Deel dit artikel
-

‘De cookiewet is duidelijk: opt-in. Maar…’

Grote delen van de Nederlandse internetsector negeren de cookiewet die in mei van kracht werd. Er wordt weinig expliciet om toestemming gevraagd om niet-noodzakelijke cookies te mogen plaatsen. Iedereen weet dat het anders moet, maar de ‘maar’ daarbij klinkt harder.

Maar dan kunnen we geen Analytics meer meten‘ en ‘Maar dan kunnen we de bron van de omzet niet meer herleiden‘. Dat zijn zomaar twee argumenten die bedrijven aandragen om de cookiewet dan maar niet strikt te implementeren.

E-commercepartijen behoren tot de bedrijven die gruwelen van de nieuwe regel. Ze vrezen dat ze blind worden gemaakt zodra de OPTA de cookiewet per 1 januari gaat handhaven. Grote webshops, bijvoorbeeld, geven duizenden tot tienduizenden euro’s uit bij AdWords om verkeer in te kopen, maar hebben na een correcte implementatie amper nog zicht op het effect en rendement van hun media-investeringen. “In het uiterste geval wordt verkeer uit AdWords bestempeld als direct verkeer”, zegt Robert Slijm van AdResults.

De online gedragingen van de consument zijn in de afgelopen jaren valuta geworden waarmee digitale adverteerders zich ‘stiekem’ grenzeloos verrijkten. De BBC laat zien dat niemand zichzelf privacydrempels oplegt als de niet extern worden verplicht. Het bedrijf Drawbridge volgt zodoende niet alleen de gedragingen van de consument op het web, maar heeft zijn bereik verlegd naar alle andere ‘connected devices’. Het bedrijf heeft inmiddels profielinformatie van ruim tweehonderd miljoen apparaten van consumenten.

Martin van der Meij van De Telegraaf liet er tijdens Emerce Performance geen gras over groeien. “Iedereen heeft zich jaren misdragen als een klein kind in een speelgoedwinkel. Tot nu toe is er nul controle geweest over de privacy van de consument.”

Om toch aan de wet te kunnen voldoen verschenen er in de maanden verscheidene hulpmiddelen om cookiemanagement te plegen op websites. De meest recente in dat rijtje is de cookietool van AdResults uit Groningen.

Slijm: “Met onze tool kun je volledig voldoen aan de cookiebepaling in de Telecomwet: volledige opt-in. Dat is wat we klanten aanraden. Bedrijven, denk aan webwinkels, kunnen ook risico nemen en net over de grens gaan. Dat is een andere instellingen waarbij het AdWordsverkeer via een sessiecookie toch meetbaar blijft in Analytics. De winkel hoeft niet direct opt-in te vragen, maar kan dat ook pas later in het aankoopproces te doen.”

De Groningse tool is gratis. “We zijn een jong bedrijf en gebruiken de cookietool voor branding. Onze naam staat in het pop-upvenster.”

Verscheidene bedrijven die Emerce raadpleegde, geven aan dat ze tot 1 januari in het grijze gebied tussen opt-in en opt-out blijven zweven. Of ze leggen, als toeleverancier, de verantwoordelijkheid bij de sitebeheerder die ze bedienen. Pas na de jaarwisseling gaat de knop om naar ‘volledig en transparant informeren over en vragen naar toestemming om cookies te plaatsen.’

Onlangs diende D66 nog een motie in die analytics buiten de cookiewet zou kunnen plaatsen. De minister behandelt de motie binnenkort in de kamer.

In november 2009, meer dan drie jaar geleden, werd al duidelijk dat bedrijven toestemming zouden kunnen moeten gaan vragen om niet-noodzakelijke cookies te plaatsen.

Foto: bark (cc)

Deel dit bericht

16 Reacties

Rene Bulthuis

Goed dat er steeds meer oplossingen aangeboden worden. Vanuit Synovite vinden we het een groot compliment dat het design dat we hebben geïntroduceerd bij ICTrecht.nl zo gretig wordt overgenomen door adverteerders en bureaus. Mooi dat de markt hier mee bezig is, hoewel we hopen dat aanbieders ook juist met nieuwe ideeën en manieren komen om de markt verder te brengen. Afgezien van de herkenbare layout aan de voorkant, zijn we wel benieuwd hoe deze oplossing omgaat met de bewijslast. We zien dat het script van jullie als bewijs een tekstfile aanmaakt met alle IP-adressen. Hoe verhoudt zich dit tot de Wbp en het feit dat het CBP de IP-adressen aanmerkt als persoonsgegeven? (zoals bekend kan dit tot problemen leiden bij het opslaan van de toestemming voor 5 jaar).

Rene

Robert Schippers

Beste Rene,

Bedankt voor je reactie! Het design hebben wij gebaseerd op één van eerste tools in de markt, die erg vaak qua design is overgenomen (de tool van British Telecom).

Wat betreft het opslaan van IP adressen ben ik het met je eens, maar mocht de OPTA toch de bewijslast opvragen (deze ligt vanaf 1 januari 2013 namelijk bij de eigenaar van een website), dan is het nodig om specifieke gegevens aan te kunnen leveren waarmee je de bewijslast kunt aantonen. Hoe wil je anders op een goede manier de bewijslast volledig opslaan?

Bas Seelen

‘grenzeloos verrijken’? Kom op zeg, get real. Er was altijd al een WBP waar bedrijven zich aan dienen te houden. Na alles wat er over geschreven is, staat een cookie nu gelijk aan privacy schending. Een soort Maurice de Hond effect. Dit terwijl tracking op IP adres niveau etc niet bekeken KAN worden. Een cookie is met 1 druk op de knop weg…

De OPTA kan nog steeds geen uitsluitsel geven over wie de plaatser is en wie dus toestemming moet krijgen/ bewijzen. Heel vreemd voor een wet die zoveel invloed kan hebben op de economie.

Is het overigens niet zo dat als bedrijven hun ‘tracking’ gaan melden bij het CBP ze dan net zo goed gelijk IP adressen mee kunnen nemen? wanneer ze dat dan in hun informatie mee nemen hebben ze nog betere tracking en geen cookie smeer nodig….

mvdg

Ik blijf het gevoel houden dat juist de partijen die wat te winnen hebben bij de “geweldige” nieuw wetgeving, de partijen zijn die hard schieten op de oude situatie van cookies. Tuurlijk is dat logisch maar het ligt er allemaal zo dik op

Miranda Maasman

@Bas Seelen Heb je de blog van Wouter Dammers al gezien? Hij verbaast zich oa over beleid OPTA tav cookies van derde partijen nav antwoord op Kamervragen van Kees verhoeven door staatssecretaris Dekker (die het bij het juiste eind heeft)
https://cookierecht.nl/juridisch-weblog/oh-oh-den-haag-toch-antwoorden-op-kamervragen-cookiewet/#comment-1100

JFS

Wordt deze nieuwe wet ook gehandhaafd? Worden er sancties opgelegd? Of is het zo’n zelfde wassen neus als bij het energielabel bij de huizenverkoop? Dat zou ik wel eens willen weten….

Mark Leer

Het bericht geeft aan dat er nu duidelijkheid is over de cookiewet. Maar dit is een reclamecampagne van Adresults. Thuiswinkel.org verzet zich ook tegen de opt-in. Dit, omdat in andere EU landen blijkbaar andere regels gelden. Nederland wil weer het beste jongetje van de klas zijn, maar maakt het internetten er vooral niet leuker op. Zal niet de leus van een andere overheidsinstantie “leuker kunnen we het niet maken, wel…” noemen 😉

Waarom geen opt-out, zoals in andere EU landen? Waarom niet “cookies uitzetten” op het apparaat?

De nadelige invloed op conversie is onacceptabel hoog.

Miranda Maasman

Opt in, opt out.. nergens in de wet of richtlijn vindt je deze termen terug. De wet eist alleen dat de gebruiker wordt geinformeerd over cookiegebruik en daarvoor toestemming verleent, meer niet. Dus ook niet dat de cookieplaatser om toestemming vráágt! Toestemming hoeft slechts te voldoen aan drie eisen, en het op OK of akkoord klikken is niet één van die eisen.

Robert Schippers

@JFS: de OPTA (zij zien toe op de cookiewetgeving, officieel artikel 11.7.a van de Telecommunicatiewet) is gemachtigd om waarschuwingen en boetes tot 450.000 euro uit te delen.

@Miranda: opt-in en opt-out vind je inderdaad in de wet zelf niet terug. Echter, de wet geeft duidelijk aan dat:
Artikel 11.1b: “van de gebruiker toestemming te hebben verkregen voor de desbetreffende handeling.”, met andere woorden: er moet toestemming gegeven worden door de bezoeker.

Zie ook de volledige wet op: http://wetten.overheid.nl/BWBR0009950/Hoofdstuk11/i111/Artikel117a/geldigheidsdatum_11-12-2012

Miranda Maasman

Ik ken de wettekst en daar staat alleen in informeren + toestemming verkrijgen (niet vrágen!). Dan moet de discussie dus gaan over de eisen waaraan die toestemming moet voldoen, en niet of er sprake is van opt-in of opt-out, dat vertroebelt alleen maar. Dat probeerde ik duidelijk te maken

Rene Bulthuis

Beste Robert,

Het klopt dat de bewijslast bij de eigenaar van de website ligt, maar IP-adressen hebben meerdere beperkingen. Ten eerste dat IP-adressen door het CBP als persoonsgegeven worden gezien, je mag ze daardoor niet zo lang bewaren. Daarnaast moet je verwerking van persoonsgegevens officieel aanmelden bij het CBP. Ook worden nog steeds dynamische IP-adressen gebruikt of wordt één IP-adres gebruikt voor meerdere PC’s. Wij hebben er in samenwerking met de juristen daarom voor gekozen om niet de IP-adressen op te slaan, maar in plaats daarvan audit-log bij te houden van de gebruikte tags en vereiste toestemming op elk moment. Deze audit-logs worden voorzien van een cryptografische handtekening zodat ze achteraf niet te wijzigen zijn.

In het cookie van de bezoeker wordt vervolgens naast de toestemming ook opgeslagen wanneer de toestemming precies gegeven is en bij welke configuratie van de tool. Daarmee is dus exact te achterhalen waarvoor er toestemming is gegeven en wat op dat moment de inhoud van de vraagstelling en privacy-policy was. Dit laatste is ook belangrijk omdat de formulering van de toestemmingsvraag (waar je precies toestemming voor vraagt) natuurlijk ook van invloed is op wat je daarna wel en niet binnen de toestemming kan doen.

Rene

Ron Brinckman

Wat als een gebruiker geen toestemming geeft? Kan jullie oplossing dan ook cookieloze versies gebruiken van social media buttons en blijven meten met Google Analytics zoals CookieRight?

Robert Schippers

Beste Ron, dit is zeker mogelijk! Je kunt namelijk alles instellen op 3 niveau’s en daarbij aangeven wat je bij welk niveau van acceptatie wilt tonen. Met andere woorden: kiest een bezoeker voor alleen noodzakelijke cookies, dan kun je de scripts van social media buttons laden die geen cookies zetten.

Ron Brinckman

Beste Robert, dank voor je snelle antwoord. En geldt hetzelfde voor Google Analytics? Als een gebruiker geen toestemming geeft, wat kunnen jullie dan nog meten?

Robert Schippers

Beste Ron,

Als de bezoeker aangeeft dat Google Analytics niet mag worden doorgemeten (noodzakelijke cookies), dan wordt de bezoeker niet doorgemeten.

Een mogelijke oplossing hiervoor zou kunnen zijn om de bezoeker van bijvoorbeeld een webshop eerst akkoord te laten gaan met de algemene voorwaarden én de cookies, zodat je alle sales altijd wél doormeet. Standaard wordt dit niet gemeten, als een consument expliciet aangeeft dat hij/zij dit niet wil (dat is immers zoals de wetgeving het voorschrijft).

Mvg,

Robert Schippers

Davy Tollenaere

Ik heb er gisteren ook iets over de nieuwe cookiewet in Nederland geschreven. Ik vraag me daarin bijvoorbeeld ook af of dit ook geldt voor Remarketing. Dat is nu een deel van Google Analytics, maar heeft eigenlijk geen analyse/statistiek tot doel. Wat denken jullie?

Groeten,

Davy Tollenaere
Online Marketing Consultant

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond