Weet jij al hoe het zit met cookies, privacy en meldingsplicht? Voor mij begon het met een e-mail van Google. Dat we voor 30 september 2015 moesten voldoen aan het toestemmingsbeleid. Ik kreeg de opdracht om het tot op de bodem uit te zoeken. Wil je ook weten hoe het zit met de cookiewet? Lees dan mee.
Hoe de cookiezoektocht begon
Een tijdje geleden kreeg ik een mail doorgestuurd van mijn baas. Of ik even goed wilde lezen wat erin stond en wilde uitzoeken wat de gevolgen waren voor onze websites en die van onze klanten. Het was een mail van het beleidsteam van Google-advertenties.
Belangrijke informatie met betrekking tot het toestemmingsbeleid voor de gebruiker
De toon van de mail spoorde aan tot haast. Het leek erop dat we dus een plug-in voor banners, pop-ups of cookiewalls moesten gaan maken en implementeren in onze eigen sites en die van klanten. Uiterste deadline: 30 september 2015. Maar was dat ook echt het hele verhaal?
Wat Google zegt
In de mail stond een link naar het beleid van Google en een link naar cookie choices door Google. Dus ik klik braaf. In de hoop dat ik meer informatie ga vinden. Ook een beetje in de verwachting dat ik de inhoud van de cookiewet voorgeschoteld krijg.
Google geeft me een waarschuwing, een voorbeeld van een toestemmingsbericht en verwijst me door naar partijen die een cookie consent plug-in hebben gemaakt. Goed meegedacht.
Dus als u advertentieservices van derden gebruikt, zoals Google AdSense, moet u actie ondernemen..
Maar wat er in de cookiewet staat wist ik nog steeds niet. Eigenlijk ook niet wat cookies zijn. Dus daar begin ik mee op een vers tabblad.
Wat zijn cookies?
Ik zoek een definitie. Liefst in jip-en-janneke-taal. Erg technisch ben ik namelijk niet.
"Cookies zijn kleine bestanden die websites plaatsen in browsers, computers en smartphones om websitebezoek beter te laten verlopen en om informatie te verzamelen over bezoekers en hun interactie met content."
Lijkt me duidelijk.
Cookies zijn dus handig
Cookies zorgen ervoor dat je niet steeds opnieuw dezelfde gegevens hoeft in te vullen. Ze houden bij wat je in je winkelwagentje stopt terwijl je nog een beetje rondneust in een webshop. Ze onthouden in welke taal je een site leest. Heel efficiënt. Klinkt heel handig allemaal. Waarom moest er dan een cookiewet komen en waarom is er een informatie- en toestemmingsplicht?
Banner, pop-up of wall
Inmiddels wist ik wat cookies zijn. Ik wist het beleid van Google. Ook waar je cookie consent plug-ins kunt downloaden. In het geval je die niet zelf kunt maken. Zelfs een voorbeeldtekst voor in de banner. Nog steeds ga ik er vanuit dat we een balk moeten gaan plaatsen bovenin of onderaan de site. Of misschien wel een cookiewall. Dan krijg je pas toegang tot een website als je hun cookies accepteert. Nogal in your face.
Dus naast speuren naar meer info, check ik meteen welke opties het minst een doorn in het oog van de bezoeker zijn. Als het dan toch moet, dan het liefst zo subtiel mogelijk.
Versoepeling van de wet
Toch heb ik het gevoel dat ik nog steeds niet alle informatie heb. Dus ik open nog een nieuw tabblad en zoek verder. Ik ontdek iets interessants: de cookiewet is niet aangescherpt maar versoepeld. Er zijn uitzonderingen geformuleerd op de toestemmingsplicht. Juist om de hoeveelheid banners, pop-ups en cookiewalls terug te dringen. Ze zijn namelijk heel irritant.
De Telecommunicatiewet / cookiewet
Het gaat om artikel 11.7a De Telecommunicatiewet. In de volksmond cookiebepaling of cookiewet. Deze wet beschermt de online privacy van burgers in de EU. Al sinds 2012. Op zich prima. Iedereen houdt van privacy. De hoeveelheid cookiewalls en banners online deden niet veel goeds voor gebruiksvriendelijkheid en gebruiksgemak van websites. Om die reden is de wet sinds conceptie al een paar keer aangepast. De laatste aanpassing ging op 11 maart 2015 van kracht.
Wat de overheid zegt
Op overheid.nl vind ik de wet die ik zoek. De volledige wet. Natuurlijk zo wollig geformuleerd dat geen hond het kan volgen. Niet veel wijzer geworden klik ik op een link naar de website van de Rijksoverheid. Eindelijk vind ik wat ik zoek.
Websites moeten bezoekers toestemming vragen voor het plaatsen van cookies. De cookiewet maakt een uitzondering voor cookies die niet privacygevoelig zijn.
Nu begint het ergens op te lijken!
Het gaat om privacy
Cookies die inbreuk maken op je privacy vallen onder de cookiewet. Websites zijn verplicht om bezoekers te informeren en hen te vragen om toestemming voordat er privacy-schendende cookies geplaatst mogen worden.
Alle cookies die puur functioneel zijn, zorgen voor meer gebruiksgemak en anonieme gegevens verzamelen vallen onder de uitzonderingen. Dat gaat een hoop banners schelen! Maar welke cookies doen inbreuk en welke niet?
Tracking cookies
Het hele verhaal draait om tracking cookies en vergelijkbare technieken. Cookies waarmee je bezoekers volgt over verschillende websites en gegevens verzamelt om profielen te bouwen voor gerichte marketing en advertenties. Je weet wat ik bedoel. Die creapy advertenties die akelig nauwkeurig aansluiten bij je surfgedrag. Alsof je wordt bespied en dat is ook zo.
No tracking? No banner!
Je hoeft dus alleen maar een toestemmingspop-up, -banner of -wall te plaatsen als je tracking cookies plaatst. Gebruikt je website alleen maar functionele- en analytische cookies? Dan voldoet een cookieverklaring. Je mag zelf beslissen in welke format je dat giet. Dus wil je geen banner, plaats dan een link naar de verklaring in je footermenu. Klaar is kees.
Alle uitzonderingen op een rijtje
Uitzonderingen bevestigen de regel. Zo ook bij de cookiewet. Na uren lezen op allerlei websites kwam ik tot dit lijstje uitzonderingen:
- functionele cookies die zorgen dat een website werkt
- analytische cookies voor anonieme statistieken
- load-balancing cookies die dataverkeer verdelen over verschillende servers
- affiliate cookies: dit zijn cookies die bijhouden of getoonde advertenties ook leiden tot aankoop van een product, zodat de affiliate uitbetaald kan worden door de adverteerder
- session-cookies: de cookies verlopen meteen na het afbreken van het websitebezoek
- no-follow cookies
Hoe zit het met Google Analytics?
Voor het bijhouden van webstatistieken hebben veel mensen een Google Analytics account. Puur om websites te analyseren en continu te verbeteren. Afhankelijk van je instellingen worden geen tracking cookies geplaatst. Je mag dus zonder toestemming te vragen cookies plaatsen voor analytische doeleinden. Maar dan moet je wel voldoen aan de volgende vier punten:
- Accepteer het “Amendement gegevensverwerking” in je account
- Blokkeer het meezenden van volledige IP-adressen en forceer SSL
- Zet het delen van gegevens met Google uit in accountbeheer
- Informeer je bezoekers in een cookieverklaring of privacyverklaring over je gebruik van Google Analytics. Je hoeft geen toestemming te vragen. Je moet wel transparant zijn over het feit dat je analytische cookies plaatst.
Alternatief voor Google Analytics
Werk je liever niet met een Google Analytics, of heb je geen Google account en toch wil je webstatistieken bijhouden? Kijk dan eens naar Piwik. Open source software voor webanalyse en statistieken.
Hoe zit het met Social Media plug-ins?
Dit is een beetje tricky. In principe vallen social media plug-ins namelijk niet onder de uitzonderingen. Het is alleen praktisch onmogelijk om als website-eigenaar te weten of een bezoeker wel of niet een profiel heeft en is ingelogd op een netwerk op het moment van een webbezoek.
Kies voor niet-actieve "grijze" social media buttons..
Hoe los je dit op? Zet in je cookieverklaring dat je social media knoppen hebt om bezoekers de optie te geven content te delen met hun netwerk. Social media websites plaatsen third-party tracking cookies. De plug-in plaatst alleen maar cookies als een bezoeker klikt. Alleen mensen met een actief social media profiel zullen klikken. Zo vallen content sharing buttons toch onder de uitzonderingen. Gebruik niet-actieve grijze content sharing knoppen.
Cookietoestemming nodig voor YouTube filmpjes?
De vraag die wij vaak krijgen is hoe het zit met YouTube. Dat is simpel. YouTube plaatst tracking cookies. Als website-eigenaar heb je dus ook informatie- en toestemmingsplicht voor third-party cookies. Bezoekers moeten bij het eerste bezoek de cookies kunnen weigeren. De filmpjes mogen alleen werken als iemand op JA heeft geklikt. Een toestemmingsbalk is verplicht.
Wie controleert de boel?
In Nederland zorgt de Autoriteit Consument & Markt (ACM) dat website-eigenaren zich houden aan de wet. De maximale boete die ze uitdelen is 450.000 euro. Natuurlijk richten ze zich vooral op de grote jongens die op grote schaal tracking cookies plaatsen of met andere technieken werken om gegevens te verzamelen. Toch moet je met een kleine site ook voldoen aan de richtlijnen. Zorg dat je duidelijk bent over de cookies die je plaatst. Een cookieverklaring is zo opgesteld en toegevoegd aan je website.
Een voorbeeld nodig? Even spieken mag best
Als je niet precies weet wat je in je verklaring moet zetten, kijk het dan even af bij een ander:
Conclusie & Samenvatting
De Cookiewet is versoepeld. De meeste cookies zijn ook handig. Zolang je geen tracking cookies plaatst, hoef je geen toestemming te vragen. Als je webstatistieken bijhoudt, moet je daar transparant over zijn. Werk je cookieverklaring bij en controleer of je instellingen van Google Analytics goed staan. Gebruik je advertentieproducten (bijvoorbeeld AdSense) en plaats je YouTube filmpjes? Dan moet je een plug-in voor cookietoestemming hebben. Succes!