U heeft er de adfgelopen maanden vast over gehoord: cookies. Waar gaat het in deze discussie eigenlijk om en wat is er in de discussie over de 'cookiewetgeving' eigenlijk van belang voor de webwinkelier?
Vorige week vond in de Tweede Kamer het debat plaats over de voorgenomen wijziging van de Telecommunicatiewet door de implementatie van de gewijzigde e-Privacyrichtlijn. Deze wijziging heeft de gemoederen, en u waarschijnlijk, vanwege de 'cookiebepaling' al enige tijd beziggehouden.
Op 25 mei jl. zou de de nieuwe wetgeving al geïmplementeerd moeten zijn, maar het ziet er naar uit dat de wijziging van de Telecommunicatiewet (en de regeling omtrent cookies daarin) ons nog wel enige tijd zal bezighouden. Kamerleden Van Bemmel, Van Dam en Verhoeven hebben namelijk net weer een amendement ingediend dat de hele discussie weer opnieuw kan doen oplaaien.
Achtergrondinformatie
Eerst wat achtergrondinformatie. In de oude e-Privacyrichtlijn was bepaald dat het plaatsen van bepaalde cookies (de zogenaamde tracking cookies of third party cookies) op de computer van de internetter toegestaan was wanneer de gebruiker werd voorzien van duidelijke en volledige informatie over de plaatsing van het cookie (waarom wordt het cookie geplaatst en welke informatie wordt er bijgehouden?) en dat de internetter door de plaatser van het cookie de mogelijkheid kreeg om een dergelijke verwerking te weigeren (opt-out). Het was dus voldoende om in de privacy verklaring te vermelden dat er cookies worden geplaatst, waarom deze worden geplaatst en dat deze kunnen worden geweigerd door de browserinstellingen te wijzigen.
Opt-out wordt opt-in
Vanwege de nieuwe e-Privacyrichtlijn moeten de Nederlandse wet en de huidige werkwijze echter worden veranderd (eigenlijk moest dit conform de richtlijn allang zijn gebeurd). De nieuwe e-Privacyrichtlijn bepaalt namelijk dat het plaatsen van bepaalde cookies slechts is toegestaan nadat de internetter voor de plaatsing van het cookie zijn toestemming heeft verleend. Voordat hij deze toestemming geeft moet hij in de nieuwe situatie ook al zijn voorzien van duidelijke en volledige informatie over de doeleinden van het cookie. De oorspronkelijke opt-out wordt in de nieuwe regeling dus vervangen door een opt-in.
De wijze waarop de toestemming door de internetter gegeven kan worden – bijvoorbeeld via de browserinstellingen – is aan de lidstaten overgelaten. In de preambule van de richtlijn is gezegd dat de mogelijkheid om een cookie te weigeren zo gebruiksvriendelijk mogelijk moet zijn. Echter, de preambule is niet juridisch bindend, dus de lidstaten hoeven zich hier niet aan te houden.
Ondubbelzinnigheid
Er was eerst sprake van dat de Nederlandse wetgever het toestemmingsvereiste zou omschrijven als 'ondubbelzinnige toestemming'. Een zeer streng toestemmingsvereiste wat is ontleend aan de Wet Bescherming Persoonsgegevens. Dit zou betekenen dat de internetter voor bijna ieder cookie dat geplaatst zou worden apart toestemming (een échte opt-in) zou moeten geven en dat de toestemming dus niet via de standaard browserinstellingen kan worden gegeven. Vooral vanuit de online marketing hoek kwamen hierop veel begrijpelijke – negatieve – reacties: dit zou een onwerkbare situatie opleveren voor zowel de internetter als de plaatser van het cookie. Bovendien zou dit ook niet in overeenstemming zijn met de - niet bindende - preambule van de richtlijn. Het is immers niet erg gebruiksvriendelijk eerst tien keer op ja dan wel nee te moeten klikken voordat de website bekeken kan worden.
Juiste omstandigheden
Uiteindelijk is er dan ook een gewijzigd wetsvoorstel behandeld in de Tweede Kamer waarin 'ondubbelzinnige toestemming' is veranderd in 'toestemming': elke vrije, specifieke en op informatie berustende wilsuiting. In sommige gevallen - en onder de juiste omstandigheden - kan niets doen echter ook worden gezien als het geven van toestemming. De vraag is dan ook of de standaard browserinstellingen die cookies accepteren te zien zijn als de juiste omstandigheden die de toestemming impliceren. Hierover is men het niet eens: sommige partijen zijn namelijk van mening dat de standaard browserinstellingen niet voldoende zijn. Daarbovenop komt dat er vorige week een amendement op het wetsvoorstel is ingediend door Van Bemmel, Van Dam en Verhoeven waarin wordt geopperd 'toestemming' te wijzigen in 'ondubbelzinnige toestemming'. Dit zou dus betekenen dat straks de hele discussie weer opnieuw oplaait.
Ongeoorloofde indringing
Heeft deze voorgenomen wetswijziging eigenlijk verstrekkende gevolgen voor u als webwinkelier en heeft het voor u zin aan deze discussie mee te doen of deze te volgen? Zolang u zelf geen tracking cookies of third party cookies plaatst in principe niet. Deze cookies registreren de websites die door de internetter worden bezocht, de zoekopdrachten die worden ingetikt en kunnen zelfs andere informatie van de computer aan de plaatser van dat cookie doorsturen. Het zijn vooral marketingbedrijven die dergelijke cookies plaatsen (via de advertenties die zij aanbieden) om zo de internetter gerichte aanbiedingen te doen. Wanneer er veel informatie wordt verzameld van de internetter is er al snel sprake van een zeer persoonlijk profiel – interesses etc. – dat kan worden gebruikt door de marketeer, maar ook kan worden misbruikt. Ook door anderen, wanneer deze gegevens op straat komen te liggen. De wijziging van de richtlijn is dan ook ingesteld om te waarborgen dat er door onder andere deze cookies geen ongeoorloofde indringing in de privésfeer van de internetter zal zijn. Voor dit soort cookies zal dan ook te allen tijde toestemming moeten worden gegeven.
Alleen maar nuttig
De meeste webwinkeliers plaatsen echter helemaal niet van dit soort cookies. De cookies die u plaatst zijn vaak alleen maar nuttig voor de internetter. Zij onthouden wat er in het winkelmandje zit en zorgen dat de internetter ingelogd blijft op de website. Het zou onhandig zijn wanneer er ook voor deze cookies elke keer instemming gevraagd zou moeten worden. Vaak wordt gedacht dat de toestemming straks ook vereist is voor deze cookies. Maar gelukkig: dit hoeft nu niet, en zal in de toekomst ook niet moeten. De wetgever heeft namelijk een uitzondering gemaakt op het toestemmingsvereiste. De toestemming is niet nodig wanneer het uitsluitende doel van het plaatsen van het cookie is de verzending van communicatie over een elektronisch communicatienetwerk uit te voeren (bijvoorbeeld bij internetbankieren of een chatmogelijkheid op de website) of de plaatsing van het cookie noodzakelijk is om de door de internetter gevraagde dienst (inloggen, winkelmandje vullen) te kunnen leveren.
Onzorgvuldig handelen
Wanneer u echter advertentieruimte op uw website heeft die wordt opgevuld met advertenties van derden, let u er dan goed op dat deze derden geen tracking cookies plaatsen. In principe is het de verantwoordelijkheid van degene die het cookie plaatst dat er wordt voldaan aan de nieuwe wetgeving, echter het is mogelijk dat u ook aansprakelijk wordt gesteld wegens onzorgvuldig handelen jegens de internetter. U had het namelijk kunnen voorkomen dat dit cookie – zonder toestemming – werd geplaatst. Aan te raden is dan ook goede afspraken hierover te maken met de adverteerders op uw website.
Volgende week meer
Maar, zo ver is het nu nog niet. Eerst moet nog worden uitgemaakt hoe de toestemming door de internetter gegeven kan worden. Kan dit via de standaard browserinstellingen of moet men elke keer op 'Ja' klikken voordat een cookie mag worden geplaatst? Wanneer het amendement van Van Bemmel, Van Dam en Verhoeven wordt aangenomen (dit wordt waarschijnlijk volgende week bekend) weten we in ieder geval zeker dat de standaard browserinstellingen niet voldoende zijn.
En de cookies voor Google Analytics, moet ik daarvoor aan elke Nederlandse bezoeker toestemming vragen? Hoe weet ik 100% zeker of een bezoeker uit Nederland komt? Dit is een onuitvoerbaar voorstel. Bovendien weten echt grote bedrijven als Facebook en Google je toch wel te traceren aan de hand van je IP adres.
Google Analytics is inderdaad het grootste slachtoffer -- het is de enige third party tool die we gebruiken.
Ik denk dat Google wel met een workaround zal gaan komen.
De oude truc met een 1x1 pixel IMG werkt immers ook nog.
Analytics maakt gebruik van een first party cookie. Geen probleem dus.
Verder wordt er in dit artikel gesuggereert dat deze uitspraak geen invloed heeft op je webwinkel. Dit heeft het wel degelijk. Je kan straks niet meer zomaar gebruik maken van bijvoorbeeld retargeting binnen Adwords. Dit kan shops toch weer een paar sales kosten. Zo zijn er nog wel meer voorbeelden te noemen waaruit blijkt dat deze wetgeving ook voor webwinkels schadelijk is.