Cookiewetgeving, wat betekent dat voor mij?

Sinds begin juni is de nieuwe Telecomwet van kracht. Hierin zijn formeel regels vastgelegd omtrent de netneutraliteit, wat inhoudt dat de Internet Service Providers voortaan niet meer gerechtigd zijn om het internetverkeer van hun gebruikers te filteren. Dit heeft tot gevolg dat zij diensten als Whatsapp of Skype niet mogen blokkeren. Daarnaast worden er strenge eisen gesteld aan het gebruik van cookies, met als doel de privacy van de gebruiker te waarborgen. Over de cookiewetgeving is veel ophef geweest en heerst nog steeds veel onduidelijkheid. Wat houdt deze cookiewetgeving nu precies in? En wat betekent dat voor mijn website?

Wat houdt de wetgeving precies in?

Cookies zijn kleine tekst-bestandjes die op de schijf van de gebruiker worden weggeschreven tijdens het bezoek van een website; hierin wordt informatie over de gebruiker opgeslagen. Dit hoeft niet per definitie “kwaadaardige” informatie te zijn, maar kan ook bedoeld zijn om het gebruikersgemak van een website bevorderen of bepaalde functionaliteit mogelijk maken.

In de cookiewetgeving, ook wel het “cookieverbod” genoemd, is vastgelegd dat de gebruiker van een website expliciet toestemming moet geven om gebruik te mogen maken van zogenoemde “tracking-cookies”. Tracking-cookies zijn cookies die het gedrag van een gebruiker op een website volgen. Dit kan als doel hebben statistieken te verzamelen, maar ook om gericht advertenties te serveren. Je hebt vast weleens gemerkt dat er ineens verdacht veel vakantie-advertenties op allerlei websites getoond worden en toevallig net van die bestemmingen waar je een week eerder naar hebt gezocht op het Internet. Dit is mogelijk door het gebruik van deze tracking-cookies.

Het vragen van toestemming is niet op alle soorten cookies van toepassing. Functionele cookies, ofwel cookies die nodig zijn ten behoeve van het gebruik van een website, zijn gewoon toegestaan. Je kan hierbij denken aan cookies die de gebruikers-sessie bewaren (voor bijvoorbeeld inloggen of het bewaren van een winkelmandje in een webshop) of cookies die bijhouden welke voorkeurstaal de gebruiker bij een eerder bezoek heeft gekozen.

De cookiewetgeving is overigens niet “zomaar” bedacht door de Nederlandse politiek, maar iets wat voort is gekomen uit de regelgeving die is opgenomen in de nieuwe Europese Telecomrichtlijn. Wel hanteert Nederland hierin een wat strenger beleid dan andere landen door gebruik te maken van een “opt-in” beleid in tegenstelling tot veel andere Europese landen die gebruik maken van een “opt-out” policy. Verder is het zo dat de wetgeving niet specifiek voor cookies geldt, maar ook voor andere manieren van client-side opslag, zoals Flash cookies, browser toolbars of HTML5 local storage.

Wat betekent dit dan precies voor mijn website?

Belangrijk is om na te gaan op welke manier je website gebruik maakt van cookies. Mocht je hier zelf je weg in weten te vinden, dan zijn hiervoor tools voorhanden zoals de Cookie Audit Tool. Natuurlijk kun je ook bij de bouwer of beheerder van je website informeren, zij zullen dit voor je uit kunnen zoeken. De meest gebruikte vormen van tracking-cookies zijn statistiekentools of bannering, ook als dit via een externe provider is geregeld. Ook de Tweet This en Facebook Like button zijn voorbeelden van het plaatsen van een tracking cookie.

Wanneer je in kaart hebt welke cookies door de website worden opgeslagen dien je na te gaan of deze cookies mogelijk gebruikt worden voor tracking doeleinden. Is dit het geval, dan zul je voortaan de gebruiker toestemming moeten vragen voordat deze cookie gezet/gebruikt wordt. Het eenmalig toestemming laten verlenen is voldoende, deze voorkeur kun je vervolgens bewaren in, jawel, een cookie. Ook is het toegestaan eenmalig collectief toestemming te laten verlenen voor meerdere websites.

Het vragen van toestemming kan op verschillende manieren. Fok! doet het op een wat extreme manier door een hinderlijke popup, wellicht bedoeld om hun ongenoegen te uiten en een statement te maken. Sites als BBC of de Telegraaf doen het daarentegen op een elegantere manier. In de laatste gevallen kan de website gewoon gebruikt worden, maar zal de tracking-cookie (als het goed is) pas geactiveerd worden op het moment dat toestemming is gegeven in de bescheiden overlay. Andere vormen van toestemming kunnen worden verkregen door het aan laten passen van browser settings (voor automatische toestemming), een instelling binnen een gebruikersprofiel of via een centrale website (voorbeeld).

Naast het vragen van toestemming is een website-beheerder verplicht de gebruiker duidelijk te informeren over het toepassen van tracking cookies. De beste manier hiervoor is om het privacy statement op je website, voor zover dit nog niet geval was, uit te breiden met informatie over het gebruik van cookies op je website. Hierin kun je uitleggen voor welke doeleinden op de website cookies worden gebruikt. ICT Recht heeft hiervoor reeds standaard teksten beschikbaar gesteld, waarmee de meest voorkomende gevallen gedekt worden.

Hoe zit het dan eigenlijk met Google Analytics?

Google beweert dat er geen privacy-gevoelige informatie wordt bijgehouden van de gebruiker. Echter is het tracken (volgen) van het bezoekersgedrag van een IP adres, iets wat Google Analytics doet, voldoende om onder de cookiewetgeving te vallen. Dit zou feitelijk betekenen dat voor het gebruik van Google Analytics (wat het gros van alle websites doet) toestemming verleend zou moeten worden. Gelukkig is hier eenvoudig omheen te werken door gebruik te maken van de anonymize functie van Google Analytics. Op deze manier wordt niet het volledige IP adres van een gebruiker meegestuurd, waardoor de gebruiker minder nauwkeurig gevolgd kan worden. Nadeel hiervan is dat de geo-statistieken in Google Analytics iets minder nauwkeurig zullen zijn dan voorheen, maar als dit betekent dat je de gebruiker niet om toestemming hoeft te vragen is dit wellicht de moeite waard.

Moet ik nu direct actie ondernemen?

OPTA heeft kenbaar gemaakt per 1 juli op te gaan treden tegen overtreders van de wetgeving. Echter hebben ze ook aangegeven dat het niet haalbaar is alle websites te gaan controleren en ze zich voorlopig enkel te gaan focussen op de grootste probleemgevallen. Ondanks dat het wettelijk verplicht is de wetgeving na te leven zal het niet snel voorkomen dat men hierop wordt aangesproken. Uiteraard is het wel wijs alvast na te gaan denken over de te ondernemen stappen voor je website en alvast het privacy statement te voorzien.

Bij Freshheads zijn we op dit moment bezig met het bedenken en ontwikkelen van een standaard oplossing voor het vragen van toestemming. De komende tijd zullen we nog veel gaan horen over de naleving van het beleid en de mogelijkheden hierin. Hopelijk zullen er de komende tijd veel initiatieven ontstaan, waardoor de toestemming zoveel mogelijk centraal geregeld gaat worden. Indien nodig zullen we hier nader over berichten.

Meer weten?

Joost Farla