Op 5 juni trad de nieuwe Telecommunicatiewet in werking. Daarin wordt een aantal nuttige zaken geregeld, zoals de verplichting voor bedrijven om datalekken te melden. En de befaamde netneutraliteit, die telecomaanbieders straks verbiedt om meer te vragen voor een What’s Appje dan voor een e-mailtje, bijvoorbeeld. Bits en bytes zijn bits en bytes en telecomaanbieders mogen niet nagaan wat je er mee doet en aan de hand daarvan hun tarieven aanpassen.
Tot zover het goede nieuws. De nieuwe wet bevat echter ook strengere regels voor het omgaan met cookies: de kleine informatiebestandjes die website eigenaren (tijdelijk) op je computer plaatsen. Dat doen ze om de functionaliteit van de website te verbeteren, om webstatistieken te kunnen verzamelen en ja, soms ook om profielen van de bezoekers te kunnen opbouwen om ze “relevante advertenties” voor te schotelen.
De nieuwe cookieregels zijn niet alleen idioot streng (strenger dan in de rest van de wereld), niemand heeft ook maar enig idee hoe ze op een beetje normale manier te handhaven zijn, en hoe de OPTA de tekst van de wet precies gaat interpreteren. Dat maakt de nieuwe regelgeving in mijn ogen tot een monsterlijk ding, een cookiemonster dus.
Wat mag en moet?
Drie zaken worden expliciet genoemd in de Telecomwet:
- Voor dat een cookie wordt geplaatst op de computer van een gebruiker, moet de website de bezoeker daarover informeren en expliciet om toestemming vragen.
- Als de cookies worden gebruikt voor het verzamelen, combineren of analyseren van online gedrag van de bezoeker, dan wordt dit beschouwd als het verwerken van persoonlijke gegevens. Dat betekent dat de Wet Bescherming Persoonsgegevens ook van toepassing is.
- Cookies die puur functioneel zijn voor de gebruiker, zoals bijvoorbeeld de cookie die bijhoudt wat er in iemands winkelmandje zit als hij op een e-commerce website zit, zijn uitgesloten van deze regels.
De grootste bottleneck zit hem natuurlijk in het eerste punt: vooraf toestemming vragen. Kun je je voorstellen dat je straks op iedere website een pop-up krijgt met ‘hallo, mogen wij een cookie plaatsen’? Want vergis je niet: Bijna alle websites plaatsen cookies. Al was het alleen maar omdat ze Google Analytics gebruiken, dat cookies plaatst…
Voor gebruikers wordt dat dus een drama, maar voor website eigenaren ook. Want als je zo’n vraag stelt, zul je zien dat 9 van de 10 mensen ‘nee’ antwoordt. Weg webstatistieken, weg inzicht in gebruikersgedrag, weg inzichten om de website te verbeteren. Wie wordt daar nu beter van?
Wat voor cookies plaatst mijn website?
Maar goed, sinds deze week ben ik, samen met bijna alle andere website eigenaren in het land, in overtreding. Ik ben een boef, yay! Deze website gebruikt Google Analytics en daarom heb je inmiddels 4 cookies op je computer staan. En de social media buttons die ik gebruik zijn van ShareThis, dat ook een cookie plaatst. En ik heb je daar niet vooraf over geïnformeerd, en ik heb ook geen toestemming gevraagd. Foei!
Ben je nieuwsgierig of je zelf ook in overtreding bent? Weet je precies welke cookies er allemaal door jouw website geplaatst worden? Gelukkig zijn er een paar handige tools die dat mogelijk maken. Gebruik je Firefox, dan is View Cookies van Bitstorm een handige add-on. Je installeert hem, en vervolgens kun je via het menu Tools -> View Page Info een tabje openen met de afbeelding van een roze cookie, en zie je precies welke cookies de betreffende website op je computer heeft geplaatst. Als je wilt, kun je ze op die plek overigens ook meteen weer verwijderen.
Voor gebruikers van Google Chrome is de Attacat Cookie Audit Tool briljant. In Engeland kregen ze vorig jaar al te maken met vergelijkbare, zij het iets minder strenge regelgeving. Installeer de audit tool, klik op ‘start recording’, ga lekker rondsurfen op je eigen site, formuliertjes invullen en bestellingen plaatsen en zo, en klik dan op ‘stop recording’. Je krijgt nu een rapport van alle cookies die geplaatst zijn. En dat niet alleen, als je een paar vragen beantwoordt genereert de tool automatisch een tekst met uitleg over alle cookies die je website plaatst, zodat je daarmee je bezoekers kunt informeren. Helaas alleen in het Engels, dus je moet zelf nog even vertalen.
Je bent in overtreding, wat nu?
Ik ben geen jurist, dus daar ga ik helemaal niets over zeggen. Ik acht de kans niet groot dat je een boete krijgt van de OPTA, maar in theorie is het mogelijk.
Ik zal je wel zeggen wat ik ga doen: ik ga een goede tekst schrijven over de cookies die deze website gebruikt, en deze tekst via een link in de footer beschikbaar stellen. Omdat de OPTA dat vast niet duidelijk genoeg vindt, plaats ik er misschien wel een grappig logootje bij dat aangeeft dat deze website cookies gebruikt. Attacat heeft daar bijvoorbeeld al een leuke button generator voor. En verder zie ik het wel wat er gebeurt! Zodra mij verhalen bereiken van arme MKB’ers die door de OPTA beboet worden, ga ik er wel eens over nadenken of ik die cookies niet uit mijn website moet slopen.
Mocht je dat een wat lakse aanpak vinden, kijk dan vooral eens op de site van OneToMarket. Niet alleen geven zij zelf het goede voorbeeld, maar ze geven ook vier manieren waarop je in ieder geval je Google Analytics cookies zou kunnen aanpakken.
