Cookiewet: 7 tips ter voorbereiding op nieuwe cookiewetgeving
De Cookiewet die op 21 juni 2011 door de linkse partijen en de PVV isgoedgekeurd veroorzaakt veel onrust in de Nederlandse online marketingbranche. De cookiewetgeving is dan ook de meest strenge ter wereld, mocht deze definitief worden doorgevoerd na goedkeuring door de Eerste Kamer. Wat is de impact van de Cookiewet op zoekmachinemarketing en webanalytics? En zijn er mogelijkheden om de doorgeslagen privacyregels te omzeilen? In deze post7 tips om voorbereidingen te treffen, mocht de Cookiewet worden doorgevoerd in de nu voorgestelde vorm.
Achtergrond: de ePrivacy richtlijn
De Cookiewet komt voort uit de Europese ePrivacy-richtlijn (EU ePrivacy Directive (Directive 2002/58/EC)). Deze richtlijn wordt vervolgens door elk land vertaald naar lokale wetgeving, welke minimaal moet voldoen aan de in de richtlijn gestelde privacy-eisen. Deze eisen zijn in het kort A) een meldingsplicht en B) een opt-out mogelijkheid voor het opslaan en uitlezen van informatie op de computer van een internetgebruiker. De meldingsplicht betreft de verplichting om aan te geven met welk doel een cookie wordt geplaatst. De opt-out verplichting is niet nader vormgegeven in de richtlijn, maar impliceert dat een internetgebruiker op enig moment in staat moet worden gesteld om een cookie te weigeren. Dat kan dus zowel eenmalig, bijv. via browserinstellingen, als per vertoonde advertentie. De Europese ePrivacy richtlijn is van toepassing op alle in Europa gevestigde bedrijven of bedrijven die internetgebruikers in Europa bedienen.
De Nederlandse Cookiewet
Het wetsvoorstel zoals recent goedgekeurd door de Tweede Kamer is gebaseerd op een amendement van de PVV, PvDA, D66 en SP (en bedankt!). In dit amendement wordt gepleit voor een “ondubbelzinnige toestemming” van de internetgebruiker op het gebruik van cookies. Echter, de cookiewetgeving lijkt gebaseerd op juridisch fundamenteel onjuiste uitgangspunten zo blijkt uit een analyse door advocatenkantoor Solv. Het amendement stelt namelijk dat de cookiewetgeving geen afbreuk doet aan de Wet bescherming persoonsgegevens (Wbp), die dus als leidend kan worden beschouwd. Ook stelt het amendement dat cookies per definitie persoonsgegevens bevatten, wat onjuist is. Onder persoonsgegevens wordt namelijk verstaan “gegevens die herleidbaar zijn tot een individuele natuurlijke persoon”. Een cookie legt in 99% van de gevallen echter gegevens vast omtrent bijvoorbeeld websitegebruik, gekoppeld aan een IP-adres of computer. En een IP-adres of computer is geen persoon, noch zijn deze gegevens naar een persoon te herleiden. Harde NAW-gegevens worden al helemaal vrijwel nooit opgeslagen in cookies omwille van beveiligingsredenen.
Het amendement stelt ook dat de Wbp voorschrijft dat er ondubbelzinnige toestemming moet worden gegeven. Dit is echter niet juist; de Wet bescherming persoonsgegevens kent naast toestemming nog vijf andere grondslagen op basis waarvan persoonsgegevens wel degelijk mogen worden verzameld. Eén daarvan is het hebben van een gerechtvaardigd belang, wat ook een commercieel belang kan zijn. Of, in de context van de mogelijke gevolgen van de cookiewet, misschien zelfs wel het belang van een gebruiksvriendelijke internetervaring. Bovendien mag volgens de Wbp toestemming ook impliciet worden gegeven. Uitsluitend in het geval van bijzondere persoonsgegevens moet uitdrukkelijke toestemming gegeven worden.Tenslotte is het zo dat de eis van “ondubbelzinnige toestemming” het geven van toestemming via browserinstellingen strikt genomen niet uit sluit. En dat is nu juist hetgeen waartegen de indieners zich expliciet hebben uitgesproken.
Impact cookiewet op zoekmachinemarketing & webanalytics
Maar wat is nu de impact van de Cookiewet op zoekmachinemarketing? Of webanalytics? In hoeverre worden de vakgebieden SEO, SEA en webanalytics geraakt door de kortzichtigheid van de linkse partijen en de PVV? Een eenduidig antwoord is hierop momenteel niet te geven helaas. Duidelijk is echter wel dat, wanneer we de Cookiewet interpreteren naar de letter van de Wbp, de werkelijke impact enorm beperkt zal zijn. Mochten de partijen hun huiswerk nog eens dunnetjes over doen en dan alsnog tot de conclusie komen dat third-party cookies – ook zonder persoonsgegevens – een privacyrisico vormen, dan zijn de rapen gaar. Advertentietechnieken als Remarketing worden dan vrijwel onmogelijk, evenals het tonen van Google Adwords ads in het Display Netwerk op basis van eerder ingegeven zoekopdrachten op Google. Qua webanalytics wordt het segmenteren van bezoekers met behulp van tools als BT Buckets en het A/B of multivariatie testen van landingspagina’s onmogelijk gemaakt, althans, uitgaande van de nu gebruikte technieken.
7 Tips ter voorbereiding op de Cookiewet
Ondanks het feit dat we als branche nog volledig in het duister tasten over de werkelijke impact, kunt u zich als website-egenaar al wel voorbereiden op de implementatie van de cookiewetgeving. Enkele tips:
- Breng het gebruik van cookies op de eigen website zo volledig mogelijk in kaart en schrap wat niet meer nodig is. Het gebeurt dikwijls dat scripts voor tools die al lang niet meer in gebruik zijn nog steeds worden aangeroepen in de broncode van de website.
- Gebruik alleen cookies voor functionaliteit die echt noodzakelijk is. Wanneer u bijvoorbeeld maar op 1 webpagina een A/B test heeft lopen, verwijder dan de scripts die verantwoordelijk zijn voor het plaatsen van third-party cookies van alle overige webpagina’s.
- Zorg voor een up-to-date privacy policy. Beschrijf duidelijk welke gegevens worden vastgelegd en waarom, welke analytics software wordt gebruikt, etc.
- Maak de privacy policy beschikbaar vanaf elke webpagina van de website.
- Wees zo volledig en duidelijk mogelijk over de wijze waarop data wordt vergaard en met welke reden.
- Zorg ervoor dat het privacy reglement links bevat naar de services van webanalytics providers om tracking uit te schakelen. Voor Google Analytics zijn opt-out plugins beschikbaar voor diverse browsers en bestaat de mogelijkheid om het opslaan van IP-adressen te beperken. Ook voor het blokkeren van cookies van Adobe Omniture bestaan mogelijkheden.
- Volg de implementatie van de Cookiewet in Nederland nauwgezet om snel stappen te kunnen ondernemen zodra het een en ander concreter wordt. dit kan bijvoorbeeld via de website van branchevereniging IAB, tevens actief betrokken bij de lobby tegen de Cookiewet.