Einde van sneaky

De cookie-wetgeving

Onze visie op de cookie wetgeving en privacy,

Geschreven door Sander Hoeken, publicatiedatum vrijdag 1 juni 2012 

Het einde van sneaky

Naar aanleiding van de recente "anti" cookie-wetgeving en verschillende verstrekkende wetsvoorstellen uit Europa wordt het voor iedereen die internet serieus neemt tijd om zelf visie te vormen op deze ontwikkelingen. Waar raken wetten en initiatieven jouw strategie en hoe kan je als organisatie met respect voor je klant het beste met deze aanstormende regeldruk omgaan.

Om het makkelijk leesbaar te houden zijn deel 1 en 2 opinie en de overige onderdelen geven concrete tips en handvatten om over na te denken of 'vandaag' meteen iets mee te doen.

1. Oorzaak van de recente wetswijzigingen

De afgelopen 50 jaar zijn marketeers steeds slimmer omgegaan met beschikbare klantdata zoals: profielen, koopgedrag, abonnementsgegevens, etc. Niets mis mee als dit tot betere dienstverlening leidt, maar wel als ik als klant het idee heb dat er een loopje wordt genomen wordt met mijn gegevens.

Eigenlijk maakt het conceptueel niet zo veel uit of het nu offline of online is, alleen is het online de afgelopen jaren zo duidelijk geworden dat er met je gegevens aan de haal gegaan wordt. Misschien dat zo'n direct mail van een keukenboer, spontaan na het afsluiten van een (betaald) abonnement op een leuk woonmagazine, niet opgevallen is. Maar het valt zeker op, wanneer je een website van Wehkamp of Zalando bezoekt, dat de rest van het internet dit lijkt te weten. Je wordt daarna namelijk op diverse plaatsen bestookt met advertenties van producten die je zojuist bij deze sites bekeken hebt.

Zonder explicite toestemming wordt jouw informatie gedeeld met verschillende partijen en databases waar je nog nooit zaken mee hebt gedaan. Logisch dat er wantrouwen ontstaat.

'Eigen schuld, dikke bult' dus. Als de industrie zich onvoldoende eerlijk opstelt en gefrustreerde mensen negeert, dan gaat de wetgever hier uiteindelijk tegen optreden.

2. Wetgeving is niet subtiel

De politiek bedient zich meestal van symptoombestrijding in plaats van het aanpakken van de echte oorzaken. Daardoor is wetgeving vaak reactief (probleemoplossend) en niet strategisch (vooruitziend en richtinggevend). Zo maakt de wet ook nu weer een duidelijke eenzijdige zwaai naar het internet, en specifiek de cookie, om de privacy te beschermen. Juist terwijl dit een mooi moment zou zijn geweest om alle 'stiekeme' praktijken aan banden te leggen, zowel on- als offline. Het moffelen plaatsen van de cookie-wet binnen één wetsvoorstel waarin ook netneutraliteit* geregeld werden, maakte het voorstel ook nog eens een initiatief waar je als parlementariër bijna niet tegen kon zijn.

Helaas is het vastleggen van afspraken in de wet alleen mogelijk als er ergens een harde lijn getrokken wordt. En in dit geval is die lijn niet lekker getrokken. Dit maakt ook deze wet, net zoals de eerdere anti-spam wetgeving, tamelijk kort door de bocht en in internationaal perspectief vrijwel niet te handhaven.

Net zoals de anti-spam wetgeving heeft de cookie-wet een zeer lokale invloed, maar zorgt het op internationale schaal natuurlijk totaal niet voor verbetering van ethiek of marketingpraktijken. Een verdere gelijkenis met diezelfde anti-spam wetgeving is de reikwijdte tot alleen internet. Zo is mijn brievenbus nog steeds niet veilig voor ongewenste geadresseerde reclame, en het is ondenkbaar dat er ook maar één viagra mail minder door verstuurd is.

Wij hadden het graag anders gezien.

Ook offline communicatie erbij en veel meer verantwoordelijkheid van bedrijven om in heldere taal te informeren hoe ze met persoonsgegevens omgaan. Niet in de laatste plaats omdat de enige manier om de cookie-wet internationaal te handhaven, uiteindelijk het afsluiten van partijen uit het buitenland wordt. Dit druist juist tegen de geest van netneutraliteit in. De geest, niet de wet, want die maakt hiervoor al expliciet uitzonderingen voor filteren op last van de overheid.

Verder blijven applicaties, zoals apps uit de app store, volledig buiten schot in deze wet. Deze hebben geen cookies nodig, maar kunnen tegelijkertijd bij nog veel meer gevoelige gegevens dan cookies ooit zouden kunnen.

*Link: http://www.rijksoverheid.nl/onderwerpen/ict/netneutraliteit

3. Borging van de cookie-wet

Het onderdeel uit het wetsvoorstel  32 549 uit juni 2011 (de cookie-wet) spreekt duidelijk van een borging van deze wet binnen de wet bescherming persoonsgegevens (afgekort WBP). Dit betekent dat alle bedrijven die met persoonsgegevens omgaan zich altijd moeten houden aan de geldende richtlijnen die de WBP voorschrijft. De cookie-wetgeving gaat hier nog een stap verder in door persoonsgegevens als concept uit te breiden met cookies. Die hebben vanaf nu dezlfde status als andere persoonsgegevens.

De wet strekt zelfs nog verder dan cookies en impliceert dat het plaatsen van bestanden op een apparaat, via een browser alleen is toegestaan met toestemming van de eindgebruiker. Slimmeriken onder ons zouden anders andere methoden kunnen ontwikkelen om te proberen te achterhalen wie iemand is op de pc, zonder cookies te gebruiken.

Wanneer er niet verder gelezen wordt dan hier, zou dit ongeveer het einde van het functionele web betekenen. Maar gelukkig, in de wet wordt er een duidelijk onderscheid tussen verschillende soorten cookies gemaakt.

4. First en third party cookies

Een first party cookie is een cookie dat van het domein waarop de cookie uitgegeven wordt zelf is. Dus www.Infocaster.net geeft een cookie uit van www.Infocaster.net. Een third party cookie, is een cookie dat op www.Infocaster.net wordt uitgegeven, maar van bijvoorbeeld www.google.com is. Dat kan, omdat op die eerste site een klein stukje website getoond kan worden van www.google.com (ongemerkt in de vorm van een banner) zonder dat de bezoeker hier invloed op heeft. Omdat het veel moeilijker is voor bezoekers om in te schatten wat voor third party cookies een site uitgeeft, doet de wet duidelijk moeilijker over deze cookies dan first party cookies.

De wet is tot stand gekomen vooral uit ongenoegen over de retargeting acties tussen websites die niets met elkaar te maken lijken hebben (via third party cookies). Het plaatsen van dergelijke cookies mag alleen nog expliciet, niet perse via een pop-up, maar wel met een boodschap zoals: "mogen we een cookie opslaan om je aanbiedingen te kunnen doen op andere sites dan de website waar u nu op zit, waarbij we gebruik maken van het gedrag op deze site.".

Hier gaat natuurlijk niemand ja op zeggen.

Gek genoeg biedt de wet een interessante uitweg die wel eens zeer interessant kan zijn voor grote partijen als Google of Facebook. Zij zouden namelijk, bijvoorbeeld voor het in stand houden van een gratis account, bovenstaande vraag kunnen stellen en hiermee alsnog retargeting in hun advertenties kunnen opnemen. Je mag namelijk, mits expliciet toestemming gegeven wordt door een individu, in een keer meerdere domeinen toestemming geven om je online surfgedrag te volgen.

Maar ja, de meeste bedrijven zijn geen Google of Facebook dus hebben hier helemaal niets aan!

First party cookies mogen in principe altijd geplaatst worden, mits ze ten doel hebben de site te laten functioneren. Geen zorgen dus over winkelmandjes, taalinstellingen of andere simpele functionaliteiten die bezoekers graag willen herinneren. Denk er alleen wel aan, dat iemand je goede bedoelingen in twijfel kan trekken, de bewijslast om aan te tonen dat je deze cookies niet stiekem toch gebruikt voor commerciële doeleinden ligt namelijk vanaf januari 2013 bij de site-eigenaar. Dit heet deftig 'omgekeerde bewijslast', een erg vervelend fenomeen waar de overheid (bijvoorbeeld de belastingdienst) gebruik van kan maken en je bijna altijd geld kost om alleen al verweer te voeren. Niemand hoeft namelijk aan te tonen dat jij het verkeerd doet, jij moet bij twijfel aantonen dat je het goed doet. "Guilty until proven innocent".

Een grijs gebied is ons inziens het "als functie" onthouden van een winkelmandje. Is dit nu een commerciële activiteit van de site, of functioneel handig voor een bezoeker. Daar zal uiteindelijk via mogelijke gerechtelijke procedures duidelijkheid over komen.

In ieder geval zou ik vanaf nu de volgende vuistregel gebruiken: gaan we het profiel opslaan uit dienstbaarheid en gebruikersgemak, of willen we er extra commerciële handige dingen mee doen. In de basis zouden we adviseren deze vaagheid voor voor te zijn. Ga je de bezoekers van jouw site commercieel benaderen door het plaatsen van een cookie, laat dit dan altijd weten en zorg voor die extra 'opt-in'.

5. Het nut van een disclaimer

In Nederland, in tegenstelling tot landen als Duitsland, was een disclaimer op een site altijd een nice to have ding waar eigenlijk niemand op zat te wachten. In de toekomst zit waarschijnlijk 99 procent van de site bezoekers nog steeds niet te wachten op een disclaimer, maar is het wel prettig om in een disclaimer pro-actief uit te leggen waar elke cookie die de website gebruikt toe dient. Wanneer er dan cookies geplaatst worden, kan een autoriteit of oplettende klant makkelijk een uitleg vinden bij de diverse cookies die er geplaatst worden en wat er met die data gebeurt.

Wanneer je als bedrijf deze trend serieus neemt, is het meteen een mooi moment om in een privacy statement duidelijk te maken hoe je over privacy denkt en in normale mensentaal te vertellen wat je allemaal gaat doen met de gegevens die je tot je beschikking krijgt.

6. Verschil tussen onderzoek en commerciële activiteiten

Meer vrijheid staat tot je beschikking wanneer het om onderzoek gaat. Onderzoek is van essentieel belang om meer te begrijpen van het gedrag van klanten, bezoekers en doelgroepen. Om je strategie bij te kunnen sturen of te checken of je proposities wel aansluiten bij wat bezoekers willen, moet je onderzoek doen. De WBP maakt daarom een duidelijk onderscheid tussen het aanhouden van een database met klantgegevens waar commerciële acties op plaatsvinden en het onderzoeken van gedrag op een populatie om daarmee uitspraken te doen over typen klantgedrag.

Wanneer er onderzoek gedaan wordt, zou ik het zeer aanraden dit ook in een privacy statement en of disclaimer op te nemen. Alleen hoeven bezoekers van de site hier geen opt-in toestemming voor te geven om er aan mee te doen. Als gegevens voldoende geanonimiseerd worden, kunt u er in principe zo veel analyses op loslaten als benodigd om tot een bedrijfsmatig inzicht te komen.

Let op! Ook een IP adres wordt gezien als persoonsgegeven te herleiden tot het individu.

7. Conclusie

Wees eerlijk en helder naar de mensen met wie je zaken doet. De wetgever krijgt meer en meer middelen om je als organisatie op aan te pakken wanneer er vermoedens zijn dat je onzorgvuldig of onethisch omgaat met data. Privacy is een heel delicaat dossier, waar helaas emoties nog al eens winnen van ratio. Ongehinderd door adequate kennis van technologie kunnen politici juist scoren op dit dossier, zonder dat klanten er concreet echt wat mee opschieten.

Ben daarom in de toekomst extra eerlijk en bovenal heel duidelijk over privacy en hoe serieus je daarover denkt. Dan vermijd je twijfels bij klanten en klachten bij toezichthouders en kom je bovenal zeer professioneel over.