Waar moet je nou nog op letten met de versoepelde cookiewet?

cookiewetGisteren heeft de Eerste Kamer een wetsvoorstel, dat voorziet in een wijziging van artikel 11.7a van de Telecommunicatiewet (Tw), als hamerstuk afgedaan en daarmee dus goedgekeurd. Artikel 11.7a Tw staat beter bekend als de cookiewet omdat het, ter bescherming van de privacy van burgers, websites verplicht om al hun bezoekers te informeren over, en toestemming te vragen voor, de cookies die door deze sites worden geplaatst.

Toen de cookiewet in 2012 geïntroduceerd werd leverde dat meteen een hoop problemen en onduidelijkheden op. Om aan de strikte eisen van de cookiewet te voldoen moest je toestemming vragen voor het plaatsen van cookies voordat je bezoekers op je site konden/mochten komen en dat bleek behoorlijk onpraktisch te zijn. Nadat er duizenden banners en popups op sites te zien waren, voorzien van allerlei juridische teksten en uitleg wat cookies eigenlijk waren, kon niemand meer vertellen wat ook al weer de voordelen van de cookiewet zouden moeten zijn. De discussie laaide pas echt op toen er cookiemuren opgetrokken werden bij sites van o.a. de publieke omroep. Cookiemuren betekenden dat als bezoekers niet akkoord gingen met het plaatsen van de cookies, ze de sites ook niet konden bezoeken en de informatie niet konden raadplegen die daar op te vinden is. Onacceptabel, vond ook de politiek.

Na twee jaar leidde deze problematiek tot een wetsvoorstel waarin de cookiewet behoorlijk versoepeld zou moeten worden. In de oorspronkelijke tekst wordt er geen onderscheid gemaakt tussen de verschillende soorten cookies en de redenen waarom sites ze gebruiken maar in de nieuwe versie wordt er een uitzondering gemaakt op het nog steeds geldende beginsel dat elke bezoeker toestemming moet geven voordat er informatie – via cookies – over die persoon verzameld mag worden.

Het bepaalde in het eerste lid is niet van toepassing indien het de opslag of toegang betreft:
a. […]
b. die strikt noodzakelijk is om de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren of – mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker – om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij.

Oftewel, zolang dit geen of slechts geringe gevolgen heeft voor de bezoeker van een site, mag je wel degelijk informatie verzamelen die te maken heeft met de kwaliteit of de effectiviteit van de site. En dat is per definitie ook alle informatie die te maken heeft met het gebruik van je site.

Hier vallen effectief (bijna) alle analytische cookies onder die door statistiek- en meetdiensten gebruikt worden. Inclusief Google Analytics kennelijk, ook al zou je op voorhand misschien zeggen dat het verzamelen van informatie door Google wel meer dan geringe gevolgen heeft voor (de privacy van) bezoekers van je site. Maar ook daar is een praktische omweg voor gevonden in lid 4 van de cookiewet:

4. Een handeling als bedoeld in het eerste lid, die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren zodat de betrokken gebruiker of abonnee anders behandeld kan worden, wordt vermoed een verwerking van persoonsgegevens te zijn, als bedoeld in artikel 1, onderdeel b, van de Wet bescherming persoonsgegevens.

Verzamel je gegevens over het gebruik van je site – alle vormen van analytics – dan verwijst de cookiewet je naar de Wet bescherming persoonsgegevens (Wbp) omdat die nou eenmaal regelt aan welke eisen iemand zich moet houden die persoonsgegevens verwerkt. En ook al zegt die wet niets over Google Analytics, het College Bescherming Persoonsgegevens – de instantie die toeziet op de naleving van de Wbp – publiceerde recentelijk een instructie (PDF) hoe je Google Analytics zo kunt instellen dat je daarmee voldoet aan de vereisten uit de Wbp. Er lijkt daarmee geen vuiltje meer aan de lucht te zijn om alle vormen van analytische cookies gewoon te gebruiken, zonder dat je daarvoor toestemming hoeft te vragen.

De versoepelde cookiewet is nog niet in werking getreden – die datum moet nog bepaald worden – maar het lijkt er op dat er na bijna 3 jaar eindelijk enige duidelijkheid is over waar je als site-eigenaar of blogger op moet letten om je aan zowel de cookiewet als de Wet bescherming persoonsgegevens te houden.

En waar moet je dan precies op letten?

Weet welke cookies je blog plaatst op de apparaten van je bezoekers. Daarvoor kun je een website gebruiken als Cookie Checker waarmee je je eigen blog kunt laten doormeten maar je kunt het ook doen door de cookie-instellingen aan te passen in je browser. Alle browsers hebben een onderdeel Privacy bij hun (geavanceerde) instellingen waarbij je kunt zelf kunt bepalen of cookies wel of niet geplaatst kunnen worden en alle hebben de mogelijkheid om de aanwezige cookies in één keer te verwijderen. Als je alle cookies verwijdert en vervolgens naar je eigen blog gaat, zie je na daarna welke er bij zijn gekomen door je eigen blog. Vind je dat te lastig, dan zijn er ook speciale plugins of extensions voor Firefox en Chrome waarmee je meteen te zien krijgt welke cookies je eigen blog probeert te plaatsen. Als je iets onbekends ziet staan dan kun je eenvoudig de naam van dat cookie googelen om er achter te komen wat voor soort cookie het is.

Cookies die door je CMS of blogsoftware geplaatst worden, vallen samen met de analytische cookies onder de uitzondering in de cookiewet. Maak je het echter mogelijk dat het surfgedrag van je bezoeker gevolgd wordt als die andere sites gaat bezoeken, dan spreken we van tracking cookies. Voorbeelden hiervan zijn cookies die door adverteerders middels advertenties worden geplaatst waarmee deze bedrijven profielen kunnen opstellen van individuele consumenten. Hiervoor blijft de cookiewet onverminderd streng en zul je dus toestemming moeten vragen.

Overigens is daar juist weer een uitzondering op gemaakt vanwege de discussies over cookiemuren op de sites van openbare instellingen: lid 5 Tw stelt dat de toegang van gebruikers niet belemmerd mag worden door die verplichte toestemming als het om sites gaat van instellingen die vanuit het publiekrecht zijn opgericht. Dit betekent dus dat de sites van *alle* openbare instellingen laagdrempelig toegankelijk moeten zijn zonder dat er toestemming gevraagd *mag* worden.

Welke statistieksoftware gebruik je? Kijk je in de statistieken die je webhost beschikbaar stelt of gebruik je een dienst als Piwik? Dan ben jij zelf de enige die de informatie verzamelt over je bezoekers en hoef je verder niets te doen. Gebruik je echter Google Analytics dan zul je de instructies van het Cbp moeten volgen om aan de eisen van de Wet bescherming persoonsgegevens te voldoen. Ik heb dat zelf iets uitgebreider opgeschreven en toegepast op blogs, mocht je dat handiger vinden.

Informeer je bezoekers. Het maakt niet uit of je alleen maar toegestane functionele en analytische cookies gebruikt, zowel de cookiewet als de Wet bescherming persoonsgegevens vereisen dat je bezoekers geïnformeerd worden over hoe jij met hun persoonsgegevens en privacy omgaat. De instructie van het Cbp bevestigt dat ook nog een keer. Je kunt inmiddels vele voorbeelden van privacyverklaringen online vinden en de mijne mag je ook gebruiken ter inspiratie.

Ik vermoed dat het hoofdstuk van de cookies nog steeds niet afgesloten is en ik ben zeer benieuwd hoe dit nou echt in de praktijk gaat werken maar in principe lijk je met het volgen van een kleine instructie – als je Google Analytics gebruikt – en het opstellen van een privacyverklaring dan toch eindelijk aan de cookiewet te kunnen voldoen. Zonder je bezoekers of jezelf te frustreren.

@foto via Pixabay met een CC0 verklaring

#

Raymond Snijders

Sinds 1995 houdt Raymond zich bezig met de combinatie van ICT, bibliotheken en onderwijs vanuit het perspectief van (vooral) de bibliotheek en informatievoorziening. Thans is hij werkzaam bij de Hogeschool Windesheim als senior informatiebemiddelaar en houdt hij zich bezig met de digitale bibliotheek, contentlicenties, ebooks en auteursrecht. Over deze onderwerpen en de impact die ze (kunnen) hebben op het onderwijs en bibliotheken blogt hij sinds 2006 op zijn Vakblog. In 2013 won hij de Victorine van Schaickprijs voor zijn blog.

Comments (6) Write a comment

  1. Ook in het geval van Piwik moet je aan precies dezelfde voorwaarden voldoen als Google Analytics. 1. Er moet een bewerkersovereenkomst zijn met je hosting partij want die server is niet van jou. 2. Je mag geen volledige ip-adressen verzamelen, ook niet als je de gegevens alleen zelf verzamelt. 3. Niemand anders dan jij mag toegang hebben tot de gegevens en je mag de gegevens ook niet exporteren naar aan andere externe tool of dashboard. 4. Je moet de bezoeker informeren.

    Er is geen enkel verschil.

    Reply

    • Bij Piwik is het niet nodig een bewerkersovereenkomst te sluiten met je hosting partij. Het feit dat je webhost de eigenaar van de server is zegt niets over de rol van wie daadwerkelijk de gegevens kan bewerken. In het geval van Google verzamelen zij de gegevens en krijg jij inzage – vandaar dat je met hen een overeenkomst moet hebben zodat jij naar je bezoekers kunt aangeven wat er wel en niet gebeurt – maar bij Piwik installeer jij dat zelf en ben je de enige met toegang die de gegevens ook kan verwerken. Je webhost heeft weliswaar technisch toegang maar dient zich eveneens aan privacy-wetgeving en zijn eigen overeenkomst met jou te houden. Die toegang kan alleen gebruikt worden om o.a. een backup te maken van alle gegevens in jouw account, niet om gegevens in te zien en te verwerken. Een bewerkingsovereenkomst is daarmee overbodig.

      Voor de overige punten heb je helemaal gelijk en gelden dezelfde regels maar dat eerste punt maakt nou wel een heel groot verschil.

      Reply

Leave a Reply

Required fields are marked *.


This site uses Akismet to reduce spam. Learn how your comment data is processed.

  • © 2006- 2018 Vakblog – werken met informatie
    Aangedreven door WordPress en duizenden liters koffie // Theme: Tatami van Elmastudio
Top