Elke online professional weet het: de cookiewetgeving komt eraan. De algemene mening in de markt is dat de nieuwe wetgeving té verregaande gevolgen heeft. Toch bestaat er ook een hoop onduidelijkheid over wat de exacte gevolgen zijn. We weten dat er met name veel verandert voor advertentienetwerken. Maar wat betekent de nieuwe wetgeving voor webwinkeliers? Tijd voor een overzicht van de impact en mogelijke oplossingen voor webshops.
Kortweg zijn cookies kleine bestanden (getallen en letters) die informatie verzamelen over individueel surfgedrag. Deze bestandjes worden ongevraagd op de computer opgeslagen en maken het mogelijk de gebruiker (aan de hand van een cookie) te herkennen. De wijziging in de cookiewetgeving houdt nu grofweg in dat gebruikers van te voren toestemming moeten geven voordat er een cookie mag worden geplaatst. Deze wijziging is bedoeld om de privacy van internetgebruikers beter te waarborgen.
‘First party’ en ‘third party’ cookies
Cookies worden vaak gebruikt voor commerciële doeleinden zoals gepersonaliseerde advertenties. Cookies dragen echter ook regelmatig bij aan de relevantie en gebruiksvriendelijkheid van webshops zelf. Het gaat om 2 verschillende vormen van het gebruik van cookies:
- First party cookies – deze cookies worden door de webshop zelf geplaatst en gebruikt om de webshop beter te laten functioneren. Dit soort cookies onthouden bijvoorbeeld je inlognaam bij een volgend bezoek of maken het mogelijk dat artikelen kunnen worden opgeslagen in een winkelmandje.
- Third party cookies – deze cookies worden geplaatst tijdens het bezoek aan een webshop en vervolgens uitgelezen op de andere websites die de gebruiker van de pc bezoekt. Dit zien we vooral veel terug in de vorm van gerichte advertenties (bijvoorbeeld een aanbieding van een eerder bekeken artikel).
Gevolgen voor webwinkels: wat verandert er?
Gelukkig lijkt de wetgever te begrijpen dat het totaal verbieden van cookies het internet niet gebruiksvriendelijker maakt. Daarom richt de nieuwe wetgeving zich voornamelijk op het gebruik van third party cookies. Tot zover kunnen webwinkeliers dus gerust ademhalen. Toch zijn er ook vormen van het gebruik van first party cookies, die onder de nieuwe wetgeving vallen. En dat betekent dat er voor webwinkeliers toch het nodige gaat veranderen.
Cookies voor onder meer winkelmandjes of het onthouden van een inlognaam, die enkel en alleen voor het goed functioneren van de webwinkel zorgen, mogen in principe zonder toestemming worden gebruikt. Maar voor first party cookies die worden ingezet voor ‘commerciële doeleinden’, zullen webwinkeliers de bezoekers op voorhand toestemming moeten vragen. Te denken valt aan cookies die worden geplaatst voor bijvoorbeeld behavioural targeting en andere vormen van gericht adverteren in de eigen webwinkel. Dit geldt ook voor cookies die worden geplaatst voor het bijhouden van websitestatistieken. Daar komt bij dat wanneer cookies die zijn geplaatst voor het functioneren van de webshop óók worden gebruikt voor commerciële doeleinden (denk bijvoorbeeld aan het bijhouden van bestellingen om de webshop te personaliseren), de webshop hier toch toestemming om moet vragen.
Negeren of vragen om toestemming?
Webshop-personalisering door behavioural targeting draagt bij aan de conversie en de analyse van websitestatistieken vormt de basis van website optimalisatie. Daarom zullen de meeste webwinkeliers graag gebruik blijven maken van deze cookies. Webshops staan dus voor de keuze: of ze negeren de nieuwe wetgeving en doen alsof er niets aan de hand is, of ze gaan hun bezoekers om toestemming vragen.
De gewijzigde richtlijn staat het plaatsen van cookies alleen toe ‘op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie’. Volgens Meta Kuyvenhoven van Versteeg Wigman Sprey advocaten betekent dit op basis van de Nederlandse cookiewet, waar de Eerste Kamer in het najaar van 2011 over zal stemmen, dat:
- er voor de webshop-eigenaar geen twijfel over mag bestaan dat de gebruiker toestemming heeft gegeven voor het plaatsen van cookies. Browserinstellingen zijn in dat licht niet voldoende. Een duidelijk bericht op de website van de webshop, bijvoorbeeld via een pop-in of carrousel, is waarschijnlijk wel voldoende;
- de webshop-eigenaar ervan verzekerd dient te zijn dat de gebruiker weet waar hij ‘ja’ tegen zegt, oftewel, dat helder en begrijpelijk wordt uitgelegd dat cookies voor gericht adverteren worden gebruikt.
Bij het vragen om toestemming is het voor de webshop vooral van belang dat de bezoeker zo min mogelijk gestoord wordt. Het is dus zaak om op zoek te gaan naar een elegante oplossing. Zo kan de toestemming bijvoorbeeld worden gevraagd in een pop up of lightbox-venster, of in een carrousel aan de bovenzijde van de pagina:
Verder is het van groot belang om op een heldere en begrijpelijke manier om toestemming te vragen. Linda Bustos van Get Elastic geeft hiervoor de volgende tips:
- Benadruk dat de gebruiker zelf voordeel heeft van het gebruik van cookies: betere usability en gebruiksgemak.
- Leg uit wat cookies zijn en dat ze niet voor privacyschendende activiteiten worden gebruikt.
- Zorg voor een korte, begrijpelijk en scanbare tekst (gebruik bullets!).
- Biedt een link naar een meer diepgaande uitleg van het privacybeleid van de webshop.
Concluderend: de cookie-actielijst voor webwinkeliers
Vergeleken met de impact van de nieuwe cookiewetgeving voor advertentiemethodes lijkt de impact voor webshops aardig mee te vallen. Maar wanneer je er als webwinkelier voor kiest de nieuwe cookiewetgeving niet te negeren, dan is er wel degelijk werk aan de winkel:
Stap 1. Doe een cookie-analyse: breng in kaart welke cookies je nu in de webshop gebruikt en bepaal of deze volgens de nieuwe regels toestemming van de webshopbezoeker vergen.
Stap 2. Bepaal hoe om toestemming te vragen: formuleer je verzoek om de toestemming en bepaal in welke vorm (pop-up/lightbox/carrousel) en op welk moment je de vraag stelt.
Stap 3. Test en optimaliseer: onderzoek het succes van je verzoek en optimaliseer je timing, de formulering en het design van je verzoek.
Ik zelf schoon mijn browser altijd op na afsluiten of doe aan private browsing. En gegevens in een coookie opslaan als steeds meer mensen default cookies uitzetten? Lijkt me niet zo’n probleem
Altijd fijn, zo’n lekker helder stuk over een lastig onderwerp als ‘Cookies’. Je gaat hier vooral in op first party cookies. Voor de meeste webshops spelen third party cookies echter ook een rol bij hun Web analytics. Zonder zo’n cookie is het niet mogelijk om terugkerende bezoekers te herkennen en te segmenteren. Betrouwbare cijfers over het aantal unieke bezoekers worden ook lastiger. Het heeft misschien geen directe impact, maar maakt het wel lastiger om de website te optimaliseren.
Ik ben overigens benieuwd hoe naleving van de maatregel wordt afgedwongen. Zo is het een tijdje geleden ook verboden om de opt in box voor het ontvangen van een nieuwsbrief standaard op aan te zetten. Dit komt echter in de praktijk nog erg vaak voor.
Voor de webshops die het vragen om toestemming als eerste netjes geregeld hebben levert dit mogelijk wel een positief imago effect op. Als betrouwbaarheid en zorgvuldigheid een belangrijke kernwaarde zijn van je onderneming lijkt het me in ieder geval verstandig om dit snel maar met zorg door te voeren!
Het overkomt me regelmatig dat ik letterlijk achtervolgd wordt door bepaalde advertenties. Dat heb ik dan te danken aan het bezoek aan de site van een aanbieder en de 3rd party cookies die deze gebruikt. In het geval van een Nederlandse sitebouwer en SEM ‘specialist’ begon dat echt op stalken te lijken. Het lijkt me dus wat voorbarig om te stellen dat dit soort cookies mijn usability en gebruiksgemak vergroten en dat mijn privacy niet wordt geschonden. Die claim kun je misschien maken voor sessie cookies maar niet voor tracking cookies. Dat onderscheid mis ik een beetje in dit verder prima artikel.
@Bart Goed stuk! Ik ben het met je eens dat het toestemmingsvraagstuk voor de webwinkels qua first party cookies op te lossen is. Maar Jan heeft een punt als hij zegt dat bijvoorbeeld Google analytics ook onder de strengere toestemmingsvereiste gaat vallen. Daarnaast zijn veel webwinkels site-partner voor de affiliate netwerken en vertonen zij weldegelijk third party online behavioral advertising banners.
Voor het tonen van deze banners, kunnen zij uiteraard ook toestemming vragen aan hun bezoekers, dit mag op basis van het wetsvoorstel immers collectief. Maar het een en ander hangt wel af van model van toestemming waarvoor affiliatenetwerken en uitgevers zullen kiezen. Wordt de website de sleutel en geeft een bezoeker aan ‘deze website mag een cookie plaatsten en mij OBA advertenties laten zien’ of wordt de cookie de sleutel en komt er een soort platform waar webbezoekers in één keer kunnen aangeven welke cookies zij wel of niet willen ontvangen. De problematiek van third party cookies gaat ook niet aan de webwinkels voorbij.
Ik vraag me nog steeds af waar het hardnekkige idee van toestemming voor first party cookies vandaan komt. Volgens mij is dat namelijk in de meeste gevallen niet nodig. Het woord cookie komt in de wet niet eens voor.
De tekst van het wetsvoorstel beschrijft dat toestemming moet worden verleend voor het bijhouden van gegevens voor -ONgevraagde- communicatie; ongeacht of je daarvoor gebruik maakt van cookies, browser profiling, URL parameters, databases, logbestanden of iets anders. Elke vorm van bijhouden voor ongevraagde communicatie valt onder deze wet.
De vraag is of de rechter de wet zo zal uitleggen dat je eigen site aanpassen aan iemands bezoekgedrag ook onder ongevraagde communicatie valt. Want je bezoekt die site zelf, dat is dus gevraagde communicatie, en hoe je met je bezoeker communiceert mag je zelf weten. Juristen weten daar wellicht meer van. Jitty Dodewaard, wat denk jij?
Het grote probleem is affiliates en reclamebanners, zoals Jitty terecht opmerkt. Dáár zit het grote probleem, want reclame geldt in de wet als ongevraagde communicatie. Maar daar is toestemming vragen bijna niet te doen. Wie gaat er nou bij een banner klikken op “ja, doe mij maar die banner”.
Stel dat het er ongewijzigd door komt bij de 1e Kamer, en de BEREC het niet terugdraait in november.
Dan kan ik me wel voorstellen dat je publiekssites krijgt die zeggen “houd onze site gratis, zeg JA tegen cookies”. Ik zou sowieso die ontwikkelingen afwachten.
@Ben: Juist goed toepassen behavioural targeting zou moeten zorgen voor minder stalking. Uit eigenbelang van de adverteerder overigens.
@Bas, ik vind dat je een punt hebt, maar ik denk toch dat de vlieger niet opgaat. In het geval van cookies gaat het namelijk niet om ongevraagde communicatie maar het ongevraagd plaatsen en uitlezen van bestanden op de randapparatuur van de gebruiker. Volgens de wet mag dit alleen als:
a.de gebruiker duidelijke en volledige informatie te verstrekken overeenkomstig de Wet bescherming persoonsgegevens(……) en
b.van de gebruiker toestemming te hebben verkregen voor de desbetreffende handeling. Een handeling als bedoeld in de aanhef, die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden, wordt vermoed een verwerking van persoonsgegevens te zijn
(…..)
3. Het bepaalde in het eerste en tweede lid is niet van toepassing, voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel:a. de communicatie over een elektronisch communicatienetwerk uit te voeren, ofb. de door de abonnee of gebruiker gevraagde dienst van de informatie-maatschappij te leveren.
Hier staat in normale mensen taal dat:
-je de webbezoeker duidelijk moet maken dat je cookies plaatst
-je in toestemming nodig hebt voor het plaatsen van cookies (first en third party), tenzij deze cookies noodzakelijk zijn voor een dienst van de informatiemaatschappij (winkelwagentjes) of online communicatie
-je bij third en first party advertising cookies geen toestemming mag vragen via browserinstellingen
Met betrekking tot cookies voor weboptimalisatie heb je dus toestemming nodig volgens de letter van de wet, maar je hebt niet zo’n strenge toestemmingsverplichting als bij advertising cookies. Misschien dat dit in de praktijk betekent, dat wanneer je de webbezoeker informeert over het plaatsten van weboptimalisatie cookies, bijvoorbeeld door een duidelijke statement op je website, dit in combinatie met browserinstellingen voldoende toestemming kan zijn voor dit soort cookies.
@ Jan Horlings: Inderdaad, helemaal eens. Het cookie-verbod zal nooit afgedwongen kunnen worden.
Het is wel een signaal. En klagers staan in hun gelijk, dat is ook fijn. Maar ja, bij wie kan men terecht?
De gemiddelde surfer haalt nog een keer z’n schouders op en surf verder. Net als bij het opt-in/opt-out vinkje.
@Jitty,
dank voor de uitleg… in dat geval is “noodzakelijk” het vage gebied.
Net als in de Europese richtlijn trouwens, daar stond dat ook in.
Het enige wat in de 2ekamer is gezegd is dat winkelmandjes en lettergrootte “noodzakelijk” worden geacht. Dat eerste zeg ik “klopt”, dat tweede zeg ik “discutabel”.
Stel ik heb een webwinkel, en ik vind het noodzakelijk om de bezoeker advies te geven met product-aanbevelingssoftware die cookies gebruikt. Dat is de dienst die mijn informatiemaatschappij levert. Dan zeg ik in mijn privacy statement: we hoeven geen toestemming te vragen voor cookies omdat we vinden dat advies geven bij de kerntaken van een webwinkel hoort.
Ik weet te weinig van juristerij om te beoordelen of dat soort “noodzakelijk” stand houdt. Het lijkt mij een grijs gebied dat door jurisprudentie nader ingevuld moet worden.
Wat ik verder niet snap, is waarom de toestemmingsverplichting bij je eigen informatiedienst minder streng mag zijn. De wettekst zelf geeft geen “minder strenge” richtlijnen voor het grijze gebied. Ik neem aan dat je dat uit jouw kennis van het ganbare recht afleidt… Ik weet van eerdere juridische kwesties dat er vaak een enorme kluit impliciet gangbaar recht achter ogenschijnlijk simpele regels zit.
Verlicht ons!
@Bas Het is natuurlijk ook een draak van een wet! Volgens Europa kan toestemming ‘light’ zijn. In de toelichting bij de Richtlijn stelt de Europese Commissie dat browserinstellingen gecombineerd met duidelijke informatie toestemming kunnen impliceren.
Nu heeft onze Nederlandse Tweede Kamer met het amendement van Van Bemmel de ‘heavy’ variant van toestemming geïntroduceerd. Hierin staat namelijk dat “cookies die tot doel hebben gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden, wordt vermoed een verwerking van persoonsgegevens te zijn.”
Met andere woorden: cookies die worden gebruikt om online data te verzamelen over verschillende websites vallen onder de privacywetgeving. In de toelichting zegt de politiek dat bij dit soort cookies browserinstellingen niet volstaan om toestemming te vragen.
In het geval waar een site eigenaar een cookie plaatst die alleen info verzamelt over zijn website en deze informatie gebruikt wordt om die website te optimaliseren, denk ik dan dat je wel een ‘light’ variant van toestemming mag hanteren, omdat deze cookies in mijn optiek niet onder de voorwaarden voor de ‘heavy’ toestemming vallen (verzameld over meerdere sites).
Ik denk dat de ‘noodzakelijkheid’ van first party OBA cookie geen stand houdt voor de rechter, maar als een slimme advocaat denkt van wel, hou ik me aanbevolen.
Volgens mij mag je bezoekers die geen cookies willen, wel weigeren op je website of doorsturen naar een mindere versie. Immers, de site is jouw eigendom en jij bepaalt de voorwaarden voor betreding.
Beste Jitty, Bas en anderen,
Ik denk dat de discussie die hier gaande is eigenlijk precies de grote vraag bloot legt: waarom kiest de Nederlandse wetgever voor een dergelijk strenge interpretatie? Voor een verplichte toestemming voor third party cookies lijkt ruim voldoende draagvlak te zijn (juist omdat de bijdrage aan de privacy hiervan goed te begrijpen valt). Maar voor voor de first party cookies die niet ‘strikt noodzakelijk’ zijn (wat dat ook moge betekenen) zoals bv websitestatistieken lijkt werkelijk niemand goed te snappen waar dit nu precies voor nodig is.
Waar deze grens van ‘noodzakelijkheid’ ligt en in welke mate naleving zal plaats vinden zal blijken. Ik geloof in ieder geval wel dat webwinkels die op een vriendelijke en duidelijke wijze om toestemming vragen een positief signaal aan hun bezoekers kunnen afgeven.
Kortom: ik sluit me volledig aan bij Jitty wat betreft ‘een draak van een regel’: onduidelijk en naar mijn inzien overdreven. Maar ik denk wel dat webwinkels er verstandig aan doen hier goed mee om te gaan.
We gaan het zien!
Bart
Cookiewetgeving is blijkbaar belangrijk.
Bij deze cookiewetgeving zal ook handhaving horen. Of is deze wetgeving alleen maar een presentatie van een visie of bedoelt voor een stuk bewustwording.
In het ideale geval, zouden principes en inzichten die die tot deze wetgeving geleid hebben overal moeten gelden, niet alleen op internet.
Deze nieuwe wetgeving is alleen op webzaken gericht. Een website of een webshop zijn deels anders maar hebben ook veel overeenkomsten met een gewone wereld en een gewone winkel.
In een gewone winkel zijn ook diverse tracking systemen zoals klantenkaarten, spaarkaarten, bankpasjes, voordeelbonnen overzichten van aangeschafte goederen.
Ook zijn er mogelijkheden met RFID chips, parkeersystemen, camerasystemen en extra diensten als telefoondiensten, verzekeringen en gegevens uit thuisbezorgsystemen en combinatie van gegevens van meerdere bronnen.
Het gebrek aan privacy is niet echt nieuw. Vroeger kende de winkelier jou, je persoonlijke situatie en je klantengedrag ook al. Maar jij kende de winkelier ook en kon hier aan ontsnappen door naar een ‘vreemde’ winkel te gaan waar je direct al een vreemde klant werd herkend.
Het is echter nu grootschaliger, onoverzichtelijker en ook fouten en misverstanden zijn lastiger te corrigeren.
Een extreem strenge wetgeving met bijbehorende handhaving voor cookies?
- Staat in geen enkele verhouding tot wat er mogelijk is en al deels wordt gedaan.
- Cookies zijn in principe door een gebruiker zelf te deleten en te beheren
- Zal weinig oplossen en snel achterhaald worden.
Log maar eens in met je social media account en zoek op de social media site naar een willekeurige naam. Ook zonder cookies wordt je maanden later nog door deze naam achtervolgd met de mededeling dat je een peroon met deze naam kent en maar met hem moet linken.
Informatie is namelijk overal op te slaan, niet alleen in cookies.
@Jitty: dat het een draak van een wet is, daar is geen twijfel over. Deel mij niet in bij het CDA kamp, maar Verhagens betoog was ter zake kundig en was ik het mee eens.
SP en D66 hebben al in de aanloop ook aangegeven dat de wet vooral een bewustwordingsfunctie heeft. Lijkt me meer een taak van postbus 51 dan van de wet eerlijk gezegd…
Ik heb al eerder het vermoeden betoogd dat ik dat het bewust een draak is, om uit te ruilen bij de regering voor iets anders. Alleen dat de regering z’n poot stijf hield en de oppositie daarop besloot het als een overwinning te beschouwen. Maar dat kan ik niet met bewijzen staven.
Dat deze wetgeving eraan komt heeft zijn reden. Dit hoeft hier niet nog een keer uitgelegd te worden. Voor het doorsturen van mijn gegevens aan Google Analytics zou ik ook graag van te voren gevraagd willen worden. Als ik me bij een netwerk inschrijf is dit een geheel ander verhaal.
Bovenop zouden cookies helemaal niet meer nodig hoeven te zijn als de webshops e.a. met AJAX de enkele producten / elementen invoegt. Dan wordt niet meer van pagina naar pagina gesprongen en je kunt een geheel protocol van de activiteiten in de buffer van de gebruiker opslaan. Aan het einde (onblur) vraag je dan netjes of dit zal moeten worden onthouden. De bezoeker geeft een nickname op en kan deze de volgende keer weer gebruiken. Dit noem ik een klantvriendelijke bejegening.
@Thielo ik weet niet of je je beseft wat het inhoudt: het betekent dat je bij letterlijk elke site die je bezoekt eerst toestemming moet geven, want vrijwel alle sites gebruiken analytics software, share-this buttons of banners.
De eerste 3 keer denk je vast “goh, wat keurig dat ze toestemming vragen!”, de volgende 3 keer denk je “ja-haaa”, de volgende 3 keer “lazer op met je popupjes” en daarna probeer je in elke Google zoek de Nederlandse sites te vermijden omdat je gek wordt van al die toestemmingspopupjes.
Het nut van je AJAX oplossing zonder cookie zie ik niet. Je bent dan je mandje kwijt als je op de backbutton klikt (usability?), bovendien hebben de indieners van het amandement letterlijk in het tweedekamerdebat gezegd dat een cookie voor een winkelmandje of lettergrootte “uiteraard” geen toestemming voor nodig is, en zo staat het ook in de wet trouwens. Je hebt een oplossing bedacht voor juist datgene wat geen probleem is.