Tijdens het Congres Webredactie 2012 presenteerde Arnoud Engelfriet “De Cookiewet: Alles wat je moet weten, maar niet durft te vragen”. Arnoud Engelfriet vertelde feitelijk over de “cookiewet”. Ook zijn antwoorden op de vele vragen tijdens de sessie waren feitelijk, daar waar bezoekers ook benieuwd waren naar zijn persoonlijke mening over de wet die volgens velen veel te ver gaat.
Feit is dat de wet actief is sinds juni 2012. Tracking cookies, third party cookies, sessie-cookies, alles valt onder de cookiewet. Deze naam is niet gelukkig gekozen want ook alternatieve technieken zoals browser fingerprinting vallen onder de wet. Browser fingerprinting is gebaseerd op het feit dat een webbrowser van een gebruiker qua leverancier, versienummer, instellingen en plugins ook aardig uniek identificeerbaar is.
De wet komt voort uit de Europese wet, interpretatieverschillen die momenteel voor opschudding zorgen gaan om het aannemen dat er toestemming is vs het (opt-in) moeten vragen. Nederland heeft een vrij strenge interpretatie gekozen.
Functionele cookies
De uitzondering “Functioneel” zoals deze in de wet staat betekent “technisch noodzakelijk” om de dienst aan de gebruiker te leveren. En het is prima mogelijk een website te draaien en bijvoorbeeld een bezoeker een product op te sturen zonder Google Analytics.
Qua fingerprinting is volgens Arnoud juridisch goed verdedigbaar dat alles wat je automatisch meekrijgt (zoals webbrowser, ipadres en http-referrer) geen probleem gaat geven en alles wat je expliciet uitleest, zoals schermresolutie met JavaScript, wel.
Alles wat je uitleest moet je dan wel functioneel gebruiken – alleen wat je strikt nodig hebt om je dienst te leveren. Je moet de bezoeker informeren en om toestemming vragen. De wet gaat uit van het vermoeden dat je persoonsgegevens verwerkt (iemand is te herkennen) – het tegendeel moet je bewijzen.
Naast social media knoppen moet je ook toestemming hebben voor cookies die door embedded content worden geplaatst zoals YouTube.
Informeren is onvoldoende
Informeren zoals Bolletje lakoniek doet is helaas niet voldoende, de analytics cookies zijn bij het eerste bezoek al geplaatst:
Bezoekers alleen toelaten op de website als deze cookies accepteren zoals NPO/Uitzending gemist en Fok doen mag wel:
Implementatie op websites
Cookie control levert een standaardoplossing voor diverse websites. Er is dan nog geen oplossing voor embedded video’s van bijvoorbeeld YouTube of social media buttons. Arnoud maakt op zijn websites gebruik van Synovite Universal Tag. Die stelt de bezoeker drie mogelijkheden ter beschikking: strikt noodzakelijke cookies, inclusief statistiek cookies en inclusief extern (o.a. social media). Het is volgens Arnoud ook mogelijk om in plaats van een YouTube-video een afbeelding te laten zien en de gebruiker bij een poging tot het afspelen van de video opnieuw om toestemming te vragen.
Google Analytics kent overigens een optie gat.anonymizeIp(); waarmee je aangeeft het ip-adres van je bezoeker niet op te willen slaan. En er is ergens een vinkje “Gebruik van Analytics-gegevens door Google” die je kunt uitvinken.
Arnoud adviseert Matomo als alternatieve software voor statistieken. Ook deze software moet je aardig afstellen om fingerprinting uit te schakelen.
De wereld is er dus op deze manier niet helemaal klaar voor. De website van Martijn van Dam plaatst cookies en Jhim van Bemmel geeft op Twitter aan dat de wet alleen betrekking heeft op tracking cookies gaat – helaas strekt het blijkbaar verder.
15% van de bezoekers accepteert cookies met een ja/nee vraag. 30% als je iets meer toelichting geeft. Je kunt zelfs alleen om een “Ja” vragen. Dat is wel onvriendelijk maar men kan terug of de browser afsluiten. Op de nee-pagina zou je nog netjes uitleg kunnen geven en mensen vragen terug te komen proberen.
Stappenplan cookiewet
Arnoud sloot af met een stappenplan:
- Bepaal welke cookies uw site plaatst. Installeer Ghostery of Cookie monster en klik een beetje rond door website. Zorg dat je pagina’s met social media en video betrekt.
- Bepaal waarom deze cookies nodig zijn.
- Beslis welke cookies eventueel niet meer geplaatst hoeven te worden.
- Bepaal waarbij toestemming nodig is.
- Regel een manier om toestemming te vragen (zoals Fok/Uitzending gemist of iets subtieler).
- Leg vast hoe uw site toestemming vraagt. Toestemming moet je per cookie kunnen aantonen, 5 jaar terug in de tijd. Een IP-adres is lastig bewijsmateriaal, na 1 jaar gooien de providers de gegevens weg. Misschien is het cookie-id te loggen. In plaats van logs bewaren kun je ook een screencast filmpje maken waarin je laat zien hoe je website toestemming vraagt.
- Voeg een cookieverklaring toe.