mei 122012
 

Cookies OK, we zijn netneutraal. Joepie! En die cookiewet, daar zijn alleen marketeers tegen die onschuldige internetgebruikers willen tracken waar die ook gaan. Nou, niet helemaal. Want ook onschuldige bloggers zullen nu moeten weten waar ze zich met ingang van 1 juli a.s. aan hebben te houden. En geloof me, het is nog niet zo eenvoudig als dat ik gehoopt had dat het was.

Ik kan me op zich nog iets voorstellen bij “ondubbelzinnige toestemming”. Ik maak aan bezoekers duidelijk dat ik cookies gebruik, waar voor ik ze gebruik en vraag ze dan of dat mag. Indien niet, dan geen cookie, anders wel. Ik begrijp ook nog dat dat niet bij alle cookies hoeft. Als ze puur functioneel zijn, zoals bijvoorbeeld om in te kunnen loggen of (hier niet van toepassing) voor een boodschappenmandje, dan hoeft het niet. Ik snap ook dat ik dus voor de cookies die AddThis, Google Analytics en Google Adsense wegschrijven, bijna altijd wél toestemming nodig heb (al blijk ik Google Analytics anoniem te kunnen maken, dus dan zou dat weer niet hoeven).

Tot zover is het nog gemakkelijk. Maar het wordt wat ingewikkelder als je gaat proberen dat in je site te implementeren.

Cookie Control is een script dat ook als WordPress plugin bestaat. Hiermee kun je bezoekers aan je site toestemming vragen voor het plaatsen van cookies. Maar wat gebeurt er nu als een bezoeker géén toestemming geeft?
Dan mag je geen cookies plaatsen. Vervelend, omdat dan je Google Analytics hem/haar niet kan herkennen als terugkerende bezoeker. Vervelend omdat Google Analytics minder toepasselijke advertenties kan tonen (neem ik aan). Daar is nog overeen te komen.

Echt vervelend lijkt me dat dan bepaalde functionaliteit niet aan te bieden is. Neem bijvoorbeeld AddThis. De plugin die ik daarvoor gebruik heeft zover ik weet nog geen voorzieningen waarmee ik de cookies aan of uit kan zetten. Dan zou ik er voor moeten kiezen om AddThis alleen te tonen als er toestemming is voor de cookies. Maar ook dat is functionaliteit die ik zelf zou moeten bouwen.
Cookies
En wat te denken van het, zonder er bij na te denken, embedden van content in je weblog? Ik kwam er toevallig achter dat ook de Slideshare site via de iframe waarmee ik presentaties toon in berichten, cookies plaatst. Betekent dit dat ik een voorziening moet zien te treffen die er voor zorgt dat ik een statische afbeelding toon als iemand geen cookies wil en alleen een direct bruikbare presentatie als de cookies worden toegestaan?
En betekent dit dat ik constant zal moeten blijven controleren of de eigenaren van die embeds wellicht zijn overgegaan tot het plaatsen van cookies waar volgens de Nederlandse wet toestemming voor nodig is?
Dat lijkt me in de praktijk toch niet haalbaar? En het gevolg zal dan zijn dat je het pas merkt als je de OPTA op je dak krijgt.

Of zie ik het helemaal verkeerd? Dan hoor ik het graag!

Deel dit bericht:

  15 reacties aan “Is er iemand die me de cookiewet eens écht duidelijk kan uitleggen?”

  1. Een mooie vraag voor Arnoud Engelfriet, ICT Jurist.

  2. Ik ben geen jurist, maar volgens mij is het belangrijk altijd te kijken naar de geest van de wet. En die heeft natuurlijk te maken met privacy en reclame. Over het aanbieden van functionaliteiten zal niet moeilijk gedaan worden, verwacht ik. Google Analytics en AdWords zijn een ander verhaal. Ik zit ook de kijken naar de plug ins Cookie Warning en EU Cookie Law/EU Cookie Directive Compliance Plugin. Maar ik verwacht dat Arnoud er idd ook over gaat bloggen.

  3. Ik had er inderdaad over geblogd bij Marketingfacts. Heel kort komt het erop neer dat cookies die alleen functionaliteit mogelijk maken gewoon mogen (mits je meldt dát je zulke cookies zet of laat zetten, dus in een privacystatement).

    Wanneer je een cookie gebruikt voor tracking dan moet je toestemming vragen. Dus als er een nummer in het cookie zit dat je gebruikt om mijn websitebezoeken aan elkaar te koppelen, of als je mijn voorkeuren en een ID in het cookie bijhoudt zodat je kunt zien wat ik leuk vindt. Meestal wordt dat voor advertenties gebruikt, maar wettelijk gezien moet je toestemming hebben ongeacht het doel.

    • Hoi Arnoud,

      Even kijken of ik dan het specifieke Slideshare probleem kan beantwoorden aan de hand van jouw post daar (en eigenlijk met name aan de hand van de reacties).

      Jij zegt:

      De site-eigenaar kan een collectieve opt-in vragen, daarmee hoeven de adverteerders dat niet meer. Op die site dan. Dus Marketingfacts kan opt-in vragen voor alle cookies die haar adverteerders zetten. Dan krijg je hier maar één vraag en niet van elk netwerk eentje.

      Goed, dus ik kan dus voor alle cookies op het weblog hier in één keer toestemming vragen.

      Maar als iemand die toestemming niet geeft, dan zou ik er dus ook helemaal geen mogen zetten (anders die wat puur functioneel zijn). En als dat toch gebeurt…? Dan ben ik aansprakelijk?
      Jij zegt:

      Dat is de grote vraag nu. Formeel is Google de eerste aansprakelijke, omdat zij de cookies plaatst en uitleest. Maar als uitgever heb je een afgeleide aansprakelijkheid wanneer jij willens en wetens cookies laat plaatsen door een derde die de privacywet structureel negeert. (Net zoals sites die linken naar illegale inhoud bij derden.)

      Nou ging het mij in dat geval niet om Google, die zou ik nog daadwerkelijk kunnen blokkeren zonder functionaliteit kwijt te raken. Dat komt wel goed.
      Maar ik kan toch moeilijk van elke embed gaan controleren of ze cookies plaatsen? Van AddThis wist ik dat toevallig, bij Slideshare kwam ik er pas achter toen ik (na het lezen over de wet) bewust ging checken welke cookies ik hier zelf zet. Wie weet doet de ene embed het vandaag niet, maar morgen weer wel (zonder uiteraard dat aan mij te vertellen). Dat zou ik me dus alleen kunnen verweren met de opmerking dat ik het niet wist?

      Overigens, wat jouw laatste opmerking hier betreft:

      Dus als er een nummer in het cookie zit dat je gebruikt om mijn websitebezoeken aan elkaar te koppelen, of als je mijn voorkeuren en een ID in het cookie bijhoudt zodat je kunt zien wat ik leuk vindt.

      Ik weet bij geen van al die cookies van derden wat er exact in zit, of wat ze exact doen met die informatie. Nou kun je natuurlijk zeggen “dat zou je wel moeten weten”, maar zo werkt het internet op dit moment simpelweg niet. En vanuit die hoek kan ik me de problemen van veel marketeers ook wel voorstellen. Dit is dan weer zo’n wet waarvan je op papier kunt begrijpen hoe het werkt, maar in praktijk dus bijna altijd in overtreding zult zijn. Lijkt haast op de auteurswet.

  4. Inderdaad, als je in één keer voor tien cookies toestemming vraagt, en mensen zeggen nee dan heb je dus voor nul cookies toestemming. Per cookie toestemming vragen kan ook, maar dat is dan 10 keer een vraag.

    Veel beter is dus dat de bannerboeren zelf toestemming vragen, en liefst dat ze dat gedoseerd doen ook. Dus niet alle tien op 1 januari als dit van kracht wordt allemaal tegelijk op één pagina.

    Als het toch gebeurt dan is sprake van een privacyschending en een overtreding van de Telecommunicatiewet. Dat eerste is financieel niet zo’n punt, want niemand kan bewijzen schade te hebben door zo’n schending. Maar het tweede wel: de OPTA kan boetes opleggen die in theorie tot 450.000 euro gaan.

    Maar ik kan toch moeilijk van elke embed gaan controleren of ze cookies plaatsen?

    Als jij dat al niet kan, hoe kan ik als eindgebruiker dat dan? Nee, het is echt de bedoeling dat jij dat nagaat als jij diensten embedt. En ja ik realiseer me dat dat een gigantisch probleem is. Maar ik zie geen oplossing.

    De enige echte oplossing is heel formeel zijn en zeggen “nee sorry ik ga niet over dat cookie, dat is Slideshare”. En dan maar hopen dat de OPTA vindt dat jij niet mede-aansprakelijk bent omdat jij de embed deed. Het kan, en dan is het wachten op een proefproces.

    Ik snap de wet, ik snap de moeilijkheden voor marketeers maar ik denk dat er wél oplossingen voor zijn. Een zwarte lijst of centraal cookieregister van een stel vrijwilligers zou al een heel eind helpen bijvoorbeeld.

    • OK, dan is het me helder. Ik weet nu in ieder geval dat ik niet per 1-7-2012 al aan alle regels zal (kunnen) voldoen. En met mij 98% van de gewone bloggers.
      Waar ik me wél boos over kan maken is dat dit mij en al die anderen hoe dan ook een heleboel extra tijd gaat kosten (want ook als er een technische oplossing komt zal ik oude blogposts etc. moeten door lopen omdat daar die technische oplossing dan waarschijnlijk niet zomaar werkt) met als doel om weer dezelfde functionaliteit te kunnen bieden als voorheen. Terwijl het netto-effect van de maatregel (verwacht ik) nul komma nul is.

      (Maar daar kun jij natuurlijk niets aan doen! Jij probeert het alleen uit te leggen en daarvoor uiteraard dank!! 🙂 )

  5. Mooie dialoog en waardevolle bijdragen. Maar het leven wordt er voor de gewone blogger niet makkelijker op. Al denk ik dat het met bloggers zoals Pierre en mij wel mee zal vallen. Ik verwacht niet dat wij snel een proces aan onze broek krijgen. Ik ga in elk geval niet mijn oude blogposts nalopen.

Sorry, het reactieformulier is momenteel gesloten.