Hoe zit het met de cookiewet?

Sinds juni 2012 is de controversiële cookiewet van kracht. Deze bepaalt dat je alleen cookies mag plaatsen met expliciete toestemming, nadat je mensen hebt uitgelegd wat voor cookies ze gaan krijgen en wat je daarmee gaat doen. Lang is gedacht dat deze wet een dode letter was, maar recentelijk zijn zowel de privacytoezichthouder als de ACM (voorheen OPTA) daadwerkelijk in actie gekomen.

Dus ja, je moet iets met de cookiewet. Ook als affiliate. Wanneer iemand een site bezoekt en vanaf daar doorgelinkt wordt naar een webwinkel waar hij iets koopt, wordt immers een cookie gezet zodat de winkel weet wie de affiliate was die deze koper aanbracht. Dit soort cookies vereist toestemming, ook al identificeert het alleen de affiliate en niet de bezoeker zelf.

Net als overigens de andere trucs waarmee affiliates herkend worden, zoals codes in de URL of zelfs de referrer header die meegestuurd wordt. De cookiewet is als naam immers licht misleidend: het gaat niet om cookies, het gaat om uitlezen van gegevens van de computer van de bezoeker. En een referrer is net zo goed “gegevens” als een cookie.

Het geven van uitleg is voor veel sites nog wel te doen. Je hebt al een privacyverklaring, dus een cookieverklaring kan er ook nog wel bij. Toestemming vragen is lastiger, zeker omdat je geen cookies mag plaatsen totdat de toestemming is gegeven. Je kunt werken met een cookiepopup of cookiemuur, maar gebruiksvriendelijk is anders.

Die bekende grijze of zwarte balk met “Wij gebruiken cookies, lees hier meer en je gaat akkoord door verder te gaan” is waarschijnlijk wel rechtsgeldig. Maar let op: alléén als je pas cookies plaatst na de eerstvolgende klik of andere expliciete actie van de gebruiker. Zo’n balk tonen en meteen cookies plaatsen kan juridisch eigenlijk niet. Heel misschien als je er een knop “klik hier om de cookies weg te halen” bij zet. Oh, en de balk moet bovenaan staan.

De enige uitzondering is die van functionele cookies: als dat plaatsen of lezen nodig is om een gevraagde of bestelde dienst te leveren, dan mag het zonder toestemming. Een winkelwagentje- of logincookie is dus toegestaan, en als mensen expliciet content aankopen dan mag je die download starten zonder aparte toestemming. Maar een affiliate cookie dat meekomt bij een bezoek is niet nodig om iets te kopen, dus vereist het toestemming.

Er wordt gewerkt aan een uitzondering voor websitestatistieken oftewel analytics maar deze zal nog wel even op zich laten wachten. Het is de vraag of er ook werkelijk gehandhaafd zal worden tegen simpele zelf gemaakte webstatistieken of zelfs maar Google Analytics – mits je deze maar goed instelt. Maar met invasieve tracking, zeker over meerdere sites heen, werk je jezelf in het voetlicht bij de toezichthouders.

4 reacties

  1. 1

    kom op Engelfriet.

    Even je juistwerk goed doen en niet enkel ierdere keer de publishers de schrik op jagen.
    in de aankomende wetswijziging ( die die op zich laat wachten) is ook een vette uitzondering voor affiliate cookies opgenomen. ( dus relax jongens).

    daarnaast is een refferer in een url niet iets dat je leest of schrijft vanaf of vanuit de computer van de bezoeker, dit valt dus niet onder de telcomwet.

    • 2

      Bedankt voor de tip. Inderdaad is er een wetsvoorstel in de maak maar dat laat zeker nog twee jaar op zich wachten alvorens het wet wordt. Of het het haalt, is de vraag. De politieke interesse is gering en de wet is zeer waarschijnlijk in strijd met Europees recht, want die zelfbedachte uitzondering stáát niet in de Europese Richtlijn en mag er dus niet bij komen te staan in de Nederlandse wet.

      Belangrijkste voor mij: er wordt ondertussen gehandhaafd door het Cbp.

      Wat jij met jouw bedrijf doet, moet je zelf weten. Maar ik ga als jurist niet adviseren een wet te negeren net op het moment dat toezichthouders (eindelijk) dreigen met boetes.

  2. 3

    Als ik een weblog heb met daarop hier en daar een affiliate link, dan plaats ik toch geen cookies?
    Dit gebeurt toch pas nadat men op zo’n link klikt, en ligt dus de verantwoordelijkheid bij de adverteerder?

    Ofwel: ik hoef toch niet te waarschuwen dat er op mijn blog links kunnen staan naar sites waar men eventuele een cookie zal plaatsen?

    • 4

      Iemand zal moeten waarschuwen want je mag geen cookies plaatsen tot er toestemming is van de bezoeker. De ACM neemt het standpunt in dat zowel de site-eigenaar als de adverteerder aangesproken mogen worden op ontbrekende toestemming, en dan lossen ze het intern maar op. Bij een affiliatelink ben jij de publisher (naar de gebruiker toe) want dankzij de door jou gelegde link komt er een cookie, en jij veroorzaakt dat proces zonder dat er iets wordt gevraagd.

      Anders gezegd: je mag niet willens en wetens links leggen die cookies droppen, als je geen toestemming voor die cookies hebt gevraagd.

Geef een reactie

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>