Cookiewet wordt aangepast: maar wat hebben we eraan?
Cookiewet wordt aangepast na voorstel van Kees Verhoeven
Op de valreep van 2012 gaat Minister Kamp van Economische Zaken toch de cookiewet aanpassen. Belangrijkste implicatie is dat first party analytics cookies wél zonder expliciete toestemming geplaatst mogen worden. Dat heeft de minister zojuist in een brief (PDF-alert) laten weten na aanleiding van een voorstel van Kamerlid Kees Verhoeven (D66). Voorwaarde is wel dat de gegevens anoniem verzameld worden en niet zonder expliciete toestemming met derden mogen worden gedeeld.
Update 20 december, 16:55 uur: Zie tweet van Kees Verhoeven over het gebruik van Google Analytics verderop in deze blogpost
In de brief staat dit als volgt beschreven:
In het algemeen overleg werd voorgesteld om first party analytische cookies, dat wil zeggen cookies waarmee uitsluitend gegevens over het gebruik van de eigen website worden verzameld ten behoeve van het verbeteren van de
werking van die website, niet te laten vallen onder het toestemmingsvereiste.
De gedachte hierachter was dat, mits voldaan aan bepaalde voorwaarden, zoals geanonimiseerde gegevensverzameling en het niet delen van de gegevens met derden, de analytische cookies geen negatieve gevolgen hebben voor de privacy van de gebruiker van het randapparaat, zijnde het belang dat artikel 11.7a beoogt te beschermen.
First vs. third-party
De grote vraag is echter wat dit betekent voor statistiekenpakketten zoals Google Analytics. In de blog van Bram Koster over het voorstel van Kees Verhoeven leidde dit ook al tot flinke discussie.
Update 20 december, 16:50 uur: Kees Verhoeven meldt op Twitter zelf dat het gebruikmaken van de optie om gegevens niet te delen met Google voldoende is om Google Analytics te gebruiken als first-party analytics (waarvoor dus geen toestemming gevraagd hoeft te worden).
Zo is dat RT @dcfactory: @webwereld Volgens @keesvee niet: Google analytics kan mits gegevens niet gedeeld met Google (wat je kan instellen)
— Kees Verhoeven (@KeesVee) December 20, 2012
<einde update>
Peter Kager, jurist bij ICTrecht, gaf toen al aan dat de aanpassing van de cookiewet niet geldt voor Google Analytics en vergelijkbare tools:
“Overigens geldt dat alleen voor analytics-oplossingen waarbij de gegevens niet worden gedeeld met derde partijen, waardoor de uitzondering voor bijv. Google Analytics niet opgaat. Google Analytics is wel te anonimiseren, maar de data worden alsnog naar de VS gestuurd en blijven niet in eigen beheer.
Dat zou in de praktijk betekenen dat partijen op zoek moeten naar alternatieve oplossingen.”
Ook Kees Verhoeven zelf zei tegenover NU.nl dat zijn aanpassing niet geldt voor Google Analytics:
“Dit betekent wel dat de gegevens verzameld via statistiekenprogramma Google Analytics niet met Google gedeeld mogen worden”.
Wassen neus
Remi van Beekum, chief operations officer bij StormMC en Marketingfacts-blogger, gaf toen al aan dat als we het voorstel van Verhoeven letterlijk zouden nemen deze een wassen neus is.
“Alle serieuze, gangbare analytics pakketten komen uit ‘het buitenland’ (meestal de VS) en die werken allemaal met cookies en verzamelen allemaal de data op servers in datacenters over de hele wereld.
In strikte zin wordt de data dan dus gedeeld met Google (of Adobe, Webtrends of een ander). Dus als we deze quote van Verhoeven heel streng uitleggen, is deze wetsaanpassing een wassen neus. Namelijk: Webanalytics valt buiten de opt-in regeling, maar er is geen gangbaar systeem dat vervolgens op je eigen server kan draaien. En dus zitten we als branche nog steeds met het probleem dat we moeten terugvallen op systemen die specifiek voor Nederland ontwikkelt moeten gaan worden en dus zwaar achter lopen op de tools die onze concurrenten in Duitsland, België en Groot Brittannië hebben. Want de huidige serieuze systemen zullen zich niet aanpassen aan een klein landje als Nederland.”
Eerste stap
Henk Bultena, jurist bij de DDMA, noemt het nieuws van vandaag dan ook een eerste stap. De DDMA is blij dat er een uitzondering gemaakt wordt voor analytics cookies, maar hoopt vooral dat er nu gekeken wordt naar een herziening van de cookiewet in zijn geheel.
Eindelijk een wijs besluit uit Den Haag omtrent de cookiewet. Ik verwacht dat ze nog wel wat meer bijdraaien en meer cookies toestaan, zodat iedereen zonder problemen Google Analytics kan draaien.
Den Haag heeft weer veel tijd verspild aan iets bedenken en weer ‘afschaffen’. Wat een belachelijke bedoeling.
In Google Analytics kun je aangeven dat je de data niet wilt delen met Google zelf. Dat zou volgens mij een juridische opening moeten geven voor het toestaan er van. De data is immers juridisch niet toegankelijk voor derden.
dank voor de heldere toelichting. Er zijn voldoende alternatieven voor Google Analytics, waardoor het mogelijk is te voldoen aan de wet.
@chemel, zou je die even willen opsommen?
Dit is een goed moment voor de IAB en DDMA om even vol gas met de minister en de ambtenaren te gaan praten.
Dus een andere, ruimere interpretatie van de wetgeving. Cookies tbv analytics worden nu ook gerekend tot essentiele cookies waar geen nadrukkelijke toestemming voor nodig is. De data die hiermee verzameld wordt mag niet met 3de gedeeld worden.
Wat een chaos… De ene specialist zegt dat Google Analytics 1st party cookie is en de ander dat Google Analytics 3rd party cookie is. Wat is het nou … ?
@André: die discussie hadden we hier net intern ook, en ook via Twitter. Het lastige is natuurlijk dat de politiek zich niet wil vastleggen op dergelijke details (terecht) en OPTA niet vooraf inzicht geeft in de criteria die ze gaan hanteren. Zo worden de grenzen van de nieuwe wet alleen duidelijk uit situaties waarin die grenzen worden overschreden. Maakt het op voorhand zorgen dat je voldoet aan de wetgeving helaas wel wat lastig….
Helder besluit – fair naar een ieder. Informatie de je zelf verkrijgt kan je zelf gebruiken. Zo is het in de meeste bedrijfstakken en nu ook voor online. Zal een hoop verandering gaan drijven – want ga je nu nog een ‘cookie-muur’ plaatsen met als enige doel blijkbaar data met 3den te delen? Wel erg lastig voor bedrijven met meerder domeinen – aangezien het delen daartussen dus ook niet mag, denk aan Sanoma met 150 sites of Coolblue met de vele shops sites. Let’s see.
@Rene: ik denk dat uiteindelijk alleen de OPTA daar antwoord op kan geven, want zij doen de handhaving. Bovendien zijn ze een zelfstandig opererend orgaan en worden dus niet gecontroleerd door de overheid, die daarmee dus ook die definitie van wat wel en niet binnen “first-party analytics” valt niet kan opleggen.
@Wouter: de vraag is of het klopt dat dat delen niet mag. De Publieke Omroep heeft een cookiebeleid waarbij je bij acceptatie op één site (bijv. NOS.nl) direct accepteert voor alle websites van de NPO (dus ook EO.nl, avro.nl, etc.).
@Bram: dan wordt het dus wachten tot de OPTA het verlossende wordt geeft. Ikzelf ga in ieder geval overstappen naar Piwik analytics met een server-side implementatie. Alle data in eigen hand en geen cookies nodig. Voor de “grote jongens” zal dat nog niet zo evident zijn …
@Rene: die mensen bepalen 1st en 3rd party op juridische basis en niet op technische. Dat maakt de discussie erg verwarrend. Zie ook mijn reactie daar.
@André: ik zag ‘m en heb ‘m in het artikel gezet als update. Maar goed, als de juristen van ICTrecht.nl het er niet mee eens zijn, zoals Rene aangeeft, zijn er misschien nog wel meer mensen het er niet mee eens. Game on! 🙂
Mooi. Voor mij als webbouwer is het op deze manier al niet te volgen. Hoe moet ik dit aan mijn klanten gaan uitleggen 🙁
@Rene: Wij hebben een piwik met 100en (sub)sites erop. Dus moet al heeele grote zijn om geen piwik te draaien.
@Hans: het aantal sites is het probleem niet. Tot op heden lijkt de limiet ongeveer 15 miljoen hits per maand te zijn voor Piwik tenzij je enorm gaat sleutelen aan de server waar het op draait.
Nice, eindelijk eens iets ‘licht positiefs’ wbt de cookiewet!
@André, ah, ok, die kende ik nog niet
zeer adequate berichtgeving plus multiloog — dank hiervoor allen!
Zou ik, als bureau, eigenlijk nog wel in de analytics van mijn klant mogen? Ik ben immers een ‘derde’ partij…
Hahaha Remi, beetje extra olie op het vuur kan geen kwaad. Maar serieus: Ik denk dat je in die gevallen met een juiste NDA een heel eind komt.
@André: een Non-Data Agreement? 🙂
Het zal wachten worden op de eerste jurisprudentie om al deze definitie kwesties helder te krijgen.
Vraagje: welke “waakhond” heeft de resources om de “cookiewet” te handhaven. Dat moet officieel per 1-1-2013. Kijk, dit is een onzinnig spelletje tot de nieuwe EU-privacyverordening overal kracht van wet heeft. Ook ergens in 2013 hopelijk . . .
We humor dat de aanvulling nu opeens wel spreekt over cookies, terwijl we hiervoor altijd spraken over het dat lezen van en schrijven op de device van de bezoeker. Wordt ik nu gedwongen cookies te gebruiken?
Google Analytics is een first party cookie. Sommige andere pakketten zetten ook third party cookies. A/B testen is nu ook weer 100% mogelijk. Dat is fijn 🙂
Moeten we nog om een opt-out vragen of hoeft dat nu ook niet meer?
ik vraag me wel eens af: verleiden met koekjes nota bene > dat is toch de pedofilie van de digital society
Toezichthouders als OPTA zullen de hele Big Data Protection & ePrivacy-toestand niet aankunnen. De handhaving van de cookie”wet” is nu per 1-1. Daarna komt de verordening EU-breed ipv de Richtlijn. Dit is een slaapwekkende tussenstand dus . . . wordt vooral vervolgd
@Ton Wesseling – niet helemaal. Het gaat om de communicatie tussen jou(w website) en de bezoeker. Dat zijn de eerste en tweede partij.
Google is dus de derde partij, en het enige dat deze aanpassing inhoudt is dat je op je eigen domein met je eigen systeem voor je eigen statistieken cookies mag plaatsen.
Dat is positief voor een heel klein deel van de websites. Voor de rest van de werld verandert er helemaal niets.
@Peter
Google Analytics zet first party cookies, dat lijkt nu zonder opt-in toegestaan te gaan worden. Qua dataopslag is het wel een derde partij. Dat zijn 2 zaken die los van elkaar staan. M.i. (ik ben echter geen jurist) dicht je normaal data uitwisseling met 3e partijen die je inhuurt om je te helpen (niet voor verkoop) af in een contract / NDA e.d. Met Google als gratis tool zal dat niet gaan. Als zij echter een externe audit hebben op het niet delen van data en slechts de data opslag aanbieden lijkt het in de lijn van wat D66 wil.
We zullen moeten wachten op de OPTA en hopen dat die een betere uitleg geeft 🙂
@Ton Wesseling – je hebt gelijk, ik had je verkeerd gelezen. De cookies zijn inderdaad first-party, Google zelf natuurlijk niet.
Prima deze wetgeving, want zo u allen ongetwijfeld zult weten is het feit dat macht corrumpeert en absolute macht corrumpeert in absolute zin.
Zo ook al deze vermaledijde cookies, welke voor de “gewone” gebruiker geen enkel doel hebben en niets bijdragen in het gebruiksgemak.
En ondanks alle toezeggingen is het onmogelijk na te gaan wat er met de “gecollecteerde” info gedaan zal gaan worden
Want uit onderzoek blijkt inmiddels dat meer & meer publieke sites simpelweg op zwart gaan indien je GEEN cookies wenst te accepteren.
Abject is nog te voorzichtig uitgedrukt en werkelijk te gek voor woorden, want voor een “normaal” functionerende website zijn cookies in welke vorm dan ook NIET nodig.
En de malloot die beweert dat dit wel zo is wil ik nog wel een college Wiskunde en/of ICT geven.
Hier zult u het mee moeten doen. tabee.
De hele cookiewetgeving is complete waanzin en een gedachtenkronkel van iemand die van gekheid niet weet wat ze anders met haar portefeuille moet doen.
Deze 71 jarige dame (ja, dat lees je goed) ging van mededinging over naar ‘digitale agenda’ (de naam alleen al zegt genoeg over hoe onbedreven de EC tegen ICT zaken aankijkt) en terwijl in deze sector de speerpunten voor het oprapen liggen koos ze ervoor om de privacyschending door cookies maar eens aan banden te leggen.
Ik denk dat in deze tijd, waar iedereen massaal met allerlei persoonlijke gegevens op Facebook te koop loopt, geen enkele ziel in Europa iets tegen cookies heeft. Behalve mevrouw Kroes zelf misschien, die ongetwijfeld tot voor kort zelf nog nooit van het fenoneem ‘cookies’ had gehoord, maar het allemaal maar eng vond klinken, bestandjes die zomaar op je PC worden geplaatst.
Na de vele bizarre, compleet mis begrote, investeringen van vele tientallen miljoenen die de Nederlandse overheid de afgelopen jaren in talloze ICT projecten heeft gedaan (waarvan een aantal overigens later weer vrolijk zijn teruggedraaid), is het aandragen van mevrouw Kroes als Eurocommissaris voor deze portefeuille het zoveelste falen op dit gebied van onze regering.
@Eric van Duijn die zegt dat een website prima kan zonder cookies en dat een gebruiker daar NIETS aan heeft. Jij bergijpt er werkelijk niets van.
Mag ik je er even aan helpen herinneren dat de meeste websites gratis te bezoeken zijn omdat er reclame op staat.
En dat die reclame inkomsten genereren voor de website beheerder puur omdat er gericht reclame kan worden gemaakt? En juist die gerichte reclame, waar cookies noodzakelijk voor zijn, is wat zo effectief is.
Zo’n 10 jaar geleden had je altijd van die banners die totaal niet aan sloegen. Gebruikers vonden het irritant, en de webmaster ontving misschien 1 cent per 1000 views. Tegenwoordig krijg je als gebruiker gerichte ads voorgeschoteld. Een stuk minder irritant, en het levert VEEL meer op voor de webmaster. Hierdoor kan hij zijn website gratis aan bieden.
Door deze achtelijke wetgeving gaan we terug naar het oude ’televisie’ model qua reclame. Je krijgt zomaar wat voorgeschoteld.
Iemand die weet hoe dit intenationaal zit? Ik heb een engelse BV (een limited, Ltd. ) en de website staat in de VS. Geen cookie problemen?
@Erwin: als jouw website als doelgroep Nederlandse internetters heeft moet je aan cookiewet voldoen. In dezelfde lijn zou er formeel gezien ook een cookiemelding moeten komnen op twitter.com, facebook.com etcetera. Maarja. Wie en how gaan ze dat handhaven… :-/ ?
het is een echt internationale website (www.chatbots.org) waar uiteraard ook Nederlanders (en andere Europeanen komen. Maar wie krijg ik achter m’n broek als ik het niet doe?
na 20 jaar internetten gaan we de gebruikers ‘helpen’ met privacy. en hoe! met een “klik hier anders komt er niks knoppie”. gefeliciteerd. Nu alleen nog iemand vinden die de moeite wil nemen om als gebruiker te lezen wat er staat. alsof er veel mensen zijn die dit lezen. en waar maakt de industrie zich druk om? om het feit dat ze niet met google analytics mogen werken om gericht te adverteren.
de cookiewetgeving lijkt leuk, lijkt veilig, maar je heb er geen bal aan. mensen die geen internetkennis hebben klikken toch wel. (zij het geirriteerder dan voorheen) en mensen die er wel verstand van hebben … die weten wel hoe ze hun ”privacy” moeten waarborgen en klikken dan alsnog op accept.
Uiteindelijk kost het dus geld, levert het ergenis op en heeft de gewone gebruiker er niets aan. Zelfs op deze site vragen ze vrolijk om al je gegevens als je een lullig pdf-je gratis wil downloaden. vervolgens mag je dan raden wat ze daar mee zouden willen doen…
het is nu dus wachten op een auto-cookie-consent-ok instelling in de browser…. wel zo makkelijk.
@Paul: wat denk je dat ‘ze’ (MarketingFacts dus) ermee gaan doen.
@Paul: die auto-cookie-consent zit als sinds het begin van internet in alle browsers, maar niemand neemt de moeite dit te bekijken….
De enige manier om dit werkelijk tegen te gaan is de introductie van een wereldwijd internet paspoort, waardoor mensen onder pseudoniem over het internet kunnen reizen, maar niet meer anoniem. Als je privacy wilt, moet je gewoon thuis blijven en niet online gaan. Ziet niemand je, hoort niemand je. Lekker prive.
@Erwin: Wat ik denk? meh. ik zal wel mailtjes krijgen en als ik pech heb ook nog wat papieren rommel in de brievenbus. Ik heb alles netjes ingeevuld, dus hoop ik dat er een keer iets tussen zit waar ik wat aan heb. (joost mag weten waar ik wat aan heb, dus omgekeerd de vraag: wat moeten ze in godsnaam met mijn gegevens?
@Erwin: ik weet van privacy opties in browsers, van cookie blokkeer opties, maar een consent ok optie? waar zit die dan?
Ik neem aan dat je doelt op het ik ga niet akkoord dus blokkeer ik mijn cookies filters etc. wat eigenlijk hetzelfde is als bewust NIET op accept klikken is.
Over de privacy ben ik het met je eens. het is feitelijk veiliger om WEL een faceboek pagina te hebben die je eigenlijk niet gebruikt, dan om er geen een te hebben die dan door een ander wordt misbruikt.
mijn betoogje (pfffrrrtt) ging eigenlijk over de ‘veiligheid’ die zogenaamd voor gewone gebruikers nu beter is.
Het internetpaspoort zou wel behulpzaam zijn als je de keus hebt tussen wel of niet gebruiken. Het zal alleen niet gemakkelijk van de grond komen. Mensen zijn overmatig veel bezig met de (in mijn ogen veelal verkeerde) privacy belangen. (zoals ik wil niet op de foto want stel je voor. Vervolgens plempen ze zelf hun hele hebben en houden op een faceboek, twitter en wat al niet meer.)
Thuis blijven en niet online gaan … of je dan echt privacy hebt? ik heb geen voorbeelden, maar zelfs daar twijfel ik aan. Al maak je het anderen dan niet gemakkelijk.
Gerelateerde artikelen
Marketingfacts. Elke dag vers. Mis niks!
Marketingfacts. Elke dag vers. Mis niks!