Webshops & cookiewet: zo hoef je analytische cookies niet te melden
Sinds 11 maart 2015 zijn de nieuwe regels van de cookiewet van kracht. De gewijzigde cookiewet is vormgegeven naar de maatstaven van de Nederlandse wetgeving, in dit geval de Autoriteit Consument en Markt (ACM). Ondanks het feit dat de wet al enige tijd bestaat, zijn er nog altijd veel vragen. Neem nou bijvoorbeeld de retailers met een webshop. Zij willen alle activiteiten naar, op en van de website meten met Google Analytics. Moeten zij voor de inzet van cookies toestemming vragen aan de bezoeker?
Hollanders zijn al honderden jaren zeer succesvol in handel drijven. Daarin willen wij liever niet gehinderd worden door frustrerende wetten en regels. “We lossen het gezamenlijk wel op”, is veelal het credo. Door de constante drang van wanhopige winkeliers om hun producten op welke wijze dan ook aan de man te brengen, is het begrip ‘privacyschending’ een veel besproken onderwerp. Opgelegde normen en waarden door middel van een wet, zijn hierdoor het gevolg.
Probleem: de consument haakt af
De winkeliers kunnen hier niet de schuld van krijgen. Ze worden simpelweg gedwongen om zich te verlagen tot het toepassen van privacyschendende praktijken, die soms schuil gaan achter hun webwinkels. Door moordende online concurrentie, een onvoorstelbaar aanbod van producten en ware prijsoorlogen, haakt de consument af voordat hij de winkel is binnengestapt.
Nieuwe technologie bemoeilijkt privacybescherming
Naast de ethische kwestie is het ook juridisch gezien steeds lastiger om privacyschending bij webwinkels tegen te houden. Technologische innovatie legt privacy van burgers meer en meer ongewild bloot. We kunnen ons voorstellen dat rechtsinstanties, die gemoeid zijn met deze lastige materie, zo nu en dan met de handen in het haar zitten. Daarom is er een wet ingesteld om webwinkeleigenaren af te schrikken, en hun jacht op de bijna ongrijpbare consument af te remmen.
Die wet bleek niet haalbaar in de praktijk. Als webshops die oude wet consequent naleefden, zou het voor veel webwinkeleigenaren snel einde oefening zijn. “Ja zeg, maar dat kan niet zo zijn!”, moeten zij hebben gedacht. “Dit willen wij niet op ons geweten hebben. Wij gaan wederom om tafel en zullen deze wet op Hollandse wijze opnieuw vormgeven en handhaven. Gewoon dezelfde wet, maar zonder een aantal uitzonderingen, zodat iedereen tevreden blijft.”
Dat is mijn uitspraak en daar zult u het mee moeten doen” – Meester Visser (SBS 6)
Zo kwam de nieuwe cookiewet tot stand.
Google Analytics en de nieuwe cookiewet
Met die nieuwe wet is er als ondernemer in de online retail geen vuiltje meer aan de lucht. Binnen de cookiebepaling vallen onder meer ‘Analytic cookies’ onder die nieuwe uitzonderingen, en dat is goed nieuws voor de gemiddelde webwinkelier. Je bent niet meer hulpeloos aan het ronddobberen met je webwinkel. Ook ben je niet meer gebonden aan een cookiewet die vrijwel iedere online actie naar een consument verbiedt.
Maar let op! Het is wel raadzaam om je aan de juridische ‘twist’ te houden. De vastgestelde boete voor misbruik kan oplopen tot €450.000! Dat zou de kostenpost op je jaarbalans danig in het rood zetten.
Aanpassingen als gevolg van de nieuwe cookiewet
Hoe werkt die nieuwe cookiewet in de praktijk? In Google Analytics moet je de volgende instellingen aanpassen of accepteren om te voldoen aan de nieuwe regels:
1. Accepteren van het amendement gegevensverwerking van Google
Begin eerst met het afsluiten van een bewerkersovereenkomst met Google. Ga op je webmasteraccount naar ‘Beheer’ > ‘Accountinstellingen’ en klik dan onderaan de pagina op ‘Amendement gegevensverwerking’.
Klik vervolgens op ‘Aanpassing bekijken’
En daarna op ‘Accepteren’ onderaan. Je ziet een nieuw tussenscherm.
Klik tot slot op ‘Opslaan’ om de nieuwe overeenkomst daadwerkelijk aan te gaan. Je hebt dan een aangepaste bewerkersovereenkomst met Google.
2. Meezenden van volledige IP-adressen blokkeren
IP-adressen bestaan uit vier zogeheten octetten van elk drie cijfers. Google biedt de mogelijkheid om
het laatste octet van het IP-adres van je website bezoekers te verwijderen. Dit gebeurt in tijdelijk
geheugen, nog voordat het IP-adres door Google is opgeslagen. Google noemt dit
‘anonimiseren’.
Volgens het College Bescherming Persoonsgegevens (CBP) is het resterende deel van het IP-adres nog steeds een persoonsgegeven. Het gaat namelijk om een groep van maximaal 256 computers. Maar het CBP vindt het wel een belangrijke maatregel om de risico’s voor je website bezoekers te
verkleinen.
Om het anonimiseren van IP-adressen bij Google te activeren, en dus te voldoen aan de eis van het CBP, moet je een extra regel in Javascript toevoegen. Voeg deze toe aan de ‘codesnippet’ die je hebt ontvangen bij het aanmelden van je website bij Google Analytics. Daarnaast raadt het CBP aan om met een tweede regel Javascript het gebruik van SSL-verbindingen (versleutelde verbindingen) af te dwingen. Dit doe je bij dezelfde snippet.
Afhankelijk van het type Google Analytics-account dat je gebruikt (klassiek of Universal Analytics) zal het uiteindelijke resultaat er als volgt uitzien:
Snippet Universal Analytics
Snippet Google Analytics
Let op: het is raadzaam om na de aanpassingen van de code een screenshot te maken en deze te bewaren voor je eigen administratie.
3. Deactiveer het delen van gegevens met Google
De standaardinstellingen van Google Analytics geven aan dat je gegevens deelt met Google voor deze vier doelen:
• uitsluitend bij andere Google producten;
• anoniem met Google en anderen;
• technische ondersteuning;
• (toegang voor Google-) accountspecialisten.
Als je de standaardinstellingen niet wijzigt, ga je akkoord dat Google de verkregen
persoonsgegevens van jouw bezoekers voor haar eigen doeleinden inzet. Op deze manier treedt Google niet alleen op als je bewerker, maar ook als verantwoordelijke. In dat geval moet je in de naam van Google je bezoekers toestemming vragen voor het verzamelen van persoonsgegevens met analytic cookies.
Ga naar je account en klik op ‘Beheer’ > ‘Accountinstellingen’ en schakel de aangegeven vier opties uit.
4. Informeer bezoekers over het gebruik cookies en analytics-tools op een pagina op je site
Tot slot is het wel verplicht om in een ‘privacy- en cookieverklaring’ (die ook daadwerkelijk als zodanig moet worden omschreven) informatie op te nemen over de cookies. Dit moet makkelijk vindbaar zijn in de privacy-statement. Met het oog op transparantie is het raadzaam de volgende informatie te geven:
• je webshop gebruikt Google Analytics-cookies;
• je hebt een bewerkersovereenkomst afgesloten;
• je hebt gekozen voor het maskeren van het laatste octet van het IP-adres;
• je hebt ‘Gegevens delen’ uitgezet;
• je maakt geen gebruik van andere Google-diensten in combinatie met de Google Analytics cookies.
Daarnaast adviseert Google om een ‘opt-out’-mogelijkheid aan te bieden aan de bezoeker. Deze opt-out-cookie werkt alleen niet op mobiele apparaten.
Zelf een inschatting maken
Als je je Google Analytics zo instelt, hoeft je webwinkel geen toestemming te vragen om analytic cookies te gebruiken. Belangrijke voorwaarde is echter wel dat de cookies geen, of slechts een geringe inbreuk maken op de privacy. Vage omschrijving? Ja, je moet daar dus geheel zelfstandig een juiste inschatting van te maken. Wat een vertrouwen heeft dit wetsorgaan in haar onderdanen!
Tijd voor een campagne?
Door die bepaling worden er waarschijnlijk wel veel spreekwoordelijke katten op het spek gebonden. Of komt dit puur omdat mensen en dus ook webwinkeleigenaren onwetend zijn en daardoor grote risico’s lopen op bizar hoge boetes? We zijn ten slotte niet allemaal afgestudeerde wetsdienaren. Anderzijds is het misschien tijd om via andere wegen mensen bewust te maken van het belang en de noodzaak van een dergelijke wetsbepaling. Een landelijk opgezette campagne door een verantwoordelijke overheidsinstantie bijvoorbeeld.
Alle bovenstaande acties staan met ‘gründlichkeit’ beschreven in een handleiding van het College Bescherming Persoonsgegevens. Dus spit ze een keertje door.
Nu denk je misschien: ‘Mooi zo, hier kan ik eindelijk wat mee. Maar hoe zit het dan nog met tracking cookies?’
Tracking cookies
Er rest nog één expliciete mededeling met betrekking tot de aangepaste cookiewet: houd goed in acht dat het gehele beschreven verhaal gaat over analytische cookies en indirect over A/B testing- of affiliate cookies. Dat houdt in dat de gewaardeerde ‘tracking cookies’ hier in geen geval deel van uitmaken. Deze maken volgens de wet wel degelijk inbreuk op de privacy en vallen daarom niet onder de uitzondering in de cookiewet.
Goed, hier ben je waarschijnlijk wel even zoet mee. Is je interesse gewekt? Lees dan meer over het verifiëren van Europese richtlijnen voor webshops. Je doet meer kennis op en misschien bespaar je jezelf of een ander een hoop onnodige ellende. Succes ermee!