De kogel is door de kerk. Na een intensief debat met Minister Verhagen, ging de Eerste Kamer gisteren, op 8 mei, akkoord met het wijzigen van de Telecommunicatiewet ter implementatie van de E-Privacy Richtlijn. De gewijzigde wet treedt vrijwel meteen in werking (waarschijnlijk per 1 juli 2012). Nederland is dus voortaan netneutraal en er moet toestemming gevraagd worden voor het plaatsen van een tracking cookie.
Een motie van CDA senator Franken, die opriep de cookiebepaling pas 2013 in werking te laten treden, redde het niet. Wel is besloten dat het amendement bij de cookiewet, dat aangeeft dat bedrijven die tracking cookies plaatsen zelf moeten bewijzen dat ze geen persoonsgegevens verwerken, pas op 31 december van dit jaar zal gelden. Tot die tijd moet de toezichthouder aantonen dat cookies persoonsgegevens bevatten.
Geen uitstel cookiebepaling
De Eerste Kamer steunt de wetswijziging. Het CDA en de VVD zijn desondanks kritisch tijdens de mondelinge behandeling. CDA senator Franken pleit voor het uitstellen van de inwerkingtreding van de cookiebepaling tot januari 2013. Op deze manier krijgen de browserbouwers, verenigd in het worldwideweb consortium (W3C), de kans om een universele Europese standaard te ontwikkelen voor het vragen van toestemming via de browser. Ook de VVD maakt zich sterk voor een Europese implementatie op het zelfde moment. D66, SP en PvdA zijn wel voorstander van een snelle inwerkingtreding, mits de toestemming voor cookies eenmalig en collectief gevraagd mag worden. Dit vindt ook Minister Verhagen (ministerie van Economische Zaken, Landbouw en Innovatie), die aangeeft niet te willen wachten met implementeren, omdat hij vreest voor boetes vanuit Europa. Bovendien denkt hij dat onmiddellijke inwerkingtreding de browserbouwers weleens zou kunnen stimuleren.
EU Level Playing Field
Op de vraag van de VVD of Nederland niet uit de pas loopt met Europa, vanwege haar strenge cookiebepaling, antwoordt Verhagen ontkennend. Over de ‘normale’ cookiebepaling’ zegt Verhagen terecht dat de exacte tekst uit de Richtlijn wordt aangehouden, dat wil zeggen: ‘toestemming vereist voor plaatsen cookies’. De minister vermeldt helaas niet dat in de ons omringende landen toestemming voor cookies wel via de huidige browsers gevraagd kan worden. In Nederland kan dit niet. De wetstekst an sich wijkt dus niet af, maar de invulling/implementatie van de wetstekst wel. Een gemiste kans.
Uitstel inwerkingtreding motie
Met betrekking tot het amendement Van Bemmel dat werd aangenomen door de Tweede Kamer, geeft de minister aan dat de strenge (toestemmings)vereisten uit de Wet bescherming persoonsgegevens alleen gelden als met tracking cookies daadwerkelijk persoonsgegevens verwerkt worden. En dat is nu ook al zo, waardoor Nederland wat het amendement aangaat niet uit de pas loopt met Europa. Het amendement betekent echter wel een omkering van de bewijslast.
Bedrijven die cookies plaatsen moeten dus binnenkort aan de toezichthouder bewijzen dat zij dit niet doen. Het is niet meer de verantwoordelijkheid van de toezichthouder aan te tonen dat zij wel persoonsgegevens verwerken. VVD, CDA en PvdA, vinden terecht dat bedrijven in dit geval wel de tijd moeten krijgen om hun documentatie op orde te krijgen. Daarom treedt deze omkering van de bewijslast pas op 31 december van dit jaar in werking. Kortom; vanaf oudjaarsdag moeten plaatsers van tracking cookies bewijzen dat zij geen persoonsgegevens verwerken, wanneer de OPTA of het CBP hierom vragen.
En nu?
Alhoewel minister Verhagen voorstander is van onmiddellijke inwerkingtreding van de Wet, vindt hij dat de OPTA als handhaver terughoudend moet zijn. Bij de wijze waarop toestemming verkregen moet worden, kijkt OPTA dan ook nauwlettend naar de ontwikkelingen in de EU en de vorderingen van de browserbouwers. OPTA zal echter wel onmiddellijk toezien op de informatieplicht. Zorg dus dat je je websitebezoekers nu al informeert dat je website tracking cookies plaatst en wees hierbij voldoende specifiek. En let op: niet alleen advertentiecookies, maar ook Google analytics cookies vallen onder de wetgeving. Wil je meer weten? Kom dan op 30 mei aanstaande naar het grote cookiedebat van DDMA.
Hoe zit dit dan met Google cookies? Zoals Remarketing, Analytics, A/B testing, etc.
Feitelijk gezien kan de OPTA op dit moment al webshop afgaan (die hoogstwaarschijnlijk allemaal google analytics gebruiken) en mochten zij dat willen al gaan beboeten. Dat gaat me wat worden. Ik denk dat geen enkele webshop op dit moment toestemming vraagt voor cookies zoals analytics
Hi Lars,
Als je Google cookies gebruikt, moet je hier als site-eigenaar toestemming voor vragen onder de nieuwe wet. Zelf kunnen site-eigenaren hun webbezoekers niet tracken via analytics, maar Google doet dit natuurlijk wel. Alleen voor echt functionele cookies heb je geen toestemming nodig, denk aan een winkelwagen, onthouden logingegevens of het laden van afbeeldingen.
@Lars… lees de laatste regels van het artikel nog eens door. GA hoort hier ook bij. De GA code vraagt o.a. automatisch het IP-adres op bij het opvragen van de browsergegevens.
Voeg onderstaande code toe aan je GA tracking code om te voorkomen dat IP-adres opgevraagd wordt.
_gaq.push(['_gat._anonymizeIp']);
Maar ik heb op dit moment geen idee of dit voldoende is.
in het boek de wet op internet van arnoud engelfried word de wet persoonsgegevens als volgt beschreven:
“De ÂWet Bescherming Persoonsgegevens (WBP) Âregel tÂonder welke Âvoorwaarden Âpersoonsgegevens Âverwerkt Âmogen Âworden. ÂPersoonsgegevens Âzijn Âalle Âgegevens Âdie Âherleidbaar tot een bepaald individu.”
als dit wordt toegepast op deze cookiewet dan mogen gegevens wel bijgehouden worden, alleen mogen ze niet te herleiden zijn naar een individu.
@hans kuijpers het toevoegen van deze regel zou dan voldoende moeten zijn, maar dit is enkel afgeleid van de wet persoonsgegevens.
Dag Han,
Daar heeft Arnout gelijk in, dat is de definitie volgens de WBP. Maar inmiddels zijn er een hoop instanties die hebben aangegeven dat tracking cookies ook onder deze definitie vallen: het College Bescherming Persoonsgegevens bijvoorbeeld en Eurocommissaris Kroes (digitale agenda) en Reding (justitie).Ook al zijn cookies maar traceerbaar tot een device (pc, tablet, telefoon etc.), ze worden gebruikt om uitgebreide profielen te maken en zouden daarom onder de privacywet vallen, is de redenatie.
Maar ook als er geen persoonsgegevens verwerkt worden door tracking cookies, verplicht de nieuwe wet toestemming voor deze cookies te vragen. Het verschil zit m in het feit dat als de cookies wel persoonsgegevens bevatten, je naast de toestemming nog aan alle andere verplichtingen van de privacywet moet voldoen.
We hebben het over Google Analytics maar hetzelfde geldt volgens mij ook voor de social media buttons van sites als Facebook, G+, Twitter, etc. Als je via firebug kijkt wat een gemiddelde site aan cookies zet dan kom je al snel op tientallen, vooral met social media en analyse software erbij. Wie weet krijgen we straks wel boetes als we de likebutton van Facebook op de site zetten.
Jitty,
Je geeft aan dat alleen functionele cookies toegestaan zijn. Ik gebruik de Google Analytics cookie als functionele cookie. Zo kom ik er achter hoeveel 404-pagina’s er zijn om het zo voor de gebruiker op te lossen.
Ook weet ik waar gebruikers in het winkelmandje afhaken. Blijkbaar vinden gebruikers dat een drempel, nu ben ik zo aardig voor de gebruiker om deze drempel weg te nemen.
Goh, wat is die Google Analytics cookie toch functioneel.
Ik ben ook erg tevreden over Google Analytics en wat ik daarmee voor mijn bezoekers kan betekenen. Net zoals Hans al aangeeft, het is hopen dat de anonimize functie waarbij het IP wordt weggefilterd voldoende is om geen toestemming nodig te hebben.
Ik denk niet dat de IP filter toevoeging in Analytics niet genoeg gaat zijn. Het is namelijk nog steeds mogelijk om terug te “rekenen” naar het apparaat wat gebruikt wordt en dat gaat, naar alle waarschijnlijkheid, ook te ver.
bedankt Jitty voor het inzicht. Ik ben de aangenomen wet door gaan nemen. Een duidelijke bepaling voor de cookies is terug te vinden in artikel 11.5 lid 2 en 3:
2.De aanbieder mag verkeersgegevens verwerken die noodzakelijk zijn voor facturering, waaronder het opstellen van een factuur voor een abonnee of voor degene die zich tegenover de aanbieder rechtens verbonden heeft die factuur te voldoen, dan wel ten behoeve van een betaling van verleende toegang. De verkeersgegevens mogen worden verwerkt tot het einde van de wettelijke termijn waarbinnen de factuur in rechte kan worden betwist of de betaling in rechte kan worden afgedwongen.
3. De aanbieder van elektronische communicatiediensten mag voorts de in het eerste lid bedoelde verkeersgegevens verwerken, voor zover en voor zolang dat noodzakelijk is voor:
a.marktonderzoek of verkoopactiviteiten met betrekking tot
elektronische communicatiediensten, of
b.de levering van diensten met toegevoegde waarde,
mits de abonnee of de gebruiker waarop de verkeersgegevens betrekking hebben daarvoor zijn toestemming heeft gegeven. De abonnee of gebruiker kan de gegeven toestemming voor de verwerking van verkeersgegevens te allen tijde intrekken.
ik heb nog wel een vraag waar ik niet geen antwoord op kan vinden. In hoeverre moet er actief worden gevraagd aan de gebruiker of zij toestemming geven? Moet dit echt met een ja/nee vraag, of mag dit ook in de voorwaarden worden gesteld?
@Han
op dit moment is er nog weinig beschreven op het net hoe nu verder.
in een blogpost van Affiliateblog.nl kwam ik het volgende tegen:
“Het enige wat je nu volgens ons kan doen is het volgende:
Wachten totdat er een brief van de OPTA op de deurmat ligt en tot die tijd de blogs in de gaten houden. Vooral die van Milica Antic, van de Thuiswinkel organisatie en die van het IAB zijn interessant om te volgen. Verder zou ik helemaal niets doen, want zelf zou ik geen idee hebben wat ik zou moeten doen. Net zoals iedereen overigens in deze sector.”
bron: http://www.affiliateblog.nl/cookiewet-monster/
Google Analytics draagt niet bij aan een profilering van een persoon, maar is het dan nog wel in strijd met de cookiewet?
De informatie uit Google Analytics zijn niet aan een persoon te koppelen, maar toch gegeven webstatistieken weer. Vele internetmarketeers op diverse beurzen en bijeenkomsten gaven aan dat de cookiewet geen impact zou hebben op Google Analytics .
Iemand die meer opheldering kan geven over het eventuele gebruik van Google Analytics in combinatie met de cookiewet?
@Erik:
Ik denk dat de cookies van Google Analytics hier wel onder gaan vallen. Door middel van Google Analytics is het namelijk mogelijk om locaties te achterhalen en is het eveneens te achterhalen via welke apparaten bezoekers de website bezocht hebben.
Ik denk dat er nu nog geen duidelijk antwoord gegeven kan worden op deze vraag en dat het momenteel gissen is naar de daadwerkelijke invulling.
@Sebastiaan,
Bedankt voor je reactie. De gegevens van locatie en apparaat zijn toch niet te koppelen aan een persoon?
Het blijft inderdaad afwachten op duidelijke richtlijnen/gedragsregels.
Profilering van personen door middel van cookies mag dus niet… dus die cookies verdwijnen… Maar wat doen we dan met al die ouderwetse ‘papieren’ profilering. In Wassenaar krijgen mensen de folder van Merdeces en duurder in de bus. De poster in de bushokjes zijn van dure merken. In Leiden krijgen mensen de folder van Opel en hangen posters in de bushokjes van goedkopere merken. Dat is dus profilering. Op basis van de bordjes ‘te koop’ en ‘verkocht’ wordt het foldermateriaal dat je in de bus krijgt ‘geprofileerd’ in de brievenbus gedrukt. Er wordt dus behoorlijk geprofileerd. Iemand die dit aan deze wetgeving wil toevoegen? Scheelt ook een hele hoop papier. Zelfs dit is reclame op basis van profilering: http://www.creatie.nl/images/13375_13375
@Pieter:
En dan mag de snackbar om de hoek zeker ook geen vouchers meer verspreiden omdat dit ook profilering is…?
@Erik:
In directe zin kan dit inderdaad niet teruggekoppeld worden aan een individu. Echter kan er met deze data wel een doelgroep geformuleerd worden die bepaalde interesses hebben. En ik schat zo in dat dit ook niet getolereerd gaat worden.
Zelf vind ik het allemaal maar wat streng, maar we moeten maar kijken wat er de komende maanden op tafel komt.
Zoals André Scholten het op een ander site mooi verwoorde:
“Dus we hebben nu een wet, onduidelijk is precies hoe we ons daar aan moeten houden en toch geeft de OPTA aan al te gaan handhaven…. het wordt er niet makkelijker op.”
Het blijft bijzonder hoe er vooral naar Google Analytics wordt gekeken. Juristen met kennis van het internet en ICT (bijvoorbeeld ictrecht.nl)zijn er vrijwel unaniem over eens: 1) Google Analytics is een first-party cookie. 2)Zeer waarschijnlijk zal Analytics ook beschouwd worden als functioneel-technische first party cookie, dus toegestaan. 3) Mocht Analytics toch niet als functioneel-technische first-party cookie worden bespempeld dan is het anoniemiseren van ip-adres voldoende en valt het buiten deze wet. In tegenstelling tot wat veel mensen zeggen is het onmogelijk om na anoniemiseren van het ip-adres een bezoek te herleiden tot één persoon of één apparaat.
Laten we als branche voorzichtig zijn met al te snelle conclusies. Analytics is een prima tool en het beter maken van websites op basis van statistieken is uiteindelijk ook in het belang van de consument.
Maar er zijn wel dingen die op of over het randje zijn. Zo Sitestat waarschijnlijk third-party. En zeker de samen met Sitestat meegegeven cookies van comscore en scorecardresearch die je overal volgen. Verder zijn er ook tools die tijdens een ‘sessie’ gegevens opslaan om gepersonaliseerde content aan te bieden. Mag dat dan wel?
Kortom, nog veel vragen en het is aan de politiek om deze wet uitvoerbaar te maken.
Hier wordt de hele tijd over bedrijven gesproken. Ook zo ongeveer alle particulieren hebben allerlei dingen zoals like-buttons en statistieken aan hun webje hangen.
Hoeven die dat dan niet te doen?
Op de website http://nocookielaw.com/ wordt uitleg gegeven en staat ook een petitie om de EU bewust te maken dat de wet niet goed is in zijn huidige vorm. Even tekenen dus!
Volgens de opta moet voor GA ook toestemming worden gevraagd.
Maw iedere site heeft straks een knop waar vervolgens iedereen op moet drukken…. anders loopt de site niet.
Met dank aan de EU.
@henk,
heb je ook een bron waarin staat dat de OPTA vindt dat je voor GA ook toestemming moet hebben?
al gevonden. http://www.opta.nl/nl/actueel/alle-publicaties/publicatie/?id=3595