Gevolgen Cookiewet (en implementatie daarvan)

Vanaf dinsdag moeten websites volgens de wet toestemming vragen voor het plaatsen van niet-noodzakelijke cookies, zoals tracking cookies van advertentienetwerken.

Bron: nieuws: Sites moeten vanaf dinsdag cookietoestemming hebben van surfers

Voor "lieve" cookies heb je dus geen toestemming nodig. Alleen voor cookies die andere partijen zetten. Zoals je al zei bijvoorbeeld Facebook Like en Google Analytics.
Je kunt het toch zo bouwen dat die alleen geladen worden als iemand toestemming heeft gegeven? Voor je Analytics kan dat funest zijn tenzij er een manier is om een bezoek te laten registreren zonder cookie.

[ Voor 5% gewijzigd door Danot op 04-06-2012 12:07 ]

Ik lap de regels aan mijn laars, tot ik mijn website de volgende keer onder handen neem. Het is toch een niet-commerciële, weinig bezochte website, dus het maakt niet echt uit

Met enige terughoudendheid toch maar dit topic starten: valt me op dat er nog niets over is hier, maar het valt me sowieso op dat je weinig over de nieuwe Cookiewet leest. Misschien ook wel omdat de achtergronden soms ambigue zijn.

Wat hebben we het over?
De 'cookiewet', eigenlijk de nieuwe Telecommunicatiewet. De wijzigingen ten opzichte van de vorige wet houden een aantal nieuwe zaken in, die hun weerslag gaan hebben op het gebruik van cookies. Kort door de bocht moet je vanaf nu toestemming vragen voor het plaatsen van zulksch een koekje. Hoewel de minister aandringt op handhaving vanaf 2013 heeft de OPTA aangegeven streng te gaan controleren.

Wat details
Uiteindelijk hoef je geen toestemming te vragen voor cookies die noodzakelijk zijn voor het werken van de infrastructuur van het web, maar wat dat dan precies is is natuurlijk niet 100% duidelijk. Een logincookie of een cookie om je winkelwagentje bij te houden zal dus waarschijnlijk zonder meer wel mogen (?)

Analytics
Een van de uitdagingen, waar pas recent veel vragen over kwamen, is het antwoord geven op de vraag of Google Analytics zonder meer mag. De minister is er ook niet erg duidelijk over, maar het lijkt erop dat het niet onder de 'noodzakelijke' cookies valt. Maar wie, Google of uzelf, moet dan de toestemming vragen? En hoe gaat dat er dan uit zien.

En dus?
Ik was wel benieuwd naar een aantal concrete ideeën hierover: hoe interpreteren jullie of jullie organisaties deze wet? Wat ga je wel of niet implementeren en hoe? Hoe gaan jullie bv. om met Google Analytics?

Veel bedrijven lijken het maar op z'n beloop te laten, zeker omdat in December weer Europese regelgeving wordt verwacht, maarja "geen zin" of "ik snap het niet" houdt juridisch weinig stand, denk ik. Maar wat wel te doen? Verwacht dat iig de meesten de Analytics kwestie lekker zullen laten liggen...

De links met allerlei info
Arnoud Engelfriet op Marketingfacts
Direct Marketing Organisatie
Adformatie over de DDMA en cookies
"Welke van uw activiteiten worden illegaal?"

'alternatief' idee (wat volgens mij ook niet mag, dus eigenlijk niet correct is?)

[ Voor 0% gewijzigd door ThE_ED op 04-06-2012 12:36 . Reden: tikfouten ]

Interessant artikel (met discussie):

http://blog.iusmentis.com...cs-nog-onder-de-cookiewet

[ Voor 4% gewijzigd door Rebunted op 04-06-2012 12:34 ]

Goede vragen! En goede links. Jij geeft met deze post eigenlijk al meer duidelijkheid dan ik van officiele bronnen heb kunnen meekrijgen. Beter zelfs, een van mijn meest informatieve informatiebronnen over de cookiewet voor mij, ben jij via Twitter.

Een reden voor mij om er nog niet actief mee aan de gang te gaan is dus de grote onduidelijkheid over de regels en implementatie. Bijvoorbeeld; analytics vinden wij nodig voor onze ecommerce-site om bij te houden of de informatie voldoet aan de vraag. Aan de andere kant ben ik huiverig om klanten aan de ene kant keuzes te laten maken die ze onvoldoende doorhebben en aan de andere kant te veel informatie geven over de keuzes.

Zelf neig ik dus naar niet implementeren totdat er minder onduidelijkheid is. Ik volg dus liever.
Maar ook ik ben erg benieuwd naar de voorbeelden van sites die zich wel ertoe zetten.

Ach... in mijn hoofdbrowser block ik bijna alle cookies standaard. Van een beperkt aantal sites waar ik een account heb laat ik ze wel toe. De lijst met cookies die momenteel op mijn systeem staan van Firefox is dan ook kort en overzichtelijk. Ook staat Java uit en gebruik ik NoScript en laat ik maar beperkt scripts toe. Daar zou wat mij betreft ook wel eens aandacht aan besteed mogen worden. Ik geloof dat ik een paar dagen geleden op een site kwam die van 22 andere sites scripts wou laten lopen. Bij dergelijke sites ben ik meestal gauw weg.

Daarnaast heb ik Iron Portable dat vrij standaard is geconfigureerd en dat ik even gebruik als ik een hoogstwaarschijnlijk onschuldige site even 'zijn gang wil laten gaan' zonder alle permissies in Firefox te hoeven aanpassen, of iets wil bestellen bij een webshop. Bij afsluiten van Iron worden cookies gewist.

Ik heb dus altijd al mijn eigen maatregelen genomen tegen tracking cookies en ander ongewenst spul.

Men zou overigens ook vooral aandacht moeten besteden aan Flash Cookies. Vallen die ook onder de huidige regelgeving? Zo niet dan zal men daar wel eens op grote schaal naar kunnen uitwijken als alternatief voor de gewone tracking cookies.

Privacy stelt iedereen denk ik wel op prijs, maar ben ik de enige die de interpretatie van de wet zeer onduidelijk vindt? Veel nieuws items evenals jou start post focussen heel erg op de cookie alhoewel het wetsartikel op mij veel breder overkomt. Geen verwijt naar jouw, maar mag men helemaal niet meer tracken of mag men niets koppelen aan de persoon? Wanneer de nadruk alleen op de cookies ligt dan kan men toch het MAC adres in combinatie met IP adres gebruiken om een bezoeker te identificeren. Ook het begrip "identificeren" is voor mij zeer abstrak. Is het toegestaan om klik gedrag van een bezoeker te op te slaan zonder cookie? Ik kan mij voorstellen dat organisatie hier waarde aan hechten (inkoop, marketing enzvoorts).

[ Voor 12% gewijzigd door Anoniem: 440819 op 04-06-2012 15:55 ]

ThE_ED schreef op maandag 04 juni 2012 @ 12:29:
Met enige terughoudendheid toch maar dit topic starten: valt me op dat er nog niets over is hier, maar het valt me sowieso op dat je weinig over de nieuwe Cookiewet leest. Misschien ook wel omdat de achtergronden soms ambigue zijn.

Wat hebben we het over?
De 'cookiewet', eigenlijk de nieuwe Telecommunicatiewet. De wijzigingen ten opzichte van de vorige wet houden een aantal nieuwe zaken in, die hun weerslag gaan hebben op het gebruik van cookies. Kort door de bocht moet je vanaf nu toestemming vragen voor het plaatsen van zulksch een koekje. Hoewel de minister aandringt op handhaving vanaf 2013 heeft de OPTA aangegeven streng te gaan controleren.

Sorry, maar je zit er al naast.
Per 5 juni is de wet actief. De regering heeft aangegeven er niet op te zullen gaan controleren, maar de OPTA is de uitvoerende instantie en die heeft dat niet aangegeven. De kans is vrij aanwezig dat OPTA dus al wel zal gaan sturen, controleren en wellicht zelfs boetes gaat opleggen voor 1 januari 2013. Persoonlijk denk ik dat dit in het kader van 'uitlokken van processen' is.

Wat details
Uiteindelijk hoef je geen toestemming te vragen voor cookies die noodzakelijk zijn voor het werken van de infrastructuur van het web, maar wat dat dan precies is is natuurlijk niet 100% duidelijk. Een logincookie of een cookie om je winkelwagentje bij te houden zal dus waarschijnlijk zonder meer wel mogen (?)

De wet heeft het over 'functionele cookies': cookies om ingelogd te blijven en om de inhoud van een winkelmandje te bewaren. De rest is pertinent uitgesloten.
Een cookie voor je analytics of om bij te houden wat iemand een vorige keer op een site heeft bekeken, wanneer een laatste bezoek was en meer van dat: mag allemaal niet meer.

De reden hiervoor is, wordt over het algemeen aangenomen, de bescherming van de consument: er kan niet meer zonder medeweten in kaart worden gebracht wat een consument doet. Geen tracking, geen monitoring, geen cookie-pool opbouwen voor retargeting/remarketing en al helemaal niet om in kaart te brengen wat de interesses en intenties zijn van een (persoon achter een) cookie.

Analytics
Een van de uitdagingen, waar pas recent veel vragen over kwamen, is het antwoord geven op de vraag of Google Analytics zonder meer mag. De minister is er ook niet erg duidelijk over, maar het lijkt erop dat het niet onder de 'noodzakelijke' cookies valt. Maar wie, Google of uzelf, moet dan de toestemming vragen? En hoe gaat dat er dan uit zien.

Google analytics is absoluut niet de enige die site-analytics doet, maar misschien -inderdaad- wel het gemakkelijkste voorbeeld. Zoals de wet nu omschreven is, plaatsen site-analytics tools cookies die niet meer geplaatst mogen worden.
Zoals de wet beschreven is, is de publisher (eigenaar van de website) hoofdverantwoordelijk voor het verkrijgen van toestemming voor het plaatsen van cookies.
Hoe dat er uit gaat zien: voordat een dergelijk cookie geplaatst kan worden, moet er toestemming worden gegeven. Je kunt dus niet eerst een pagina laden en dan toestemming vragen, het meest logisch zou dan ook zijn dat er een splashpage of een lightbox-constructie komt waarin je toestemming moet geven (of weigeren).

En dus?
Ik was wel benieuwd naar een aantal concrete ideeën hierover: hoe interpreteren jullie of jullie organisaties deze wet? Wat ga je wel of niet implementeren en hoe? Hoe gaan jullie bv. om met Google Analytics?

Ik praat niet namens mijn werkgever, hoe ik de wet interpreteer is echter wel bijzonder strak afgestemd met mijn collega's en daarmee het bedrijf waar ik werk.

Veel bedrijven lijken het maar op z'n beloop te laten, zeker omdat in December weer Europese regelgeving wordt verwacht, maarja "geen zin" of "ik snap het niet" houdt juridisch weinig stand, denk ik. Maar wat wel te doen? Verwacht dat iig de meesten de Analytics kwestie lekker zullen laten liggen...

Dit is wel straf kort door de bocht.. Veel bedrijven handelen nu nog niet volop omdat de wet- en regelgeving eenvoudigweg te onduidelijk is én omdat door de regering -maar niet de handhaver!- is aangegeven dat er nog niet volop gecontroleerd zal worden.
Wat ik weet is dat er meerdere publishers zijn die zich niet goed aan de regels zullen houden in de komende maanden.

De links met allerlei info
Arnoud Engelfriet op Marketingfacts
Direct Marketing Organisatie
Adformatie over de DDMA en cookies
"Welke van uw activiteiten worden illegaal?"

Niet onbelangrijk: IAB Factsheet

'alternatief' idee (wat volgens mij ook niet mag, dus eigenlijk niet correct is?)

Dit is 100% illegaal, want het is fingerprinting. Eén van de dingen die je altijd moet kunnen doen is weten wie je tracked, alsmede een mogelijkheid hebben om uit dit systeem gehaald te worden. Als je niet weet wie je tracked, dan kan je je immers ook niet uitschrijven.

samo schreef op maandag 04 juni 2012 @ 12:39:
Goede vragen! En goede links. Jij geeft met deze post eigenlijk al meer duidelijkheid dan ik van officiele bronnen heb kunnen meekrijgen. Beter zelfs, een van mijn meest informatieve informatiebronnen over de cookiewet voor mij, ben jij via Twitter.

Arne: ik heb een topic in een besloten deel van het forum. Heb je dat nog steeds niet gelezen? Best een interessante discussie aldaar hoor!

Een reden voor mij om er nog niet actief mee aan de gang te gaan is dus de grote onduidelijkheid over de regels en implementatie. Bijvoorbeeld; analytics vinden wij nodig voor onze ecommerce-site om bij te houden of de informatie voldoet aan de vraag. Aan de andere kant ben ik huiverig om klanten aan de ene kant keuzes te laten maken die ze onvoldoende doorhebben en aan de andere kant te veel informatie geven over de keuzes.

Het boeit niet wat jij nodig vind of wat jou bedrijf nodig vind. Het gaat er om wat de wetgever nodig acht.
Die wetgever acht het nodig dat jij een ieder duidelijk maakt wat voor cookies er geplaatst worden, door welke partijen, wat daarmee gebeurt en welke partijen gebruik maken van de cookies die er geplaatst zijn. (Dat kunnen dus andere partijen zijn dan die de cookies hebben geplaatst!)

Zelf neig ik dus naar niet implementeren totdat er minder onduidelijkheid is. Ik volg dus liever.
Maar ook ik ben erg benieuwd naar de voorbeelden van sites die zich wel ertoe zetten.

Voorbeelden? FT.com BBC.co.uk Dat is wel opt-out, maar het zal vergelijkbaar worden cq zijn.

Floor-is schreef op maandag 04 juni 2012 @ 16:04:
[...]

Sorry, maar je zit er al naast.
Per 5 juni is de wet actief. De regering heeft aangegeven er niet op te zullen gaan controleren, maar de OPTA is de uitvoerende instantie en die heeft dat niet aangegeven. De kans is vrij aanwezig dat OPTA dus al wel zal gaan sturen, controleren en wellicht zelfs boetes gaat opleggen voor 1 januari 2013. Persoonlijk denk ik dat dit in het kader van 'uitlokken van processen' is.

Ah, inderdaad: u heeft gelijk. En ik denk inderdaad dat dat ook in het kader van het 'uitlokken' van processen is.

Wat betreft fingerprinting klopt ook: het 'alternatief' dat de betreffende organisatie geeft is dus ook niet toegestaan, inderdaad.

Op ICTRecht intussen een interessant topic (+ reacties) over hoe je toestemming dan moet bewijzen, als je dat inmiddels hebt verkregen.
Blijft natuurlijk nog de daadwerkelijke implementatie: wat sla je dan op als je wel/niet toestemming krijgt?
(En is dat een persoonsgegeven?)

Floor-is schreef op maandag 04 juni 2012 @ 16:16:
[...]
Vandaag is het nog toegestaan om zonder toestemming in kaart te brengen wat het klikgedrag en surfgedrag is van een cookie op je eigen site en binnen banners die namens je bedrijf geserveerd worden. Op basis hiervan worden berekeningen gedaan welke banners waarschijnlijk interessant zijn voor dat bepaalde cookie.

Ik bedoelde met klikgedrag niet de context van persoonsgebonden banners maar bijvoorbeeld een e-commerce omgeving. Dus stel men bekijkt 10 keer categorie x en slaat dit anoniem op in een database zonder cookies. Alleen de klik wordt geregistreerd en opgeslagen. Het lijkt me dat dit nog wel mag? Wanneer men het IP-adres en / of iets anders gebruikt om mogelijke herclicks te registreren zodat men niet 10 keer dezelfde klik van een gebruiker in één minuut opslaat magvolgens mij niet. Was groenlinks wel op de hoogte van de impact voor het mileu toen deze wet goed is gekeurd

Ben trouwens wel van mening dat we pas een definitieve implementatie van de wet hebben nadat hier uitspraken over zijn gedaan middels rechtzaken. Het is op dit moment voor mij allemaal nog speculatie. Krijg er een beetje de wet koop op afstand gevoel bij. Hierover zijn toch al wel uitspraken geweest?

[ Voor 5% gewijzigd door Anoniem: 440819 op 04-06-2012 16:41 ]

Anoniem: 440819 schreef op maandag 04 juni 2012 @ 16:35:
[...]


Ik bedoelde met klikgedrag niet in context met persoonsgebonden banners maar in bijvoorbeeld een e-commerce omgeving. Dus stel men bekijkt 10 keer categorie x en slaat dit anoniem op in een database zonder cookies. Alleen de klik wordt geregistreerd en opgeslagen. Het lijkt me dat dit nog wel mag? Wanneer men het IP-adres gebruikt om mogelijke herclicks te registreren dan mag het volgens mij niet. Was groenlinks wel op de hoogte van de impact voor het mileu toen deze wet goed is gekeurd

Stel iemand, zonder cookie (maar wel met een sessie) surft wat rond en klikt ergens... Dan zou je een sessie aan een gebruiker kunnen toewijzen en die klik registreren. Zonder dat je het weet ben je dan dus gegevens van een persoon niet-anoniem aan het opslaan en dus valt het binnen de telecommunicatiewet en de WBP en dus moet je toestemming vragen.
Kijk die wet is ontzettend onduidelijk, door die onduidelijkheid is het helaas ook zo dat er vooralsnog geen omweg is. Je mag niks meer op de apparatuur van de eindgebruiker opslaan en je mag ook server-side niks doen. Sjah dan blijft er weinig over

Ben trouwens wel van mening dat we pas definitief implementatie van de wet hebben nadat hier rechtzaken over zijn geweest. Het is op dit moment allemaal nog speculatie. Krijg er een beetje de wet koop op afstand gevoel bij. Hierover zijn toch al wel uitspraken geweest?

Gezien de wet morgen pas ingaat zijn er nog niet echt rechtzaken gevoerd, maar die zullen wel snel komen.

Floor-is schreef op maandag 04 juni 2012 @ 16:41:
[...]

Stel iemand, zonder cookie (maar wel met een sessie) surft wat rond en klikt ergens... Dan zou je een sessie aan een gebruiker kunnen toewijzen en die klik registreren. Zonder dat je het weet ben je dan dus gegevens van een persoon niet-anoniem aan het opslaan en dus valt het binnen de telecommunicatiewet en de WBP en dus moet je toestemming vragen.

Alleen de kliks opslaan, datum en tijd eraan koppelen en gewoon continue de totalen bekijken. Categorie x is dus bijvoorbeeld vandaag tien keer aangeklikt, product y is vandaag twintig keer bekeken. Dus geen checks middels IP, mac, sessions of iets dergelijks. Misschien wel middels een event / session continue F5 afvangen, maar dan kom je al snel weer in het gebied dat tracking mogelijk is. Mmmh, het is allemaal nog zeer grijs op dit moment. De enige optie die ik op dit moment zie is om aan de hand van facturen, forum, social media, e-mail enzovoorts de wensen van klanten in kaart brengen. Organisaties zullen dus nu wel weer iets meer achter de feiten aan gaan lopen.

Ben trouwens wel benieuwd of Google Nederland zijn voorwaarden naar aanleiding van de wetgeving aan moet passen. Persoonlijk zoekresultaten en dat soort zaken.

Natuurlijk mag je alles in kaart brengen zolang je geen cookies gebruikt. Dat doen server-logs nu toch ook al? Het zou te bizar voor woorden zijn als je niet meer kunt loggen

Daarbij: als je goed uitlegt waarom je dingen in kaart wil brengen, dan is de kans best wel groot dat >80% je cookies prima wil accepteren.

Het is helemaal niet zo grijs, het is dubbel, maar het is niet grijs IMHO.

Microsoft en Google zullen hun EULA aanpassen, maar verder niks denk ik.

Floor-is schreef op maandag 04 juni 2012 @ 16:55:
Natuurlijk mag je alles in kaart brengen zolang je geen cookies gebruikt. Dat doen server-logs nu toch ook al? Het zou te bizar voor woorden zijn als je niet meer kunt loggen

Ik kijk nergens meer vanop. Dus je weet maar nooit....alu hoed opzet....

Floor-is schreef op maandag 04 juni 2012 @ 16:55:
Het is helemaal niet zo grijs, het is dubbel, maar het is niet grijs IMHO.

Potato, potatoe. Voor mij is de wet "wazig" als in open ter interpretie, niet duidelijk of dubbel. We omschrijving het anders, maar denk dat we beide hetzelfde bedoelen.

Floor-is schreef op maandag 04 juni 2012 @ 16:55:
Microsoft en Google zullen hun EULA aanpassen, maar verder niks denk ik.

Afhankelijk hoe het gaat spelen. Ben wel benieuwd naar de mogelijke impact voor de zoekresultaten. Zoekmachines kunnen aan de hand van je klikgedrag toch hun zoekresultaten aanpassen en koppelen aan een gebruiker ongeacht of je wel / niet aangemeld bent. Waar maak ik me druk om, Google doet immers geen evil

Floor-is schreef op maandag 04 juni 2012 @ 16:04:
[...]

Arne: ik heb een topic in een besloten deel van het forum. Heb je dat nog steeds niet gelezen? Best een interessante discussie aldaar hoor!

Tuurlijk heb ik jouw topic gezien maar ik ken er nog ovoldoende over om echt te reageren. Een topic in mijn eigen subforum promoot ik natuurlijk extra ;-)

Floor-is schreef op maandag 04 juni 2012 @ 16:04:[...]

Het boeit niet wat jij nodig vind of wat jou bedrijf nodig vind. Het gaat er om wat de wetgever nodig acht.
Die wetgever acht het nodig dat jij een ieder duidelijk maakt wat voor cookies er geplaatst worden, door welke partijen, wat daarmee gebeurt en welke partijen gebruik maken van de cookies die er geplaatst zijn. (Dat kunnen dus andere partijen zijn dan die de cookies hebben geplaatst!)

[...]

Voorbeelden? FT.com BBC.co.uk Dat is wel opt-out, maar het zal vergelijkbaar worden cq zijn.

Ik vind het toch behoorlijk arbeidsintensief, om bij elke site persoonlijke instellingen te moeten zetten. Dus voor mijn gevoel klopt de functionaliteit niet. Daarnaast, de techniek achter onze site is ook niet voorbereid om op korte termijn zo'n aanpassing te maken.

Want ook dat vind ik nogal vreemd aan de wet: er wordt verwacht dat iedereen in staat is alle pagina's meteen te kunnen voorzien van juiste toestemmingsvragen binnen een enorm kort tijdsbestek, zonder zelf duidelijk aan te geven wat gerechtvaardigd is en wat niet. Daarom ben ik zelf wat terughoudend.

Je wilt niet weten uit hoeveel hoeken ik al vragen gehad heb, en hoe vaak ik al onjuiste conclusies/acties gehoord/gelezen heb. Lijkt alsof ik vandaag alleen maar op "onjuiste-berichtgeving" jacht ben

Daarmee wil ik zeggen dat dit NL heel veel geld kost: iedereen probeert info te verzamelen omdat het niet duidelijk is hoe er op de wet geacteerd moet worden. Ik zit nu bij een grote NL'se publisher, daar gaan we nu eerst alleen privacy statement aanpassen en melding doen van het aanwezig zijn van cookies. De opt-out wordt vooralsnog niet doorgevoerd.

Ik krijg sinds vanmiddag van allerhande partners (publishers, mediabureaus, technologiebedrijven) mails over hoe wij er over denken. Telkens weer kan ik niet anders zeggen dan: de wet is te ambigue, veel van de publishers voeren nog geen opt-in in op dit moment en wachten op duidelijker regelgeving. Afwachten tot er jurisprudentie ontstaat, tot er minder ambigue duidelijkheid ontstaat zegmaar.

André, ik weet waar je zit en dat is dan net één van de weinigen die ik nog niet in mijn mailbox heb gehad of via een andere route heb gesproken...

André schreef op maandag 04 juni 2012 @ 17:13:
Daarmee wil ik zeggen dat dit NL heel veel geld kost: iedereen probeert info te verzamelen omdat het niet duidelijk is hoe er op de wet geacteerd moet worden. Ik zit nu bij een grote NL'se publisher, daar gaan we nu eerst alleen privacy statement aanpassen en melding doen van het aanwezig zijn van cookies. De opt-out wordt vooralsnog niet doorgevoerd.

Wij doen volgens mij hetzelfde. Totdat duidelijk wordt wat er nou wel en niet mag gaan we geen schaarse devtijd stoppen in wijzigingen die mogelijk overbodig zijn of erger: meer intrusive dan nodig. Als wij voor onze klanten hún klanten gaan verliezen door een wijziging te implementeren die achteraf gezien wettelijk niet eens verplicht was, dan slaan wij een modderfiguur.

Ik ga het morgen weer gewoon aan de project managers doorgeven. Af en toe toch maar fijn om gewoon developer te zijn en hier geen knopen over door te hoeven hakken.

Overigens voor de liefhebbers de wettekst van het daadwerkelijke artikel waar het over gaat:

quote: http://www.eerstekamer.nl...n_wet/f=/viqjihbe44v5.pdf

Artikel 11.7a
1. Onverminderd de Wet bescherming persoonsgegevens dient een ieder die door middel
van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn
opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de
randapparatuur van de gebruiker:
a. de gebruiker duidelijke en volledige informatie te verstrekken overeenkomstig de Wet
bescherming persoonsgegevens, en in ieder geval omtrent de doeleinden waarvoor men
toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens
wenst op te slaan, en
b. van de gebruiker toestemming te hebben verkregen voor de desbetreffende handeling.
Een handeling als bedoeld in de aanhef, die tot doel heeft gegevens over het gebruik van
verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te
verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden,
wordt vermoed een verwerking van persoonsgegevens te zijn, als bedoeld in artikel 1,
onderdeel b, van de Wet bescherming persoonsgegevens.
2. De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het
geval op een andere wijze dan door middel van een elektronisch communicatienetwerk wordt
bewerkstelligd dat via een elektronisch communicatienetwerk gegevens worden opgeslagen
of toegang wordt verleend tot op het randapparaat opgeslagen gegevens.
3. Het bepaalde in het eerste en tweede lid is niet van toepassing, voor zover het de
technische opslag of toegang tot gegevens betreft met als uitsluitend doel:
a. de communicatie over een elektronisch communicatienetwerk uit te voeren, of
b. de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te
leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is.
4. Bij algemene maatregel van bestuur kunnen in overeenstemming met Onze Minister van
Veiligheid en Justitie nadere regels worden gegeven met betrekking tot de in het eerste lid,
onder a en b, genoemde vereisten. Het College bescherming persoonsgegevens wordt om
advies gevraagd over een ontwerp van bedoelde algemene maatregel van bestuur.

toon volledige bericht

Leden 3a en 3b zijn de uitzonderingen. 3b stelt overigens niet zozeer over dat een cookie daadwerkelijk noodzakelijk moet zijn, maar het voor de gevraagde dienst daadwerkelijk daar opgeslagen moet worden.

Dus als "je hebt vorige week dit al bekeken: ..." een onderdeel van je dienst is, dan zie ik niet zo gauw waarom dat niet onder 3b zou vallen. Denk bijvoorbeeld ook aan cookies om aan te geven wat nieuw is sinds je vorige bezoek, ook die zijn niet strict noodzakelijk om een site te laten werken, maar wel om dat deel van de dienst (het markeren van die artikelen) te faciliteren. Althans, je kan het ook wel in een sessie opslaan, maar dan moet je weer de sessie-identificatie aan de client-side opslaan

Google Analytics en vergelijkbare sites zijn natuurlijk andere koek. Het is voor de dienstverlening hooguit met een flinke indirecte uitleg noodzakelijk dat de gebruiker daarvoor een cookie kreeg. Overigens is GA zelf natuurlijk niet zonder toestemming verboden, enkel de cookie die ie zet... (en dus is het een stuk kreupeler).

De paniekerige interpretatie van Fok lijkt me overigens weer veel te ver doorgeslagen. Bij door derde-partijen geplaatste cookies - op andere domeinen dan het jouwe - is het niet zo dat jij die gegevens probeert op te slaan of te benaderen. Dat is een andere partij die dat buiten jou om probeert, dus die gaat maar lekker zelf toestemming daarvoor vragen (en het is zijn probleem om dat op te lossen als het een javascript-loze imagerequest betreft).

Dat laatste is dus volgens Arnoud Engelfriet's blog niet zo.

NMe schreef op maandag 04 juni 2012 @ 20:38:
Dat laatste is dus volgens Arnout Engelfriet's blog niet zo.

Dat is altijd het probleem met wetteksten, maar wat ontken je nou precies? Dat ik ongelijk heb en Fok's interpretatie wel klopt of beaam je mijn opmerking?

Uit lid 1 is iig niet op te maken dat je zomaar verantwoordelijk bent voor anderen die naar aanleiding van een gelinkte bron of externe dienst ook daar toestemming voor moet vragen. Het is tenslotte een video-dienst van Youtube die je "toevallig" in je site integreert, de cookie is dan ook ten behoeve van die videodienst en niet ten behoeve van jouw eigen dienst.

Dus als Fok een youtube-filmpje plaatst en youtube's servers willen daardoor op youtube.com een cookie zetten, moet dan Fok daar toestemming voor vragen? Of youtube zelf, want zij zijn degenen die daadwerkelijk de cookie proberen te plaatsen ten behoeve van hun eigen videodienst (precies zoals in lid1 beschreven staat)?

[edit]
Arnoud heeft het over dat Google in beginsel verantwoordelijk is voor die toestemming (of Youtube in dit verhaal).

[ Voor 5% gewijzigd door ACM op 04-06-2012 21:29 ]

Heb op mijn eigen website even snel een dingetje in elkaar geschoven, maar wat ik me afvraag is of ik de Analytics cookies die eventueel al aanwezig zijn bij een gebruiker ook actief moet verwijderen of dat het voldoende is om hier geen nieuwe stats aan toe te voegen?

Heb een aantal niet-commerciele sites in beheer, die laat ik heel even achterwege, maar die zijn met het scriptje dat ik voor mijn eigen site heb gemaakt snel genoeg klaar voor de toekomst.

Ik heb, dacht ik, juist in een blogpost van Arnoud gelezen dat jij als beheerder verantwoordelijk zou zijn voor de cookies die Google voor Analytics zet en jij het geven van toestemming dus zelf moet faciliteren, maar ik kan de juiste blogpost er niet bij vinden.

ACM schreef op maandag 04 juni 2012 @ 20:25:
Overigens voor de liefhebbers de wettekst van het daadwerkelijke artikel waar het over gaat:


[...]

Thanks

Leden 3a en 3b zijn de uitzonderingen. 3b stelt overigens niet zozeer over dat een cookie daadwerkelijk noodzakelijk moet zijn, maar het voor de gevraagde dienst daadwerkelijk daar opgeslagen moet worden.

Dus als "je hebt vorige week dit al bekeken: ..." een onderdeel van je dienst is, dan zie ik niet zo gauw waarom dat niet onder 3b zou vallen. Denk bijvoorbeeld ook aan cookies om aan te geven wat nieuw is sinds je vorige bezoek, ook die zijn niet strict noodzakelijk om een site te laten werken, maar wel om dat deel van de dienst (het markeren van die artikelen) te faciliteren. Althans, je kan het ook wel in een sessie opslaan, maar dan moet je weer de sessie-identificatie aan de client-side opslaan

Even los van die laatste zin: het moet noodzakelijk zijn voor de werking van de site. Bij hoeveel publishers is dat het geval? Dat is weer prima voor eigen interpretatie vatbaar, naar de letter van de wet zou men kunnen stellen dat je site ook prima werkt zonder 'sinds je laatste bezoek'. Dan krijg je uitspraken als 'wezenlijk onderdeel van de gebruikservaring' en meer van dat soort BS.

Google Analytics en vergelijkbare sites zijn natuurlijk andere koek. Het is voor de dienstverlening hooguit met een flinke indirecte uitleg noodzakelijk dat de gebruiker daarvoor een cookie kreeg. Overigens is GA zelf natuurlijk niet zonder toestemming verboden, enkel de cookie die ie zet... (en dus is het een stuk kreupeler).

Laten we het eens niet over GA hebben, maar over analytics in het algemeen: voor analytics is het handig om cookies te kunnen zetten. Dan kan je immers diegenen tracken die meer dan eens de site bezoeken, je weet wat voor 'route' iemand door de site neemt. Op basis van dat soort gegevens kan je veel meer en veel interessantere conclusies trekken dan 'pagina x heeft y pageviews' immers. Uiteraard is het helemaal niet nodig om dergelijke gegevens te koppelen aan persoonsgegevens, dat heeft slechts een zéér beperkte meerwaarde.
Wat ik in een ander deel van het forum zie is dat mensen vooral zeggen 'ik wil niet cross-site getracked worden'; met andere woorden: ik wil niet dat een partij kan zien op welke sites ik allemaal kom en wat ik daar doe.

Tussen analytics op één site en analytics over vele sites zit echter ook nog een gapend gat. Het bedrijf waar ik voor werk biedt inzichten in welke banners door cookies gezien worden en wat er hierna gebeurt. Deze informatie is absoluut niet nuttiger als er een persoon aan een cookie verbonden wordt, maar wel extreem nuttig om te bepalen of er bepaalde combinaties in marketing moeten/kunnen worden ingezet.
Om een voorbeeld te noemen: een klant van ons heeft zo uitgevonden dat het voor de uiteindelijke conversie (sales) helpt om eerst banners op Marktplaats te laten zien en dan op sites als Telegraaf.nl en Nu.nl. Dat werkt veel (>25%) beter dan andersom. Die mogelijkheid heeft deze adverteerder zodadelijk niet meer als het plaatsen van cookies verboden wordt: dat gaat hem serieus muntjes kosten.

De paniekerige interpretatie van Fok lijkt me overigens weer veel te ver doorgeslagen. Bij door derde-partijen geplaatste cookies - op andere domeinen dan het jouwe - is het niet zo dat jij die gegevens probeert op te slaan of te benaderen. Dat is een andere partij die dat buiten jou om probeert, dus die gaat maar lekker zelf toestemming daarvoor vragen (en het is zijn probleem om dat op te lossen als het een javascript-loze imagerequest betreft).

Ik vind het verhaal van Danny best grappig, maar hij zit niet spot-on, bovendien is zijn oplossing niet passend volgens de wet. Daar staat immers (uit de factsheet van het IAB gekopieerd):

Prior information
The information that has to be provided prior to placing or reading the cookie, needs to be ‘clear and comprehensive’. It needs to inform the end user of the purpose of the cookie and the further processing of the data collected by the cookie.
This means that the end user should at least be provided with the following information:

• the identity of the party that installs the cookie (such as the ad network providers);
• the fact that the cookie is being stored on the terminal equipment;
• the purpose of the cookie;
• the period it remains active;
• if the cookie is being used to track online behaviour for targeted advertising this should be
  mentioned too, including with whom the information is being shared.

The information has to be easily accessible and understandable to the users.

Ik heb de splash-page van Fok voor mijn neus en hoewel ze hun best hebben gedaan mis ik informatie die volgens de (regel van de) wet wel noodzakelijk is..

Dan even over 'wie plaatst de cookies en wie is er verantwoordelijk voor'. Feitelijk is het zo dat door een pagina van een bepaalde publisher te laden, de eindgebruiker cookies voorgeschoteld krijgt. Dan is de eigenaar van de pagina de 'originator' van de cookies, ook al zijn de cookies van een derde partij. Zoals ik het nu heb begrepen is het zo dat degene die er voor zorgt dat cookies worden aangeboden de publisher is en dat die dan ook om toestemming moet vragen.
Het zou wat zijn als je naast het eenmalig accepteren daarna ook telkens ja/nee moet drukken voor het geplaatst krijgen van cookies van alle adverteerders op die pagina: dat wordt onbegonnen werk!

[ Voor 6% gewijzigd door Floor-is op 05-06-2012 09:22 ]

Het lijkt me obvious dat Fok puur een statement probeert te maken, dat lees je al aan de cynische tekst die ze gebruiken. Ik zie allerlei implementaties rondgaan nu: voornamelijk meldingen over het gebruik van cookies en hier en daar een accepteer knopje.

Wat volgens mij wel vergeten wordt (voor zover ik kan zien) is het opslaan van de toestemming. Je moet tot 5 jaar terug kunnen aantonen dat iemand toestemming gegeven heeft.

Natuurlijk probeert Fok een statement te maken, maar dat doen ze niet echt heel goed.

Een ander mooi grapje:
Rijksoverheid.nl dropt twee third-party cookies
Belastingdienst.nl dropt twee (andere) third-party cookies
Donorregister.nl dropt ongevraagd een google-analytics cookie

De splashpage van Fok dropt geen cookie, accepteer je, dan krijg je er best wel wat 8 third-party cookies en twee van Fok zelf, hoewel er eentje nog fokzine.net heet

Tweakers dropt er euh.. Twee van zichzelf, eentje van Fok, dan heb ik nu drie third-party cookies. Een paar reloads later en een beetje surfen en het totaal staat al op 17

Nu.nl dan: 9 niet-eigen cookies, twee eigen cookies. Beetje surfen en ik heb er al 32. Hoewel ik moet zeggen dat er al 7 van Sanoma zijn, daarnaast 3 van 'Adrime/Weborama', 2x facebook, 4xgoogle, 2xtwitter.

NMe schreef op dinsdag 05 juni 2012 @ 00:16:
Ik heb, dacht ik, juist in een blogpost van Arnoud gelezen dat jij als beheerder verantwoordelijk zou zijn voor de cookies die Google voor Analytics zet en jij het geven van toestemming dus zelf moet faciliteren, maar ik kan de juiste blogpost er niet bij vinden.

Ja, maar analytics-cookies zijn dan over het algemeen ook 1st-party (en die van GA ook). Maar de cookie die doubleclick op doubleclick.net zet (en niet op tweakers.net) is dus iets waar "tweakers.net" niet aan zit Dat gaat buiten ons om verder.

NMe schreef op dinsdag 05 juni 2012 @ 00:16:
Ik heb, dacht ik, juist in een blogpost van Arnoud gelezen dat jij als beheerder verantwoordelijk zou zijn voor de cookies die Google voor Analytics zet en jij het geven van toestemming dus zelf moet faciliteren, maar ik kan de juiste blogpost er niet bij vinden.

Volgens mij is het zoals ACM in een edit aangeeft: in principe kun je het lezen als dat dat bij Google ligt. Maar ik meen idd ook ergens gezien te hebben dat dat weer niet betekent dat het niet zou kunnen dat jij dat voor ze in de plaats gaat doen. (Dat zou dan imo wel weer erg genereus van 'je' zijn.)

Floor-is schreef op dinsdag 05 juni 2012 @ 09:20:
Ik heb de splash-page van Fok voor mijn neus en hoewel ze hun best hebben gedaan mis ik informatie die volgens de (regel van de) wet wel noodzakelijk is..

Laat ik het zo zeggen: het lijkt me enorm duidelijk wiens idee het was het zo te doen. Het is ook deels een statement, denk ik. Maar het is zoals je zegt misschien nog wel het meest opvallend dat er dus net níet instaat wat volgens de wet noodzakelijk is. (lijkt?)

De website van ICTRecht, waar Arnoud Engelfriet aan verbonden is, heeft overigens ook een interessante implementatie van een melding die op een soort plugin lijkt?

Opvallend is dat veel Marketingsites er ook nog niet aan begonnen zijn: maarja, wat wil je zo kort dag. Het is alleen jammer dat men 'in het vak' niet eenduidiger een eerlijke stem heeft laten horen; in plaats daarvan gingen allemaal onduidelijke databoeren net langs de geest van regelgeving heen werken met opt-out diensten.
Ik ben benieuwd of en wanneer de mensen die altijd roepen over "kennis" delen hun keuzes op het gebied van hun (komende) cookieprotocol gaan toelichten.

[ Voor 26% gewijzigd door ThE_ED op 05-06-2012 10:13 . Reden: extra stuff ]

Arnoud schreef in een van zijn blogposts dat het ding (een wordpress-plugin) niet helemaal voldoet aan de eisen, maar dat hij het al heel wat vond dat hij überhaupt iets had geregeld.

Even de klapper van de dag: de overheid zelf dropt nog steeds third-party cookies zonder toestemming. Het opvallende is wel dat Opta.nl geen enkel cookie plaatst.. Totdat je de site verlaat, dan ineens heb je toch iets van Opta.nl in je cachefiles...
Sanoma gebruikt HTML5 local-storage voor cookies, waardoor je deze niet zomaar kunt verwijderen, ook opvallend.

Ik heb het nog niet gelezen, maar de DDMA (de 'dialoogmarkting' branche organisatie, what's in a name) heeft vanochtend een handleiding gepubliceerd, trouwens.

Ik kreeg hem net van een klant in de mail, ben er ook nog niet aan begonnen...

CaptJackSparrow schreef op maandag 04 juni 2012 @ 12:52:
Men zou overigens ook vooral aandacht moeten besteden aan Flash Cookies. Vallen die ook onder de huidige regelgeving?

Lijkt me juist dat dit soort "onwisbare" cookies juist niet toegestaan is. Dit zijn juist omgekeerde cookies, als de gebruiker nadrukkelijk deze heeft uitgezet, ze toch terug blijven komen. Jij bent daar met jouw "extreme" setup een voorbeeld van. Je zet nadrukkelijk je systeem dicht, en toch zou je met flash coockies getracked worden.

Lijkt me een eerste candidaat voor de opta om deze te handhaven, als er een concreet geval daarvan is.

Heeft er trouwens iemand al een site in het wild gezien met een correcte afhandeling van deze wetgeving? Ik ben tot nog toe bar weinig tegengekomen. In ieder geval de site van de rijksoverheid (www.rijksoverheid.nl) voldoet volgens mij nog niet.

Foamy schreef op dinsdag 05 juni 2012 @ 10:30:
Heeft er trouwens iemand al een site in het wild gezien met een correcte afhandeling van deze wetgeving? Ik ben tot nog toe bar weinig tegengekomen. In ieder geval de site van de rijksoverheid (www.rijksoverheid.nl) voldoet volgens mij nog niet.

telegraaf.nl

Flashcookies kunnen worden teruggeplaatst door de partij die ze er heeft neergezet. Ook zonder je toestemming. Dat is iets dat in de huidige wet- en regelgeving absoluut belabberd is afgevangen.

CaptJackSparrow schreef op maandag 04 juni 2012 @ 12:52:
Ach... in mijn hoofdbrowser block ik bijna alle cookies standaard. Van een beperkt aantal sites waar ik een account heb laat ik ze wel toe.

Ik doe iets vergelijkbaars: aan het eind van elke sessie gooit m'n browser alle cookies weg. Maar dat wordt dus nog leuk, want dat betekent in theorie dat ik dus straks elke dag opnieuw toestemming moet geven op alle sites waar ik kom die dit implementeren aangezien voor het opslaan van het antwoord van die vraag ook een cookie nodig is!

De enige oplossing voor mij is nu dus cookies juist AAN te zetten, dat is toch wel een beetje vreemd. Of er moet een standaard naam komen ofzo voor zo'n cookie zodat je die by default kan accepteren. Maar dit is dus op z'n zachtst gezegd nogal onhandig.

Gelukkig zijn belastingdienst.nl en rijksoverheid.nl goede voorbeelden: sitestats cookies en eigen tracking systemen.

Ach, vanmorgen kreeg je ook een tracking cookie van Opta voor je kiezen.

Geenstijl.nl had er ook een beetje de ziekte in (zie de popups..)

ThE_ED schreef op dinsdag 05 juni 2012 @ 11:15:
Geenstijl.nl had er ook een beetje de ziekte in (zie de popups..)

En zitten er in de tekst overigens wel naast met hun HTML5 storage. Want zaken die je daar in opslaat vallen gewoon onder de "cookie"wetgeving.

NMe schreef op dinsdag 05 juni 2012 @ 00:16:
Ik heb, dacht ik, juist in een blogpost van Arnoud gelezen dat jij als beheerder verantwoordelijk zou zijn voor de cookies die Google voor Analytics zet en jij het geven van toestemming dus zelf moet faciliteren, maar ik kan de juiste blogpost er niet bij vinden.

Je zou in ieder geval de voorwaarden van Google Analytics zo kunnen interpreteren dat zij jou verantwoordelijk stellen voor het plaatsen van (of letterlijk vertaald het "gebruiken van") een cookie (zie laatste regel) ook al doe je dat in technische zin niet:

quote: https://www.google.com/intl/en/analytics/tos.html

7. PRIVACY . You will not (and will not allow any third party to) use the Service to track or collect personally identifiable information of Internet users, nor will You (or will You allow any third party to) associate any data gathered from Your website(s) (or such third parties' website(s)) with any personally identifying information from any source as part of Your use (or such third parties' use) of the Service. You will have and abide by an appropriate privacy policy and will comply with all applicable laws relating to the collection of information from visitors to Your websites. You must post a privacy policy and that policy must provide notice of your use of a cookie that collects anonymous traffic data.

Telegraaf.nl doet het volgens mij juist verkeerd? Ze plaatsen cookies en je moet opgeven dat je ze niet wil gebruiken, terwijl de wetgeving juist net andersom is?

Telegraaf.nl gebruikt cookies om de website te verbeteren en om advertenties te filteren naar uw interesses. Als u geen cookies wilt accepteren kunt u hier klikken voor meer informatie. X

Dat ding van Geenstijl is een grapje he, het is al wat ouder

Telegraaf en andere partijen doen een vermelding, maar voldoen nog niet aan het stukje 'vooraf toestemming vragen'. Tweakers doet vooralsnog helemaal niks, het is gewoon te vaag allemaal om een eenduidige oplossing te kunnen aanbieden aan de bezoeker.

Floor-is schreef op dinsdag 05 juni 2012 @ 11:29:
Telegraaf en andere partijen doen een vermelding, maar voldoen nog niet aan het stukje 'vooraf toestemming vragen'. Tweakers doet vooralsnog helemaal niks, het is gewoon te vaag allemaal om een eenduidige oplossing te kunnen aanbieden aan de bezoeker.

Ja, eens. Vraag me af of brancheorganisaties daar niet veel beter op hadden moeten zitten. In plaats daarvan had ik het idee dat ze ook op onredelijker terreinen probeerden het eigen hachje in oude vorm te beschermen. (Zie opt-in/out regelingen voor nieuwsbrieven bijvoorbeeld.)

[ Voor 26% gewijzigd door ThE_ED op 05-06-2012 11:37 ]

ThE_ED schreef op dinsdag 05 juni 2012 @ 11:36:
[...]
Ja, eens. Vraag me af of brancheorganisaties daar niet veel beter op hadden moeten zitten.

Goed punt. Bij wijze van steekproef even op de ict waarborg en thuiswinkel waarborg gekeken. De eerste partij vermeld tot nu toe niets over de nieuwe wetgeving (behalve oud nieuws) en bij partij twee kun je beslissingsboom downloaden.

Ik zei trouwens aan het begin van het topic bij wijze van grap, dat ik niet opkijk als je op servers niets meer mag loggen. Maar bevatten de serverlogs een IP of een andere vorm van data welke unieke identificatie van een bezoeker mogelijk maakt? Dit is dan toch ook niet toegestaan? Terwilj je wel een bewaarplicht hebt als ik het goed begrijp? Hoe meer informatie je leest hoe waziger het wordt Je zou er bijna voor kiezen om een struisvogel te worden...

[ Voor 3% gewijzigd door Anoniem: 440819 op 05-06-2012 13:13 ]

ThE_ED schreef op dinsdag 05 juni 2012 @ 11:36:
[...]


Ja, eens. Vraag me af of brancheorganisaties daar niet veel beter op hadden moeten zitten. In plaats daarvan had ik het idee dat ze ook op onredelijker terreinen probeerden het eigen hachje in oude vorm te beschermen. (Zie opt-in/out regelingen voor nieuwsbrieven bijvoorbeeld.)

Grappig dat we cross-mediaal met elkaar in gesprek zijn (twee topics op dit forum en ook nog op Twitter).

Deze wetgeving is interessante materie, maar wat ik al verwacht had wordt waarheid: zo'n beetje iedereen wacht af tot er echt duidelijkheid ontstaat. Die duidelijkheid komt echter pas na een paar rechtszaken verwacht ik. En da's dan ook weer van de zotte: we maken een wet om dan door wat proefprocessen duidelijk te krijgen hoe deze eigenlijk echt ingevuld moet gaan worden.

Anoniem: 440819 schreef op dinsdag 05 juni 2012 @ 12:59:
[...]


Goed punt. Bij wijze van steekproef even op de ict waarborg en thuiswinkel waarborg gekeken. De eerste partij vermeld tot nu toe niets over de nieuwe wetgeving (behalve oud nieuws) en bij partij twee kun je beslissingsboom downloaden.

Ik zei trouwens aan het begin van het topic bij wijze van grap, dat ik niet opkijk als je op servers niets meer mag loggen. Maar bevatten de serverlogs een IP of een andere vorm van data welke unieke identificatie van een bezoeker mogelijk maakt? Dit is dan toch ook niet toegestaan? Terwilj je wel een bewaarplicht hebt als ik het goed begrijp? Hoe meer informatie je leest hoe waziger het wordt Je zou er bijna voor kiezen om een struisvogel te worden...

Ik heb enorm veel tijd aan het onderwerp besteed en ook ik vind het maar een vage bedoening. Dus dat jij of enig ander die er misschien een keer een uurtje of hooguit twee in heeft gestoken denkt 'het zal wel, ik vat het niet' denkt.. Dat is nogal logisch.

Anoniem: 440819 schreef op dinsdag 05 juni 2012 @ 12:59:
[...]

Ik zei trouwens aan het begin van het topic bij wijze van grap, dat ik niet opkijk als je op servers niets meer mag loggen. Maar bevatten de serverlogs een IP of een andere vorm van data welke unieke identificatie van een bezoeker mogelijk maakt? Dit is dan toch ook niet toegestaan? Terwilj je wel een bewaarplicht hebt als ik het goed begrijp? Hoe meer informatie je leest hoe waziger het wordt Je zou er bijna voor kiezen om een struisvogel te worden...

Hoe is dat hier precies relevant? De "cookiewet" is in feite een wet die omschrijft dat je niks op de "randapparatuur van de eindgebruiker" mag opslaan. Op de server mag (en moet, zoals je terecht opmerkt) je wel degelijk dingen loggen. Deze wet maakt dat niet onmogelijk, want jouw server is geen randapparatuur van de eindgebruiker maar apparatuur van jou zelf.

Maar je mag die logging dan weer niet gebruiken voor fingerprinting. Zoveel staat er dan wel weer in de nieuwe TCw

Anoniem: 440819 schreef op dinsdag 05 juni 2012 @ 14:07:
[...]


Ik heb er wel iets meer aandacht aan besteed, maar ga mezelf geen specialist noemen. Wat me samenvattend inderdaad opvalt is wat jij stelt in je eerste alinea. Iedereen wacht totdat er duidelijkheid ontstaat bijvoorbeeld middels (proef)processen. Dit is inderdaad toch van de zotte. Afwachten maar. Zal dit topic in de gaten houden.

Een en ander zal zich verder moeten uitkristalliseren vrees ik en de enige manier om dat voor elkaar te krijgen is door rechtszaken te voeren.

Andere vraag, op welk besloten deel van dit forum heb je ook een topic? De huiskamer? Zou zonde zijn als andere en vele met mij informatie mislopen natuurlijk.

Daar mag ik niks over zeggen, een besloten deel

Dit is daar de topicstart, geschreven op 24 mei (van mijn eigen hand overigens):

---

---

Laten we het eens hebben over de nieuwe Telecommunicatiewet en de hieruit voortvloeiende cookie wetgeving.

Mochten jullie het niet gevolgd hebben, hier de super-super-korte samenvatting.
Er zijn een aantal soorten cookies die door sites, adverteerders, analytics- en trackingpartijen gebruikt worden, om dit uit te leggen jat ik even wat tekst van ft.com:

1. Essential cookies

Some cookies are essential for the operation of our website. For example, some cookies allow us to identify subscribers and ensure they can access the subscription only pages. If a subscriber opts to disable these cookies, the user will not be able to access all of the content that a subscription entitles them to.

2. Performance Cookies

We utilise other cookies to analyse how our visitors use our websites and to monitor website performance. This allows us to provide a high quality experience by customising our offering and quickly identifying and fixing any issues that arise. For example, we might use performance cookies to keep track of which pages are most popular, which method of linking between pages is most effective, and to determine why some pages are receiving error messages. We might also use these cookies to highlight articles or site services that we think will be of interest to you based on your usage of the website.

3. Functionality Cookies

We use functionality cookies to allow us to remember your preferences. For example, cookies save you the trouble of typing in your username every time you access the site, and recall your customisation preferences, such as which regional edition of the website you want to see when you log in.

We also use functionality cookies to provide you with enhanced services such as allowing you to watch a video online or comment on a blog.

4. Behaviourally Targeted Advertising Cookies

The FT and our advertisers use cookies to serve you with advertisements that we believe are relevant to you and your interests. For example, if you read a number of articles on motoring on FT.com or on other sites, a car manufacturer might infer you are interested in this topic and serve you with its car advertisements. You might see these advertisements on FT.com and on other sites that you visit. However, we do not tell our advertisers who you are.

toon volledige bericht

Een niet onbelangrijke toevoeging hierbij is:

Does anyone else use cookies on FT websites?

Advertisers sometimes use their own cookies to provide you with targeted advertising. For example, advertisers may use a profile they have built on sites that you have previously visited to present you with more relevant advertisements during your visit to FT.com. We believe that it is useful to our users to see advertisements that are more relevant to their interests. If you are based in the European Union and would like to learn more about how advertisers use these types of cookies or to choose not to receive them, please visit www.youronlinechoices.eu. If you are based in the United States and would like to learn more, please visit http://www.aboutads.info/choices/.

We also use or allow third parties to serve cookies that fall into the four categories above. For example, like many companies, we use Google Analytics to help us monitor our website traffic. We may also use third party cookies to help us with market research, revenue tracking, improving site functionality and monitoring compliance with our terms and conditions and copyright policy.

Volgens de nieuwe wetgeving mogen enkel nog de 'essential cookies' worden gebruikt: die cookies waarin je login-gegevens staan en cookies voor dingen als winkelmandjes. Voor alle andere cookies moet er per 1/7 via opt-in toestemming verkregen worden.

Op zich is het heel goed dat er wetgeving is die de consument beschermt: we willen allemaal een bepaalde zekerheid en weten wat er met onze gegevens gebeurt en dat als mensen zich hier niet aan houden dat die aangepakt kunnen worden. De vraag is echter of de maatregel past bij de doelstelling.

Wat naslagwerk:
Privacy Association over de NL cookiewet
Arnoud Engelfriet over de cookiewetgeving, op zijn eigen site
Wederom Arnoud Engelfriet, nu op marketingfacts
Artikel op FT over cookies. Alleen te lezen als je hun cookie-policy accepteert!


Het probleem met de wetgeving is dat deze in mijn ogen niet duidelijk is, te beginnen met de tekst zelf waarin telkens wordt gesproken over "randapparatuur waarop informatie wordt opgeslagen". Volgens jurisprudentie is "randapparatuur" een muis, een toetsenbord, een setje speakers en dergelijke, daarop wordt geen informatie opgeslagen. Men bedoelt dus 'apparatuur' in de algemene zin van het woord: alles dat nodig is om van het internet gebruik te maken. <- Onderuit gehaald, in dit geval is randapparatuur alles dat je verbind met het net.

Dat terzijde is de tekst niet duidelijk genoeg in de zin dat veel van de tekst op verschillende manieren kan worden geïnterpreteerd.
Wat dadelijk volgens de wet mag: functionele cookies. Maar wat is dan wel en niet functioneel? Daar is men niet echt duidelijk over.

Ook is er sprake van 'omgekeerde bewijslast', dat wil zeggen: de publisher of adverteerder moet aantonen dat de cookies die gezet zijn, allemaal met (uitdrukkelijke) toestemming zijn gezet. Volgens de Telecommunicatiewet hoeft dit niet uitdrukkelijk te zijn, maar moet men de wet- en regelgeving van de Wet Bescherming Persoonsgegevens volgen, die op haar beurt stelt dat er wél uitdrukkelijk toestemming moet zijn gegeven...

Voor mijn werk is deze wet niet bepaald positief: wij brengen in kaart welke advertenties iemand heeft gezien en hoe het gedrag van die persoon is. In die zin: welke banners zijn er getoond, waar, wat voor interactie heeft hier plaatsgevonden (event in banner, click, niks), hoe lang zijn banners in beeld geweest, heeft de persoon de site van de bewuste klant bezocht etc.
Op basis van deze informatie kan een adverteerder bepaalde cookies opnieuw benaderen met een uiting (vaak banners), kan gekeken worden of de ene campagne ongemerkt effect heeft op een andere (conversie-attibutie) en of het bijvoorbeeld zin heeft om eerst banners op de ene site te laten zien en daarna op een andere.
Daarnaast worden onze cookies gebruikt om zogenaamde 'frequency caps' uit te voeren: niet meer dan x banners aan een persoon te laten zien. Of sequencing: een volgorde waarin banners worden getoond.

Ook hebben we (niet in NL) een 'audience' netwerk: we brengen in kaart wat voor soort persoon gebruik maakt van een PC om zo gericht advertenties te kunnen aanbieden. Dit doen we door in kaart te brengen waar pagina's over gaan, als een browser met een bepaald cookie dan een pagina opvraagt, kunnen we op den duur bepalen wat voor persoon het zou kunnen zijn achter een cookie. (Man, vrouw, leeftijdscategorie, interesses etc.)

Hoe nu om te gaan met cookies? Moeten we inderdaad een opt-in systeem gaan hanteren? Is dat het verstandigst of gaan mensen dan toch zonder lezen akkoord en zijn we er als maatschappij dan niks mee opgeschoten?
En wat moet er gebeuren met de bedrijven die het van die cookies moeten hebben? Bedrijven die audiencing doen of analytics kunnen niks meer beginnen zonder de opt-in; als 15% van de mensen een opt-in doet is dat echt te weinig om een fatsoenlijk stuk analytics op te doen. De data van die 15% extrapoleren is immers te onbetrouwbaar...


Nu wil ik van jullie wel eens weten wat jullie er van vinden. Ik ben bevooroordeeld en denk teveel vanuit mijn werk, zie meer dan een 'normale consument' het nut in van deze cookies en het feit dat ik dan relevantere advertenties te zien zal krijgen. Maar hoe is dat voor jullie?

Floor-is schreef op dinsdag 05 juni 2012 @ 14:14:
Artikel op FT over cookies. Alleen te lezen als je hun cookie-policy accepteert!

He he... Die permissie voor hun cookiebeleid werkt via Javascript... wat ik met NoScript blokkeer. Ik kan het dus lezen zonder die modal pop-up en zonder akkoord te zijn gegaan met hun voorwaarden. Pas als ik Javascript toesta komt de pop-up te voorschijn.

CaptJackSparrow schreef op dinsdag 05 juni 2012 @ 14:28:
[...]

He he... Die permissie voor hun cookiebeleid werkt via Javascript... wat ik met NoScript blokkeer. Ik kan het dus lezen zonder die modal pop-up en zonder akkoord te zijn gegaan met hun voorwaarden. Pas als ik Javascript toesta komt de pop-up te voorschijn.

Wat op zich geen ramp is, als de enige relevante cookies gezet worden in Javascript.. Zoals Google Analytics.

Over Twitter gesproken, Martijn van Dam (@martijnvdam) van de PvdA verdedigt zijn standpunt over het feit dat pvda.nl geen melding nodig zou hebben. Ook een mooie, lijkt er dus op dat hij vindt dat dat een "functionele cookie" is, zijn wij nu gek, of is hij nou zo slim? (of uweetwel)

OMG. Anders geef je even heel duidelijk aan dat je niet weet waar je voor gestemd hebt en toon je dat op zo'n manier aan. Tien tegen één dat hij er alleen een pijlpunt van heeft gemaakt "want privacy!!!1"

Heb hem er ook nog maar even gewezen dat z'n persoonlijke site ook vol met tracking cookies staat...

[ Voor 6% gewijzigd door Zoefff op 05-06-2012 17:19 ]

Zoefff schreef op dinsdag 05 juni 2012 @ 17:15:
Heb hem er ook nog maar even gewezen dat z'n persoonlijke site ook vol met tracking cookies staat...

Hij geeft nu wel toe dat een geanonimiseerde GA wel een 'grijs gebied' is. Goed, dit geldt natuurlijk niet alleen voor hem: hoe doen andere partijen het, en wat vindt men er daar van?

Onzin, volgens het amendement dat onder andere hij zelf tot wet heeft verheven is het helemaal geen grijs gebied en is het zelfs vrij duidelijk dat dít de cookies zijn waar toestemming voor vereist is. Het enige dat hij aantoont is dat hij er zelf totaal geen benul van heeft waarvoor hij zich ingezet heeft en dat nu goed probeert te praten als fictief "grijs gebied".

NMe schreef op dinsdag 05 juni 2012 @ 18:06:
Onzin, volgens het amendement dat onder andere hij zelf tot wet heeft verheven is het helemaal geen grijs gebied en is het zelfs vrij duidelijk dat dít de cookies zijn waar toestemming voor vereist is. Het enige dat hij aantoont is dat hij er zelf totaal geen benul van heeft waarvoor hij zich ingezet heeft en dat nu goed probeert te praten als fictief "grijs gebied".

Ja, inderdaad.
Qua topic-volledigheid, 'SOLV advocaten' legt (leggen?) het hier nog een keer uit, specifiek ook gericht op die tweets van @martijnvdam

NMe schreef op dinsdag 05 juni 2012 @ 18:06:
Onzin, volgens het amendement dat onder andere hij zelf tot wet heeft verheven is het helemaal geen grijs gebied en is het zelfs vrij duidelijk dat dít de cookies zijn waar toestemming voor vereist is. Het enige dat hij aantoont is dat hij er zelf totaal geen benul van heeft waarvoor hij zich ingezet heeft en dat nu goed probeert te praten als fictief "grijs gebied".

Gewoon het NOS en / of PowNed erop afsturen. Zo krijgt "het volk" er tenminste ook nog wat amusement voor terug.Ik zie een PowNed interviewer verkleed als cookie monster of oscar mopperkant graag de betreffende minister(s) interviewen.

Het NOS erop af sturen? Serieus, gistereren het NOS Journaal gezien? http://nos.nl/uitzending/65151-nos-journaal-1800-uur.html vanaf 6:55

"Cookies zijn kleine programma's op opslaan wat je doet op internet"

bove027 schreef op woensdag 06 juni 2012 @ 16:04:
Het NOS erop af sturen? Serieus, gistereren het NOS Journaal gezien? http://nos.nl/uitzending/65151-nos-journaal-1800-uur.html vanaf 6:55

"Cookies zijn kleine programma's op opslaan wat je doet op internet"

Stond ook al zo in de Humo vermeld een paar weken terug -_-

Wel een verschil met "een tekstbestand waar een website in kan lezen en schrijven"

bove027 schreef op woensdag 06 juni 2012 @ 16:04:
Het NOS erop af sturen? Serieus, gistereren het NOS Journaal gezien? http://nos.nl/uitzending/65151-nos-journaal-1800-uur.html vanaf 6:55

"Cookies zijn kleine programma's op opslaan wat je doet op internet"

Haha, nee het NOS journaal niet gezien. Ze hadden mij idee dus al gebruikt voordat ik dit wist

Wij gaan wel aanpassingen maken in onze software (we leveren een online marketing/communicatie platform) en de verwachting is nu al dat we hier toch 2 tot 3 weken zoet mee zullen zijn

De wetgeving is ondubbelzinnig, cookies die niet in het belang zijn van de internetter én informatie bevatten die terug te herleiden zijn naar een persoon vereisen een opt-in. Google Analytics heeft al wat aanpassingen doorgevoerd om het IP adres uit te sluiten waarmee je er aan kunt voldoen. Ik snap best dat er veel belangen spelen en dat er nu natuurlijk luidkeels wordt geroepen dat er veel blinde vlekken in de wetgeving zitten, maar we weten allemaal beter.

Ik zie van collega's in de branche ook nieuwsbrieven langskomen waar ook afschuivend wordt gecommuniceerd; overleg met je juridische adviseur, enz. maar iedereen weet dat we het haasje zijn.

Onze software heeft profilering, user behavior analysis, personalisatie, om online te sturen op rendement. We zijn dus afhankelijk van tracking en gaan in ieder geval fingerprinting toevoegen. Alleen proxies/citrix is een uitdaging, als iedereen beschikt over dezelfde font lijsten, plugins, en hetzelfde ip adres.

De OPTA doet inmiddels een poging om het allemaal wat duidelijker te maken, door een FAQ online te zetten.

Anoniem: 14124 schreef op donderdag 07 juni 2012 @ 09:54:
De wetgeving is ondubbelzinnig, cookies die niet in het belang zijn van de internetter én informatie bevatten die terug te herleiden zijn naar een persoon vereisen een opt-in. Google Analytics heeft al wat aanpassingen doorgevoerd om het IP adres uit te sluiten waarmee je er aan kunt voldoen. Ik snap best dat er veel belangen spelen en dat er nu natuurlijk luidkeels wordt geroepen dat er veel blinde vlekken in de wetgeving zitten, maar we weten allemaal beter.

Het is zelfs nog veel strenger. Je stelt nu dat voor cookies die "niet in het belang zijn van de internetter én informatie bevatten die terug te leiden is naar een persoon" een opt-in nodig is. Dat is niet zo, ook cookies die géén informatie bevatten die terug te leiden is naar een persoon vallen onder de opt-in wetgeving. Sterker nog, de cookies die dergelijke informatie wél bevatten vallen ook nog eens onder de WBP. Kortom, voor het Google Analytics cookie heb je nog steeds een opt-in nodig, ook al sla je geen gegevens meer op over het IP adres.

Onze software heeft profilering, user behavior analysis, personalisatie, om online te sturen op rendement. We zijn dus afhankelijk van tracking en gaan in ieder geval fingerprinting toevoegen. Alleen proxies/citrix is een uitdaging, als iedereen beschikt over dezelfde font lijsten, plugins, en hetzelfde ip adres.

Ook met fingerprinting begeven jullie je in een duister hoekje. Je slaat immers specifieke gegevens over iemand op zonder dat deze daar weet van heeft of een opt-in danwel opt-out mogelijkheid heeft. Volgens de letter van de wet is dat volgens mij ook niet toegestaan, of in ieder geval erg "grijs".

Zoefff schreef op donderdag 07 juni 2012 @ 10:24:
Ook met fingerprinting begeven jullie je in een duister hoekje. Je slaat immers specifieke gegevens over iemand op zonder dat deze daar weet van heeft of een opt-in danwel opt-out mogelijkheid heeft. Volgens de letter van de wet is dat volgens mij ook niet toegestaan, of in ieder geval erg "grijs".

Klopt. De nieuwe wetgeving heeft betrekking op alle vormen van op de randapparatuur van de gebruiker opgeslagen gegevens die voor niet essentiële doeleinden uitgelezen worden. Daaronder valt dus ook het raadplegen van zaken als de beschikbare set fonts om zo tot een (redelijk) identificerende fingerprint te komen.

Maar serieus... Zullen we even een rondje politieke partijen doen en even wat zaken bekijken die wel / niet mogen, of ze die hebben en of er een opt-in is geregeld? Daar moeten we toch een FP artikel uit kunnen halen

Overigens heeft opta.nl maar gewoon alle cookies verwijderd (of nooit gehad)... Dan hoef je ook geen opt-in te doen

BtM909 schreef op donderdag 07 juni 2012 @ 13:39:
Maar serieus... Zullen we even een rondje politieke partijen doen en even wat zaken bekijken die wel / niet mogen, of ze die hebben en of er een opt-in is geregeld? Daar moeten we toch een FP artikel uit kunnen halen

Overigens heeft opta.nl maar gewoon alle cookies verwijderd (of nooit gehad)... Dan hoef je ook geen opt-in te doen

Zoefff schreef op donderdag 07 juni 2012 @ 14:08:
Dat heb ik een paar dagen voor invoering van de wet ook al gedaan. De score was toen aanzienlijk, zie https://twitter.com/zoefff/status/207379341598928896 . Voor zover ik kan zien zijn er nog weinig sites aangepast.

Een paar dagen geleden heb ik Martijn van Dam "aangesproken" op 3rd party cookies op zijn persoonlijke site. Dat is inmiddels "opgelost", maar als oplossing heeft hij gewoon de Twitter, FB en AddThis knoppen verwijderd en Google Analytics uitgeschakeld. Zo kan het natuurlijk ook, maar haal je wel botweg functionaliteit weg.

Handig, twee topics

Ja idd

Wat mij betreft wordt er een merge gedaan, maar dan zouden mijn posts in de andere thread wel moeten worden aangepast...

SOLV, of eigenlijk Milica heeft een nieuwe blogpost geschreven naar aanleiding van een net iets te clueless twitterbericht van Martijn van Dam. Best interessant

Hebben jullie allemaal de fact sheet van het IAB gezien? Hier te downloaden
En de "handleiding cookiewet" van de DDMA
De FAQ van OPTA anders?

Overzicht (alternatieve) websoftware zonder cookies en IP-opslag:

Naam	Link	Technologie	Alternatief op	Instellingen/configuratie
Piwik Web Analytics	http://piwik.org/ Wordpress: http://wordpress.org/extend/plugins/wp-piwik/	PHP + MySQL	Google Analytics	Animoniseer IP-adres + piwikTracker.disableCookies();
shareNice	http://sharenice.org	Javascript	AddThis
socialshareprivacy	http://www.heise.de/ct/ar...-Datenschutz-1333879.html http://www.heise.de/extras/socialshareprivacy/ Wordpress-plugin: http://wordpress.org/exte...lick-socialmedia-buttons/	jQuery	Facebook Like, Twitter Button, Google +1
ClickHeat	http://www.labsmedia.com/clickheat	PHP	Crazy Egg
Share	http://www.enthropia.com/labs/share/	Javascript	AddThis

Instellingen voor Youtube, Vimeo en SlideShare: http://cite.co.uk/wp-cont...ie-info-graphic-final.png
Youtube gebruikt dan voor de embeds het domein youtube-nocookie.com/embed/... wat door Google in 2009 geregistreerd is.

In de Wordpress-plugin Smart YouTube PRO heeft ook ondersteuning voor de privacyinstelling van Youtube.

Daarnaast kun je ook Youtube ook alleen gebruiken als fallback wanneer de gebruiker de HTML5-video niet kan afspelen: http://camendesign.com/code/video_for_everybody/test_yt.html

Voor Google Maps kun je http://maps.googleapis.com/maps/api/js?... gebruiken in plaats van http://maps.google.com/maps/api/js?... of Open Street Maps/OpenLayers.

Voor Wordpress is de plugin wp-donottrack een goede plugin. Deze controleert de 3th-party JavaScript en eventueel de HTML op cookies. http://wordpress.org/extend/plugins/wp-donottrack/

[ Voor 19% gewijzigd door TheodoorDG op 04-05-2013 14:25 ]

TheodoorDG schreef op zaterdag 09 juni 2012 @ 01:54:
Overzicht (alternatieve) websoftware zonder cookies en IP-opslag:

*snip*

Wow. Dat is een handige lijst. Zal ik zeker kunnen gebruiken binnenkort. Dit toont inderdaad aan dat er voldoende alternatieven voorhanden zijn om een groot deel van de cookies al standaard achterwege te kunnen laten

Heeft iemand ervaring met de IIS / ASP.NET cookie TrStat1? Deze cookie wordt door het door ons gebruikte CMS InsiteCreation geplaatst naast de andere standaard cookies: .ASPXANONYMOUS, .aspxauth en ASP.NET_SessionId. Deze cookies bevatten geen userdata (gebruikersnaam of ip-adres). De titel lijkt te impliceren dat het een interne tracking cookie betreft. Ik wil dit zeker weten om bij de dev-afdeling van deze CMS-ontwikkelaar aan te geven welke cookies ze moeten gaan tegenhouden zonder toestemming.

Hebben jullie dit al gezien? CPB persbericht en 'opinion'

Op zich niet onbelangrijk

wsitedesign schreef op zaterdag 09 juni 2012 @ 10:15:
[...]

Wow. Dat is een handige lijst. Zal ik zeker kunnen gebruiken binnenkort. Dit toont inderdaad aan dat er voldoende alternatieven voorhanden zijn om een groot deel van de cookies al standaard achterwege te kunnen laten

Eerst zien en dan geloven. Ik moet de eerste Analytics-aanbieder nog zien die überhaupt in de buurt komt van het evenaren van de features van Google Analytics.

Er zijn er wel hoor, maar die kosten allemaal nogal hele serieuze duiten

Dat zeg ik.

Zoefff schreef op donderdag 07 juni 2012 @ 10:24:
Ook met fingerprinting begeven jullie je in een duister hoekje. Je slaat immers specifieke gegevens over iemand op zonder dat deze daar weet van heeft of een opt-in danwel opt-out mogelijkheid heeft. Volgens de letter van de wet is dat volgens mij ook niet toegestaan, of in ieder geval erg "grijs".

Het punt is dat de "cookiewet" in feite een vrij concrete uitbreiding is op de WBP. Het wordt nu expliciet verboden cookies te zetten, tenzij je onder de uitzonderingen valt.

Het fingerprinten viel al onder de WBP, tenminste, als de opgeslagen gegevens te herleiden zijn tot een persoon -- en dat is precies het punt van fingerprinting.

Zoefff schreef op donderdag 07 juni 2012 @ 14:14:

Handig, twee topics

[ Voor 13% gewijzigd door PowerFlower op 16-06-2012 14:02 ]

Inmiddels heb ik een website van mij voorzien van een opt-in. Ik ben benieuwd wat er met de gemeten bezoekersaantallen gaat gebeuren. Ben nu aan het oriënteren wat de oplossing moet gaan worden. statistieken en analyse op basis van cookies mag niet meer. Fingerprinting was al uitgesloten. Zijn er al oplossingen bekend die wel de benodigde statistieken opleveren over paginabezoek, nieuw vs terugkerend en verkeersbron. Dit alles zonder een opt-out dan wel opt-in maar toch binnen de kaders van de wetgeving.

Het gaat om een kleine site waarbij ik er lol uit haal om zoiets te implementeren. Er zou geen haan naar kraaien als ik het gelaten had zoals het was.

alexkroeze schreef op zondag 17 juni 2012 @ 00:20:
Inmiddels heb ik een website van mij voorzien van een opt-in. Ik ben benieuwd wat er met de gemeten bezoekersaantallen gaat gebeuren. Ben nu aan het oriënteren wat de oplossing moet gaan worden. statistieken en analyse op basis van cookies mag niet meer. Fingerprinting was al uitgesloten. Zijn er al oplossingen bekend die wel de benodigde statistieken opleveren over paginabezoek, nieuw vs terugkerend en verkeersbron. Dit alles zonder een opt-out dan wel opt-in maar toch binnen de kaders van de wetgeving.

Er is nog niks en ik zie persoonlijk ook niet hoe dat zou moeten werken.
Je mag immers niets:
- Client-side
- Server-side
- In het netwerk

Er blijft eenvoudigweg geen mogelijkheid over, of ik moet er eentje over het hoofd zien.

Wij zitten hier ook mee, met name de implementatie. Ergens las ik dat het wellicht leuk zou zijn om een soort van algehele acceptatie / optin te maken. Mag dat vanuit de wet gezien?

Wij willen voor al onze klanten (en misschien ook samen met/voor andere webdevelopment partijen) een soort ring maken voor de acceptatie van de cookies, waarbij we de bezoeker drie keuzes geven:

1. Accepteer alle cookies aangesloten bij OptIn Cookie (optincookie.nl, of iets in die geest)
2. Accepteer alleen de cookies van deze website
3. Weiger de cookies van deze website

Je krijgt dan misschien een beetje het www.wijstoppenook.nl idee, zijn er partijen geinteresseerd om hierin samen te werken en mag het uberhaupt?

Uiteraard staan wij ook open voor suggesties.

Hier de eerste testen van de gevolgen van de cookie-wetgeving; http://www.emerce.nl/nieu...verlies-door-cookie-optin

Het kan zelfs oneerlijke concurrentie in de hand werken, als buitenlandse partijen, die geen kantoor hebben in Nederland, zonder Opt-in gaan werken.

De eerste cookiegoeroes zijn ook al opgestaan. Hier in het kantorenpand is er iemand alle ondernemers waar hij contact mee heeft bang aan het maken omdat hun website niet voldoet aan de cookiewet. Zelfs als dat sites zijn die niks met cookies doen. Waarom die in overtreding zijn? Nou, HTML en CSS sla je toch ook in de randapparatuur van de gebruiker op?!

*facepalm*

Overigens vond ik deze column ook wel geestig:
Martijn van Dam from the party of work

NMe schreef op vrijdag 29 juni 2012 @ 11:06:
De eerste cookiegoeroes zijn ook al opgestaan. Hier in het kantorenpand is er iemand alle ondernemers waar hij contact mee heeft bang aan het maken omdat hun website niet voldoet aan de cookiewet. Zelfs als dat sites zijn die niks met cookies doen. Waarom die in overtreding zijn? Nou, HTML en CSS sla je toch ook in de randapparatuur van de gebruiker op?!

Maar hij heeft de letter van de wet bestudeerd en gezien zijn authoriteit op het gebied van internetrecht en cum laude titel in de rechten (aka none) weet hij het uiteraard beter..

Ik heb gisteren de technische realisatie van de cookiewet voor onze clubsite afgerond. Dit in samenwerking met de softwareontwikkelaar van het CMS dat we gebruiken. Samen met de nieuwe cookie-verklaring zijn wij nu klaar.

jfeelders schreef op zaterdag 30 juni 2012 @ 06:58:
Ik heb gisteren de technische realisatie van de cookiewet voor onze clubsite afgerond. Dit in samenwerking met de softwareontwikkelaar van het CMS dat we gebruiken. Samen met de nieuwe cookie-verklaring zijn wij nu klaar.

Waar is die free.timeanddate.com cookie dan voor?

Dat is er een die ze gebruiken om de timezone op te slaan (denk ik) van de klok die rechts op de homepage staat.

Internetrecht door Arnoud Engelfriet: Valt browser fingerprinten wel onder de cookiewet?

"(...) dat er sprake is van uitlezen als je als site zélf iets doet om gegevens te krijgen. Daarmee vallen de bestandstypes en de “referrer” header buiten de cookiewet, want die stuurt de browser zelf al mee. Maar ga je Flash- of Javascriptscriptjes sturen om zo extra dingen te weten te komen, dan is dat wél een vorm van “uitlezen” waar toestemming voor nodig is.

En met die aanpak is er dus ook geen toestemming nodig voor het uitlezen van cookies. Die worden immers vanzelf meegestuurd door de browser. Het plaatsen vereist wel toestemming natuurlijk."

't Is al weer even geleden sinds de laatste reactie, maar ik zit nog met het volgende:

- Gebruiker accepteert expliciet cookies
- Er worden vervolgens cookies geplaatst
- Gebruiker trekt acceptatie in

Wat doe je met de cookies die al gezet zijn? Op mijn website verwijder ik die allemaal, maar wat als je dat niet doet?

In de laatste regel van dit artikel staat dat alleen voor het plaatsen toestemming nodig is, als de gebruiker toestemming intrekt is het aan hem zelf om de cookies te verwijderen: Internetrecht » Valt browser fingerprinten wel onder de cookiewet? - Arnoud Engelfriets blog over juridische zaken op internet, auteursrecht, octrooien en meer

[ Voor 33% gewijzigd door TheodoorDG op 20-07-2012 19:32 ]

Op Emerce een artikel over de houding van sanoma, iab en Zanox/M4N die overleggen met de OPTA hoe ze aan de wetgeving moeten gaan voldoen. Vooral blijkt hoe onhandelbaar de wet is; enorm snel ingevoerd en te weinig tijd voor goede technische implementatie, en onvoldoende tijd voor goede informatievoorziening.
Ik vraag me af hoe serieus de intentie om wel te voldoen is overigens.