Sharing IT Best Practices with youSharing IT Best Practices with you
Cookiewet
De cookiewet. Weinig onderwerpen hebben zó veel reacties losgemaakt vanuit de branche. Je mag geen cookies meer zetten, geen browserdetails meer uitlezen en mensen niet meer volgen zonder hun toestemming.
Meest gehoorde misverstand: de cookiewet gaat over tracking cookies, dus als je geen tracking doet (of op andere manier persoonsgegevens verwerkt) dan is er niets aan de hand. Niets is minder waar. De cookiewet gaat over élk cookie, ongeacht welk doel. Alleen cookies die “strikt noodzakelijk” zijn voor de door de gebruiker gewenste dienst, vallen buiten de wet. En gezien het doel van de cookiewet en de gekozen formulering van dat stukje uit de wet, is het erg moeilijk om onder deze uitzondering te vallen.
Eén soort cookies waar ik nog maar weinig over gezien heb maar die wél een probleem heeft met de cookiewet, is(*) het affiliatecookie. Wanneer iemand een site bezoekt en vanaf daar doorgelinkt wordt naar een webwinkel waar hij iets koopt, kan de winkel de eigenaar van die site (de partner of affiliate) belonen met een deel van de aankoopsom. Hierbij wordt een cookie gezet bij de affiliatesite en uitgelezen bij de webwinkel, zodat de winkel weet wie de affiliate was die deze koper aanbracht. (Naast koop kun je ook beloond worden voor het aanbrengen van leads, mensen die interesse hebben maar nog niks kopen).
Dit soort cookies vereist toestemming, ook al identificeert het alleen de affiliate en niet de bezoeker zelf. Net als overigens de andere trucs waarmee affiliates herkend worden, zoals codes in de URL of zelfs de referrer header die meegestuurd wordt. De cookiewet is als naam immers licht misleidend: het gaat niet om cookies, het gaat om uitlezen van gegevens van de computer van de bezoeker. En een referrer is net zo goed “gegevens” als een cookie.
En nee, dit is volstrekt onwerkbaar want je wilt bezoekers écht niet lastigvallen met zulke vragen. Probeer überhaupt eens uit te leggen wat een affiliate is en hoe hij werkt, aan iemand die gewoon je artikel wil lezen. Ik zou alleen écht niet weten hoe dit anders kan onder de cookiewet. Gegevens lezen is toestemming vragen, tenzij je die gegevens echt nodig hebt om de data te kunnen sturen waar de bezoeker om vraagt. En affiliate-cookies zijn niet nodig om een webpagina op het scherm te krijgen of naar een webwinkel te verwijzen.
Een sprankje hoop biedt nog de recente cookiewetopinie van de Artikel 29 Werkgroep. Deze analyseert op onnavolgbaar juridische wijze de uitzondering onder de cookiewet om zo toch een aantal dingen te kunnen noemen die legaal zouden moeten zijn. Maar veel verder dan dat load balancing cookies en Flash cookies (mits niet persistent) legaal zijn, komen ze niet.
Opmerkelijk is wel dat men constateert dat first-party Analytics tools (zoals Piwik) óók toestemming vereisen maar dat dit eigenlijk anders zou moeten (kunnen?) zijn:
[F]irst party analytics cookies are not likely to create a privacy risk when they are strictly limited to first party aggregated statistical purposes and when they are used by websites that already provide clear information about these cookies in their privacy policy as well as adequate privacy safeguards. Such safeguards are expected to include a user friendly mechanism to opt-out from any data collection and comprehensive anonymization mechanisms that are applied to other collected identifiable information such as IP addresses.
Ik hoop dat de OPTA hieruit de wijze les trekt dat handhaving tegen dergelijke bagatelcookies weinig productief is.
Discussieer mee op LinkedIn.
Mogelijk is dit een vertaling van Google Translate en kan fouten bevatten. Klik hier om mee te helpen met het verbeteren van vertalingen.