ACM waarschuwt websites – maar hoe krijg je goede cookie-consent?

2 april 2015, 13:00

De ACM is websites aan het waarschuwen die niet aan de cookiewet voldoen, blijkt uit een artikel op Geenstijl vanochtend. De gemiddelde marketeer ziet door de bomen het bos niet meer: moet die toestemming nou impliciet, expliciet, uitdrukkelijk, geïnformeerd of ondubbelzinnig? Hij moet sowieso vrij en specifiek, maar dat kan ook collectief. En wel een beetje gebruiksvriendelijk graag. Daarom nog één keer tekst en uitleg over cookie consent.

Voor wat?

Organisaties moeten op hun websites toestemming vragen voor cookies die invloed hebben op de privacy van de webbezoeker:

  • Trackingcookies: cookies die óf binnen een domein (first-party tracking) óf over verschillende domeinen (third-party tracking) gebruikt worden om surfgedrag van bezoekers vast te leggen, zodat het mogelijk is hen op basis hiervan gerichte aanbiedingen te doen of content te tonen.
  • Social plug-in trackingcookies: cookies die gebruikt worden om sociale-mediamodules aan te bieden op een website, zoals een Facebook like-knop, LinkedIn share-knop of de mogelijkheid een bericht te retweeten.
  • Analytische trackingcookies: indien een analyticscookie – bijvoorbeeld van comScore – een unieke identifier bevat en (eventueel i.s.m. andere cookies en ip-adres) herleidbaar is of gebruikt kan worden (let op! alleen de mogelijkheid is voldoende) om groepen bezoekers te individualiseren en te benaderen, is er sprake van invloed op de privacy en moet toestemming gevraagd worden.

Google Analytics neemt een speciale plek in en mag alleen onder voorwaarden zonder toestemming van de webbezoeker geplaatst worden:

  • Google Analytics mag zonder toestemming worden geplaatst als een organisatie:

    1. een bewerkersovereenkomst heeft met Google, en
    2. de Anonimize ID-functie heeft ingeschakeld (Google ontvangt dan geen volledige IP-adressen), en
    3. de mogelijkheid om gegevens te delen met Google heeft uitgezet.

Google biedt een bewerkersovereenkomst in het instellingenmenu van Google Analytics. Log in met uw webmasteraccount, kies ‘Beheer’, vervolgens ‘Account instellingen’ en scroll dan naar de onderkant van de pagina naar het kopje ‘Amendement gegevensverwerking’.

Uitzonderingen

Organisaties hoeven geen toestemming te vragen voor:

  • Functionele cookies die communicatie mogelijk maken of noodzakelijk zijn voor het leveren van een dienst van de informatiemaatschappij.

    • User input cookies: onthouden handelingen van de gebruiker op een website.
    • Authenticatiecookies: identificeren de gebruiker als hij is ingelogd.
    • User centric security-cookies: worden gebruikt voor beveiliging en fraudepreventie.
    • Multi media player sessie-cookies: worden gebruikt om technische data op te slaan die het luisteren van audio- of videocontent mogelijk maken.
    • Load balancing sessie-cookies: gebruikt om verzoeken aan de server te verspreiden om de bereikbaarheid van de website te garanderen.
    • user interface customization-cookies: gebruikt om voorkeuren van de gebruiker te onthouden.

  • Analytics-, a/b-testing en affiliatecookies, tenzij deze ook gebruikt worden om profielinformatie van de gebruiker te verzamelen, dan geldt de uitzondering niet (en dat is bijna altijd het geval).

Door wie?

Op basis van de cookiewet is de partij die cookie plaatst verantwoordelijk voor het vragen van toestemming en het geven van volledige en duidelijke informatie over de cookies de geplaatst worden. Advertentienetwerken zullen dus afspraken moeten maken met hun publishers over de wijze waarop toestemming wordt gevraagd aan de webbezoeker voor het plaatsen van trackingcookies. Overigens ontslaat het vastleggen van deze afspraken in subcontracten met publishers/site-eigenaren het netwerk niet van deze verantwoordelijkheid.

Wanneer?

Het ‘niets doen’ van een webbezoeker kan nooit tot toestemming leiden. Toestemming moet dus gevraagd (en gegeven) worden voordat er cookies geplaatst worden op de randapparatuur van de webbezoeker.

Hoe?

1. Duidelijke informatie

Als organisatie moet je de webbezoeker zo volledig mogelijk informeren over de cookies die je plaatst. Om de site gebruiksvriendelijk te houden, kan deze informatie gelaagd worden gegeven.

  • De informatiebanner. Deze moet duidelijk zichtbaar zijn bij het eerste sitebezoek, ongeacht op welke pagina een bezoeker binnekomt. Met hierin:

    • Welke categorieën cookies plaats je? Analytics, socialmedia-buttons, reclamecookies (eventueel van welke derden).
    • Waarom plaats je deze cookies? Om gebruik van de website te meten/delen via social media mogelijk te maken/gerichte content en advertenties te tonen – cookies worden ook geplaatst door derde partijen/profielinformatie te verzamelen.
    • Voor welke domeinen plaats je de cookies? Alle sites van uitgever x.
    • Hoe geeft een webbezoeker toestemming? Door op akkoord te klikken/gebruik te blijven maken van de website/de melding weg te klikken geef je akkoord op het gebruik van cookies zoals hier omschreven.
    • Hoe een gebruiker de instellingen kan aanpassen.

Voorbeeld:

Organisatie x maakt gebruik van cookies om het gebruik van de website te analyseren, om het mogelijk te maken content via social media te delen en om de inhoud van de site en advertenties af te stemmen op uw voorkeuren. Deze cookies worden ook geplaatst door derden. Door deze melding weg te klikken of gebruik te blijven maken van deze site stemt u hiermee in. Klik anders op cookie-instellingen aanpassen.

  • De cookiestament. Met hierin:

    • Wie de site-eigenaar is en voor welke domeinen de toestemming geldt.
    • Welke categorieën cookies plaatst de website en (hoe) kan de bezoeker bepaalde categorieën wel of niet te accepteren?
    • Wie zijn de derde partijen die cookies plaatsen en van wel netwerk maken zij onderdeel uit.
    • Een overzicht van de cookies die via het domein geplaatst worden met daarbij het doel dat de cookies dienen, de bewaartermijnen en eventueel een link naar de privacy statements van derde partijen die cookies plaatsen vanuit het domein.

2. Een wilsuiting van de webbezoeker

Niets doen is geen toestemming. De webbezoeker moet door een handeling akkoord geven op het plaatsen van cookies en hij moet ook begrijpen dat die handeling toestemming impliceert.

3. Collectief, maar specifiek

Een organisatie mag in één keer toestemming vragen voor meerdere (eigen) domeinen en meerdere cookies, ook van derden. Dat wil zeggen dat toestemming kan gelden voor het binnen een langere periode meerdere malen lezen van een cookie, en op het opslaan en lezen van meerdere cookies. Ook kan het slaan op het plaatsen van een cookie en het lezen daarvan bij bezoeken aan verschillende sites, zoals dat gebeurt bij trackingcookies, als dit maar duidelijk is voor de internetgebruiker op het moment dat hij toestemming verleent.

4. Vrij

De definitie van toestemming schrijft voor dat sprake moet zijn van een vrije wilsuiting. De webbezoeker moet keuzevrijheid hebben. De gevolgen van geen toestemming geven mogen niet zo zwaar zijn dat deze de keuzevrijheid ondermijnen. Dit zal met de meeste commerciële websites die het accepteren van cookies als voorwaarde stellen aan webbezoek niet het geval zijn, dan heeft de consument immers de keuze om naar de concurrent te gaan of een betaalde dienst (online krant etc.) af te nemen. Bij organisaties die een oligopolistische of monopolistische marktpositie hebben, is een cookiewall lastiger te verdedigen, omdat de consument dan geen of weinig keuze heeft in alternatieven.

Overheidsdiensten en andere diensten die met publiek geld gefinancierd worden, mogen het accepteren van cookies nooit als voorwaarde stellen voor het bezoeken van de website.

Jitty van Doodewaerd
Compliance Officer bij DDMA

Als compliance officer van branchevereniging DDMA ben ik betrokken bij verschillende lobbytrajecten in Den Haag en Europa. Daarnaast ben ik lid van de Legal Affairs Committee van de Federation for European Direct and Interactive Marketing (FEDMA) en de Privacy Commissie van VNO-NCW.

Categorie
Tags

13 Reacties

    Kees

    nu is mijn vraag wanneer is het een website?

    Moet je een cookie melding geven op een intranet. En wanneer is het een intranet?

    Is een captive pagina van een hotel waar op moet inloggen met een code/email/plus alle andere duizend mogelijkheden om te kunnen internetten nu intranet of internet. Al dit soort inlog software gebruiken cookies en statistieken.

    Maar zijn dat webpagina omdat ze via browser benaderbaar zijn of zijn het een software progromma’s die toevallig de browser als interface gebruiken. Of is het intranet omdat het alleen maar via het netwerk van het hotel te bereiken is en eerst deze cookies plaatst voor dat het vrij toegang tot internet geeft. En zou daarom een cookie melding niet nodig zijn omdat je er vanuit kan gaan dat hotels al je verkeer monitoren?


    6 april 2015 om 11:42
    Kees

    Bedankt, ik ga het door lezen


    21 april 2015 om 04:32
    Harry

    Hallo Jitty,

    Ik worstel met gebruik van een (first party) tracking cookie op mijn website: Dit cookie heeft in mijn geval geen enkel ander doel dan te volgen op welke van mijn pagina`s de bezoeker geweest is. Verder is er geen reclame-doeleinde aan verbonden of andere partij bij betrokken.

    Als ik de wet lees, moet ik hier dus toestemming voor vragen.

    Je schrijft bij punt 2 van de “HOE?” vraag dat “De webbezoeker moet door een handeling akkoord geven op het plaatsen van cookies en hij moet ook begrijpen dat die handeling toestemming impliceert.” en “Niets doen is geen toestemming.”.

    Tegelijk schrijf je in het punt erboven: “Hoe geeft een webbezoeker toestemming? Door op akkoord te klikken/gebruik te blijven maken van de website/de melding weg te klikken geef je akkoord op het gebruik van cookies zoals hier omschreven.”

    Nu mijn dilemma: valt “gebruik te blijven maken van de website” aan te merken als een handeling? Moet ik derhalve plm 30 seconden wachten met het plaatsen van de cookie, of wachten tot er evt een 2e pagina in mijn domein bezocht wordt? Of mag ik meteen mijn cookie plaatsen, en deze weghalen als men op Nee klikt?

    Ik hoop dat ik me duidelijk genoeg heb uitgedrukt.


    22 april 2015 om 12:41
    Jittyvandoodewaerd

    Dag Harry,

    Je vraag is heel duidelijk hoor en terecht.

    Jouw optie, dus cookies plaatsen en als iemand dan zijn instellingen wijzigt de cookies niet meer uitlezen of overschrijven is iets dat ook wij bepleit hebben. Immers, je zou denken dat de privacy impact min of meer hetzelfde is. Maar ik vrees dat dit toch niet mag. De wetgever zegt hierover: “Het verschil bestaat er met name in dat toestemming moet worden verkregen voordat de handeling (in casu het plaatsen en lezen van cookies) plaats mag vinden(…)”

    Dus omdat je al cookies plaatst voordat iemand aangeeft of hij dit wil, kan er nooit sprake zijn van toestemming. Jammer want dat had ons een hoop ellende bespaard.

    Met betrekking tot je andere vraag. Doorklikken op je pagina is een handeling. 30 seconden niets doen, is vrees ik “niets doen” en dat kan volgens de wetgever en de toezichthouder dan weer niet als toestemming worden gezien.


    22 april 2015 om 13:53
    Harry

    Hallo Jitty,

    Ik was er al bang voor dat het zo zou werken. “Gebruik te blijven maken van de website” is dus per definitie een doorklik naar een andere pagina binnnen het domein, en als het bezoek bij die ene pagina blijft…geen cookie.

    Bedankt voor je reactie!


    23 april 2015 om 05:51
    Dinges

    Wordt Geenstijl nu al als bron vermeld? Het moet niet erger worden. En ik maar denken dat dit een serieuze site was.


    30 augustus 2016 om 15:49
    thomasvanmanen

    @Dinges je past je anders razendsnel aan anonieme reaguurder 😉


    30 augustus 2016 om 16:09
    Dinges

    @Thomas

    Ik weet niet zeker wat je bedoelt? Bedoel je het feit dat ik anoniem reageer?


    31 augustus 2016 om 08:41
    thomasvanmanen

    @Dinges dat bedoel ik inderdaad. Maar zonder gekheid: ze hebben, naast de kopschopfilmpjes etc., al genoeg scoops en nieuws gebracht dat je ze niet zomaar kan uitsluiten als serieuze bron.


    31 augustus 2016 om 09:11
    Dinges

    Privacydingetje 🙂

    Zelf vertrouw ik geenstijl, powned etc. totaal niet. Ze zijn allemaal extreem bevooroordeeld en zwart-wit denkend, en houden meer van mensen opjutten met ‘interessante’ artikelen dan daadwerkelijke feiten te beschrijven. Het feit dat ze al jaren bestaan vind ik geen reden om ze serieus te nemen.


    31 augustus 2016 om 11:53
    Johne919

    Have you ever considered about including gdffecaebgge


    18 november 2016 om 07:21
    Smithk409

    Thanks for the sensible critique. Me & my neighbor were just preparing to do a little research about this. We got a grab a book from our area library but I think I learned more clear from this post. I am very glad to see such wonderful info being shared freely out there. edddebcbagfcgkkk


    18 november 2016 om 07:22

Marketingfacts. Elke dag vers. Mis niks!