Iedereen een cookie-wall

In navolging van de privacy statement die veelal voor de AVG deadline de deur uit werd gedaan, lijken cookie-walls ineens na 25 mei de standaard. Waar komt dit vandaan?

Voor we verder in de materie duiken, een kleine introductie. Er zijn verschillende classificaties voor cookies:

  • functionele cookies
    om de inhoud van jewinkelwagen te onthouden of om je ingelogd te houden binnen een applicatie
  • voorkeurs cookies
    bijvoorbeeld, om een taal of bijvoorbeeld lettergrootte te onthouden. Dit wordt veelal onder functionele cookies geschaard;
  • analytische cookies
    analytische cookies kunnen bezoekersgedrag bijhouden. Hierin is weer onderscheid tussen geanonimiseerde analytics en ongeanonimiseerde cookies c.q. tracking mechanismen;
  • social media cookies
    Denk aan cookies die mee komen middels Facebook, LinkedIn of Twitter widgets. Maar denk ook aan cookies die standaard met ingevoegde youtube-video's meekomen, social share mogelijkheden via plugins als AddThis, ShareThis. Persoonsgegevens wordt verzameld en kan gebruikt worden voor marketing doeleinden;
  • tracking cookies
    als ook (re)marketing cookies, bedoeld om eerder bezochte video's te kunnen tonen na een afgespeelde video, of gerichte advertenties te kunnen tonen op basis van bezoekgedrag op andere websites.

Meer over cookies

Cookie-wet en telecommunicatiewet

De zogenaamde cookie-wet, is gewoonweg een onderdeel van de Telecommunicatiewet, te weten artikel 11.7a. Deze wordt op termijn (2019) vervangen door de ePrivacy Verordening. De bedoeling was deze ePrivacy verorderning tegelijk met de AVG toe te passen op 25 mei 2018. Die datum is niet gehaald.

Hoe dan ook, is er voor het plaatsen van cookies toestemming benodigd vanuit de bezoeker van een website indien deze privacy gevoelig zijn. Niet expliciet beschreven op de website van de rijksoverheid, is dat voor analytische cookies die ook ip-adressen bij houden, dus wèl toestemming benodigd is. Doordat het persoonsgegevens verwerkt, is hierop de AVG van toepassing, waarbij een grondslag benodigd is om dergelijke persoonsgegevens te mogen verwerken.

Meer dan cookies

Zoals de cookie-wet ook reeds meer besloeg dan cookies (denk aan JavaScripts, add-ons), zal de ePrivacy verordening ook breder zijn. Het gaat ook over de invloed van gegevens­bescherming, over content, over metadata, en ook apps zoals Netflix en Snapchat gaan er onder vallen, meldt bijvoorbeeld Emerce.

Boetes bij overtreding van ePrivacy

De boetes die om de hoek komen kijken bij overtreding van de ePrivacy verordening, zullen iets milder zijn dan de AVG boetes. Namelijk, maximaal tien miljoen euro, of twee procent van de totale jaarlijkse wereldwijde omzet.

Cookie vereisten onder de ePrivacy

Stilzwijgend of via opt-out privacy gevoelige cookies plaatsen is er niet meer bij onder de ePrivacy verordening. Toestemming moet bovendien vrijelijk gegeven kunnen worden. De kenmerken en vereisten op een rijtje:

  • Er moet sprake zijn van opt-in, voordat dergelijke cookies geplaatst mogen worden.
    Cookies kunnen dus niet zomaar geplaatst worden, om men achteraf pas de mogelijkheid te geven geen cookies te willen accepteren;
  • Alle cookies moeten toegelicht worden.
    Het doel per cookie moet beschreven zijn;
  • De website moet toegankelijk blijven, ook als cookies niet geaccepteerd worden.
    Het niet geven van toestemming mag geen gevolgen hebben voor de betrokkene. Let wel: in het geval van lezen tegen betaling betreft het vorm van een dienstverlening. Daar staan cookies en benodigde toegankelijkheid los van; 
  • Privacy by default
    De checkboxes voor akkoord, mogen conform AVG niet standaard aangevinkt zijn;
  • Toestemming moet eenvoudig (en op vergelijkbare wijze) weer ingetrokken kunnen worden.

Het laatste geldt overigens voor toestemming in het algemeen, binnen de AVG. Heb je je ingeschreven voor een nieuwsbrief, dan moet er op eenzelfde wijze uitgeschreven kunnen worden (dit kan mondeling zijn, als ook via een website).

Cookie-popups en cookie-meldingen

Er dient dus per cookie, in praktijk veelal cookie-classificatie, toestemming gegeven te worden en de bezoeker mag geen hinder van zijn of haar keuze ondervinden. De website moet dus toegankelijk blijven. Toch volgen vele websites dit stramien niet. Om een paar voorbeelden te noemen:

  • Marketingfacts
  • Tweakers
  • FOK forum
  • Weeronline
  • Buienradar
  • SBS & RTL websites

Veel voeten in de aarde

Een correcte implementatie heeft flink wat voeten in de aarde. Er moet een mechanisme gebouwd worden, waarin goedkeuring gegeven moet kunnen worden. Aanvullend moet binnen de website de implementatie dusdanig plaats vinden, dat third party widgets of advertenties ook enkel geladen worden, wanneer voor die classificatie goedkeuring is gegeven. 

Zeker voor websites waar gebruik wordt gemaakt van vele third party widgets of advertentie-groepen, kan het voor bestaande websites lastig zijn om dit uit te programmeren en dus correct af te dwingen.

Inkomstenderving

Een gevolg van de invloed van de AVG op cookie-gebruik, kan inkomstenderving zijn. Zeker wanneer een meer informatieve website vooral via online advertenties inkomsten genereert, kan dit een dergelijke websites minder tot niet meer levensvatbaar maken. Maar ook voor andere type websites kan het als gevolg hebben dat marketing strategieën om een website, minder floreert.

Toestemming via de browser

De wens vanuit de EU en het makkelijkst voor webbouwers en website eigenaren, is dat er via de webbrowser welke een betrokkene gebruikt, toestemming gegeven kan worden voor specifieke cookies. Dit is echter op zijn beurt ondoenlijk. Niet zozeer omdat bovengenoemde taak op zichzelf dan ineens bij de browser-makers als Microsoft (voor Edge) of Google (voor Chrome) ligt, maar meer doordat browsers niet van alle cookies kunnen weten wat voor impact het heeft en wat de classificatie het betreft. Hierdoor zal een website bezoeker incorrect geinformeerd kunnen worden over cookies. Zelf verwachten we, dat cookie-toestemming via de browser, niet snel zal gaan plaats vinden.

De toename in cookie-walls

Bovenstaande zaken heeft geleid tot een trend die bespeurd kan worden: toename in zogenaamde cookie-walls, waarbij je als website bezoeker gewoonweg niet verder komt als er geen toestemming wordt gegeven. Deze invalshoek zal zelden gekozen worden om bezoekers te dwarsbomen:

Men wilde voldoen aan de AVG wetgeving (immers kunnen via cookies of third party oplossingen reeds persoonsgegevens worden verwerkt) als ook (alvast) inspelen op de ePrivacy verordening, in die zin dat ze het niet geheel fout willen doen en zonder toestemming geen cookies willen plaatsen. Echter, een correcte implementatie was wellicht te arbeidsintensief of complex, waarbij al dan niet een kosten/baten afweging is gemaakt.

Ook is het mogelijk dat website eigenaren nog hopen op een meer centrale oplossing vanuit browsers, waardoor een tijdsinvestering in een correcte oplossing nog is uitgesteld. Voor meer marketing gerichte websites kan een correcte implementatie de inkomsten direct in de weg staan, waarbij de verwachting wellicht is dat verplichte toestemming tot betere resultaten leidt.

Een andere reden voor de toename, kan gevoelsmatig zijn. Men kan de ePrivacy met de AVG verwarren en denken dat e.e.a. reeds van toepassing is sinds 25 mei 2018. Hierdoor valt het hen wellicht ineens op dat de website een bezoeker in zijn geheel de toegang ontzegt zolang er geen toestemming op cookies wordt gegeven.

Hoe de Autoriteit Persoonsgegevens om gaat met een cookie-implementatie die onder de ePrivacy niet aan alle kenmerken voldoet, zal de toekomst moeten leren.

Waar is jullie cookie-wall?

De toename in cookie-meldingen cookie-walls, zorgt voor een bepaald verwachtingspatroon. Als gevolg wordt ons nog wel eens gevraagd, waar onze cookie-melding is. Onze websites maken echter gebruik van functionele cookies, of analytische cookies waarbij ip-adressen geanonimiseerd zijn. Hierdoor is er geen sprake van privacy gevoelige cookies en is toestemming niet benodigd.

De informatie verplichting in de vorm van een eenzijdig document als de privacy verklaring, is echter wel benodigd. Die treft één ieder dan ook in de footer van iedere webpagina aan. Twijfels over de eigen situatie en noodzaak voor toestemming op cookie-gebruik? Bel of mail ons!