Bij de implementatie van marketing automation krijg je onherroepelijk te maken met de ‘cookiewetgeving’ en andere wetgeving zoals de General Data Protection Regulation (GDPR) of in goed Nederlands de Algemene Verordening Gegevensbescherming (AVG). Gedragsregistratie is nu eenmaal één van de onderdelen van marketing automation en een cookie is een belangrijk hulpmiddel bij het verzamelen van deze data.

In dit artikel zoom ik in op cookies, een klein onderdeel van de privacywetgeving. Nu ik begin te schrijven voel ik al aan alles dat dit alleen al een aardig omvangrijk blogartikel gaat opleveren. De wet bestaat nu eenmaal uit veel regels en uitzonderingen. Zet dus even door. Ik probeer het zo helder mogelijk uit te leggen, en dat brengt me meteen op een tweede punt: ik ben geen jurist. Ik wil niet zeggen dat ik complete onzin schrijf, maar wil je zekerheid, raadpleeg dan een jurist. Of zoals Jezus aan het kruis zei: “Pin me er niet op vast.”

Wat zijn cookies?

Hoe werken cookies? Een cookie is een klein databestandje die een webserver naar de browser stuurt, opgeslagen wordt op je harddisk en bij een volgend bezoek weer naar de server teruggestuurd wordt. Zo kan de webserver de browser herkennen en bijvoorbeeld bijhouden wat de browser (gebruiker) in het verleden heeft gedaan. Meestal bevat een cookie slechts een uniek nummer (ID) waarmee de webserver in een database de bijbehorende data opzoekt. Een cookie is dus een identifier en bevat zelden direct persoonlijke informatie.

Ik heb altijd de neiging om meteen te moeten benadrukken dat cookies nooit goed of slecht zijn, het gaat er om wat de plaatser ermee doet.

Wetgeving voor cookies

Voor 2012 deden bedrijven eigenlijk maar wat en was het voor websitebezoekers vrijwel onmogelijk te achterhalen welke informatie er over hen werd verzameld. Uiteindelijk besloot de Nederlandse overheid in te grijpen en op 1 januari 2013 werd de ‘Cookiewet’ van kracht (eigenlijk is dit geen wet maar een artikel uit de Telecommunicatiewet). Deze wetgeving was echter volslagen idioot en leek bedacht te zijn door iemand die nog nooit een browser had aangeraakt.

Ik ben voor het waarborgen van privacy, maar deze wel erg strenge wet beschouwde cookies als pure evil. Voor het plaatsen van ieder cookie was altijd expliciete toestemming vereist. Nederlanders waren hierdoor de helft van de online tijd bezig met het wegklikken van ongelezen cookiepop-ups. Het gevolg: geïrriteerde bezoekers, geïrriteerde website-eigenaars, veel onduidelijkheid en boven alles geen verbetering van de privacy, waar het in eerste instantie allemaal om te doen was.

Versoepeling cookiebeleid binnen de Telecommunicatiewet

Minister Kamp van Sociale Zaken zag halverwege 2013 eindelijk ook in dat dit misschien niet de meest praktische manier van privacybescherming was. Op 11 maart 2015 trad een nieuwe versie van artikel 11.7A uit de Telecommunicatiewet in werking. Volgens deze wetswijziging hoeft niet meer voor alle cookies toestemming gevraagd te worden. Gelijk met de invoering is de Autoriteit Consument & Markt gestart met handhaven. Website Geenstijl was een van de eerste ‘gelukkigen‘. Deze frustratie is nog steeds te lezen in de privacy policy van de website.

Marketing automation en cookies

Dit brengt ons terug bij de vraag: welke gevolgen heeft de Cookiewet voor marketeers die marketing automation gebruiken of klantgedrag registreren? Het grootste verschil met de regelgeving uit 2013 is dat binnen de nieuwe regels niet meer voor alle cookies expliciete toestemming noodzakelijk is. Soms is impliciete toestemming voldoende. Waar zitten die verschillen?

Wanneer is toestemming voor het plaatsen van een cookie noodzakelijk?

De meeste websites kunnen als gevolg van de wetswijziging zonder een expliciete toestemming voor het plaatsen van cookies volledig functioneren. Om te bepalen of je wel of niet zonder toestemming cookies mag plaatsen is één vraag cruciaal: wordt er met behulp van een cookie naar personen herleidbare data opgeslagen?

Is dit niet het geval, dan mag je zonder toestemming cookies plaatsen. Aan de meldplicht (zie verderop in dit blog) moet je nog steeds voldoen. Voor de volgende cookies is dus geen expliciete toestemming van je bezoeker vereist:

  • Functionele cookies
    Dit zijn cookies die noodzakelijk zijn voor het goed functioneren van je website. Denk aan cookies voor het bijhouden van wat er in een winkelwagentje zit, cookies voor autorisatie (inloggen) en beveiliging en cookies voor het bijhouden van bepaalde instellingen in de user interface.
  • Analytische cookies
    Denk hierbij aan cookies voor het bijhouden van gegevens over de kwaliteit en effectiviteit van je website, zoals statistieken of a/b-testen.
    NB: zodra je ook persoonsinformatie registreert, wat vaak het geval is, moet je wél om toestemming vragen.

Welke cookies plaatst jouw website?

Gebruik je een contentmanagement-systeem met plugins van derden? Dan kan het best lastig zijn te achterhalen welke diensten en bedrijven cookies plaatsen via jouw website. Om een extreem voorbeeld te noemen: een embedded Youtube-video plaatst een tracking-cookie, waarvoor je officieel toestemming moet vragen. Een browser-plugin als Ghostery en EditThisCookie kan je helpen bij het inventariseren van de cookies die jouw website plaatst.

Marketing automation cookie vereist expliciete toestemming

  • Cookie met ID
    Voor het plaatsen van cookies die invloed hebben op de privacy van webbezoekers is wel nadrukkelijke toestemming noodzakelijk. En je voelt het al mijlenver aankomen: natuurlijk valt marketing automation onder deze vlag. Cookies waarvoor je toestemming moet vragen zijn:
  • Trackingcookies
    Dit zijn cookies die gebruikt worden om gedrag van bezoekers vast te leggen. Denk aan cookies geplaatst door een advertentie-netwerk en cookies van een marketingautomationsysteem.
  • Socialmediaplug-in cookies
    Cookies die gebruikt worden door socialmediaplug-ins, bijvoorbeeld voor het delen van een blogartikel op Facebook, Twitter of LinkedIn.
  • Analytische trackingcookies die een unieke identifier bevatten
    Indien de unieke identifier in het cookie gebruikt kan worden om gedrag te herleiden naar individuen, is er sprake van invloed op de privacy en moet toestemming gevraagd worden.

En Google Analytics dan?

Iedereen gebruikt Google Analytics. En ook hier voel je ‘m aankomen: Google Analytics gebruikt cookies en registreert persoonsgegevens. Sterker nog, deze informatie deel je standaard met een externe partij: Google. En dat mag niet zomaar! Google heeft echter eieren voor zijn geld gekozen en heeft sinds kort de mogelijkheid om persoonsinformatie te anonimiseren, waardoor voor het gebruik van Analytics geen toestemming meer vereist is. Je moet dan wel enkele (eenvoudige) aanpassingen doen:

  1. Sluit een bewerkingsovereenkomst met Google.
  2. Schakel Anonimize ID in. Deze optie legt niet meer het volledige IP-adres van een bezoeker vast.
  3. Deactiveer het delen van gegevens met Google.

De Autoriteit Persoonsgegevens schreef een handleiding over het zodanig instellen van Google Analytics.

Eisen aan expliciete cookie-toestemming

Je wilt via marketing automation persoonsgegevens verzamelen op een legale manier. En dus moet je websitebezoekers vragen om toestemming. Waaraan moet dit verzoek nu voldoen? Expliciete toestemming wil zeggen dat een bezoeker actie moet ondernemen om toestemming te geven, bijvoorbeeld het aanklikken van een knop. Het doorgaan met het bezoeken van een website (“Bezoekt u deze site dan gaat u akkoord met…”) is geen expliciete toestemming! De toestemming moet je met datum en tijd registreren en kunnen overhandigen bij controle.

Daarnaast moet je de bezoeker duidelijk maken waarvoor hij of zij toestemming geeft en wat de implicaties hiervan zijn. Het vragen van toestemming mag je doen voor een langere periode, voor meerdere domeinen en voor meerdere soorten cookies, mits je dit duidelijk uitlegt.

Om al deze informatie op een enigszins duidelijke manier te kunnen presenteren, mag je gebruik maken van een tweedeling, bestaande uit een pop-up en een pagina met aanvullende informatie. Binnen de pop-up vermeld je dan:

  • welke informatie je verzamelt
  • waarom
  • voor welke website(s)
  • hoe een bezoeker hiermee akkoord kan gaan
  • hoe de bezoeker deze instellingen kan wijzigen

Tenslotte plaats je een link naar een pagina met aanvullende informatie. Deze pagina bevat minimaal de volgende informatie:

  • gegevens van de eigenaar van de website
  • de domeinnamen waarvoor de toestemming geldt
  • type cookies dat geplaatst worden
  • het doel en de bewaartijd van de cookies
  • namen van derden die cookies plaatsen

Geeft een websitebezoeker geen expliciete toestemming voor het plaatsen van de cookies, dan mogen deze natuurlijk ook niet geplaatst worden. Logisch. Dit houdt in dat de bezoeker dan de toegang tot de site wordt geweigerd (cookie wall) of dat hij wordt doorgesluisd naar een cookie-vrije versie van de website, wat in de praktijk erg kostbaar is.

Daarnaast moet je het akkoord ook registreren. Je moet minimaal de volgende data vastleggen en indien nodig kunnen overleggen:

  • Naam
  • E-mailadres
  • IP-adres
  • URL waarop het formulier waarmee akkoord is gegeven, staat
  • Letterlijke tekst akkoordverklaring
  • Datum en tijdstip.

Informatieplicht

Plaatst jouw website cookies op de computer van bezoekers? Dan moet je hierover altijd informatie verschaffen, bijvoorbeeld via een privacy statement of een cookieverklaring. Je geeft hierin aan welke informatie je verzamelt en waarom.

Tenslotte is er nog iets waar je bij marketing automation mee te maken krijgt. In sommige gevallen moet je het verzamelen van persoonsgegevens aanmelden bij de Autoriteit Persoonsgegevens. Om dit te bepalen heeft de Autoriteit een checklist opgesteld.

Bots en cookies

Je begrijpt dat veel websites expliciete toestemming zouden moeten vragen voor het plaatsen van een cookie. Alleen al het gebruik van Google Analytics (zie hierboven) kan volgens de wet reden zijn dit te doen. Vergelijk ik het gebruik in Nederland van Analytics met het aantal pop-ups dat ik dagelijks zie, dan zit daar nog een aardig verschil tussen.

Veel marketeers worstelen met de vraag: wat doe ik als een bezoeker niet accoord gaat? Stuur ik de bezoeker door naar een ‘light’ website waarbinnen ik geen persoonsgegevens verzamel of weiger ik de toegang tot de site helemaal?

Ook op het gebied van SEO is een cookiewall een lastig vraagstuk. De Google bot zal geen cookie-verklaring accepteren, terwijl ik wel graag wil dat mijn website geïndexeerd wordt. Hoe stel ik de cookiewall open voor Google? En natuurlijk ook de bots van bijvoorbeeld Facebook, Twitter, Slack en Skype moeten toegang krijgen, zodat een preview gegenereerd kan worden bij het delen van een link.

Scherpere privacyregels via GDPR per mei 2018

Met ingang van 28 mei 2018 wordt nieuwe Europees privacywetgeving van kracht zijn. De General Data Protection Regulation (GDPR) of in goed Nederlands de Algemene Verordening Gegevensbescherming (AVG) vervangt dan de huidige Nederlandse Wet Bescherming Persoonsgegevens (WBP).

De GDPR/AVG is in het leven geroepen om de privacy van EU-inwoners te beschermen. Het is in die zin dan ook een aanscherping van de huidige WBP. De GDPR en AVG zijn van toepassing op de verwerking van persoonsgegevens, niet enkel een naam of een e-mailadres, maar ieder gegeven dat herleidbaar is naar een natuurlijk persoon. Hieronder valt dus ook een cookie ID of IP-adres.

Voor online marketeers heeft de GDPR/WBP grote gevolgen. Niet alleen om dat de regelgeving strenger wordt, maar vooral omdat er strenger gehandhaafd wordt. Momenteel werken we aan een document waarin we precies vertellen waar je rekening mee moet houden, wil je voldoen aan de GDPR.