Cookiewet Questions and Answers
Op 15 juni jl. vond in Amsterdam de Cookie informatiesessie van Netsociety plaats. Dit evenement werd georganiseerd in het kader van de vernieuwde Cookiewet.
De sessie had als doel om klanten en relaties meer inzicht te geven in de ontwikkelingen en de mogelijkheid om de situatie te bediscussiëren met gelijkgestemden. Ter introductie van de informatiesessie werd de juridische impact van de wet samengevat door Anton Ekker (NICTIZ). Daarnaast gingen Niki van Wijk, René Bulthuis en René Nijhuis (Netsociety) in op de consequenties van de vernieuwde Cookiewet en de mogelijkheden voor organisaties om daar mee aan de slag te gaan. Tomas Salfischberger (Synovite) schoof aan tijdens de discussie om de technische achtergrond van de wet en cookies toe te lichten. Netsociety heeft de belangrijkste Q&A’s die aan bod kwamen hieronder voor u op een rij gezet.
Tevens biedt Netsociety een technische oplossing, de Universal Tag, aan om de implementatie van de cookiewetgeving te vergemakkelijken. U kunt de presentatie over deze oplossing hier downloaden.
Indien u de informatie van afgelopen vrijdag wilt nalezen, download hier de presentatie van de Cookie informatiesessie.
Voor vragen na aanleiding van de Q&A’s, de presentatie van de Cookie informatiesessie en/of de Universtal Tag oplossing van Netsociety kunt u contact opnemen met uw primaire contactpersoon of René Bulthuis (rene@netsociety.nl).
| Cookiewet Questions and Answers |
|---|
|
Q: Kun je toestemming vragen in algemene voorwaarden of in een overeenkomst? A: Algemene voorwaarden: onduidelijk, maar in ieder geval alleen indien men expliciet akkoord gaat. Voor persoonsgegevens waarschijnlijk niet (in UK kan het wel); overeenkomst: ja, maar dat komt waarschijnlijk niet vaak voor. |
|
Q: Is een Privacy Statement geschikt om te voldoen aan de informatieverplichting? A: Ja, mits: voldaan is aan de voorwaarden voor informatieverstrekking; de gebruiker de privacy statement voorafgaand aan het verlenen van toestemming heeft kunnen inzien, en dat de informatie begrijpelijk is gepresenteerd. |
|
Q: Naar aanleiding van de tekst van de wet: wat betekent "uitsluitend doel is de communicatie over een elektronisch communicatienetwerk uit te voeren"? A: Om bijvoorbeeld van de ene sessie naar de volgende te gaan, zoals bij betalingen via PSP’s e.d. om er voor te zorgen dat de gebruiker data kan meenemen naar de volgende pagina. Bijvoorbeeld producten die in een winkelmandje geplaatst worden. |
|
Q: Hoe zouden jullie noodzakelijke functionele cookies omschrijven? A: Indien je goed kunt onderbouwen dat bepaalde cookies noodzakelijk zijn voor het functioneren van dat deel van de website wordt dit wellicht geaccepteerd, maar de grenzen van noodzakelijk zullen in de praktijk moeten worden vastgesteld. Dus, indien een cookie alleen voor die specifieke functie wordt gebruikt, zou je daarvoor de toestemming dus achterwege kunnen laten. |
|
Q: Vallen taalinstellingen onder Functionele Cookies? A: AFunctionele cookies zijn cookies die nodig zijn voor het correct functioneren van de door de gebruiker gevraagde dienst. Of taalinstellingen hier onder vallen is niet direct duidelijk, omdat de website ook functioneert zonder taalinstellingen te onthouden. |
|
Q: De wet is zowel van toepassing op sessie als persistent cookies, correct? A: Klopt, dat onderscheid maakt niet uit. Sessie cookies zijn echter over het algemeen ingericht om informatie te delen en dus minder gevoelig want vooral bedoelt voor handige functionaliteit. Het gaat er juridisch gezien eigenlijk alleen om waar ze voor worden gebruikt. Sessie-cookies worden bijvoorbeeld ook gebruikt voor een deel van Google Analytics. |
|
Q: Op welk moment moet je toestemming vragen? A: Wanneer er nog niet op bijvoorbeeld een affiliate link geklikt is, wordt er nog niets verzameld. Je hoeft dan dus nog geen toestemming te vragen. Dit moet wel zodra er op een hyperlink geklikt wordt. |
|
Q: Een sessie cookie bevat enkel een variabele. Vraag: wat mag er server-side opgeslagen worden? A: De wet specificeert het opslaan en uitlezen van gegevens, om de gegevens server-side te hebben zal je ze eerst moeten uitlezen, dat valt dus onder de toestemmingsvereiste. Verder vallen server-side gegevens onder de Wet Bescherming Persoonsgegevens indien dit gegevens zijn die tot een persoon kunnen worden herleid zoals een e-mailadres en volgens sommigen een IP-adres. |
|
Q: Hoe vaak mag je toestemming vragen bij een ”Nee” A: In principe mag je een bezoeker elke keer opnieuw toestemming vragen, een dergelijke beperking is niet opgenomen in de wet. |
|
Q: Mag je een commerciële campagne koppelen aan de cookie optin? A: In de zin van het stimuleren van toestemming d.m.v. een incentive; er is geen indicatie dat dit niet zou mogen mits de toestemming ondubbelzinnig en expliciet is. |
|
Q: Kan er over verschillende merken heen toestemming worden verleend voor cookies? A: Ja, de wet maakt het mogelijk om voor meerdere website tegelijk toestemming te vragen. De afweging is dan of dat voor de klant ook een logische clustering van websites is om de acceptatiegraad te maximaliseren. Technisch kan hier ook de Universal Tag oplossing voor gebruikt worden. |
|
Q: Hoe ver kun je gaan om toestemming voor hele netwerken te vragen? A: Waarschijnlijk heel ver, zolang je de informatie waarop de toestemming berust maar specifiek genoeg is en begrijpelijk voor de consument. |
|
Q: Vereist de wet dat een consument iedere afzonderlijke tracker uit moet kunnen zetten? A: Nee, dat is niet nodig. Toestemming kan uitgevraagd worden voor alle cookies tegelijk of per categorie, zoals ook in de Universal Tag oplossing wordt aangeboden. Voor het informeren is het wel noodzakelijk alle specifieke cookies te benoemen. Dit zal moet in ieder geval worden opgenomen in het privacy of aparte cookie statement. |
|
Q: Hoe zit het met de Do-not-track-button: kun je die negeren en/of overrulen? A: Negeren niet, overrulen misschien wel. Technisch is alles mogelijk, Do-not-track is niets meer dan een stukje informatie c.q. een suggestie wat de browser automatisch doorgeeft aan de website, het is aan de website om daar vervolgens iets mee te doen. |
|
Q: Wordt het al dan niet verlenen van toestemming voor cookies niet opgeslagen in een cookie en mag dat dan? A: Dat klopt, deze cookie is echter noodzakelijk om de dienst volgens de wet aan de gebruiker te kunnen leveren. Het geven (of niet geven) van toestemming moet worden opgeslagen om daarna te kunnen voldoen aan de keuze van de gebruiker. |
|
Q: Wat te doen bij terugschalen opt-in door user na initieel akkoord? Cookies verwijderen? Ook third-party cookies? A: Het is technisch niet mogelijk om zelf actief third-party cookies te verwijderen. Het is wel mogelijk om de third-party tag (meestal een Javascript) niet meer in te laden als de gebruiker zijn voorkeuren aanpast. Dan wordt vanaf dat moment het al geplaatste cookie niet meer uitgelezen. |
|
Q: Veel cookies maken gebruik van een random ID waarbij op de server meer details opgeslagen kunnen worden aan dit ID, maar in de eigenlijke cookie zit dus enkel een ID; is het qua inventarisatie noodzaak ook in kaart te brengen wat je op de server opslaat? A: De session-ID van bijvoorbeeld Java/PHP/ASP is geen probleem, zo lang je die maar niet voor andere doeleinden gebruikt. |
|
Q: Als je HTML5 Local Storage gebruikt maar je stuurt de inhoud niet naar de server, mag dat dan? A: De wet maakt geen onderscheid tussen verschillende technieken, dus Local Storage toepassen voor tracking is sowieso niet toegestaan. Het al dan niet verzenden naar de server wordt in de wet ook niet specifiek benoemd. Toestemming is nodig voor het opslaan of uitlezen van gegevens voor zover dat niet nodig is voor het uitvoeren van de door de gebruiker gevraagde dienst. |
|
Q: Ik lees veel de tip om de tracking code van bijv. Google Analytics aan te passen zodat deze alleen anonieme gegevens trackt en die niet aan een bepaald IP-adres zijn te linken. Hiermee zou ik niet langer toestemming hoeven te vragen voor cookies van Google Analytics. Is dat waar? A: In beginsel wel, de verplichting om toestemming te vragen geldt ook bij anonieme gegevens. Maar de Wet bescherming persoonsgegevens is in dat geval dan niet van toepassing. |
|
Q: We hebben meerdere websites die gericht op zijn verschillende geografische gebieden. De hosting bevind zich echter in Nederland. Vallen al deze sites hiermee ook onder de Nederlandse cookiewetgeving? A: Alleen wanneer een site zich duidelijk richt op de Nederlandse markt moet die voldoen aan de Nederlandse regelgeving, voor de Europese landen geldt de Europese wetgeving, landen geven daar alleen op verschillende wijze invulling aan. |
|
Q: Wat gebeurt er als Nederlandse sites met een ".nl" extensie op buitenlandse BV's gevestigd wordt, waardoor eigenlijk een vergelijkbare situatie ontstaat als met amazon.com en googe.com/google.nl? A: Zodra een bedrijf zich richt op de Nederlandse markt, moet je ook voldoen aan de Nederlandse wet, ongeacht waar het gevestigd is. Dat geldt dus ook voor Amazon of Facebook. Vraag is wel of deze bedrijven dit ook zullen doen. Wat de handhaving betreft heeft de minister aangegeven in dat geval een beroep te doen op de lokale handhaving autoriteit. |
|
Q: Wat betekent de nieuwe wetgeving voor het kunnen meten binnen Adwords en Analytics? Kunnen we nog net zo goed meten als voor de nieuwe wet, zo niet wat betekent dit dan voor de verdienmodellen van bijv. google en moeten we dan anders gaan optimaliseren in Adwords? A: Voor het plaatsen van de Adwords conversion tracker en voor Google Analtytics geldt dat er toestemming verleend dient te worden door de consument. Het ontbreken van een deel van deze data betekent dat we in de toekomst niet volledig inzicht meer hebben in het effect van campagnes en bezoekersgedrag op de website. Google wordt betaald per click, dus op dit model heeft het geen impact, op alle performance based (CPA/CPL/CPS) modellen wel. |
|
Q: Hoe zal OPTA/CBP de controle uitvoeren?; Komt er altijd eerst een waarschuwing en daarna pas een boete? A: Daar is weinig over gezegd, hoewel schrijnende gevallen eerst zullen worden aangepakt, aldus de OPTA. Normaliter wordt eerst een waarschuwing gegeven alvorens er een dwangsom wordt opgelegd. |
|
Q: Kan Netsociety een cookie inventarisatie uitvoeren, en wat komt hierbij kijken? A: Netsociety kan i.s.m. ICT en/of de webbouwer/beheerder vaststellen op welke plaatsen gebruik wordt gemaakt van cookies en met welk doel. Afhankelijk van de complexiteit van de omgeving zal hier een voorstel voor worden gemaakt. |
Amsterdam, 19 november 2012 – Aegis Media neemt 100% van de aandelen van online mediabureau Netsociety over. Netsociety wordt geïntegreerd met digitaal performance specialist iProspect.
Lees meerOptimizely, s werelds grootste conversie optimalisatie platform, zet nu ook voet aan de grond in Europa. Netsociety zal voor de Europese markt ondersteuning leveren.
Lees meer1013 BC Amsterdam info@netsociety.nl
T. +31 (0)20 616 52 69
F. +31 (0)20 689 00 48