088 - 120 34 00

Cookiewet en Google Analytics: alle mogelijkheden op een rij.

Vandaag, 5 juni 2012 is de zogenaamde cookiewet van kracht geworden die onderdeel is van de nieuwe Telecomwet (zie hoofdstuk 11.7a). De cookiewet heeft gevolgen voor het gebruik van cookies op je website. Cookies zijn kleine tekstbestandjes die op de computer van de websitebezoeker worden gezet om bijvoorbeeld logingegevens op te slaan voor de volgende keer dat deze de site bezoekt. Er zijn veel soorten cookies, maar de nieuwe wet maakt onderscheidt tussen functionele en niet (direct) functionele cookies. Tot de laatste behoren ook de cookies die veel webanalytics pakketten zoals Google Analytics gebruiken. Ook veel social sharing buttons zetten een cookie bij het bezoeken van een website.

update cookiewetgeving 16-3-2015

Er is een nieuwe cookiewet aangenomen en daardoor is dit artikel toe aan een revisie. Voldoe aan de nieuwe cookiewet door het volgen van de werkwijze in ons artikel de Nieuwe cookiewet is van kracht. Wat nu?.

Nederlandse opt-in

De wet heeft als gevolg dat er zonder toestemming geen niet-functionele cookies gezet mogen worden, veelal zogenaamde tracking cookies. Middels een zogenaamde “opt-in” moet eerst aan de bezoeker gevraagd worden of de websites de cookies mag plaatsen, voordat deze ook daadwerkelijk geplaatst gaat worden. Dit is strikter dan vergelijkbare wetten in sommige andere Europe landen, waarbij een “opt-out” voldoende is. Bij een opt-out mogen er cookies geplaatst worden totdat de bezoeker opt-out.

In het geval van deze nieuwe Nederlandse wetgeving met de opt-in moet er ook een privacyverklaring op de website te vinden zijn. Hiervoor dient een zo volledig mogelijk overzicht gemaakt te worden van de cookies die de website kan plaatsen en waar deze precies voor worden gebruikt. Een algemene zin bij de “opt-in” zelf mag, maar er moet een directe link aanwezig zijn die volledige duidelijkheid verschaft. Het bijhouden van een cookie met daarin de status of een gebruiker cookies accepteert mag wel zonder opt -int, dit valt onder functioneel.

Mythes

Er zijn nogal wat mythes in omloop i.v.m. de cookiewet. Zo is er het idee dat het voldoende is door in de FAQ of privacy policy melding te maken van de cookies, maar dit is zeker niet het geval. Het moet expliciet door de gebruiker (middels de opt-in) aangegeven zijn dat ze cookies willen accepteren. Daarnaast vallen niet alleen cookies onder de cookiewet, maar ook alle andere vormen van het plaatsen én uitlezen van informatie op het apparaat van de gebruiker, zoals fingerprinting.

Ook gaat de wet niet specifiek in op 1st of 3rd party cookies, ook bij 1st party cookies moet er een opt-in gevraagd worden. Sommige website eigenaren denken slim te zijn en willen de server waarop de website staat in het buitenland zetten, maar ook dit is geen oplossing, omdat specifiek in de wet vermeld wordt dat buitenlandse websites die door Nederlanders bezocht kunnen worden aan deze regels moeten voldoen.

Handhaving van de wet

De wet is officieel per 5 juni ingegaan, maar handhaving door de overheid zal pas gebeuren per 1 januari 2013, zie ook dit persbericht op rijksoverheid.nl. De vraag is hoe de OTPA – als uitvoerend handhavend orgaan – dit zal gaan doen, maar het is verstandig om in ieder geval voor het nieuwe jaar een oplossing te hebben die 100% gedekt is. Als er een opt-in oplossing gekozen wordt, is het zinvol om zelf bij te houden of een bezoeker de cookies accepteert. Omdat indien er een rechtszaak komt de site eigenaar moet kunnen aantonen of de bezoekers inderdaad toestemming gegeven hebben. Er zijn sites die een opt-out gebruiken in plaats van een opt-in, maar dit is niet conform de letter van de nieuwe wet. Een voorbeeld hiervan is De Telegraaf.

Cookiewetgeving en Google Analytics

Als Google Analytics Certified Partner (GACP) zien we enkele oplossingen in hoe we om kunnen gaan met de nieuwe wet. Grofweg gezegd zijn er voor Google Analytics een stuk of 4 opties die je kunt inzetten, al dan niet naast elkaar. Ze hebben elk z’n voor- en nadelen in het gebruik.

Optie 1: Aanpassing meetscript Google Analytics.

Het is mogelijk het Google Analytics meetscript aan te passen, zodat het IP adres van de bezoeker niet wordt opgeslagen in de database van Google. Hierbij worden de laatste cijfers van het IP-adres geanonimiseerd, waardoor deze niet meer terug te voeren zijn op de specifieke bezoeker. Google definieert de gegevens die ze opslaan dan ook niet meer als ‘persoonsgebonden.’ Als daarnaast in de privacyverklaring wordt vermeldt dat een Google Analytics cookie gezet wordt, kun je met een relatief kleine aanpassing tegemoetkomen aan de gedachte van de wet.

Deze methode wordt veel toegepast in Duitsland, waar een soortgelijke wetgeving verleden jaar al van kracht werd. Met name de vrij eenvoudige implementatie van deze optie is een groot voordeel. Het nadeel is dat dit niet exact volgens de letter van de wet handelt, maar meer in de geest van.

Optie 2: Opt-in

De wet vraag voor het bijhouden van tracking cookies specifiek om een opt-in. Die toestemming hoeft niet per se via een popup, maar kan ook op een profielpagina gezet worden. Maar er mag dus niet gemeten worden, voordat er toestemming verleend is door de bezoeker.

Onderstaande sites bieden een oplossing die je direct kunt gebruiken:

 

Naast de toestemming, dient er ook een pagina te komen met een overzicht van alle tracking cookies die geplaatst worden, en wat het doel ervan is.

De kans is vrij groot dat een groot percentage van de bezoekers niet toestemt bij de opt-in, en dat maar een klein deel (in dit onderzoek zo’n 10%) van de bezoekers op de site gemeten worden. Voordelen van deze optie is dat precies de wet gevolgd wordt en dus een eventuele veroordeling uitgesloten wordt, mocht de OPTA gaan handhaven.

Optie 3: Serverside Google Analytics

Door middel van PHP is het ook mogelijk om Google Analytics server-side in te richten, zodat er geen gebruik van cookies meer wordt gemaakt. Dit heeft als grote voordeel dat je met Google Analytics kunt blijven werken én dat alle bezoeken worden meegenomen in de rapporten.

Grootste nadeel is dat niet alle rapporten gegevens zullen bevatten, omdat bijvoorbeeld terugkerende bezoekers niet herkend worden.

Optie 4: Server logfile analytics

Gebruik in plaats van Google Analytics een webstatistiekenpakket dat geen tracking cookies gebruikt, maar rapportages genereert op basis van server logs. Zo hoeven er geen tracking cookies te worden gezet en valt gebruik ervan buiten de cookiewet. Een voorbeeld van zo’n pakket is Piwik, deze open source tool is gratis in gebruik. Piwik is vergelijkbaar met Google Analytics, maar heeft een extra optie om de rapportages op basis van server logs te maken en ook zonder meetscripts (en dus cookies), te gebruiken is.

Deze optie heeft het voordeel dat je ervan uit kunt gaan dat je ‘safe’ zit, qua privacy. Maar een pakket als Piwik heeft wel beperkingen ten opzichte van Google Analytics.


Neem contact met ons op indien je meer wilt weten over bovenstaande mogelijkheden, of voor meer informatie over de cookiewet.

Stel vrijblijvend een vraag aan één van onze Consultants

onze partners