De herziene cookiewet: implementatietips & tools voor online marketeers en webmasters

Met dank aan Jumbo Supermarkten
Bron: Jumbo Supermarkten

Op 20 mei jl. is een wetswijziging voorgesteld in het kader van “de cookiewet” door Minister Kamp in een brief aan de Tweede Kamer. Branchevereniging IAB publiceerde naar aanleiding hiervan deze week de “Cookie compliance toestemmingsgids”. In deze blogpost een uiteenzetting van de strekking van de nieuwe cookiewet en de impact op de dagelijkse online marketing praktijk.

De nieuwe cookiewet op hoofdlijnen

De cookiewet, die feitelijk bestaat uit een combinatie van bepalingen uit de Telecomwet en de Wet Bescherming Persoonsgegevens, stuitte het afgelopen jaar op veel weerstand uit de online marketingbranche en internetgebruikers in het algemeen. Nu ligt er een nieuw wetsvoorstel dat veel meer in lijn is met de wijze waarop de European Privacy Directive door andere ons omringende landen is geïnterpreteerd.

In het nieuwe wetsvoorstel is de wetgever er beter in geslaagd om onderscheid te maken tussen verschillende soorten cookies en de impact op de privacy van de internetgebruiker. Waar het in de nu nog van kracht zijnde cookiewet vereist is om bezoekers te informeren over het gebruik van alle cookies en expliciet toestemming te vragen voor het plaatsen hiervan middels opt-in, is hierop nu in veel gevallen een uitzondering gemaakt. De nieuwe cookie richtlijnen onderscheiden de volgende soorten cookies:

  • Analytic cookies: cookies die door websitehouders worden gebruikt om informatie te verkrijgen over het gebruik van hun website, om daarmee de kwaliteit van de website te verbeteren.
  • A/B testing cookies: cookies die worden gebruikt om te bepalen welke versie van een advertentieuiting of website (dan wel onderdeel daarvan) het meest effectief zijn.
  • Affiliate cookies: cookies die bedoeld zijn om bij te houden welke advertentie leidt tot een aankoop
  • Tracking cookies: cookies bedoeld om individueel surfgedrag te volgen en profielen op te stellen. Hieronder vallen ook de cookies die worden gebruikt door social media functies, zoals Facebook “Like”, Google “+1” en Twitter share buttons.

Het is belangrijk om hierbij op te merken dat waar er wordt gesproken over “cookies”, hiermee wordt bedoeld:

  • HTTP cookies
  • Flash cookies, ook wel Local Shared Objects genoemd
  • Web beacons & web bugs
  • Clear GIF’s

De cookiewet heeft dus feitelijk betrekking op diverse vormen van gegevensverzameling en is niet per definitie gelimiteerd tot gegevens verzameld in een bestandje op de pc van de internetgebruiker. We spreken in deze blogpost voor het gemak in alle bovenstaande gevallen over “cookies”. Daarnaast wordt niet langer onderscheid gemaakt tussen first party en third party cookies. Deze worden in het nieuwe wetsvoorstel als gelijkwaardig beschouwd; het doel van de gegevensverzameling en de impact op de persoonlijke levenssfeer van de internetgebruiker is dus leidend voor de regelgeving.

Analytic cookies

Voor “Analytic cookies” geldt dat er géén verplichting tot informeren en géén opt-in meer vereist is, zolang de gegevensverzameling alleen wordt gebruikt om het websitegebruik in kaart te brengen. Dit impliceert dat cookies geplaatst door populaire webanalytics oplossingen, zoals Google Analytics, gewoon zijn toegestaan. Daarvoor is het wel noodzakelijk dat deze cookies, of de daarmee gegenereerde gegevens, niet ook worden gebruikt voor andere doeleinden die wel “meer dan geringe gevolgen voor de privacy” hebben, zoals het opstellen van bezoekersprofielen.

Als data vergaart via analytic cookies met derden wordt gedeeld, moet de websitehouder met deze derde(n) een bewerkersovereenkomst sluiten waarin is afgesproken dat de verzamelde gegevens geen of geringe gevolgen hebben voor de persoonlijke levenssfeer van de betrokken gebruikers van wie gegevens zijn vastgelegd. Zonder een dergelijke overeenkomst valt men niet onder de uitzondering op de cookiewet zoals bovenstaand omschreven voor analytic cookies. In dit kader is het dan ook aan te bevelen om de licentie- of gebruikersovereenkomst tussen uw organisatie en de leverancier van de webanalytics oplossing te controleren.

A/B testing & affiliate cookies

Zowel A/B testing cookies als affiliate cookies zijn niet bedoeld om informatie te verzamelen over de gebruiker, maar over de prestaties van advertenties en respectievelijk affiliates. Indien de met deze typen cookies verkregen informatie alleen voor deze doelen worden gebruikt, zal dit geen of nauwelijks gevolgen hebben voor de privacy van de internetgebruiker is de beredenering van de wetgever. Hierdoor vallen beide typen cookies onder de uitzondering. Over het gebruik ervan hoeft de bezoeker dan ook niet te worden geïnformeerd en er is geen toestemming nodig.

Als de met deze cookies verkregen informatie daarnaast ook voor andere doeleinden gebruikt wordt, dan mag dit niet meer dan geringe gevolgen hebben voor de privacy van de internetter. In alle andere gevallen moet alsnog geïnformeerde toestemming worden verkregen.

Tracking cookies

Waar het plaatsen en gebruik van cookies belangrijke gevolgen kan hebben voor de persoonlijke levenssfeer van de internetgebruiker, gelden de eisen van de huidige cookiewet vrijwel onverkort: duidelijk en volledig informeren én toestemming vragen. Dit geldt in elk geval voor de zogeheten tracking cookies, bedoeld om gegevens over het surfgedrag van bezoekers op te slaan in profielen. Voorbeelden zijn remarketing cookies (ook wel retargeting genoemd), social media “share” functionaliteiten, etc.

Verdwijnen van de opt-in vereiste

In het wetsvoorstel is verder opgenomen dat het plaatsen van cookies ook mag gebeuren op grond van “impliciete toestemming”. Wanneer de bezoeker op de eerste pagina van binnenkomst wordt geïnformeerd over het gebruik van cookies op de website die niet onder de genoemde uitzondering vallen, wordt met het verder navigeren binnen de website blijk gegeven van impliciete toestemming, zo stelt het wetsvoorstel. Hiermee is de oude opt-in vereiste komen te vervallen en mag de wilsuitdrukking van een bezoeker dus ook worden afgeleid uit een handeling, in dit geval het doorklikken naar een vervolgpagina. Maar ook het klikken op een “akkoord-button” of het sluiten van de banner met de cookiemelding, wordt uiteraard beschouwd als een geldige toestemming.

De toestemming tot het plaatsen van cookies kan worden verkregen voor alle typen cookies ineens, of per categorie. Ook is het aan de websitehouder om te bepalen of toestemming wordt gegeven voor één website, of ineens voor alle websites in haar beheer. Wèl is het van belang dat de eerste pagina waarop de bezoeker binnenkomt (wat niet per sé de homepage hoeft te zijn), is gevrijwaard van vormen van gegevensverzameling die niet onder de uitzondering vallen.

Stappenplan implementatie cookierichtlijnen

Onderstaand een beknopt stappenplan om de nieuwe cookierichtlijnen succesvol te implementeren.

  1. Bepaal welke cookies of andere vormen van gegevensverzameling er zijn op de website(s) en deel deze op in categorieën; in elk geval een categorie waarvoor géén informatie- en toestemmingsvereiste geldt, en een categorie waarvoor dat wèl het geval is.
  2. Pas het privacy statement aan, zodanig dat hieruit duidelijk blijkt: A. voor welke website(s) de cookies gelden en B. voor welk doel de cookies worden gebruikt. Het verdient daarnaast de aanbeveling om in het privacy statement ook te omschrijven hoe men cookies kan verwijderen via functionaliteit op de website of browser instellingen.
  3. Maak gebruik van een goed zichtbare “cookie banner”. Idealiter staat deze bovenin de pagina om voldoende goed op te vallen, maar er mag ook voor een andere locatie worden gekozen. Hierin dient vermeld te worden dat de website gebruik maakt van cookies (in geval van cookies waarvoor de informatie- en toestemmingsvereiste geldt) Daarnaast dient er een link opgenomen te zijn naar het privacy statement en functionaliteit om de cookie instellingen aan te passen.

Software tools & scripts om cookies te beheren

Voor veel websites zal gelden dat idealiter gebruik gemaakt wordt van software, tools of scripts om cookies te kunnen beheren. Hiervoor zijn veel verschillende oplossingen beschikbaar, variërend van gratis tools of scripts die uitsluitend een oplossing bieden voor de cookie richtlijnen, tot tag management oplossingen  zoals Google Tag Manager (gratis, maar relatief beperkt) en de door Traffic Builders aangeboden tool Satellite (presentatie).

Wil je meer willen weten over hoe om te gaan met de cookiewet? Of heb je vragen over de implementatie van Google Tag Manager of de kansen en voordelen van een uitgebreider tag management systeem als Satellite voor jouw organisatie? Neem dan contact met ons op, we adviseren je graag vrijblijvend over de mogelijkheden.

IAB documentatie over de cookiewet

Tenslotte de documentatie van branchevereniging IAB over de cookiewet:

De brief aan de Tweede Kamer van Minister Kamp van 20 mei jl. is te vinden op de pagina over de cookiebepaling op Internetconsultatie.nl. Hier kan men ook reageren op het wetsvoorstel.