De nieuwe regels over cookies zijn deze week unaniem door de Tweede Kamer aangenomen. Binnenkort gaat het voorstel naar de Eerste Kamer, die het waarschijnlijk af zal doen als hamerstuk. Er komt dus een nieuwe ‘cookiewet’ aan, maar wat zijn hiervan de gevolgen voor webwinkels?
Tekst: Charlotte Meindersma
De zogenoemde cookiewet betreft eigenlijk maar één artikel uit de Telecommunicatiewet. Dit komt voort uit een Europese richtlijn die geïmplementeerd moest worden. Nederland was hier wat laat mee en implementeerde daardoor wat gehaast. De cookieregels moeten de privacy van internetgebruikers beschermen. Nederland ging hierin wellicht wat ver, met pop-ups en cookiemuren tot gevolg. Er mochten geen cookies geplaatst worden voor een websitebezoeker akkoord ging met het plaatsen van cookies. Voor veel website-eigenaren is dit praktisch onmogelijk en voor veel website bezoekers een doorn in het oog. Dat moest veranderen. Cookies die nauwelijks de privacy van gebruikers aantast, mogen nu zonder expliciete toestemming geplaatst worden. Informeren blijft verplicht!
Functionele cookies en niet privacy-gevoelige cookies
Voor functionele cookies, die simpelweg nodig zijn om een website werkend te houden, was nooit expliciete toestemming nodig door middel van een pop-up. Hierover informeren in een cookieverklaring was voldoende. Functionele cookies zijn bijvoorbeeld de cookies die onthouden dat een consument producten op zijn verlanglijstje of in het winkelmandje heeft geplaatst.
De meeste websites gebruiken echter meer dan alleen functionele cookies. Denk bijvoorbeeld aan analytische cookies, die bijhouden welke pagina’s van de website een persoon heeft bekeken. Analytics cookies, zowel first party als third party, die geringe gevolgen hebben voor de privacy van gebruikers, zijn nu zonder pop-up toegestaan. Met de gegevens die via de analytische cookies worden verkregen, mogen echter geen profielen opgesteld worden over de websitebezoekers. Het is geen probleem om een dienst van derden te gebruiken om analytics cookies mee te plaatsen. Met deze derde partij moet echter wel goed worden afgesproken dat gegevens niet zo worden bewerkt of verwerkt dat wel inbreuk wordt gemaakt op de privacy van bezoekers. Dat wil zeggen dat u, als u Google Analytics gebruikt, wel met Google af moet spreken dat het bedrijf geen profielen bouwt met de informatie die het via Analytics vergaart.
Onder de oude regels moest er ook voor affiliate cookies, ook wel performance cookies genoemd, expliciete toestemming gevraagd worden. Dat hoeft onder de nieuwe regels niet meer. Er mag dus opgeslagen worden of er door een advertentie een bepaalde aankoop is gedaan. Ook A/B testen zullen zonder expliciete toestemming geen probleem meer zijn, omdat deze vooral zorgen voor verbeterde werking van de website en slechts in geringe mate invloed hebben op de privacy van bezoekers.
Tracking cookies en andere privacygevoelige cookies
Voor het gebruik van privacygevoelige cookies als tracking cookies, waarmee het surfgedrag wordt achterhaald, is nog steeds expliciete toestemming nodig. Deze cookies mogen slechts geplaatst worden nadat de bezoeker van de website expliciet toestemming heeft gegeven voor deze plaatsing. Deze expliciete toestemming werd tot nu toe steeds uitgelegd als een verplichte pop-up. Met de nieuwe wet is zo’n pop-up niet meer per se noodzakelijk.
Hoe moet de toestemming wel geregeld worden? Allereerst is het belangrijk dat er vooraf geïnformeerd moet worden over de cookies en het doel van deze cookies en eventueel over de derden die de cookies zullen plaatsen en/of verwerken. Er mogen dus nog geen gevoelige cookies geplaatst worden, voordat er over de cookies is geïnformeerd. Dit is een zeer belangrijk vereiste! Toestemming kan vervolgens gegeven worden doordat de bezoeker er voor kiest om ook de rest van de website te bekijken, waarvoor er dus ergens op geklikt moet worden.
Praktisch gezien wil dit zeggen dat op de landingspagina van een website altijd duidelijke informatie moet staan over cookies, zonder dat iemand ergens op hoeft te klikken. Of er moet informatie over cookies achter een linkje staan, waarbij er nog steeds geen cookies geplaatst worden door op die link te klikken. Bezoekers moeten eigenlijk niet om deze informatie heen kunnen.
Charlotte Meindersma is jurist voor de creatieve sector en ondernemers. Ze is eigenaar van Charlotte’s Law & Fine Prints.
Vreemd, hier staat juist dat Google Analytics nog steeds niet mag zonder toestemming: https://cookierecht.nl/cookiewet/gewijzigde-cookiewet-aangenomen-door-tweede-kamer-wat-nu/
Dank je Mark!
Wat er in de tekst (EK 33902, A) staat, is dat toestemming niet nodig is als de opslag/toegang alleen
<ol>Item 3 is het nieuwe, 1 en 2 stonden al in de cookiewet. (Verder staat er nu nieuw dat een overheidsinstelling geen toegang mag weigeren tot een dienst als je cookietoestemming weigert.)
Bij invoering van de wet is gezegd dat "sommige" analytic cookies geringe privacygevolgen opleveren. Het gaat dan om first party analytics. Het is neit toegestaan de informatie voor iets anders dan analytics te gebruiken, je mag dus geen bezoekersprofielen of iets dergelijks verrijken met analyticsdata.
Er is nooit letterlijk gesproken over de Analyticsdienst van Google. Echter, Google is strikt gesproken niet first-party: niet de website-eigenaar verzamelt de data maar Google. Formeel weliswaar in opdracht ('bewerker') van de website-eigenaar, maar Google wordt eigenaar van de analyticsdata en de website-eigenaar kan niet zien wat Google ermee doet.
Bovendien worden met de Google-dienst analyticsgegevens naar buiten de EU geëxporteerd. Dat is op zichzelf een niet-geringe inbreuk op de privacy, aangezien ze in de VS geen adequate bescherming van persoonsgegevens hebben. Daarmee zal Google Analytics dus niet voldoen aan "geen of geringe inbreuk op de privacy".
Vergeet als laatste niet dat dit nog GEEN WET is. De Tweede Kamer heeft ja gezegd, maar de Eerste Kamer moet dat ook nog doen. En juist de Eerste Kamer is meer gespitst op de principiële aspecten van wetten, en hoe dit binnen Europese regels past. Het is dus zeer zeker geen gegeven dat de EK dit zal goedkeuren.
Jij bedankt Arnoud! Ik ben het met je eens, maar dit zal nog wel even een discussie blijven. Er zijn genoeg mensen die van mening zijn dat Google Analytics valt onder "geen of geringe gevolgen heeft voor de privacy van de gebruiker".
Voor mij is het niet zo relevant, ik ben lang geleden al overgestapt van Analytics naar Piwik (op eigen server).
Beste Charlotte,
Weet je wat is er besloten over cookies in emailberichten, zoals in de mailings van Twinkle bijvoorbeeld?
Als men webmail gebruikt worden er HTML berichten worden ook cookies verwerkt en daar werd/wordt nooit toestemming voor gevraagd.
Ik ben benieuwd of dit ook te sprake is gebracht.
Groet,
Joachim.
Beste Mark en Arnoud, Ik zeg ook niet dat Google Analytics wel mogen, ik zeg alleen dat er dan bijzonder goede afspraken gemaakt moeten worden. In de Memorie van Toelichting staat expliciet dat ook third party cookies zijn toegestaan, mits dit dus maar een geringe privacygevolgen heeft.
Nee, het is nog geen wet, maar zo makkelijk als dit door de tweede kamer is gekomen, verwacht ik geen problemen bij de eerste kamer.
Beste Joachim, het geldt voor alle cookies (en andere van dat soort techische mogelijkheden). Denk ook aan cookies van mailchimp. Als het dus cookies zijn met geringe privacybezwaren, moet er wel over geinformeerd worden, maar is expliciete toestemming niet nodig.
Wat een zooitje. Kan de politieke niet gewoon stoppen met dit soort onzin?Het kosten gigantsich veel geld en moeite en het heeft op privacy geen enkel gevolg.stop met dit ondernertje pesten
2,3 miljard euro door de plee, ik weet niet wat de kosten in NL zijn, maar ik heb voor mij deel er al genoeg in geinvesteerd en dan moet het telkens anders.http://www.nu.nl/internet/3923169/europese-cookie-waarschuwingen-geldverspilling.html
@charlotte wat is de definitie van geringe privacybezwaren? Zijn we daarvoor overgeleverd aan de interpretatie van de acm?
Ik zou verwachten dat Google de toestemming en het voldaan aan alle regels goed op orde heeft als ik analytics aanzet.vv Of ben ik nu iets te blond?
<html />
Overkil aan regels remt de ontwikkelingen
Voor iedereen is het beter dat dit versoepeld is. De normale mens snapt hier niets van.
Binnen mijn analytics account kan ik dus geheel geen info vinden over, of analytic snu wel of niet valt omder geringe privacy bezwaren. Mailen laat staan bellen met google is al helemaal een no go. Heeft er iemand nog opties of alternatieven?
Analytics zijn niet functioneel en je kunt er bezoekers mee volgen, dus die mogen toch niet zomaar...?
Dat wil zeggen dat u, als u Google Analytics gebruikt, wel met Google af moet spreken dat het bedrijf geen profielen bouwt met de informatie die het via Analytics vergaart ----- Hoe moet je dit 'afspreken' dan?
Even bellen (lol)
Leuk inderdaad, maar ik ben wel serieus. Ik denk echt dat Analytics niet meer mag, wie kan dat bevestigen of ontkennen (argumenten zouden wel handig zijn daarbij)...
Ik kan nergens iets vinden over de termijn waarop de eerste kamer dit behandelt. Zgnmde cookiewet ging juni 2012 in, dat is dus straks 3 jaar gesteggel al met al. Zoals ook in Hongarije nu (voorstel data belasting) zie je dat (nationale) overheden moeite lijken te hebben met wetgeving voor digitale tijdperk.
...waarbij ik overigens niet suggereer voorstander te zijn voor bindende wet- en regelgeving vanuit overkoepelende overheden...Europese unie in het bijzonder! Juist voorstander van meer kennisuitwisseling met bedrijfsleven, constructiever overleg.