Hoe wij tegenover de cookiewet staan

De cookiewet is sinds 5 juni jl. definitief van kracht. Een wet die veel stof heeft doen opwaaien. Er bestaat veel kritiek op de wet die te strikt zou zijn. Wij vinden ook dat de privacy van gebruikers voorop moet staan, maar of de nieuwe richtlijnen daarvoor op de juiste manier ingericht zijn, is de vraag. Ons advies? Afwachten...

Wat houdt de cookiewet in?

De cookiewet is een veelbesproken onderwerp de laatste maanden. De invoering van de aangepaste Telecomwet op 5 juni jl. betekent kort samengevat dat bezoekers over cookies genformeerd moeten worden. Daarnaast moeten bezoekers van websites (volgens de nieuwe wet) toestemming geven voordat cookies op hun computer, pc of telefoon weggezet worden, met uitzondering van functionele cookies. Een technisch verhaal, waar we nu verder niet te diep op in zullen gaan.

Nederland wijkt af van de rest

In Nederland geldt volgens de nieuwe wet een opt-in regeling, in tegenstelling tot opt-out in de meeste andere landen van de Europese Unie. Met andere woorden: je bent er in Nederland nog niet als je bezoekers informeert en de mogelijkheid geeft om het opslaan van cookies uit te zetten. Je moet (in tegenstelling tot de andere landen in de Europese Unie) een stapje verder gaan en mensen direct bij het bezoeken van de site de keuze te geven: wel of niet cookies toestaan.

Dit maakt het allemaal weer een stukje ingewikkelder, want hoe moet je als Nederlands bedrijf dat een grotendeels buitenlandse doelgroep heeft, met de wet omgaan?

Verdeelde meningen cookiewet

De n noemt de wet helder en logisch. De ander vaag en onduidelijk. Weer een ander geeft aan dat het voor bijvoorbeeld het monitoren van gedrag op websites (Google Analytics) bijna onmogelijk is om de wet te handhaven. Denk aan een kind dat een hobby-website start. Hoe gaat de OPTA daar straks mee om?

Zoals de OPTA aangeeft:

Q: Valt een cookie ten behoeve van het bijhouden van webstatistieken onder de uitzondering van artikel 11.7a, derde lid, Tw?

Nee, slechts cookies die vallen onder de hiervoor genoemde uitzonderingen mogen geplaatst worden zonder toestemming. Een cookie dat gebruikt wordt om webstatistieken bij te houden, zoals bijvoorbeeld een GoogleAnalytics cookie, is niet noodzakelijk voor het uitvoeren van communicatie of strikt noodzakelijk voor het leveren van een door een gebruiker gevraagde dienst.

Bron: veelgestelde vragen over de nieuwe cookiebepaling, versie 30 juli 2012

Voldoe je hier niet aan, riskeer je een boete die kan oplopen dan 450.000,-. De focus zal volgens de OPTA weliswaar liggen op partijen die cookies plaatsen die het erg bont maken. Maar hoe kun je binnen een wet waaraan iedereen zich moet houden, met twee maten gaan meten? Wanneer maak je het te bont? En belangrijker nog: wie is verantwoordelijk?

De wet zegt het volgende:

"[...] een ieder die door middel van elektronische communicatienetwerken toegang wenst tot gegevens [...] dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker." artikel 11.7a lid 1.

Neembijvoorbeeld trackingcookies bij webstatistieken. Google Analytics levert een code aan die cookies wegzet op computers van gebruikers, omdat dat de manier is waarop het webstatistieken-programma werkt. De website-eigenaar wil enkel inzage in de statistieken. Degene die gegevens wenst op te slaan en de cookies daadwerkelijk technisch uitleest (en vertaalt) is Google Analyitcs, om daarmee inzage in de statistieken te verschaffen. Is de partij (Google Analytics) die cookies via hun code wegzet dan verantwoordelijk,of de partij (de website-eigenaar) die de informatie wil verzamelen en daarvoor de code van Google op de website plaatst die cookies wegzet?

Wat doen de Nederlandse sites?

Momenteel voldoet bijna geen enkele website die cookies wegzet aan de cookiewet. De meest gemaakte fout is het ontbreken van de opt-in mogelijkheid. Meer dan de helft van de sites voldoet volgens Cookiechecker.nl per 12 juli 2012 niet aan de regels van de aangepaste Telecomwet.

Hoe het niet moet

Een aantal sites doen dappere pogingen om aan de richtlijnen te voldoen. Helaas doet het grootste deel het niet op de juiste manier. We hebben een aantal voorbeelden verzameld van hoe het niet moet.

De Telegraaf plaatst een melding onderaan de pagina. Deze melding voldoet niet, want ze geven de bezoeker niet de mogelijkheid om ze uit te zetten. Met andere woorden, ze vragen de bezoeker niet om toestemming, maar melden slechts dat de site gebruikt maakt van cookies.

De volgende melding is ook niet correct, want of de cookies nou wel of niet persoonlijke gegevens opslaan, cookies voor het meten van bezoek naar de site vallen ook onder de wet. De melding is, als je het heel zwart-wit bekijkt, misleidend.

Hoe het wel moet

Een voorbeeld van de PvdA hoe het wel moet:

Een voorbeeld van Fok:

In principe is dit correct gedaan, want de gebruiker kan helemaal onderaan de pagina kiezen om ze uit te schakelen:

Het kan voor een gebruiker echter erg onduidelijk en het uitschakelen van cookies zit vrij ver verstopt. Kan dit voor zoveel verwarring zorgen, dat het daardoor misschien toch weer niet helemaal voldoet aan de regels?

Visie & Advies Adwise

Het is een heel grijs gebied dat veel vragen oproept. Conform het persbericht van de Nederlandse Rijksoverheid, treedt het rechstvermoeden met betrekking tot trackingcookiespas op 1 januari 2013 in werking. Voor de overige cookies geldt dus dat de Opta nu al bevoegd is om de regels te handhaven. Partijen die cookies plaatsen en lezen zullen de nieuwe regels moeten naleven. Op 23 juli verscheen een berichtop Emerce dat partijen nu met de OPTA in gesprek gaan. Grote affiliate-partijen zoeken momenteel naar oplossingen. In Europees verband werken webbouwers aan een universele Do-Not-Track-standaard waarmee het verzoek om niet te tracken automatisch door de browser aan de websites gemeld wordt.

Ons huidige advies is afwachten. Het is voorbarig om nu al te investeren in iets wat misschien helemaal niet nodig is. Jurisprudentie, aanpassingen door Google om op andere manieren te tracken, browseraanpassingen en ga zo maar door. We volgen de ontwikkelingen nauwgezet en houden u op de hoogte. Wilt u toch al een cookie opt-in-mogelijkheid gemplementeerd hebben, neem dan contact met ons op. In de privacy statements die wij bij de oplevering van nieuwe sites implementeren, informeren we bezoekers standaard over cookies. Mocht u uw eigen privacy statement onder de loep willen nemen, laat het ons dan weten.