iProspect Logo

Cookies en de Wet

Een van de meest besproken internet gerelateerde onderwerpen van 2012 is de Cookiewet. Deze wet moet het gebruik van op internet verzamelde data van nietsvermoedende surfers aan banden leggen. Er bestaat echter nog veel onduidelijkheid over wat voor typen cookies er zijn, waar ze voor worden gebruikt en welke wel of niet onder de wet vallen.  In dit artikel vergelijken we cookies langs verschillende assen en analyseren we welke alternatieven website eigenaren hebben om aan de cookiewet te voldoen.

Technische en juridische vergelijking

De technische en juridische kanten zijn niet de meest interessante aspecten van cookies. Desalniettemin wel noodzakelijk om te behandelen omdat er nog veel onduidelijkheid over bestaat, ook met betrekking tot de cookiewet. 

Cookies 
Vrijwel alle websites maken gebruik van cookies. Cookies zijn niets anders dan kleine tekstfiles, ofwel tags (meestal maar een paar honderd bytes), die in de browser van websitebezoekers worden opgeslagen. Dat cookies in browsers worden opgeslagen betekent dat bezoekers die met verschillende browsers dezelfde website bekijken normaalgesproken worden gezien als verschillende bezoekers. 

First & Third party cookies 
De definitie van first party cookies is dat ze alleen geplaatst en uitgelezen kunnen worden door het domein dat de surfer bezoekt. Third party cookies kunnen daarentegen worden geplaatst door andere domeinen, terwijl de surfer een bepaalde website bezoekt. Dat kan bijvoorbeeld gebeuren doordat het bezochte domein door middel van iframes ruimte beschikbaar heeft gesteld aan advertentienetwerken die daar hun cookies kunnen plaatsen en uitlezen.

Tijdelijke en permanente cookies 
First party cookies kunnen tijdelijk of permanent van aard zijn. Tijdelijke cookies blijven op de computer van de gebruiker staan totdat de sessie op de bezochte website is afgelopen. Een sessie kan op verschillende manieren worden gedefinieerd. Google Analytics (GA) bepaalt dat de sessie is afgelopen als de bezoeker 30 minuten geen interactie heeft gehad met de website, ofwel als de browser wordt gesloten. Op dat moment verdwijnen de tijdelijke GA cookies van de computer. Andere systemen kunnen dat op een andere manier hebben gedefinieerd. 

Permanente cookies blijven een vastgestelde tijd op de computer staan. Dat wordt meestal uitgedrukt in miliseconden sinds 1 januari 1970, ofwel Unix-tijd. Er is een wettelijk vastgesteld maximum aan de tijd dat een permanent cookie mag blijven staan. In Europa is dat 2 jaar; daarna moet hij verdwijnen. Wordt het cookie echter binnen die 2 jaar vernieuwd, doordat de website opnieuw wordt bezocht, dan gaan die 2 jaar opnieuw in. Third party cookies zijn vrijwel altijd permanente cookies.

Cookies, Persoonlijk Identificeerbare Informatie (PII) en de Wet 

Wat de hele discussie rondom de cookiewet zo ondoorzichtig maakt is de referentie in de wettekst aan persoonlijk identificeerbare informatie (PII). PII zijn naam-, (email-) adres en andere gegevens waaraan personen kunnen worden herkend. Het IP-adres valt hier ook onder. De wetgever gaat ervan uit dat alle website eigenaren in cookies PII opslaan, tenzij ze kunnen aantonen dat dit niet het geval is. Vervolgens, als inderdaad persoonsgegevens worden opgeslagen in cookies, dan is de Wet Bescherming Persoonsgegevens (WBP) van toepassing. 

In de praktijk wordt in cookies vrijwel nooit informatie opgeslagen waaraan door derden de identiteit van bezoekers kan worden afgelezen. Wat vaak wel wordt opgeslagen zijn combinaties van letters en cijfers (ID’s) waaraan de website eigenaar sessies en terugkerend bezoek kan afleiden. In veel gevallen kunnen deze ID’s wel worden gekoppeld aan CRM data als de bezoeker ook klant is op de website. In dat geval heeft de bezoeker zelf de gegevens ingevoerd en is akkoord gegaan met de algemene voorwaarden van de site. Op dat moment is de WBP zeker van toepassing, maar daarmee is de informatie in het cookie nog geen PII en daarover gaat de WBP dus niet.

Functionele vergelijking 
In de cookiewet is vastgesteld dat er geen onderscheid wordt gemaakt in technische aard van de cookies. In principe vallen first party, third pary, tijdelijke en permentente cookies dus onder de wet. De enige uitzondering wordt gemaakt voor functionele cookies. 

Functioneel noodzakelijke cookies 
Als een website cookies nodig heeft om een basisfunctie te kunnen uitvoeren waar een bezoeker uitdrukkelijk om vraagt spreken we van functioneel noodzakelijke cookies. Dit is het enige type cookie dat duidelijk buiten de wet valt. Een veelgebruikt voorbeeld is dat van de transfer van de inhoud van een winkelmandje naar de betaalpagina. Indien de betaalpagina een extern domein is, moet hier van een 3rd party cookie gebruik worden gemaakt, anders kan het ook first party cookie zijn. Meestal gaat het in dergelijke gevallen om tijdelijke cookies met een korte levensduur. De sessie verloopt zonder interactie vaak al na enkele minuten waardoor opnieuw moet worden begonnen.

Webstatistieken en andere meettools 
Tools voor webstatistieken, conversie-attributie en A/B testing verzamelen en slaan data op over websitegebruik. De methode van javascript en cookies is de laatste jaren de meest voorkomende methode geworden om dit te doen. Verschillende tools gebruiken verschillende technische oplossingen. Alle mogelijke combinaties komen voor en data kan worden opgeslagen op alle mogelijke aggregatieniveaus – van grote segmenten tot op gebruikersniveau. Door deze verscheidenheid en complexiteit, die in de toekomst alleen maar zal toenemen, is het ontwerp van een wet die zowel algemeen geldend als specifiek genoeg is, geen eenvoudige opgave. 

Een onderscheid wat nog vaak gemaakt wordt tussen tools is de gehoste variant (bijvoorbeeld Google Analytics) en de on-premise variant (bijvoorbeeld Unica). Bij deze laatste blijft de data binnen de organisatie en wordt dus niet zoals bij de eerste gehost door een derde partij. Het feit dat een webanalyticstool wordt gehost door een derde partij zegt echter nog niets over het gebruik van first of third party cookies en ook niet over of die derde partij toegang heeft tot de data. Dit laatste is vrijwel nooit het geval; toch worden SaaS oplossingen met meer argwaan bekeken dan on-premise oplossingen. Illustratief daarvoor is de opmerking van Kees Verhoeven  (D66) recent op nu.nl

Voor statistieken is het belangrijk om te weten of een bezoeker eerder op de site is geweest, hoe vaak en wat de activiteit is geweest. Daarvoor is het niet belangrijk om te weten wie de persoon achter de bezoeker werkelijk is.  Vandaar dat sessie ID’s, unique visitor ID’s en dergelijke wel, maar PII vrijwel nooit in analyticscookies wordt opgeslagen.

Tracking en remarketing 
Op het moment dat statistische informatie wordt gebruikt om bezoekersgedrag te beïnvloeden, hebben we het over Tracking en Remarketing. Hiervoor worden 3rd party cookies gebruikt die door bedrijven worden geplaatst zodra bezoekers op hun website bepaalde interesses hebben geuit. De interesse wordt in een cookie gecodeerd vastgelegd. Als de bezoeker niet converteert op de website en later op een andere website komt waar dat zelfde bedrijf adverteert, dan kan de cookie worden uitgelezen om de bezoeker met een advertentie aan zijn interesse te herinneren. 

Het ongelimiteerde gebruik van deze toepassing enkele jaren geleden is een belangrijke aanleiding geweest voor de Cookiewet.  Internetgebruikers ervaarden de getargete advertenties als een inbreuk op hun privacy. Ze hadden het idee achtervolgd te worden door schoenverkopers en hotelaanbieders en dat hun data overal over het internet werd verspreid. 

Het is duidelijk dat voor deze toepassing een andere relatie wordt aangegaan met bezoekers van de website, dan wanneer alleen bezoekersstromen anoniem worden verzameld en geanalyseerd. Het ligt dan ook voor de hand dat voor deze toepassing de bezoeker om toestemming wordt gevraagd. Dit is dan ook de opvatting van de wetgever.  Het is echter niet per definitie zo dat adverteerders of advertentienetwerken bezoekersinformatie hiervoor delen of verhandelen. Het is nog steeds een 1 op 1 relatie van de bezoeker met de adverteerder, alleen spreekt de adverteerder de bezoeker aan op een andere website.

Profilering 
Onder profilering wordt verstaan het opstellen van bezoekersprofielen door advertentienetwerken om getargete advertenties te kunnen tonen. Profielen kunnen worden opgesteld, doordat deze netwerken op verschillende websites advertentieruimte hebben en zo bezoekers op verschillende websites kunnen herkennen. Het is voldoende om in de 3rd party cookies een unique visitor ID op te slaan, de profielen zelf worden serverside bijgehouden. In deze profielen wordt gewoonlijk ook geen PII opgeslagen, alleen voorkeuren en interesses gekoppeld aan het ID in het cookie. 

De profielen worden ingezet om adverteerders een specifieke doelgroep te kunnen laten targeten. Hierdoor wordt adverteren effectiever, er wordt minder met hagel en meer met scherp geschoten. Maar met name omdat surfers hier helemaal niet van op de hoogte worden gesteld, heeft deze functionaliteit nogal een slechte naam. Ook het feit dat de profielen onbeperkt kunnen worden verhandeld draagt niet bij aan het aanzien ervan in de praktijk. Het spreekt dan ook voor zich dat dit onder de cookiewet valt; websites die gebruik maken van de services van advertentienetwerken dienen hun bezoekers toestemming te vragen voor het plaatsen en uitlezen van cookies. Echter omdat het ook hier vrijwel nooit gaat om PII, is de privacy van gebruikers ook niet echt in het geding. 

Social Media 
Wanneer je het hebt over cookies gebruikt voor social media ligt het net iets anders. Binnen sociale netwerken slaan mensen hun hele leven op. Daarbij staan op een groeiend aantal websites Like en Plus functies (buttons) waarmee een sociale netwerk – ook als er niet met die buttons wordt geinteracteerd – de bezoeker aan de unique visitor ID in de cookie kan herkennen en de informatie over welke websites zijn bezocht aan de persoonlijke informatie kan toevoegen. Uiteraard alles met als doel meer getargete advertenties te kunnen tonen. Daarvoor geeft de gebruiker van het sociale media netwerk toestemming zodra hij lid wordt en dit valt dus buiten de Cookiewet, maar wel onder de WBP.  Echter, de website waar de Like en Plus buttons op staan moet volgens de Cookiewet wel toestemming vragen aan de bezoeker of deze  ermee akkoord is dat hiervoor cookies worden geplaatst en uitgelezen.

Online Marketing sinds de Cookiewet 

Wat nog belangrijk is om te melden, is dat de Cookiewet niet alleen gaat over het gebruik van Cookies. De wet betreft alle informatie die wordt uitgelezen of geplaatst op randapparatuur van gebruikers. Dit betekent dat ook praktijken als device fingerprinting en zelfs het opslaan van IP adressen onder de wet valt. 

Het afgelopen half jaar hebben veel bedrijven maatregelen genomen om aan de cookiewet te kunnen voldoen. Meestal wordt daarbij een containertag oplossing geplaatst, waar alle tags [M1] die cookies plaatsen in worden geimporteerd. Vervolgens kan de bezoeker voor alle cookies gezamenlijk worden gevraagd welke functies hij toestaat en welke niet. Weliswaar zijn vele sites nog ongehoorzaam in dat ze eerder voor opt-out dan voor opt-in kiezen, zoals de wet voorschrijft, maar mocht de OPTA dreigen op te treden, dan is dat zeker met tag management oplossingen relatief eenvoudig aan te passen. 

De meeste mensen gaan er momenteel van uit dat de OPTA het gebruik van cookies voor webstatistieken ook zonder opt-in gaat toestaan. Mocht dit toch niet zo zijn, dan moeten we vrezen dat veel van de data die we momenteel voorhanden hebben om websites en campagnes te optimaliseren zal wegvallen. 

Dat is de reden dat een aantal partijen is gekomen met nieuwe analyticspakketten die werken zonder dat data wordt opgeslagen op, of uitgelezen van de randapparatuur van gebruikers. Deze pakketten laten je campagneverkeer herkennen aan variabelen in de urls van de website. Daarmee mis je heel veel data:  je kunt bijvoorbeeld geen sessies zien, of unieke bezoekers herkennen. Je kunt echter in ieder geval wel aantallen gegenereerde pageviews en conversieratio van je campagnes meten. 

Een veel gehoord bezwaar van dergelijke oplossingen is dat je zoveel inlevert aan informatie, dat het al snel effectiever is om op zoek te gaan naar manieren om mensen te overtuigen hiervoor wel cookies te accepteren, desnoods door gebruik van incentives. 

Uiteindelijk zal de tijd leren of de huidige cookiewet zo letterlijk zal worden gehandhaafd als die staat geschreven. Als dit wel gebeurt zullen veel bedrijven die online actief zijn op zoek moeten naar alternatieve methoden om hun publiek te leren kennen en te bereiken. Recente geluiden in de politiek klinken echter veel rationeler, beter onderbouwd en pragmatischer. Als de markt zich gedraagt naar de geest van de Europese richtlijn en targeting beperkt tot surfers die daar expliciet voor kiezen, dan zou het gebruik van cookies voor webstatistiek de facto best wel eens opt-out kunnen blijven.

Recente ontwikkeling 

Minister Kamp heeft vlak voor Kerst aangekondigd dat de wet zal worden aangepast zodat first party cookies die gebruikt worden voor analysedoeleinden niet onder de wet gaan vallen. De exacte bewoording van de wijziging is nog niet bekend en dus ook niet exact wat wel en niet toegestaan gaat worden. 

Ons advies blijft onveranderd: Zorg dat je transparant bent over welke cookies je gebruikt en laat de gebruiker kiezen voor welke doeleinden hij dit wel en niet toestaat. Houd voorlopig analytics cookies opt-out en targeting en marketingcookies opt-in.