Archief

Cookies: hoe toe te passen?

De nieuwe Telecommunicatiewet van juni vorig jaar had vergaande gevolgen voor het gebruik van cookies. Als reactie hierop zagen we allerlei ‘cookiewalls’ verschijnen. Tegelijkertijd groeide de weerstand tegen de nieuwe situatie. Minister Kamp van Economische Zaken stuurde in mei van dit jaar niet voor niets een brief naar de Tweede Kamer met daarin de mededeling dat hij voornemens is de wet te wijzigen. Na een turbulent ‘cookiejaar’ weet nu niet iedereen meer hoe het daadwerkelijk staat met de betwiste cookies*. Ons wordt daarom nogal eens gevraagd wat de status is van de cookiebepaling.

In dit artikel vindt u allereerst een bondige uiteenzetting van gebeurtenissen van het afgelopen jaar, waarna aan de hand van vier stappen de implicaties en te ondernemen handelingen voor website-eigenaren zijn uiteengezet:

5 juni 2012: inwerkingtreding nieuwe Telecommunicatiewet, inclusief ‘Cookiebepaling’
Zoals uitvoerig is te lezen in het artikel ‘Cookies zijn geen monster ‘, is vorig jaar juni de nieuwe Telecommunicatiewet, inclusief de ‘Cookiebepaling’ in werking getreden. Kort gezegd dient deze Cookiebepaling (art. 11.7a Telecommunicatiewet) ter bescherming van de privacy van online consumenten en schrijft zij website-eigenaren voor om in het kader van ‘informatieplicht’ bezoekers duidelijk en volledig te informeren over het plaatsen en het gebruik van cookies.

Een ander onderdeel uit de cookiebepaling, de ‘toestemmingsvereiste’, verplicht website-eigenaren om expliciet toestemming van een websitebezoeker te verkrijgen voor de plaatsing van cookies, tenzij hiervoor een wettelijke uitzondering geldt. Oftewel: voor de zogenaamde ‘functionele’ cookies die bijvoorbeeld communicatie over internet mogelijk maken, hoeft er geen toestemming gevraagd te worden aan gebruikers van een website; voor alle andere cookies wel.

juni 2012 – april 2013: cookiewalls & weerstand
Afgelopen jaar verschenen online allerlei soorten cookiemeldingen en ‘cookiewalls’. Gevolg: verwarring, irritatie, onbegrip, flinke weerstand én een regen aan klachten. Onder meer bij website-eigenaren, adverteerders en online branche- en belangenverenigingen, maar ook bij consumenten. Het sentiment sloeg negatief uit. Niet iedereen blijkt te zitten wachten op cookiewalls waarmee expliciet toestemming moet worden gegeven ófwel verkregen. De publieke opinie: het mag allemaal wel een onsje of wat minder. Zo is ook in de Tweede Kamer te horen.

20 mei 2013: Kamp krabbelt terug en is voornemens de Cookiebepaling te wijzigen
Minister Kamp van Economische Zaken is niet doof voor de argumenten en laat nadat er al flink in de Tweede kamer is gesproken over dit onderwerp op 20 mei 2013 per brief de Kamer weten dat de Cookiebepaling gewijzigd zal worden. Het voorstel dat hij verstuurt, houdt in dat de wettelijke uitzonderingen op de Cookiebepaling worden aangevuld. Als de Kamer uiteindelijk akkoord gaat met zijn voorstel, wordt het aantal categorieën van cookies die zonder toestemming mogen worden geplaatst, uitgebreid. Een meer werkbare situatie dus en versoepeling van de regeling. Het voorstel van Kamp bevindt zich op dit moment in het wetgevingstraject. De openbare internetconsultatie die is ingesteld voor het voorstel, sloot op 1 juli 2013. Behandeling in de Tweede en Eerste Kamer zal naar verwachting zeker tot het vierde kwartaal van 2013 op zich laten wachten. De vraag rest: hoe nu dus om te gaan met cookies?

Wat verandert er nu?
Vooruitlopend op de aankomende (wettelijke) situatie, blijft het in ieder geval noodzakelijk om in lijn met de Wet bescherming persoonsgegevens(Wbp) de bezoeker te informeren over én toestemming te verkrijgen voor de categorieën cookies waarbij de privacy van de gebruiker in het geding is. Dat geldt dus voor tracking cookies, social media cookies en voor cookies die gebruikt worden bij het opstellen van gebruikersprofielen.

De eigenaar van een website is volgens de ‘toestemmingsvereiste’ verplicht om de gebruiker van een website expliciet en voorafgaand aan het gebruik te informeren én toestemming te vragen voor de bij de betreffende website actief zijnde cookies. Dat is in de huidige en toekomstige situatie niet nodig voor de categorie ‘noodzakelijke’ oftewel ‘functionele’ cookies (die het benodigde dataverkeer via internet regelen of voorkeuren onthouden zoals de boodschappenlijst tijdens het online winkelen).

Wat verandert er dan? Zet u schrap voor een lastige zin: in de aankomende situatie hoeven eigenaren van websites voortaan hun bezoekers, voordat een daadwerkelijk bezoek aan een website plaatsvindt, niet expliciet te informeren over én toestemming te vragen voor het gebruik van cookies waarmee informatie wordt verkregen over de kwaliteit of effectiviteit van (een onderdeel van) de website, mits dit geen of weinig impact heeft op de privacy van de bezoeker. Zo is ook kort door de bocht de uitleg van Het Interactive Advertising Bureau (IAB), de brancheorganisatie van de online advertising en interactieve marketingindustrie. De aankomende situatie is dus wezenlijk anders. En gelukkig eenvoudiger voor website-eigenaren. Om het even naar de praktijk te vertalen; onder de nieuwe uitzondering vallen in ieder geval ‘nuttige’ cookies, zoals analytic cookies, a/b testing cookies en affiliate cookies en ook de ‘noodzakelijke’ oftewel ‘functionele’ cookies. Een bezoeker kan dus zonder de cookiewall op een website komen. De ‘informatieplicht’ en ‘toestemmingsvereiste’ zijn echter wel van toepassing indien dit soort cookies ook voor andere doeleinden worden ingezet, zoals het opstellen van gebruikersprofielen. In die situatie is namelijk de privacy van de gebruiker in het geding. Expliciet informeren en toestemming vragen is dan dus wel verplicht.

Wel of geen melding?
De nu nog vaak verplichte cookiewall verdwijnt straks dus in veel situaties. Dat neemt niet weg dat website-eigenaren nog steeds een informatieplicht hebben. Er zal nog steeds melding gedaan moeten worden van het gebruik van cookies. Alleen kan dit dan minder prominent.

Tijdens een debat met de Tweede Kamer refereerde Minister Kamp al eerder aan een wenselijke situatie zoals die nu aan de orde is bij de website Nu.nl. De nieuwssite gebruikt een zogenaamd ‘implied consent model’ om haar bezoekers te informeren over en toestemming te vragen voor het plaatsen van cookies. Een systeem dat voor website-eigenaren makkelijker te implementeren is en is ook in lijn is met de implementatie in andere EU-lidstaten. Bij een ‘implied consent model’ wordt er een melding over cookies getoond op de pagina waarop een websitebezoeker de site binnenkomt. Er is dus geen sprake van een cookiewall. Bij Nu.nl staat deze melding bovenaan de site en kan de bezoeker gewoon navigeren binnen deze site. Het is een praktijksituatie die leidt tot tevredenheid bij website-eigenaren.

De Dutch Dialogue Marketing Association (DDMA) liet al eerder naar aanleiding van het debat in de Kamer weten blij te zijn met de oplossingen die Minister Kamp heeft aandragen en het zichtbare groeiende besef in de Kamer dat de Telecommunicatiewet uit 2012 zijn doel voorbij is geschoten en een bron van irritatie is voor de online industrie en de webbezoeker.

Praktijk: stapsgewijs uw website checken
De DDMA bracht al eerder (2012) een handige handleiding ‘Wet en werkelijkheid‘ over de cookiewet uit. Het IAB heeft onlangs ook een praktische gids over cookies uitgegeven. De ‘Toestemminggids Cookie Compliance‘, legt aan de hand van een stappenplan uit hoe organisaties en website-eigenaren cookies in de praktijk kunnen toepassen. Het is een handig én vooral actueel overzicht, waarmee website-eigenaren stapsgewijs hun website op orde kunnen maken. Kijk er vooral eens naar. Hieronder een korte samenvatting van de belangrijkste implicaties van de voorgenomen wijziging op de cookie-bepaling en de daaruit te ondernemen stappen waarmee u uw website cookie-proof maakt:

Stap 1: Informeren
De eerste stap is het informeren van de bezoekers op uw website. Deze informatie moet duidelijk en volledig zijn en aansluiten bij de verwachting van de doorsnee bezoeker. Dit betekent dat op de eerste pagina van een website waar de bezoeker terechtkomt, een goed zichtbare en tevens leesbare mededeling moet staan over het gebruik van cookies. De mededeling moet voldoende groot in beeld staan, zodat de bezoeker hem onmogelijk over het hoofd kan zien; eerder refereerde ik al aan het model van Nu.nl. Let op dat u deze melding niet alleen op de homepage plaatst. Ook op andere (landing)pagina’s kunnen bezoekers uw website binnenkomen. Het is geheel aan de website-eigenaar om de vorm te bepalen waar op de pagina en hoe de mededeling verschijnt, dit met als voorwaarde dat de mededeling zichtbaar is en leesbaar. U kunt dus een banner gebruiken aan de bovenzijde, onderzijde, links of rechts of een andere oplossing. Een melding is dus verplicht. Alleen een alinea tekst over cookies in de in de algemene voorwaarden of privacyverklaring van een website volstaat dus niet. Een melding daarover moet op de entreepagina staan waarop de bezoeker uw site binnenkomt. Daarnaast is het raadzaam om in de algemene voorwaarden of privacyverklaring zo duidelijk en volledig mogelijk te informeren over het gebruik van cookies en hiernaar direct te verwijzen vanuit de cookiemelding. U heeft namelijk nog steeds te maken met de informatieplicht. Ik raad aan om in ieder geval op te nemen in uw algemene voorwaarden of privacyverklaring:

  1. een volledig overzicht en beschrijving van de door de website gebruikte cookies;
  2. de doeleinden van deze cookies (bijvoorbeeld: bijhouden bezoekersaantallen, het ondersteunen van de Flash-elementen, registreren van gegevens zodat formulieren beter werken, gebruik gegevens voor behavioral marketing/online advertenties, etc.);
  3. de specifieke informatie die u met een cookie vastlegt;
  4. de periode waarover de cookie op een computer en/of device wordt geplaatst;
  5. of u de informatie al dan niet verstrekt aan derden.

Op deze wijze bent u transparant en wint u ook kostbaar (consumenten)vertrouwen.

Stap 2: Toestemming vragen
De tweede stap is het vaststellen van de categorieën van de cookies waarvoor u toestemming behoort te vragen. Zoals al is uiteengezet, is het straks niet langer noodzakelijk om voor alle cookies toestemming te vragen voordat een bezoeker de website daadwerkelijk bezoekt. U kunt dus uw huidige toestemmingmechanisme aanpassen of, indien uw cookiegebruik niet onder de toestemmingsvereiste valt, zelfs verwijderen op uw site. Benut u de cookies wel om persoonlijke gegevens te verzamelen? Dan is er uiteraard wel sprake van de informatieplicht en ook de toestemmingsvereiste. In dat geval is het zaak om een expliciete melding op te nemen en toestemming te verkrijgen voordat de desbetreffende cookies worden geactiveerd.

U kunt zelf beslissen hoe u de toestemming vraagt. U kunt dit doen voor alle cookies tegelijkertijd, of per categorie cookies. De bezoeker moet in ieder geval de mogelijkheid worden geboden om voor bepaalde categorie(ën) cookies wél en voor andere categorie(ën) géén toestemming te geven, indien er sprake is van meerdere categorieën.

Stap 3: Toestemming krijgen
Stap drie is vervolgens het verkrijgen van een expliciet akkoord van de websitebezoeker. Dat dient plaats te vinden met behulp van een duidelijke handelingskeuze, zoals het klikken op een ‘akkoord’-button of het sluiten of negeren van de cookiemelding. Let op: het is ook belangrijk om de bezoeker in staat te stellen op een later moment cookievoorkeuren per categorie te wijzigen.

Stap 4: Onrechtmatig gebruik voorkomen
Stap vier, tenslotte, heeft betrekking op het gebruik van cookies voordat de bezoeker van uw website toestemming heeft gegeven. In sommige gevallen is dit technisch gezien namelijk nauwelijks te voorkomen; we spreken hier dan ook over de ‘noodzakelijke’ oftewel ‘functionele’ cookies. Bij deze cookies wordt van u verwacht dat u uw uiterste best doet bezoekers zo snel mogelijk te informeren en om toestemming te vragen. Het eerder aangehaalde ‘implied consent model’ is hiervoor in de praktijk geschikt. Belangrijk detail hierbij; u dient u er alles aan te doen om geplaatste cookies waar een bezoeker achteraf geen toestemming voor geeft, te verwijderen en onrechtmatig gebruik te voorkomen. Dit heeft dus ook technische gevolgen waar uw online bureau u kan assisteren.

Komt u er niet uit? Lees dan de ‘Toestemminggids Cookie Compliance‘ eens in z’n geheel door. U kunt natuurlijk ook contact met ons opnemen, ook als u juist wilt beginnen met het verzamelen van waardevolle data over uw websitebezoekers. Zoals we onlangs hebben gemeld, laten veel organisaties daar nog behoorlijk wat kansen liggen.

David Westveer – Strategy Director / Communicatieadviseur BOOM Communicatie

* Wat zijn cookies, welke cookies zijn te onderscheiden en waar dienen zij voor? In het artikel ‘Cookies zijn geen monster‘ vindt u een toelichting.

Geraadpleegde bronnen: Nrc.nl, Iab.nl, DDMA.nl.