit artikel toe aan een revisie. Voldoe aan de nieuwe cookiewet door het volgen van de werkwijze in ons artikel de Nieuwe cookiewet is van kracht. Wat nu?.
Nederlandse opt-in
De wet heeft als gevolg dat er zonder toestemming geen niet-functionele cookies gezet mogen worden, veelal zogenaamde tracking cookies. Middels een zogenaamde “opt-in” moet eerst aan de bezoeker gevraagd worden of de websites de cookies mag plaatsen, voordat deze ook daadwerkelijk geplaatst gaat worden. Dit is strikter dan vergelijkbare wetten in sommige andere Europe landen, waarbij een “opt-out” voldoende is. Bij een opt-out mogen er cookies geplaatst worden totdat de bezoeker opt-out.
In het geval van deze nieuwe Nederlandse wetgeving met de opt-in moet er ook een privacyverklaring op de website te vinden zijn. Hiervoor dient een zo volledig mogelijk overzicht gemaakt te worden van de cookies die de website kan plaatsen en waar deze precies voor worden gebruikt. Een algemene zin bij de “opt-in” zelf mag, maar er moet een directe link aanwezig zijn die volledige duidelijkheid verschaft. Het bijhouden van een cookie met daarin de status of een gebruiker cookies accepteert mag wel zonder opt -int, dit valt onder functioneel.
Mythes
Er zijn nogal wat mythes in omloop i.v.m. de cookiewet. Zo is er het idee dat het voldoende is door in de FAQ of privacy policy melding te maken van de cookies, maar dit is zeker niet het geval. Het moet expliciet door de gebruiker (middels de opt-in) aangegeven zijn dat ze cookies willen accepteren. Daarnaast vallen niet alleen cookies onder de cookiewet, maar ook alle andere vormen van het plaatsen én uitlezen van informatie op het apparaat van de gebruiker, zoals fingerprinting.
Ook gaat de wet niet specifiek in op 1st of 3rd party cookies, ook bij 1st party cookies moet er een opt-in gevraagd worden. Sommige website eigenaren denken slim te zijn en willen de server waarop de website staat in het buitenland zetten, maar ook dit is geen oplossing, omdat specifiek in de wet vermeld wordt dat buitenlandse websites die door Nederlanders bezocht kunnen worden aan deze regels moeten voldoen.
Handhaving van de wet
De wet is officieel per 5 juni ingegaan, maar handhaving door de overheid zal pas gebeuren per 1 januari 2013, zie ook dit persbericht op rijksoverheid.nl. De vraag is hoe de OTPA – als uitvoerend handhavend orgaan – dit zal gaan doen, maar het is verstandig om in ieder geval voor het nieuwe jaar een oplossing te hebben die 100% gedekt is. Als er een opt-in oplossing gekozen wordt, is het zinvol om zelf bij te houden of een bezoeker de cookies accepteert. Omdat indien er een rechtszaak komt de site eigenaar moet kunnen aantonen of de bezoekers inderdaad toestemming gegeven hebben. Er zijn sites die een opt-out gebruiken in plaats van een opt-in, maar dit is niet conform de letter van de nieuwe wet. Een voorbeeld hiervan is De Telegraaf.
Cookiewetgeving en Google Analytics
Als Google Analytics Certified Partner (GACP) zien we enkele oplossingen in hoe we om kunnen gaan met de nieuwe wet. Grofweg gezegd zijn er voor Google Analytics een stuk of 4 opties die je kunt inzetten, al dan niet naast elkaar. Ze hebben elk z’n voor- en nadelen in het gebruik.
Optie 1: Aanpassing meetscript Google Analytics.
Het is mogelijk het Google Analytics meetscript aan te passen, zodat het IP adres van de bezoeker niet wordt opgeslagen in de database van Google. Hierbij worden de laatste cijfers van het IP-adres geanonimiseerd, waardoor deze niet meer terug te voeren zijn op de specifieke bezoeker. Google definieert de gegevens die ze opslaan dan ook niet meer als ‘persoonsgebonden.’ Als daarnaast in de privacyverklaring wordt vermeldt dat een Google Analytics cookie gezet wordt, kun je met een relatief kleine aanpassing tegemoetkomen aan de gedachte van de wet.
Deze methode wordt veel toegepast in Duitsland, waar een soortgelijke wetgeving verleden jaar al van kracht werd. Met name de vrij eenvoudige implementatie van deze optie is een groot voordeel. Het nadeel is dat dit niet exact volgens de letter van de wet handelt, maar meer in de geest van.
Optie 2: Opt-in
De wet vraag voor het bijhouden van tracking cookies specifiek om een opt-in. Die toestemming hoeft niet per se via een popup, maar kan ook op een profielpagina gezet worden. Maar er mag dus niet gemeten worden, voordat er toestemming verleend is door de bezoeker.
Onderstaande sites bieden een oplossing die je direct kunt gebruiken:
- http://civicuk.com/cookie-law/configuration
- http://www.attacat.co.uk/resources/cookie-button-generator#axzz1qaez4OLU
- http://silktide.com/cookieconsent/code
Naast de toestemming, dient er ook een pagina te komen met een overzicht van alle tracking cookies die geplaatst worden, en wat het doel ervan is.
De kans is vrij groot dat een groot percentage van de bezoekers niet toestemt bij de opt-in, en dat maar een klein deel (in dit onderzoek zo’n 10%) van de bezoekers op de site gemeten worden. Voordelen van deze optie is dat precies de wet gevolgd wordt en dus een eventuele veroordeling uitgesloten wordt, mocht de OPTA gaan handhaven.
Optie 3: Serverside Google Analytics
Door middel van PHP is het ook mogelijk om Google Analytics server-side in te richten, zodat er geen gebruik van cookies meer wordt gemaakt. Dit heeft als grote voordeel dat je met Google Analytics kunt blijven werken én dat alle bezoeken worden meegenomen in de rapporten.
Grootste nadeel is dat niet alle rapporten gegevens zullen bevatten, omdat bijvoorbeeld terugkerende bezoekers niet herkend worden.
Optie 4: Server logfile analytics
Gebruik in plaats van Google Analytics een webstatistiekenpakket dat geen tracking cookies gebruikt, maar rapportages genereert op basis van server logs. Zo hoeven er geen tracking cookies te worden gezet en valt gebruik ervan buiten de cookiewet. Een voorbeeld van zo’n pakket is Piwik, deze open source tool is gratis in gebruik. Piwik is vergelijkbaar met Google Analytics, maar heeft een extra optie om de rapportages op basis van server logs te maken en ook zonder meetscripts (en dus cookies), te gebruiken is.
Deze optie heeft het voordeel dat je ervan uit kunt gaan dat je ‘safe’ zit, qua privacy. Maar een pakket als Piwik heeft wel beperkingen ten opzichte van Google Analytics.
Neem contact met ons op indien je meer wilt weten over bovenstaande mogelijkheden, of voor meer informatie over de cookiewet.
Optie 3 en 4 is volgens mij geen oplossing. Je meet dan nog steeds de gegevens van de bezoeker (al dan niet via een cookie) wat volgens de wet niet mag. De wet heeft het namelijk niet specifiek over cookies.
Hallo Anne Jan, leuk dat je reageert!
Wat betreft optie 3 en 4 is het nog niet helemaal duidelijk in hoeverre dit wel of niet mag. Als je bijvoorbeeld de serverlogs gebuikt voor analyse, kan het zijn dat dit niet mag, maar als je de IP-adressen anonimiseert waarschijnlijk weer wel. Het is te hopen dat de komende tijd daar meer duidelijkheid over komt, de praktijk moet uitwijzen hoe de wet geïnterpreteerd gaat worden.
Vraag:
Als de klant een product in gebruik neemt(bijvoorbeeld een credit card), accepteert hij de productvoorwaarden. Daarin kun je afvangen dat klant voor het gebruik van de aan het product verbonden website toestemming geeft voor het droppen van cookies. Hij doet als het ware een opt-in door ingebruikname van het product. Vraag is of dit acceptabel is? Voer voor juristen?
Dank voor dit artikel.
Standaard heeft Piwik een cookie opt-out die niet aan de cookiewet voldoet als je geen toestemming vooraf hebt.
Cookies kun je in Piwik geheel uitschakelen (met vermindering van de mogelijkheden van tracking) door in de JavaScript-code een extra statement toe te voegen zoals hier beschreven:
http://piwik.org/faq/general/#faq_157
Ook staat IP-anonymisering niet standaard aan, maar dat kan bij de instellingen in meer of mindere mate worden aangepast.
De bijbehorende gratis Piwik app is een aanrader.
IP-Adressen anonimiseren voldoet niet aan de wet. Volgens de Nederlandse wet kotm de privacy in het geding zodra een onderscheid te maken is. Dus zelfs als je IP-adressen in iets totaal anders zou ombuigen, is het nog steeds mogelijk onderscheid te maken, dus is de privacy in het geding en dus is deze wet van toepassing.
@Remco Het opnemen van dit soort algemene acceptaties is niet voldoende, de wet vereist een volledig transparante en ondubbelzinnige opt-in. Deze mogen dus niet verpakt worden in statements, Terms & Conditions etc. etc.
@remko: Het is inderdaad zoals OnlineMarketer aangeeft, er moet specifiek een opt-in worden gevraagd. Er moet duidelijk zijn welke cookies gezet worden, en met welk doel.
@Paul: dank voor je aanvullingen voor wat betreft Piwik.
@OnlineMarketer: dit is een discussie die zich zal uitwijzen in de praktijk, ik denk dat het nu nog te vroeg is om echt te kunnen zeggen of het wel of niet voldoende is.
Ben benieuwd voor welke optie jullie zelf gekozen hebben. Hebben jullie zelf één van de opties gekozen die bij optie 2 staan?
Wij kiezen ervoor (financieel dienstverlener) om af te wachten wat de publishers gaan doen. Op de achtergrond zijn we wel bezig met een backup plan wat we binnen een dag operationeel kunnen hebben. (voornamelijk op tracking gebied)
@Dirk
Wij (als webshop) maken sinds de invoering gebruik van functionele cookies met daarbij voor de zekerheid een div met vermelding van het gebruik van die functionele cookies (voornamelijk wegens levering aan meerdere EU-landen) + een verplichte beschrijving van de gebruikte cookies in de privacy policies. Voor de statistieken gebruiken we daarbij i.p.v. Google Analytics nu Piwik, maar dan aangepast naar zonder cookies met anonymisering van de IP-adressen tot 192.38.xxx.xxx, waarbij er dan naar onze beleving in die combinatie van webshop met statistieken zonder cookies geen voorafgaande toestemming gevraagd hoeft te worden.
Als dat anders zou zijn, horen we dat graag.
Ter aanvulling: wij maken daarbij géén gebruik van diensten van advertentie- of affiliatenetwerken en hebben dus geen tracking-pixels achter de afrekenpagina staan.
Als we dat wel zouden hebben, zou waarschijnlijk wél toestemming moeten worden gevraagd.
@Dirk, wij hebben zoals je kunt zien een opt-in gezet op de website (zelfbouw), daarnaast gebruiken we Piwik (serverlogs).
Is het anonimiseren van IP-adressen echt voldoende?
Als iemand bijvoorbeeld product A koopt op een webshop op een bepaald tijdstip zijn de analytics gegevens nog steeds te koppelen aan de persoon want je hebt immers ook ordergegevens. Daar heb je toch geen IP-adres voor nodig?
Interessant artikel Arnold. Ben benieuwd hoe de branche er mee om gaat. Ik zie ook al steeds meer sites die een cookie notificatie hebben geplaatst.
@Frans, dat is indirect, want je weet niet zeker dat het dezelfde persoon. De kans is inderdaad groot, maar het hoeft niet.
@Nigel, ja het beginnen er meer te worden, ben heel benieuwd hoe het zich gaat ontwikkelen!
De nu gebruikte manier van toestemming vragen van OneToMarket is in ieder geval ook in strijd met de wet. Bij het bezoeken aan deze pagina (zonder dat ik toestemming gegeven heb middels de popup) geeft Firefox al 31 geplaatste cookies. Het is dan wel de bedoeling dat is pas gebeurd op moment dat er toestemming is. Op deze manier is het mosterd na de maaltijd.
Complimenten voor dit heldere en uitvoerige artikel! een van de betere die ik hieromtrent gelezen heb iig.
Wat ook nog bij de acceptatie tracking cookies speelt is de komende upgrade van Internet Explorer vwb het default deactiveren van tracking cookies. Daarmee is een substantieel deel van het bezoek niet meer te volgen voor de meeste partijen.
Chrome en Firefox zullen hier niet in meegaan als onderdeel van Google of Google in de rol als geldschieter lijkt me zo. Ik ben benieuwd wat Safari gaat doen. Maar hoe dan ook valt er een groot deel weg. Al met al denk ik dat we ons op moeten maken voor een (tracking) cookieloze toekomst.
Wat als je de google analytics data realtime gebruikt om de back button op je ajaxified website in alle situaties te laten werken?
@Maurice, onze webdevelopers zijn bezig om alle cookies af te vangen, dit lukt helaas nog niet zo gemakkelijk bij elke cookie.
@Vincent, dank voor je commentaar! De toekomst zal het uitwijzen, maar cookieloze oplossingen worden nu wel belangrijker.
@tensai, kun je je vraag verduidelijken? Je workaround is me niet helemaal duidelijk
@Maurice: Je bent waarschijnlijk al eens op onze website geweest voordat de cookiewet er was. Doordat je geen cookies hebt geaccepteerd kunnen wij ze niet zien en ook niet weghalen. Het is dus geen mosterd naar de maaltijd, maar een cookie voor de maaltijd.
[…] Handhaving van de wet “De wet is officieel per 5 juni ingegaan, maar handhaving door de overheid zal pas gebeuren per 1 januari 2013, zie ook dit persbericht op rijksoverheid.nl. De vraag is hoe de OPTA – als uitvoerend handhavend orgaan – dit zal gaan doen, maar het is verstandig om in ieder geval voor het nieuwe jaar een oplossing te hebben die 100% gedekt is. Als er een opt-in oplossing gekozen wordt, is het zinvol om zelf bij te houden of een bezoeker de cookies accepteert. Omdat indien er een rechtszaak komt de site eigenaar moet kunnen aantonen of de bezoekers inderdaad toestemming gegeven hebben. Er zijn sites die een opt-out gebruiken in plaats van een opt-in, maar dit is niet conform de letter van de nieuwe wet. Een voorbeeld hiervan is De Telegraaf. (Bron) […]