De nieuwe cookie wetgeving

Op 11 maart 2015 is de nieuwe cookie wetgeving in gegaan en dit heeft gevolgen voor het gebruik van cookies op je website. Wij adviseren onze klanten proactief over de wijzigingen en ook jou helpen we graag met de juiste informatie.

Oude situatie cookiewet

In de oude situatie moesten er voor alle cookies, behalve puur functionele cookies, toestemming gevraagd worden. Hierbij gaat het om de cookies voor bijvoorbeeld remarketing, retargeting en affiliate, maar ook om Google Analytics. Dit zorgde voor veel verontwaardiging en ophef, want voor velen is Analytics de enige kijk op het website bezoek en vindt men dat dit geen inbreuk maakt op de privacy.

Hierdoor waren alle websites verplicht om altijd een cookiemelding te laten zien en toestemming te vragen voor het plaatsen van cookies. Dit varieerde van een balk boven of onderin tot een pop-up, een floating box of zelfs de bekende cookiewall. Voor de gebruiker een vervelende ervaring op de website, maar wel aanwezig voor hun eigen privacy.

De nieuwe cookiewet zal voor veel sites niet direct de cookiemelding laten verdwijnen, wel zal het aantal cookies dat nog niet gezet wordt bij binnenkomst kleiner worden.

Nieuwe situatie cookiewet

In de nieuwe cookiewet, staat nog steeds dat het “opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker” alleen toegestaan is als de gebruiker:

  1. Is voorzien van duidelijke en volledige informatie overeenkomstig de wet bescherming persoonsgegevens, in ieder geval over de doeleinden waarvoor deze informatie wordt gebruikt, en
  2. daarvoor toestemming heeft verleend.

 

De basis van de oude cookie wetgeving, het toestemming vragen aan de gebruiker om cookies te plaatsen, is dus nog steeds intact gebleven.

Toch is er wel een nieuwe uitzondering gemaakt voor enkele cookies. De zogenaamde functionele cookies, omschreven als volgt:

“Het bepaalde is niet van toepassing indien het de opslag of toegang betreft:

  1. met als uitsluitend doel de communicatie over een elektronisch communicatienetwerk uit te voeren.
  2. die strikt noodzakelijk is om de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren of – mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker – om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij."

 

Deze paragraaf in de nieuwe cookiewet zorgt ervoor dat je wel functionele cookies mag gebruiken die informatie geven over de kwaliteit of effectiviteit van je website, als ze maar geen gegevens van de gebruiker meegeven.

Uitzonderingen in de nieuwe cookiewet

Een belangrijke vraag die veel gesteld wordt is of er nog toestemming gevraagd moet worden aan de gebruiker en, zo ja, bij welke cookies wel en niet. Op grond van de nieuwe wet zijn er drie uitzonderingen gemaakt waarbij de informatieplicht en, belangrijker, de toestemmingsplicht niet van toepassing is:

  1. De uitzondering geldt als het gaat om het plaatsen en/of uitlezen van gegevens wanneer die nodig zijn om de communicatie uit te voeren. Hierbij kan gedacht worden aan loadbalancing cookies.
  2. De uitzondering geldt als het gaat om het plaatsen en/of uitlezen van gegevens die strikt noodzakelijk zijn voor een door de gebruiker gevraagde dienst. Daarbij kun je denken aan een cookie die nodig is om af te rekenen bij een webshop of ten behoeve van het inloggen bij internetbankieren.
  3. De uitzondering geldt voor cookies die geplaatst en/of uitgelezen worden met het doel om informatie te verkrijgen over de kwaliteit en/of effectiviteit van een geleverde dienst (bijvoorbeeld een website). Bijkomende voorwaarde voor het plaatsen van deze cookies is wel dat er geen of slechts een geringe inbreuk wordt gemaakt op de privacy van de gebruiker. Hierbij kan gedacht worden aan analytische cookies.

 

NB: Deze regels gelden voor First en Third party cookies.

Voor uitzondering 2 en 3 geeft de Minister van Veiligheid en Justitie twee voorbeelden van cookies die geplaatst mogen worden zonder informatie en toestemmingsplicht: Analytische cookies en Affiliate cookies. Met daarbij de aantekening dat er geen of geringe inbreuk op de privacy is.

Voor andere cookies dient nog wel toestemming te worden gevraagd!

Toestemming vragen

Op dit moment kan er zoals gezegd op vele manieren toestemming worden gevraagd aan de gebruiker. Ook in de nieuwe wet is dit door de Minister open gelaten. Je bent dus als website eigenaar vrij om de toestemming op een juiste manier te vragen.

Belangrijk hierin is dat de toestemming wordt verkregen door een handeling van de gebruiker. De Minister van Economische Zaken heeft aangegeven dat de toestemming van de gebruiker ook afgeleid kan worden uit een handeling, de impliciete toestemming. Een afgeleide toestemming is bijvoorbeeld de handeling waarbij de gebruiker doorsurft op de website nadat hij duidelijk en volledig is geïnformeerd over de cookies op de website en dat als hij door surft geacht wordt toestemming te hebben verleend voor het gebruik van cookies.

Oftewel, als je een duidelijke melding hebt, bijvoorbeeld een cookiebar, dan kun je er in melden dat bij doorsurfen op de website cookies worden gebruikt.

Informatie voorziening

Een ander belangrijk onderdeel naast het toestemming vragen is de informatie voorziening. Ook volgens de nieuwe wet dien je op je website een duidelijk en eenvoudig te vinden plek te hebben waar uitgelegd wordt welke cookies er geplaatst worden en met welk doel. Dit moet in een begrijpelijke taal die duidelijk en helder is voor jouw gebruiker, dit kan dus per website verschillen. Dit blijft dus verplicht.

Welke cookies wel en welke niet

Een nieuwe wet met nieuwe regels, maar wat betekend dit concreet voor de cookies op jouw website? Zoals gezegd komt het erop neer dat cookies die geen of geringe inbreuk maken op je privacy zonder toestemming en informatieverstrekking geplaatst mogen worden. Hieronder bespreken wij enkele veel gebruikte cookies:

Google Analytics

Google Analytics mag nu gebruikt worden zonder toestemming van de gebruiker, mits er enkele instellingen zo staan dat er geen tot geringe privacy gegevens worden meegegeven aan Google. Dit houdt onder andere in dat je “anonymizeIp” en “forceSSL” aan moet zetten.

A/B testen

Net als velen testen wij ook de website van onze klanten ter verbetering van de gebruikerservaring en natuurlijk voor het behalen van de doelen van de klant. Dit doen wij onder andere met Visual Website Optimizer (VWO), een bekende tool om o.a. A/B testen te doen. Doordat deze tools puur functie gericht zijn en geen privacy gevoelige data meesturen, ze sturen immers informatie over de kwaliteit of effectiviteit door, mogen deze nu zonder toestemming worden gebruikt.

Affiliate cookies

Affiliate cookies staan als uitzondering in de wet, maar zijn ook deels een grijs gebied. Als er geen privacy gevoelige gegevens worden door gestuurd, dan mag je deze plaatsen zonder toestemming. Zodra er meer wordt gestuurd dat strikt noodzakelijk voor het uitvoeren van een affiliate transactie, dan is het nodig om toestemming te vragen.

Remarketing / retargeting

Bij remarketing en retargeting is er vooraf toestemming nodig om cookies te plaatsen. Deze vormen van online marketing stellen profielen op van de betreffende bezoeker en maken dus inbreuk op de privacy van de gebruiker. Hiervoor dient een melding te zijn op de website.

Social media plugins

De cookies die social media plugins gebruiken vallen in beginsel niet onder de uitzondering van de nieuwe cookiewet. Een gebruiker die niet lid is van een social media netwerk of die niet ingelogd is, gaat er in beginsel niet vanuit dat hij gekoppeld is aan het social media netwerk. Daarnaast is de cookie niet nodig om de gevraagde dienst van de website te leveren. Wanneer een gebruiker is ingelogd op een social media netwerk, gaat de ACM er vanuit dat de de gebruiker wel gebruik wenst te maken van de functionaliteit. In dat geval vallen ze wel onder de uitzondering. Het is lastig voor ons om te bepalen of iemand wel of niet is ingelogd, dit zorgt dus ook voor problemen. Een grijze social media button is een goede oplossing. De button is dan nog inactief en wordt pas actief zodra de button is aangeklikt en de gebruiker daadwerklijk gebruik wil maken van de functionaliteit. Dan mag ook de cookie worden geplaatst.

Overige cookies

Voor alle andere cookies geldt in principe dat je moet nagaan of het een cookie is die gebruikt wordt om informatie te verkrijgen over de kwaliteit of effectiviteit van de website en hierbij geen of geringe inbreuk maak op de privacy van de gebruiker.

En wat nu?

De ACM heeft al aangegeven dat ze de nieuwe wet actief gaan handhaven, dit houdt in dat ze actief met ‘digitale rechercheurs’ onderzoek doen en dat er boetes tot € 450.000,- opgelegd kunnen worden. Het is dan ook belangrijk om de nieuwe wetgeving correct en juist te implementeren op jouw website. Dit doen wij natuurlijk proactief met onze klanten.

Per website bekijken wij, samen met de klant, welke praktische invulling het beste is. Afhankelijk van de gebruikte cookies kan dit verschillen tussen een website zonder melding, een impliciete toestemming of een ondubbelzinnige toestemming, in de vorm van een cookiebar, floating box of een andere mooie oplossing.

Zo zorgen wij ervoor dat onze klanten ook nu weer volledig voldoen aan de nieuwe cookiewetgeving.

 

Ook voor jouw website is het belangrijk.