Wat betekent de cookiewet voor jouw website?

24 juli 2012 om 07:15

De Nederlandse cookiewet is strikter dan de Europese regelgeving over dit onderwerp. Waar Europa een Opt-out voorschrijft, dwingt Nederland een Opt-in af om niet-functionele cookies te gebruiken op je website. Hoe moet het wel en hoe niet?

Of je het er mee eens bent of niet, de wet is er. De cookiebepaling, in de volksmond cookiewet, is een onderdeel van de nieuwe Telecomwet die sinds 5 juni 2012 in Nederland van kracht is.

Je weet wel: Cookies

Een cookie is een databestandje dat een website opslaat in je browser. In deze magic cookie wordt bijvoorbeeld het internetverkeer, je winkelmandje of bepaalde voorkeuren bijgehouden.

Vooral marketeers zijn echte cookiemonsters, want met deze cookie-data kunnen ze profielen maken en advertenties targeten.

Europese Cookie Law

Je hebt de Europese Cookie Law en de Nederlandse cookiewet. Let op want de Nationale wetgeving is strikter dan elders in Europa. In andere EU landen is het voldoende om de “opt-out” methode toe te passen. Bij een opt-out worden er wel cookies geplaatst, totdat de bezoeker kiest voor een opt-out.

Cookies om wachtwoorden te onthouden of cookies die nodig zijn voor het functioneren van een website zijn nog wel toegestaan.

De Nederlandse cookiewet

Het is in Nederland verboden om zonder ondubbelzinnige toestemming niet-functionele cookies te plaatsen. Er zijn Nederlandse sites die de Europese opt-out methode gebruiken in plaats van een opt-in, maar dit is niet volgens de letter van de wet.

Zo hoort het niet

Tracking-cookies lijken al geplaatst voordat de opt-in verschijnt. In Europa okay, maar niet in Holland.



Opt-in versus opt-out

Zonder toestemming van de gebruiker mag je dus geen niet-functionele cookies plaatsen. Vaak zijn dit tracking-cookies zoals Google Analytics. Volgens de Nederlandse cookiewet vraag je eerst toestemming (opt-in) aan de bezoeker voordat de websites een cookie mag plaatsen. Eerst de website met bijbehorende cookies laden en daarna pas een opt-in melding weergeven is dus onwettelijk.

Ook moet er bij de opt-in een link geplaatst worden naar een privacyverklaring elders op de website. Daar hoort een volledig overzicht thuis van alle cookies die je website plaatst en wat de functie van de desbetreffende cookies zijn.

Je mag overigens zonder opt-in wel een functionele cookie plaatsen waarin staat of een gebruiker cookies wel of niet accepteert.

Is Google Analytics functioneel of niet?

Er is een interessante discussie aan de gang of Google Analytics wel of niet hoort in de opt-in. Ter info: ruim 80 % van de websites gebruikt Google Analytics. De OPTA heeft zich trouwens nog niet via officiële weg uitgelaten over deze vraag.

Er is wat voor te zeggen dat goede interpretatie van Analytics zorgt voor betere websites. Dus functioneel, maar onmisbaar nut heeft het ook weer niet.

Arnoud Engelfriet, ICT-jurist gespecialiseerd in internetrecht, reageert op zijn eigen blog waar hij duidelijk maakt dat Google Analytics wel degelijk behoort tot de opt-in.

“Analytics plaatst een cookie en voor het plaatsen moet je dus toestemming hebben. De ENIGE uitzondering is als het cookie een direct en onmisbaar nut heeft voor de dienst die geleverd wordt – voor de huidige sessie waar de gebruiker in zit.

Je kunt dat “direct nut” niet oprekken naar “statistieken zijn nodig voor een fatsoenlijke website” want dat argument geldt ook voor advertenties en is daarmee dús ongeldig. Je mag geen argument aanvoeren dat ook advertentiecookies toestemmingsloos maakt. Want advertentiecookies MOETEN toestemming krijgen, dat is namelijk het doel van de wet. Een redenering waarom een bepaald soort cookie uitgezonderd is, moet dus altijd een onderscheid maken zodat advertentiecookies niet ook van die uitzondering kunnen profiteren. Je mag niet op een conclusie uitgaan die tegen het doel van de wet ingaat.”

Het is duidelijk dat de wet een volledig transparante en ondubbelzinnige opt-in vereist, die niet verpakt mogen worden in voorwaarden en verklaringen.

Is Google Analytics anonimiseren de oplossing?

Het anonimiseren van IP-Adressen voldoet niet aan de cookiewet. De privacy zou in het geding komen zodra een onderscheid te maken is.

192.168.5.74 naar 192.168.XXX mag niet.
192.168.5.74 naar user01 mag ook niet.

In Duitsland wordt de methode van anonimiseren wel veel gebruikt, maar in Nederland zou het meer in de geest van, dan volgens de letter van de wet zijn.

Serverside Google Analytics?

Met PHP is het mogelijk om Analytics server-side in te richten. Voordeel: geen cookie, geen opt-in nodig en alle bezoekers worden gemeten. Nadeel: onvolledige rapporten en terugkerend bezoek wordt niet meer herkend. Maar om het ingewikkelder te maken: je mag volgens de Telecomwet geen computer of randapparatuur uitlezen zonder opt-in.

En mijn Social Share buttons dan?

Ook bij het gebruik van like en share buttons komt de cookiewet streng om de hoek kijken. Bijvoorbeeld Facebook trackt jouw surfgedrag op andere sites via like en share knoppen. Zo bouwen sociale netwerken profielen op die interessant zijn voor adverteerders.

Voor cookies van derden, via scripts of iframes geplaatst op je website, is dus ook ondubbelzinnig toestemming nodig van de gebruiker. Als website eigenaar ben je zelf verantwoordelijk voor de opt-in.

Als een bezoeker de opt-in negeert of weigert, dan zouden de share buttons onbruikbaar moeten zijn tot het moment dat wel toestemming voor wordt gegeven.

Bulletproof opt-in teksten

De eerder genoemde Arnoud Engelfriet heeft op ictrecht.nl een aantal voorgebakken standaardteksten gepubliceerd voor het gebruik van tracking-cookies. Maak er gebruik van en je zit juridisch goed.

De OPTA en handhaving van de wet

De wet is nu officieel van kracht, maar de daadwerkelijke handhaving gaat per 1 januari 2013 in volgens een persbericht op de website van de Rijksoverheid. Daar staat: “Het rechtsvermoeden met betrekking tot tracking cookies, dat ook onderdeel uitmaakt van de cookieregels, treedt pas per 1 januari 2013 in werking.” Je hebt dus tot het einde van het jaar om je website op orde te krijgen.

De OPTA is het orgaan dat de boel gaat controleren, maar daar zijn ze nog niet helemaal klaar voor. Ze gaan een systeem bouwen dat websites automatisch controleert op het plaatsen van tracking cookies. Dit systeem moet helpen bij de handhaving van de wet.

“Sites die ongevraagd cookies plaatsen die de gebruiker lastig kan verwijderen, krijgen gelijk een boete. Daar richten we ons als eerste op”, zegt een OPTA woordvoerder. “Sites die minder zware overtredingen begaan, krijgen waarschijnlijk eerst een waarschuwing.”

Werk aan de winkel

Er is genoeg om op orde te krijgen voor 1 januari 2013, want de boetes zullen niet mals zijn. Een zware overtreder mag rekenen op een maximale boete van € 450.000! Of je het leuk vindt of niet, we zitten er aan vast totdat deze wet wordt versoepeld of ongedaan wordt gemaakt.

Opmerkingen over de Telecomwet

De nieuwe Telecommunicatiewet is veel breder dan alleen de cookiebepaling. Ook een browser uitlezen voor statistiek mag niet, alleen als het functioneel is.

CSS inladen voor specifieke browsers – zoals een IE only stylesheet – is functioneel, maar een “Je zou eens Chrome moeten proberen voor een betere ervaring” banner tonen in Firefox of Internet Explorer is weer niet functioneel.

De sessie in de URL versleutelen, de bekende PHPSESSID’s mag niet en de hostinglocatie maakt ook niet uit. Of je server nu in de VS staat of in Nederland. De wet geldt voor Nederlandse bezoekers. Formeel moet een site in de VS dus ook opt-in vragen voor Nederlandse bezoekers. Maar de juridische haalbaarheid hiervan is zeer discutabel.

De opt-in muur werkt hoogstwaarschijnlijk conversieverlagend. Marketeers, Usability Experts en User Experience designers en webeigenaren van advertentie-afhankelijke sites hebben er een mooi project bij met de nieuwe regels.

Succes!

Bronnen

Notitie

En ja, deze site voldoet ook nog niet aan de cookiewet :)
We werken aan een nieuwe site en daar wordt het in meegenomen.

Over de auteur

Edgar Leijs
Edgar Leijs is een ervaren webdesigner en vaste redacteur van Heeftstijl. Woont in de hoofdstad en runt vanaf elke plek met WiFi een kleine internet design boutique: Turnyourhead360. http://www.turnyourhead360.nl
  • http://www.voys.nl Bouke Majoor

    Leuk artikel! De OPTA zegt het te gedogen tot 1 januari 2013 echter hebben ze nooit genoeg mankracht om dit te gaan controleren. Niet alleen de websites van veel politieke partijen, maar ook de website van een overheidsinstantie zoals politie.nl, voldoen zelf niet aan de cookiewet. Dit geeft al aan dat de uitwerking van de cookiewet niet goed is uitgedacht.

    Enige tijd geleden hebben wij de zin en onzin van de cookiewet geschreven. http://voys.nl/weblog/de-zin-en-onzin-van-de-nieu…. Dit sluit hier prima op aan.

  • http://www.aplombontwerp.nl Aplomb webdesign

    Ik hoop van harte dat de cookiewet vóór 2013 ongedaan gemaakt wordt, want het is een zeer onrealistisch idee. Hoe gaan ze in godsnaam alle Nederlandse websites controleren en beboeten?