Vanaf 5 juni dient iedere website die bezoekersgedrag, meet en gegevens daarover vastlegt in bijvoorbeeld cookies (en dat zijn vrijwel alle websites) zich te houden aan de nieuwe cookiewetgeving.

In dit artikel wordt ingegaan op de nieuwe wetgeving, de achtergrond, de impact, de stappen die men kan ondernemen om de website te conformeren aan de nieuwe wet.


bron: Fernandez
Onlangs is de wijziging van de Telecomwet voor het gebruik van tracking en cookies ook door de Eerste Kamer aangenomen en daarmee is de omstreden “cookiewet” een feit.

In een eerder artikel schreven we al dat elk Europees land voor 25 Mei 2011 de wetgeving (volgens de Europese e-privacy richtlijn van 25 november 2009) moet hebben vastgelegd omtrent de opt-in voor het gebruik van tracking en cookies. In Nederland is op 15 april 2011 het eerste wetsvoorstel ingediend en na enkele wijzigingen is deze wet op 22 juni 2011 door de Tweede Kamer aangenomen.

Wanneer wordt de cookiewet actief?

Het Ministerie van Economische Zaken, Landbouw en Innovatie antwoord op deze vraag: “De wet treedt zo snel mogelijk in werking, nog voor het eind van de maand mei 2012”. In eerste instantie zou dat betekenen dat op 8 juni 2012 de zogenaamde cookiewet van kracht wordt. Update: Op vrijdag 1 juni is bekend geworden dat de wetgeving 5 juni in werking treedt.

Hoe ziet de Europese richtlijn er uit?

De Europese wetgeving richt zich hoofdzakelijk op twee punten. Ten eerste dienen de bezoekers voldoende geïnformeerd te worden over de cookies die tijdens het websitebezoek worden geplaatst en gebruikt. Ten tweede moet er toestemming van de bezoeker worden verkregen voordat een cookie wordt geplaatst. Overigens moeten “cookies” in deze richtlijn ruim worden genomen, want ook browser-“fingerprinting” valt hier bijvoorbeeld onder. Wel is er binnen de Europese richtlijn sprake van de zogenaamde “overweging 66″. Deze houdt in dat de browserinstellingen van de bezoeker geen akkoord van de bezoeker impliceert. Met de browserinstellingsmogelijkheden zoals we deze nu kennen voldoen websites (indien ze de bezoekers voldoende informeren) aan de toestemmingseis en de richtlijn. Uitzondering op deze richtlijn zijn cookies die noodzakelijk zijn voor de elektronische communicatie en functionaliteiten gericht op de bezoekers op de website. Hiervoor is geen toestemming vereist.

Nederlandse wetgeving strenger dan de Europese wet

De in Nederland aangenomen toevoeging op de Telecomwet wijkt op belangrijke punten af van Europese regelgeving. In principe gelden dezelfde voorwaarden als binnen de Europese richtlijn (informeren en toestemming vragen). Echter is er een belangrijk verschil. Toestemming kan niet langer worden verkregen door een browserinstelling, maar de bezoeker moet “ondubbelzinnige” toestemming geven voor het plaatsen van cookies.
Effectief betekent dit dat bij het initiële websitebezoek, de bezoeker expliciet toestemming moet verlenen over welke cookies geplaatst mogen worden. Deze toestemming is echter niet nodig voor cookies die als doel hebben communicatie mogelijk te maken of die noodzakelijk zijn voor het functioneren van de website voor de bezoeker. Dit betekend dat voor cookies geen toestemming is vereist indien die bijvoorbeeld nodig zijn voor het functioneren van een winkelmand of taalinstellingen en inlogstatus opslaat.

Voor third party cookies gaat de wetgeving overigens verder: indien sprake is van opslag van persoonsgegevens, dient de website zich te conformeren aan de Wet Bescherming Persoonsgegevens (WBP). Op zich was hierin voor de invoering van de “cookiewet” ook al voorzien in de WBP, echter geldt hierop binnen de cookiewetgeving een “omgekeerde bewijslast” (ook indien er sprake is van het vermoeden dat persoonsgegevens worden opgeslagen). Dit betekent dat er een aanmelding bij het College Bescherming Persoonsgegevens en een inzage verplichting voor bezoekers geldt.

Wat verandert op 8 juni 5 juni 2012

Op 8 juni 5 juni wordt de uitbreiding van de Telecomwet op het gebied van de cookiewet actief. Dit betekent dat websites gericht op, of actief binnen Nederland, hun bezoekers moeten gaan informeren over welke cookies en trackingsystemen ze inzetten en ze ondubbelzinnig toestemming moeten verkrijgen van de bezoekers. Bezoekers kunnen hierin zelf actief aangeven (akkoord) dat gegevens mogen worden verzameld. Enkel de bezoeker informeren, via bijvoorbeeld het privacy statement, volstaat niet.

Informatieplicht

Binnen de informatieplicht dienen organisaties bezoekers te informeren over welke cookies worden geplaatst, met welk doel, welke informatie hiermee wordt verzameld en voor welke termijn deze informatie blijft opgeslagen.
Ook al is door het Ministerie aan de OPTA gevraagd met enige terughoudendheid de nieuwe regelgeving te handhaven, heeft de OPTA zelf aangegeven in 2012 meteen te starten met handhaven op de informatieverplichting én toestemmingsverplichting.

De koppeling van de cookiewet en de Wet Bescherming Persoonsgegevens aan de omgekeerde bewijslast zal vanaf 1 januari 2013 in werking treden.

De impact van de cookiewet

Het is speculeren over de uiteindelijke effecten van de cookiewetgeving op de Nederlandse e-business. Toch zien we verschillende voorbeelden in bijvoorbeeld het Verenigd Koninkrijk (waar een mildere cookiewet al in werking is getreden). Hier wordt duidelijk dat ongeveer tussen de vijf en vijftien procent van de bezoeker daadwerkelijk cookies zal accepteren. Om een voorbeeld te geven: bij zeer betrouwbare websites, waaronder de website van de Britse OPTA, ligt het aantal bezoekers wat cookies accepteert op 10%. Dat dit invloed heeft op het advertising en e-commerce landschap staat buiten kijf. De invloed kan zich uiten in minder gratis, door advertising betaalde diensten en websites, afname in online bestedingen, maar ook een sterkere concurrentiepositie van online spelers met een grote merkbekendheid (waarbij bezoekers eerder de cookies accepteren) of spelers buiten de Nederlandse grens.

Lichtpunten

Toch zijn er ook lichtpuntjes zichtbaar. Zo voorziet de cookiewetgeving in het “collectief” regelen van toestemming om cookies te plaatsen. Hierdoor kunnen organisaties zich bundelen in een collectief en daardoor het cookiemeldingen voor bezoekers tot een minimum beperken. Een eenmaal geaccordeerde bezoeker kan ‘overgedragen’ worden aan een andere partij in het collectief. Tevens zorgt het collectief toestaan van cookies voor een enorm potentieel voor bijvoorbeeld Google (met de gehele productset van bijvoorbeeld Google Adwords en Analytics cookies) en Facebook advertising.

Onlangs is de Europese commissie een rechtszaak gestart tegen Nederland en vier andere Europese lidstaten. Nederland zal zich voor de rechter moeten verantwoorden vanwege het uitblijven van de harmonisatie van de Europese richtlijn voor betere privacy online. Hierbij gaat het met name om het niet halen van de initiële deadline van 31 mei 2011, maar ook de strengere regelgeving staat ter discussie (zwaardere regelgeving zorgt immers voor een oneerlijke concurrentie positie van Nederland binnen Europa).

Aan de nieuwe wetgeving conformeren

Wat zijn de stappen die een organisatie direct kan nemen om zich te houden aan de cookiewet en op 8 juni 1 juni in ieder geval (deels) aan de nieuwe wetgeving te voldoen?

Ons advies is om te beginnen met de informatieverplichting; het aanpassen van het privacy statement (en eventueel aanmaken van een apart cookie statement) en op de website actief te wijzen op het gebruik van cookies. Welke cookies worden geplaatst, met welk doel, welke informatie hiermee wordt verzameld en voor welke termijn wordt deze informatie opgeslagen.

Daarna is het van belang te inventariseren welke technische aanpassingen nodig zijn om ook te voldoen aan de toestemmingsvereiste. Hierop kan dan de website worden aangepast.

Third party cookies en persoonsgegevens

Indien gebruik wordt gemaakt van thirdparty cookies of wanneer er persoonsgegevens worden gebruikt, is het raadzaam om juridisch advies in te winnen over op welke wijze de organisatie dient in te spelen op de volledige inwerkingtreding van de cookiewet en WBP op 1 januari 2013.

IP adressen, cookies en tracking

Het is van belang dat binnen de Nederlandse wet de IP adressen als persoonsgegevens worden aangemerkt. Dit betekent dat cookies en trackingsystemen die IP adressen verzamelen waarschijnlijk onder de Wet Bescherming Persoonsgegevens vallen. Veel webanalysetools en A/B – multivariatie pakketten zijn door middel van technische wijzigingen hierop aan te passen. Het blijft aan te raden hiertoe eveneens een specialist te raadplegen.

Blijf op de hoogte

OrangeValley volgt de ontwikkelingen omtrent de cookiewetgeving op de voet. Wij zullen onze opdrachtgevers zo goed mogelijk blijven informeren over de wijzigingen en de benodigde acties om hun website te laten voldoen aan de nieuwe wetgeving.

Schrijf u in op onze nieuwsbrief en wij houden u op de hoogte over de ontwikkelingen. Heeft u vragen over de effecten op uw online marketing en de inzet van bijvoorbeeld webanalyse- en multivariatietools, neemt u dan contact op met één van de specialisten van OrangeValley.

Contactformulier na download