De gevolgen van de cookiewet voor e-mailmarketing: het cookiemodel

cookie wetgeving email marketing

In juni 2012 is de cookiewetgeving in werking getreden. Sindsdien is er al veel geschreven over deze kleine tekstbestanden die gebruikers op internet kunnen volgen. De impact van de cookiewet op e-mailmarketing blijft ondanks al die artikelen een grijs gebied. Verschillende partijen hebben juristen ingezet om de gevolgen van de cookiewet voor e-mailmarketeers te onderzoeken, maar die juristen komen zelfs met verschillende uitspraken.

De cookiewet en e-mailmarketing

Het meten van het aantal opens en de kliks in de e-mail vallen volgens sommige juristen en de overheid onder de cookiewet. Deze wet stelt namelijk dat de gebruiker toestemming moet verlenen zodra er privacygevoelige informatie wordt uitgelezen op de randapparatuur van de computer. De cookiewet omvat meer dan alleen cookies. Het feit dat er geen cookie geplaatst wordt in e-mails verandert daar dus niets aan, volgens deze juristen en de overheid.

Echter, andere juristen komen met tegenovergestelde uitspraken. Zij stellen dat de tracking pixel in een e-mail geen informatie uitleest op de randapparatuur van de computer. Een tracking pixel is een onzichtbare pixel die in bijna alle e-mailcampagnes opgenomen wordt, waardoor je kunt meten wanneer de afbeeldingen in de e-mail worden gedownload. Deze pixel is dus de basis van bijna alle e-mailrapportages. De tracking pixel leest geen informatie van de randapperatuur van de computer, dus hij valt niet onder de cookiewet. Je hoeft dan ook geen rekening te houden met deze wetgeving als je gebruik maakt van een tracking pixel, aldus de andere groep juristen.

Advies DDMA

DDMA

De DDMA organiseerde recent een round table session over de impact van de cookiewetgeving op e-mailmarketing. De DDMA, de branchevereniging voor dialoogmarketing, raadt in navolging van de Engelse DMA en IAB UK aan om op de aanmeldpagina van de nieuwsbrief te vermelden dat je gebruik maakt van een tracking pixel om algemene statistieken te kunnen bekijken. Verwijs bij de aanmelding naar je privacystatement, waar je nadere uitleg geeft. Dit geldt ook wanneer nieuwe klanten, via de soft opt-in, jouw nieuwsbrief gaan ontvangen.

Echter, wanneer je van plan bent om op basis van de opens en de kliks een vervolgcampagne op te gaan zetten, adviseert de DDMA om daar expliciete toestemming voor te vragen. Je bent dan namelijk op een veel gedetailleerder niveau bezig met de activiteiten van jouw abonnees. Je moet ook toestemming aan je bestaande abonnees vragen, dus die zal je een aparte mailing moeten sturen. Dit is niet erg praktisch, dus de DDMA adviseert dan ook om hier terughoudend in te zijn.

Het e-mailmarketing cookiemodel

Als we de verschillende cookies vergelijken met technieken uit e-mailmarketing kunnen we een volgend onderscheid maken.

  • Een voorbeeld van functionele cookies is de winkelwagen cookie in een webshop. Een toepassing op het gebied van e-mailmarketing is bijvoorbeeld het inloggen op je website vanuit je nieuwsbrief om je profiel aan te passen, dan wel te verrijken. Beide technieken zijn nodig in de communicatie met de websitebezoeker of nieuwsbriefontvanger.
  • Een first party analytics cookie komt wat betreft de functionaliteit overeen met de registratie van een open, een klik of het conversiemoment voor eigen gebruik, zoals dat binnen e-mailmarketing gebruikelijk is. Het doel is intern gebruik van de data en gegevens worden niet gedeeld met derden.
  • Een voorbeeld van een third party analytics cookie, ook wel tracking cookie genoemd, is bijvoorbeeld Google Analytics. Google kan als derde partij via Google Analytics internetters, individueel, over alle websites volgen. Dit is te vergelijken met de registratie van de opens, kliks en het conversiemoment op een derdenbestand. Als je een e-mailcampagne stuurt naar een derdenbestand worden de opens en kliks ook op individueel niveau gemeten en geregistreerd. Zowel de eigenaar van het bestand, als de derdenverstrekkingspartij en de opdrachtgever zullen over deze gegevens beschikken. De derdenverstrekkingspartij zal bovendien de gegevens combineren met gegevens van andere campagnes om bijvoorbeeld het profiel verder te verrijken.

Onderstaand een schematische weergave van het e-mailmarketing cookiemodel.

Zienswijze OPTA

OPTAZoals hierboven beschreven is er nog steeds discussie tussen juristen over welke technieken nu wel en niet door de cookiewetgeving gereguleerd worden. Ook de OPTA geeft hierover nog geen uitsluitsel. De verwachting is dat OPTA zich in eerste instantie richt op grote overtreders in het gebruik van tracking cookies.

Nieuwe ontwikkelingen

Het merendeel van partijen en individuen interpreteert de cookiewetgeving uit juni 2012 tot nu toe als zouden alleen functionele cookies gebruikt mogen worden zonder toestemming van klanten. Voor first- en third party cookies is in dat geval dus expliciet toestemming van klanten nodig.

Kamervragen

Er zijn echter voortdurend nieuwe ontwikkelingen waardoor het moeilijk te voorspellen is wat de impact van de cookiewet op de lange termijn zal zijn. Zo diende D66-Kamerlid Kees Verhoeven op 21 november een wetsvoorstel in om de cookiewetgeving te versoepelen. Hij pleit ervoor om naast functionele cookies ook een uitzondering te maken voor first-party analytics cookies. Deze first-party analyticscookies zijn van de website zelf afkomstig en worden niet gedeeld met derden.

Voor e-mailmarketing zou deze wetswijziging betekenen dat je alleen hoeft te verwijzen naar de tracking pixel wanneer je op een derdenbestand de rapportages met derden deelt of gebruikt voor vervolgcampagnes.

Antwoord kamervragen

De antwoorden van staatssecretaris Sander Dekker op de gestelde kamervragen maken de verwarring compleet. Zo stelt de regering dat websitehouders geen rekening hoeven te houden met cookies die andere partijen (zoals sociale netwerken) via de website in de browser plaatsen. “Deze (tracking)cookies worden door derden geplaatst en het gebruik van deze cookies en de daarmee gegenereerde data komt voor rekening van deze partijen”, schrijft de staatssecretaris. Voor e-mailmarketing betekent dit antwoord dat je als e-mailmarketeer helemaal niets hoeft te doen, ook niet voor derdenverstrekkingscampagnes.

Ons advies

In ons advies volgen wij de DDMA. Wij raden aan om op de aanmeldpagina van de nieuwsbrief te vermelden dat je gebruik maakt van een tracking pixel om algemene statistieken te kunnen bekijken. Verwijs bij de aanmelding naar je privacystatement, waar je nadere uitleg geeft. Dit geldt ook wanneer nieuwe klanten, via de soft opt-in, jouw nieuwsbrief gaan ontvangen, bijvoorbeeld door een aankoop te doen.

Uitgelicht: Ontvang maandelijks praktische e-mailmarketing tips in je inbox!

E-mailnieuwsbrief

Wil je iedere maand handige tips en interessante artikelen over e-mailmarketing ontvangen? Mis dan niet langer de nieuwsbrief van Measuremail. Alle artikelen worden geschreven door experts die zich dagelijks bezig houden met het optimaliseren van e-mailmarketing.

Meer weten?

Interessant?

Lees dan ook onze andere artikelen over , , , , , , , , , .

Reacties

  1. Goed overzicht Martijn.

    Laten we hopen dat de wet snel wordt aangepast, zodat deze geen actieve toestemming voor first party cookies meer vereist.

    Aan de positieve kant, zou bij de toestemmingsvraag voor de e-mail nieuwsbrief ook direct een opt-in voor cookies en tracking op de website gevraagd kunnen worden. Dan krijgen je nieuwsbriefabonnees iig niet zo’n lastige cookie pop-in / up / over / etc te zien.

    Disclaimer: Ik ben natuurlijk geen jurist. ;)

  2. Goed helder artikel Martijn!

    Jammer dat de OPTA geen uitsluitsel wil geven. Mijn ervaring met hen is dat ze eerst afwachten wat de marktpartijen zelf doen en dan proberen de duimschroeven nog wat aan te draaien.

    Ik denk dat de versoepeling als voorgesteld door D66 en goede zet zou zijn, voor zowel de consument al se marketeer. De consument krijgt, beter gerichte campagnes voorgeschoteld en de marketeer kan beter segmenteren naar de diverse doelgroepen.

    Tot dat het zo ver is, ben ik het eens met jouw conclusie om het DDMA model te hanteren

  3. Sicco Hesselmans |

    Interessant artikel maar volgens mij bevat het een paar belangrijke fouten met betrekking tot verschil first / third party cookies.

    Google Analytics plaatst -in tegenstelling tot bovenstaand artikel- first party cookies, niet third party cookies. De cookies van Google Analytics worden immers geplaatst onder het domein van de door te meten website zelf en niet onder een andere (derde) domein. De cookies kunnen dus alleen uitgelezen worden vanuit diezelfde website. Dit houdt ook in dat Google Analytics de bezoeker niet kan volgen over meerdere websites, althans niet met behulp van deze cookies.

    De meeste e-mail marketing systemen plaatsen om conversies te kunnen doormeten nou juist wel third party cookies. Nadat de gebruiker op de link in de e-mail heeft geklikt wordt deze kort doorgestuurd naar de “website” van het e-mail systeem. Daar wordt een cookie geplaatst en vervolgens wordt de bezoeker doorgestuurd naar de betreffende landingspagina. De cookie wordt dus geplaatst onder de domein van het e-mail systeem en niet onder de domein van de website waar de e-maillink naar verwijst.Daarom is het een third party cookie. Op de bevestigingspagina van de betreffende website wordt een zgn. conversietag geplaatst. Vaak is dit een een link naar een kleine transparante afbeelding die staat op de domein van het email systeem. Door het laden van deze afbeelding heeft het email systeem de mogelijkheid de conversie te koppelen aan het geplaatste cookie, ook al vindt de conversie plaats op een andere domein. Via deze techniek kun je bezoekers dus wel volgen over verschillende websites.

    Als we het hebben over first of third party cookies gaat het er dus niet om welke partij het cookie heeft geplaatst. Het gaat erom of het cookie is weggeschreven onder de domein van de betreffende website of onder een andere domein.

    Een ingewikkelde en beetje technisch verhaal. Dat is vermoedelijk ook de oorzaak van al de verwarring.

    1. De redirect en het meten van de klik via een e-mail systeem kan gewoon via het eigen domein met een paar kleine technische (DNS) instellingen. Net zoals je kunt verzenden vanuit je eigen domein.

      Dus zelfs onder de definitie van Sicco vallen deze niet onder 3rd party cookies.

  4. @Sicco Hetgeen Jordie zegt is inderdaad waar. Vrijwel al onze klanten werken ook op een veelal eigen subdomein. Bovendien gaat het bij de cookiewet niet alleen maar om de technische insteek van het geheel.

    Voor het meten van een open wordt uberhaupt geen cookie geplaatst, maar toch valt dat onder de cookiewet. Een website wordt immers ook veelal bij een derde partij gehost, maar daarmee mag die partij niet zo maar beschikken over allerlei data. ESP’s die zijn aangesloten bij de DDMA zullen bovendien een bewerkersovereenkomst sluiten met hun klanten, zodat de gegevens op geen enkele manier door de ESP gebruikt mogen worden. Zelfs als de cookie dan dus wordt geplaatst vanuit het domein van de ESP, blijft het volgens de cookiewet dan volgens mij gewoon een first party analytics cookie.

    Dat de Google Analytics cookie technisch gezien als first party cookie gezien kan worden, geloof ik direct van je. Maar volgens de cookiewet valt hij naar mijn mening toch echt onder de third party cookies. Zie bv https://ictrecht.nl/tracking-en-profiling/google-analytics-versus-de-cookiewet-een-oplossing.

    1. Sicco Hesselmans |

      Ben het volledig met je eens dat de cookie wet niet alleen om de de technische insteek van het geheel gaat. Ik denk ook dat er in een eventuele aanpassing van de wet goed moet worden opgelet dat het niet toch een te technische insteek krijgt.

      Op dit moment wordt er veel gesproken over first en third party cookies. Ook met betrekking tot een aanpassing in de wetgeving of een toepassing van de huidige wetgeving, zoals je in je artikel stelt. Het blijkt echter dat er veel verwarring bestaat over het verschil tussen deze twee.

  5. Nog even voor de volledigheid op deze plaats het verschenen nieuws van vandaag http://www.nu.nl/internet/2987889/cookiewet-versoepeld.html en http://www.nu.nl/files/Brief%20Kamp.pdf. In 2013 hoeft door deze actuele ontwikkelingen van vandaag formeel dus niets gedaan te worden met ons advies, zoals in dit artikel gegeven. Of de politiek en de OPTA er zo over blijven denken: tja, ik heb geen idee!

  6. Zoals Sicco ook al opmerkt; het artikel rammelt behoorlijk m.b.t. Google Analytics. Google plaatst geen cookies via Analytics, maar de eigenaar van de website. Analytics cookies zijn gewoon first party cookies, wat de aangehaalde juristen daar ook van zeggen. Er is nooit enige twijfel geweest over wat first en wat third party cookies zijn, totdat sommige juristen hun eigen definitie gingen geven om hun eigen redenering kloppend te krijgen. Dat veroorzaakt de verwarring.

    Met Google Analytics kan Google dus met geen mogelijkheid mensen volgen op het internet, dat is juist waarom het voor consumenten veel veiliger is dan bijvoorbeeld de combinatie Sitestat/Comscore waarmee dat wel kan. Of affiliate netwerken en email marketing platformen die profielen opbouwen van website bezoekers. Of de retargeting campagnes van de grote adverteerders.

    Google Analytics met ip-maskering en ‘niet-delen’ als standaard instelling is momenteel de beste oplossing voor de privacy van website bezoekers en voldoet op die manier ook aan de cookiewet.

  7. @Rolf Ik ben zelf geen jurist, maar schrijf slechts op wat juristen vinden en zeggen. Wetten worden nu eenmaal gemaakt en uitgevoerd door juristen. Daar hebben we het als online sector mee te doen. Het is wel goed om met elkaar de discussie te voeren om zaken scherp en helder te krijgen. Ik ben het met je eens dat als je Google Analytics juist in zet, dat er dan niets aan de hand is.
    Vanuit het e-mail werkveld valt ook nog te bezien of alle derdenverstrekkingscampagnes onder de cookiewet vallen. Als je als bestandeigenaar zelf met je eigen software of via je eigen ESP een campagne verstuurd en slechts geaggregeerde data aanlevert aan de adverteerder, dan zie ik niet in waarom een dergelijke campagne onder de cookiewet zou vallen. Als je echter de vercommercialisering van je bestand uitbesteed een andere partij, die dat voor meer bedrijven doet, dan worden de data uit de diverse bestanden veelal gecombineerd en valt het volgens mij wel onder de cookiewet. Ik ben benieuwd wat anderen van deze laatste zienswijze vinden.

  8. Hoi Martijn,
    En wat adviseer je voor bestaande adressen in je mailing? Die hebben nog geen toestemming gegeven voor tracking middels pixels en dergelijke…?

    1. Hoi,
      Ik reageer even namens mijn collega Martijn.
      Je huidige abonnees hebben inderdaad nog geen toestemming gegeven, maar wij (en daarnaast de DDMA, de Engelse DMA en IAB UK) raden aan om deze abonnees alleen om expliciete toestemming te vragen als je op basis van de opens en clicks een vervolgcampagne op gaat zetten.

      Als je de rapportages van je nieuwsbrief alleen gebruikt voor algemene statistieken hoef je dit niet te doen.

Plaats een reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn met een * aangegeven.

Verschijnt je reactie niet, dan is deze mogelijk in de spam terechtgekomen. Mail ons dan even!