Aanpassing cookiewet gunstig voor gebruik analytische cookies
Het College Bescherming Persoonsgegevens legt uit
Nu de Eerste Kamer heeft ingestemd met de aangepaste cookiewet, komt er meer ruimte voor het zonder toestemming gebruiken van analytische cookies. Deze wet wordt wel ‘de uitgeklede cookiewet’ genoemd, omdat de strenge eisen van weleer (informeren én toestemming) enigszins worden losgelaten.
De versoepeling geldt voor gebruik van cookies die geen of geringe gevolgen hebben voor de persoonlijke levenssfeer van de gebruiker en die gebruikt worden om informatie te verkrijgen over de kwaliteit of effectiviteit van een website. Een voorbeeld van dergelijke cookies, zijn de cookies die voor analytische doeleinden worden gebruikt. Veel sites gebruiken alleen deze cookies.
Lange tijd was er discussie of de Google Analytics-cookies wel of niet onder de bovenstaande versoepeling vielen. De kogel is nu door de kerk. Het College Bescherming Persoonsgegevens heeft een handleiding gepubliceerd die het niet langer nodig maakt om toestemming te vragen voor het plaatsen/uitlezen van deze analytische cookies.
Google Analytics kun je zodanig instellen dat de gebruikte cookies, volgens het College Bescherming Persoonsgegevens, onder de uitgeklede cookiewet vallen. Daarna kun je de cookiemelding op je website aanpassen, waardoor bezoekers niet meer ‘akkoord’ hoeven te gaan met het gebruik van deze cookies.
In deze vier stappen, die Het College Bescherming Persoonsgegevens heeft opgesteld in hun handleiding, maak je je site klaar om de Google Analytics te gebruiken zonder dat nog toestemming nodig is voor deze cookies.
1. Sluit een bewerkersovereenkomst met Google
Als eigenaar van een website ben je verantwoordelijk voor het gebruik van de gegevens van je bezoekers. Als je de analyse ervan aan Google overlaat, omdat je Google Analytics gebruikt, zijn zij bewerker van de gegevens. Op grond van artikel 14 van de Wet Bescherming Persoonsgegevens, moeten een verantwoordelijke en een bewerker een bewerkersovereenkomst sluiten.
Om de last tot het opstellen van de bewerkersovereenkomst niet bij de verantwoordelijke te leggen, biedt Google via haar instellingenmenu een standaard bewerkersovereenkomst aan. Meer informatie over waar en hoe je als opdrachtgever die bewerkersovereenkomst kunt aangaan, zie je in de handleiding.
2. Laat Google het IP-adres anonimiseren
Je kunt in Google instellen dat een deel van het IP-adres niet wordt opgeslagen. Dat doe je door een regel toe te voegen in het Java-script. Het College Bescherming Persoonsgegevens legt in de handleiding uit hoe je dat moet doen. Let wel, dit betekent volgens het college niet dat een IP-adres dan geen persoonsgegeven meer is. Nee, deze maatregel dient enkel om de (privacy)risico’s voor de internetgebruikers te verkleinen waardoor het cookiegebruik (makkelijker) onder de uitzondering valt.
3. Deel niet alle gegevens met Google
Standaard staat in Google Analytics dat je gegevens met ze deelt. Dat is hun businessmodel natuurlijk. Er zijn vier opties voor het delen van gegevens met Google, maar die functionaliteit (dat je dus gegevens deelt met Google) kun je uitzetten. In de handleiding staat hoe je dat technisch moet realiseren.
Cruciaal hierbij is om op te merken dat als je deze functionaliteit niet uitzet, jij dan wel gegevens deelt met Google die zij voor eigen doeleinden vervolgens kan gebruiken (bijvoorbeeld voor haar eigen analyses). Google kwalificeert dan niet langer alleen als bewerker maar verwordt een verantwoordelijke. Op dit gebruik van Google Analytics is de uitzondering niet van toepassing. Kortom, bij het niet-uitzetten van deze functionaliteit, gelden de toestemmings- en informatieplicht op grond van de cookiewet onverkort!
4. Laat bezoekers van de site weten wat je met hun gegevens doet
Onder het kopje Privacybeleid/Privacy Statement op de site, kun je aangeven wat er gebeurt met persoonsgegevens van de bezoekers van je site. Dat je ze verwerkt voor analyse-doeleinden is dus geen probleem, maar licht dat zo duidelijk mogelijk toe op je site. Informeer je bezoekers, bijvoorbeeld via je privacybeleid, dat je: Google Analytics-cookies gebruikt, een bewerkersovereenkomst hebt gesloten, gekozen hebt voor het maskeren van het laatste octet van het IP-adres, ‘gegevens delen’ hebt uitgezet en geen gebruik maakt van andere Google-diensten in combinatie met de Google Analytics-cookies.
Ook beveelt Het College aan om de bezoekers een mogelijkheid te bieden om niet mee te werken middels een opt-out.
Lesson learned
Als je op jouw website gebruik maakt van, of je derde toelaat om op jouw website analyticscookies te plaatsen, ga dan na of dit gebruik onder de nieuwe uitzondering kan vallen. Pas de hiervoor geschetste voorwaarden niet alleen toe als je gebruik maakt van Google Analytics maar pas ze ook naar analogie toe als je gebruik maakt van een andere analytics partner (wiens diensten vergelijkbaar zijn met die van Google Analytics). Ik kan me voorstellen dat de hiervoor geschetste bewerkersovereenkomst of de instellingen nog niet zo gestandaardiseerd zijn bij andere partijen dan Google, mag beding toch (contractueel) dat de door het College Bescherming Persoonsgegevens geschetste voorwaarden moet zijn voldoen.
Mocht je tot de conclusie komen dat naleving van deze voorwaarden niet mogelijk is en daarmee de toepassing van de analyticscookies niet onder de uitzondering valt, let er dan op dat je alsnog aan de informatieverplichting en toestemmingsverplichting op grond van de cookiewet voldoet. Doe je dit laatste niet en is uiteindelijk de conclusie van de bevoegde toezichthouder (de Autoriteit Consument en Markt) dat je analyticscookies gebruikt waarvoor je geen toestemming vraagt of niet over informeert waar dat wel moet, dan riskeer je dat de toezichthouder handhavend optreedt. Dit kan uiteindelijk resulteren in een boete van maximaal 450.000 euro.
Helder artikel Nicole, Google is natuurlijk de grootste partij in deze, waar doen we met Yahoo en Bing?
Indien je bent ingelogd op Facebook, zien zij ook het bezoek van jouw, als persoon, op de specifieke website/pagina waar een like/share button plugin wordt gebruikt.
Ik vraag me af hoeveel mensen dat echt weten…