Seashore Media heeft onlangs de website enigszins aangepast. Niet omdat wij dat zo leuk vonden, of dat u daar veel van zal merken. Maar omdat het moest. De ‘live’ tweetbox is verdwenen. De Facebook ‘vind ik leuk’ button is weg. Er is een pagina toegevoegd over cookies en privacy. In juni is de Telecomwet namelijk aangepast, en dat kan voor sommige websites aanzienlijke gevolgen hebben, terwijl voor andere websites er niets aan de hand is. Websites mogen namelijk niet meer ongevraagd persoonlijke informatie van bezoekers vastleggen. Waarschijnlijk denkt u dat dit voor u niet geldt. Dat zal in veel gevallen ook zo zijn. Maar er zitten een paar addertjes onder het gras…
Iedereen die bijvoorbeeld z’n tweets rechtstreeks op z’n website laat zien, een filmpje van YouTube op de site heeft of van die aardige buttons heeft waarmee de website via sociale media kan worden gedeeld, stuurt namelijk ongemerkt cookies mee. Zelfs Google Analytics kan voor u roet in het eten gooien. Hoewel u dit allemaal niet zelf doet, bent u daar volgens de Telecomwet wel verantwoordelijk voor. Leest u daarom verder!
Deze aanpassing van de Telecomwet wordt populair gezegd de ‘cookiewet’ genoemd. Cookies zijn kleine bestandjes die een website in een browser plaatst, en daarmee kan die website zien wat een bezoeker doet. De cookiewet wil nu dat wanneer er zulke cookies via uw website worden geplaatst, u daar uw bezoekers vooraf toestemming voor vraagt. De OPTA is de instantie die belast is met de controle op de handhaving van deze wet.
Waarschijnlijk heeft dit voor de meesten van u geen gevolgen. Sommigen noemen de heisa die rondom deze wet is ontstaan een storm in een glas water. De makers van de browsers Firefox, Chrome, en Internet Explorer zijn bovendien bezig met functionaliteiten, waarbij via de browsers kan worden aangegeven of je de cookies wilt accepteren, zodat dit niet meer op de website hoeft te worden geregeld. Ze willen dit systeem nog dit jaar invoeren, maar of dat lukt is nu nog niet zeker – en ook is niet zeker of dit systeem helemaal aan de Nederlandse wet voldoet. Bovendien moet iedereen dan wel zo’n nieuwe browser installeren. Maar de OPTA wil ondertussen wel dat uw website voldoet aan de eisen van de wet.
Let op
De wet onderscheidt drie soorten cookies:
Functionele cookies – deze zijn nodig om een website te laten functioneren, bijvoorbeeld in contentmanagementsystemen of webwinkels. Deze zijn toegestaan.
Niet-functionele cookies – deze worden gebruikt om het surfgedrag van iemand te volgen en vast te leggen. Zonder toestemming zijn deze cookies niet meer toegestaan.
Third party cookies – dit zijn cookies die door andere websites via uw website worden geplaatst, en waar u geen invloed op heeft. Ook die mogen niet zonder toestemming worden geplaatst. Zulke cookies worden bijvoorbeeld geplaatst via een YouTube filmpje op uw site, een tweetbox, Google Analytics codes of de bekende social media ‘share’ buttons.
Wat doen cookies?
U klikt op een YouTube filmpje van een bepaald type auto. Ongemerkt wordt er een cookie naar uw browser gestuurd, waarmee YouTube kan zien dat u dit filmpje heeft bekeken. Wanneer u later naar YouTube gaat, krijgt u plotseling allemaal advertenties en in de lijst met “aanbevolen video’s” tal van filmpjes over dat type auto te zien. Of Gmail plaatst boven uw mails advertenties van dit betreffende merk – YouTube is van Google, dus dat is mogelijk.
Ander voorbeeld: u bent ingelogd in Facebook. Facebook weet dat u 35 jaar en vrijgezel bent. Later bezoekt u de website van een krant, en u wordt op de homepage begroet met een de volgende advertentie: “Meneer Jansen, bezoek nu onze datingsite!” Dat is wat cookies kunnen doen. Dat lijkt misschien onschuldig, en is het wellicht ook, maar niemand weet wat YouTube, Google en Facebook uiteindelijk met die gegevens zullen doen. Hoewel deze websites zich natuurlijk wel aan de privacyregels van de Amerikaanse wet moeten houden.
Waarom deze wet?
De EU wil dat uw internetgedrag niet meer ongevraagd wordt geregistreerd voor commerciële doeleinden. Dit betekent natuurlijk niet, dat u geen online advertenties meer zult zien. Maar die advertenties zullen dan niet meer specifiek op u zijn gericht.
Per 1 januari 2013 moeten alle lidstaten de privacy van websitebezoekers beter waarborgen. Bezoekers moeten op z’n minst worden geïnformeerd over het gebruik van cookies op een site, compleet met uitleg hoe zij de cookies in hun browser kunnen uitzetten. Dat heet ‘opt-out’. Zo is de wet bijvoorbeeld in Groot Brittannië geregeld. Alleen heeft Nederland voorlopig als enige lidstaat, en op wens van PvdA, D66 en PVV, ervoor gekozen om veel verder te gaan dan de EU vraagt. De Nederlandse cookiewet wil dat bezoeker uitdrukkelijk toestemming verleent om de zogeheten ‘niet-functionele’ cookies te ontvangen. Dat heet ‘opt-in’. De wet is juni van kracht geworden. Controle daarop begint echter met ingang van januari 2013.
Gevolgen
Voor veel websites verandert er niets, omdat die geen cookies gebruiken. Gebruikt u niet-functionele cookies of kunnen third party cookies via uw site in een browser worden opgeslagen, dan wil de wetgever dat u daar nu een stokje voor steekt als uw bezoeker dat vraagt.
1. Uw website gebruikt geen cookies
– U hoeft niets te doen.
2. Uw website gebruikt alleen functionele cookies
– U hoeft in principe niets te doen, maar het is verstandig om op een “cookie en privacy” pagina uit te leggen dat deze cookies alleen dienen om de website te laten functioneren, en dat geen bezoekgedrag wordt vastgelegd.
3. U gebruikt niet-functionele cookies
– U moet de bezoeker toestemming vragen of hij deze cookies wilt ontvangen. U moet op een “cookie en privacy” pagina uitleggen wat deze cookies doen. Als de gebruiker geen cookies wilt ontvangen, dan moet u òf de toegang tot de website voor hem blokkeren, òf de betreffende cookies uitschakelen. U moet ook met behulp van logbestanden registreren wie toestemming geeft om de cookies in z’n browser te ontvangen.
4. Third party cookies
– Hiervoor geldt hetzelfde als bij 3. niet-functionele cookies. U hoeft alleen niet uit te leggen wat deze cookies doen, maar u moet wel duidelijk maken dat u geen invloed heeft op deze cookies en dat u niet kunt zeggen wat er met de informatie die zij vergaren wordt gedaan.
Je ziet vaak op websites de melding “deze website maakt gebruik van cookies”, zonder dat de mogelijkheid wordt geboden om daar toestemming voor te geven. Dat mag dus niet. Zelfs niet voor de social media share buttons.
Wat gebeurt er als u zich niet aan de regels houdt?
Dat is nog onduidelijk. De OPTA wil met ingang van 1 januari 2013 beginnen met de controle. Maar waarschijnlijk zit de OPTA zelf ook een beetje met deze wet in z’n maag, want het heeft aangegeven eerst alleen naar de meest schrijnende gevallen te kijken. Dat zullen dan sites met agressieve advertentiecampagnes zijn. Maar wat ‘schrijnend’ nu precies is, en wat de OPTA later zal doen is onbekend. En dat geldt ook voor de eventuele sancties.
Een paar praktijkoplossingen
Google Analytics
Google Analytics kan door middel van een extra stukje code zo worden gewijzigd dat persoonlijke informatie niet wordt vastgelegd. Dat betekent wel, dat Google Analytics een stuk onbetrouwbaarder wordt.
YouTube
Als u een YouTube filmpje op uw website plaatst, moet u de mogelijkheid “privacymodus inschakelen” aanvinken als u de code van het filmpje opvraagt. YouTube stuurt dan geen cookies mee.
Naar verluidt is Twitter bezig met een mogelijkheid om haar widgets, zoals de tweetbox, aan te passen aan de Europese regelgeving. Zo ver is het echter nog niet. Er is op dit moment geen mogelijkheid om de cookies van Twitter te ondervangen. Dat betekent dat de tweetbox eigenlijk – en wellicht tijdelijk – van uw website moet worden verwijderd. U ziet ‘m hiernaast nog staan. Maar ook die zal er waarschijnlijk aan moeten geloven, net zoals de tweetbox op onze website.
Social media ‘share’ buttons
Ook deze buttons zetten een cookie. Er zijn hiervoor alternatieven, die als je daarop klikt, je naar de betreffende site brengen. Deze werken als normale externe links, zodat de cookies die daar vandaan komen uw verantwoordelijkheid niet zijn. Een andere gebruiksvriendelijke oplossing is er niet. Tenzij u deze buttons helemaal achterwege laat.
Onderaan deze blog ziet ook ‘social media share’ buttons. Deze blog wordt gehost door Google en de buttons worden er standaard onder gezet. Het is maar de vraag of Google hier een oplossing voor gaat bedenken.
Gebruik CookieControl of CookieCutter
CookieControl en CookieCutter zijn gratis softwareprogrammas waarmee je gebruik van cookies op een site kunt regelen. Althans, dat is de bedoeling. Probleem is dat de cookies handmatig moeten worden geconfigureerd zodat ze pas werken als daarom wordt gevraagd. Third party cookies blijven ook een probleem, omdat daar nauwelijks invloed op kan worden uitgeoefend. Wel kan Google Analytics meestal met deze scripts worden geregeld.
Er zijn plug-ins voor diverse cms-sytemen, maar hier geldt dat die vooral de cookies van het cms zelf regelen, en niets kunnen doen aan de third party cookies. Voor ExpressionEngine is een vergelijkbare plug-in beschikbaar, maar met dezelfde beperkingen. Op internetforums is al te lezen dat gebruikers CookieControl bijvoorbeeld inmiddels al weer uitschakelen.
Wij hebben een voorbeeld van hoe CookieControl werkt op onze responsformulierpagina (hoewel deze pagina geen gebruik maakt van cookies, maar het geeft u een idee).
Gevolgen voor de praktijk
Deze wet is bizar en praktisch onuitvoerbaar. Het aanpassen van niet-functionele cookies is complex, maar daarbij kan je nog zeggen dat dit nu eenmaal voortvloeit uit de wens van de website-eigenaar om het gedrag van zijn bezoek in kaart te brengen. Maar het is bijna onmogelijk om third party cookies zo aan te passen dat ze aan de wet voldoen.
– Kijk op Fok.nl. Deze site weert iedere bezoeker, die geen cookies wil. Maar dat systeem is niet waterdicht. Als je via een url in je bookmarks of favorietenlijst binnenkomt, wordt de bezoeker niets gevraagd – het script blijkt alleen op de hoofdpagina’s van het navigatiemenu te werken.
– 90% van de overheidswebsites voldoet nu nog niet aan de cookiewet.
– Ook de meeste andere websites voldoen daar nog niet aan, en gaan bijvoorbeeld gewoon van ‘opt-out’ uit, zoals de website van De Telegraaf.
– Nrc.nl laat in een verklaring op de website weten niet van plan te zijn om aan de wet te voldoen. Volgens nrc.nl zou dit het einde van de website betekenen. Nrc.nl plaatst veel filmpjes en artikelen die vanuit andere sites worden doorgelinkt.
– De website Weer.net noteerde een achteruitgang in het bezoek van 50-80% gedurende de drie weken dat het proefdraaide met een website die geheel aan die cookiewet voldoet.
– Een proef in Groot Brittannië met ‘opt-in’ cookiemanagement wees uit, dat slechts 10% van de bezoekers toestemming geeft om cookies te ontvangen. Dat betekent dus dat veel websites ofwel in het geheel niet meer worden bezocht, of dat veel functionaliteiten en bezoekanalyse voor marketingdoeleinden niet meer mogelijk zijn.
– Je kan veel gesteggel verwachten over de aard van de cookies. Functioneel of niet functioneel, that’s the question. En dan komt het neer op de interpretatie van die begrippen.
– De wet werkt rechtsongelijkheid in de hand. Want deze wet geldt voor alle websites die in Nederland zichtbaar zijn. Het is onrealistisch om te verwachten dat bijvoorbeeld cnn.com, YouTube, Twitter, Facebook en Google hun websites aan de Nederlandse wet zullen aanpassen. Als deze sites gewoon op de oude voet door mogen gaan, dan is het onrechtvaardig dat Nederlandse websites wel sancties opgelegd zouden krijgen.
– Deze wet zal, in het geval de OPTA buitenlandse websites wel gaat weren, een vorm van internetcensuur in de hand werken, die zijn weerga niet kent.
Het wachten is dan ook op een proefproces. Er lijkt ons een gerede kans dat de rechter zal oordelen, dat de wet niet uitvoerbaar is.
Ons advies
Het is uitermate moeilijk om een advies te geven wat u moet doen als het gaat om niet-functionele en third party cookies, tenzij deze eenvoudig zijn aan te passen. De mogelijkheden die wij hierboven schetsten (YouTube, Google Analytics, share buttons) kunnen in veel gevallen tot de opties behoren. Maar aanpassen kan vaak een kostbare zaak zijn. Wij mogen geen advies geven dat tegen de wet ingaat, want dan zouden wij aanzetten tot het plegen van strafbare feiten. Ook kunt u geen rechten ontlenen aan de informatie die wij u hier geven. Dat geeft wel aan hoe moeilijk de situatie rond de cookiewet is. Wij hopen dat de rechter zo snel mogelijk zal uitspreken dat de wet niet uitvoerbaar is. Verder is het wachten op afdoende nieuwe functionaliteiten in browsers, zodat cookies eenvoudig kunnen worden geweigerd.
Zelf cookies vermijden
Heeft u zelf ook een hekel aan cookies? Dan kunt u het volgende doen:
– Verwijder dagelijks de cache en temporary internetbestanden van uw browser. Daarmee verdwijnen ook de cookies.
– U kunt uw browser zo instellen dat de cookies na elke sessie worden verwijderd.
– Een alternatief is het gebruik van de onvolprezen gratis software Ccleaner, dat uw computer schoonmaakt van alles wat u niet in de diverse geheugens wilt blijven zien.
– De Ghostery plug-in voor browsers weert tal van scripts die met u mee willen kijken. Maar ook hier geldt: niet alle scripts worden geweerd.
Meer informatie? Bel of mail ons!