Cookies & Google Analytics

SAMSUNGDe cookiewet is vanaf 5 juni 2012 van toepassing. Op grond hiervan dienen gebruikers van websites vooraf expliciet toestemming te geven voor het plaatsen van cookies. Noodzakelijk ofwel functionele cookies vielen sowieso buiten de wet.

Wetsvoorstel
Op grond van de wet ontstond grote ophef. Uiteindelijk werd op 20 mei 2013 een concept wetsvoorstel door minister Kamp openbaar gemaakt waarin de cookiewet zo wordt aangepast dat er geen toestemming meer hoeft te worden gevraagd voor cookies die niet privacygevoelig zijn. Het gaat dan onder andere om cookies die de werking van websites verbeteren: de analytic cookies.

Op 28 maart 2014 is het wetsvoorstel daadwerkelijk ingediend. Op 7 oktober 2014 is dit wetsvoorstel aangenomen door de Tweede Kamer en de Eerste Kamer is hiermee op 4 februari 2015 akkoord gegaan. Vanaf 11 maart 2015 is de nieuwe wet van toepassing.

Geldigheid
De cookiewet is niet alleen van toepassing op cookies maar geldt voor alle methoden waarmee je via een elektronisch communicatienetwerk informatie opslaat van of toegang verkrijgt tot informatie in de randapparatuur van een gebruiker.

Google Analytics uitzondering?
Naast de noodzakelijke of functionele cookies behoeft er ook geen toestemming meer te worden gevraagd voor cookies die niet privacygevoelig zijn. Hieronder vallen de analytic cookies (first party analytics), testing cookies en affiliate cookies.

Eerder werd geoordeeld dat Google Analytics derhalve onder het uitzonderingsregime zou vallen. Dit is echter maar zeer de vraag. Om namelijk te beoordelen of je voor het plaatsen van een cookie daadwerkelijk niet hoeft te voldoen aan de informatie- en toestemmingsverplichting wordt gekeken naar het daadwerkelijke gebruik dat je als plaatser van de cookie maakt van deze informatie. Volgens de minister valt Google Analytics vaak niet onder dit regime.

Wel heeft het College Bescherming Persoonsgegevens onlangs een handreiking gepubliceerd om Google Analytics zo privacyvriendelijk mogelijk in te stellen. Dus wanneer je met Google Analytics werkt volg dan de instellingen die in deze handreiking worden geboden.

Tracking cookies
Voor cookies die het surfgedrag van internetgebruikers volgen verandert er niets. Hiervoor moet nog steeds vooraf toestemming worden gegeven. Toch wordt ook dit vereiste door bedrijven vaak overtreden. De toestemming voor dergelijke cookies kan op twee manieren. Ofwel door het actief klikken op een button waarmee je toestemming geeft ofwel door het doorklikken op de website terwijl je duidelijk bent geïnformeerd omtrent de soorten cookies die daar worden geplaatst. Cookiemuren zijn in beginsel nog wel toegestaan maar niet voor websites die een algemene of publieke taak hebben.

Voorlichting
Ten aanzien van de voorlichting richting consumenten en MKB’ers is door overheid in samenwerking met het bedrijfsleven de website http://www.veiliginternetten.nl gelanceerd. Het is de bedoeling dat hierop tzt een tool ter beschikking wordt gesteld voor MKB’ers om bijv. privacy statement te kunnen genereren.

Advertenties

Nieuwe cookiewet

De afgelopen tijd al ontzettend veel in het nieuws geweest. De nieuwe cookiewet die per 5 juni 2012 in werking is getreden. Wat houdt die nu eigenlijk precies in en voor welke websites is het belangrijk om vooraf toestemming te vragen.

Wet

De Cookiewet is eigenlijk een aanpassing van de Telecomwet, artikel 11.7a is aan deze wet toegevoegd. De reden dat deze wet zo snel is ingevoerd is dat Nederland anders een boete riskeerde vanuit Europa. Nieuw artikel 11.7a lid 1 luidt als volgt:

Onverminderd de Wet bescherming persoonsgegevens dient een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker:

a. de gebruiker duidelijke en volledige informatie te verstrekken overeenkomstig de Wet bescherming persoonsgegevens, en in ieder geval omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en

b. van de gebruiker toestemming te hebben verkregen voor de desbetreffende handeling.

Een handeling als bedoeld in de aanhef, die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden, wordt vermoed een verwerking van persoonsgegevens te zijn, als bedoeld in artikel 1, onderdeel b, van de Wet bescherming persoonsgegevens.

De wet heeft het dus over “gegevens die zijn opgeslagen in de randapparatuur van een gebruiker”. Dit is ruimer dan alleen cookies maar gemakshalve wordt de term cookie gebruikt voor alle gegevens waarmee internetgebruikers online “getracked” kunnen worden.

 Soorten cookies

Er zijn verschillende soorten cookies, Petra Blankwaard zet in haar blog op socialned helder uiteen waar het nu precies om gaat.

In lid 3 van artikel 11.7a wordt een uitzondering gemaakt voor noodzakelijke cookies; bijvoorbeeld cookies die nodig zijn in een bestelproces van een webshop. Voor de andere cookies is de wet wel degelijk van toepassing.

Toestemming?

De plaatser van de cookie dient de gebruiker vooraf te informeren (zie hierboven lid 1 onder a). En daarnaast moet er ook toestemming zijn gekregen van de gebruiker (sub b van lid 1 hierboven). Hierover bestaat nogal wat onduidelijkheid omdat het echt gaat om expliciete, ondubbelzinnige toestemming.

Probleem?

Hoe kun je dit in de praktijk verzorgen? Adviesbureau ICTRecht heeft hiertoe een nieuwe website in het leven geroepen Cookierecht. Op die website staan naast praktische tips ook voorbeeldteksten die kunnen worden opgenomen in een verklaring.

Het is namelijk tot op heden onduidelijk wat een correcte manier is om te voldoen aan de informatieplicht en het toestemmingsvereiste uit de wet. Meerdere instanties hebben hierover dan ook rapporten uitgebracht, waaronder de OPTA zelf die belast is met de handhaving van de wet.

Tot waar “volgt” Facebook?

Eerder blogde ik op Socialned over de privacy op Facebook. Afgelopen weekend blogde hacker Nik Cubrilovic dat Facebook haar gebruikers blijft volgen ook nadat ze zijn uitgelogd. Op die manier kan Facebook het surfgedrag van deze gebruikers in kaart brengen wat uiteraard een schat aan marketinginformatie oplevert. Ook op Webwereld verscheen vandaag een artikel dat Facebook haar gebruikers overal volgt.

Cookies
Facebook doet dit door gebruikmaking van cookies. Slechts het consequent handmatig verwijderen van deze cookies beschermt gebruikers tegen het volgen nadat ze zijn uitgelogd. En laten we eerlijk zijn: welke gebruiker is zo alert en consequent?

Marketing of noodzaak?
Facebook ontkent de aantijgingen van Cubrilovic uiteraard. Zij stellen dat er weliswaar gebruik wordt gemaakt van cookies welke actief blijven maar deze worden volgens hen niet gebruikt voor marketingdoeleinden. Dergelijke cookies zouden worden gebruikt voor het goede doel, bijvoorbeeld om aanvallen op facebook-profielen te voorkomen.

Privacy
Cubrilovic gaat nu samen met Facebook bekijken in hoeverre deze cookies de privacy van gebruikers schenden. Aangezien er veel reacties kwamen van gebruikers dat zij dit echt niet door de beugel vonden kunnen heeft Facebook heel snel actie ondernomen en inmiddels zelfs al haar beleid aangepast. Nu wordt de cookie verwijderd nadat de gebruiker is uitgelogd. Snelle actie van Facebook dus in dit geval.