Nog steeds plaatsen honderden websites zonder toestemming tracking cookies op de computer of telefoon van bezoekers, blijkt uit onderzoek van NOS. Deze volgcookies, die adverteerders inzicht geven in het surfgedrag van consumenten, zijn niet toegestaan zonder nadrukkelijke toestemming van de gebruiker. In de praktijk is dit echter niet eenvoudig, aldus de branche-organisatie voor data en marketing.
Tracking cookies vormen voor bedrijven een handige manier om van consumenten gedetailleerde informatie te vergaren over hun interesses en leefpatroon. Vooral voor gerichte advertentiecampagnes is dit waardevol. Veel grote websites bieden externe adverteerders de mogelijkheid om via cookies het surfgedrag van mensen te volgen. Het zijn vaak online marketingbureaus die bedrijven adviseren over de inzet van dergelijke cookies, als onderdeel van een integraal marketingplan.
‘Toestemming niet eenvoudig’
Sinds 2013 is het gebruik van volgcookies echter aan banden gelegd. Voor het plaatsen ervan moeten sites expliciete toestemming hebben van de bezoeker. Volgens de branche-organisatie voor data en marketing DDMA is het voor de eigenaren van websites lastig om te voldoen aan deze bepaling. ‘In de praktijk blijkt dit helaas niet altijd zo eenvoudig’, meldt de woordvoerder. ‘Een website verandert continu en veel sites zijn afhankelijk van externe partijen. Die kunnen allemaal weer cookies plaatsen.’
NOS onderzocht geautomatiseerd tienduizend websites en ontdekte dat ruim 1300 daarvan volgcookies plaatsen. RTV Rijnmond spande met ruim duizend volgcookies de kroon, maar heeft dit inmiddels rechtgezet. Ook populaire sites als Centerparcs, Parra en Girlscene plaatsen veel van dergelijke cookies.
De Autoriteit Persoonsgegevens (AP) meldt dat ze het gebruik van tracking cookies sneller en vaker gaan onderzoeken.
Tracking cookies
Tracking cookies (of volgcookies) bevatten informatie over de website die mensen bezoeken. Ze komen meestal op je computer terecht zodra een site een zichtbaar of onzichtbaar iframe van een adverteerder laadt. De volgende keer dat je de pagina met het iframe bezoekt, voegt de cookie een unieke code toe aan de http-header. Daardoor is het bezoek herleidbaar. Door op meerdere sites zo’n iframe te zetten dat op jouw computer dezelfde cookiecode aanroept, kan de adverteerder achterhalen welke sites jij hebt bezocht. Met deze informatie zijn gerichte advertentiecampagnes mogelijk.
Niet alleen voor marketeers is het lastig.
Gewoon een gemiddelde surfsessie is voor de gebruiker ook vervelend – die enorme banners met ‘geeft u toestemming voor cookies’…
Draak van een wetgeving.
“Volgens de branche-organisatie voor data en marketing DDMA is het voor de eigenaren van websites lastig om te voldoen aan deze bepaling”. En daarom doen we het dus gewoon niet want we worden toch niet op de vingers gemept….
Alleen dat werd er niet achteraan gezegd maar is wel de feitelijke situatie. Het statement is natuurlijk compleet flauwekul. Hoezo lastig? Gewoon geen zin in want kost tijd en geld.
Zowel de ACM als de AP zijn niet in staat goed op te treden, het is namelijk helemaal niet zo moeilijk om hier stevige boetes voor uit te delen, dat had al veel eerder gekund. En dat kan ook gewoon met terugwerkende kracht. De mix van ambtelijke onkunde en onmacht maakt dat tot op heden bedrijven zo ongeveer kunnen doen wat ze willen. En dat doen ze dan ook.
Marketeers vinden alles lastig als ze hun zin niet krijgen. Technisch is het allemaal geen enkel probleem. En als iets niet kan, dan kan het dus niet. Leer eens te accepteren, heren marketeers. “nee” is ook een valide antwoord!
Ga je niet zitten verschuilen achter ’technische problemen’, Je wilt gewoon iets dat niet kan zonder de wet te overtreden.
Juist door dat gedrag van marketeers blokkeer ik dit soort cookies waar mogelijk. Ze stelen niet alleen processortijd, maar ook bandbreedte en dat zal ze een zorg zijn.
Daarnaast ben ik niet gediend van advertenties voor zaken die ik net gekocht heb, of helemaal niet van plan ben te kopen.
Als ze echt iets van me willen weten kunnen ze dat ook wel via een zichtbare enquête doen.
Maar ja dat is te veel werk, en past niet in het verdienmodel.
Kennelijk wordt er in het geniep zoveel verdiend dat fatsoenlijk zakendoen haast eng wordt.
Eigenlijk best wel schokkend dat een woordvoerder van de DDMA dit soort uitspraken doet. Het getuigt van een compleet gebrek aan ethisch besef en begrip van wat privacywetgeving inhoudt. En dan ook nog eens het overtreden van de wet proberen goed te praten.
Ik zou graag willen reageren op bovenstaande comments. In het artikel wordt ik genoemd als woordvoerder, maar ik ben voor DDMA actief als jurist. De quote in het NOS artikel, en vrijdag op beeld in het journaal, is een kort fragment uit mijn antwoord. Het onderwerp is hiervoor eigenlijk te complex. Het antwoord dat op de NOS website werd geplaatst ging vooral in op het praktische aspect. Dit mag uiteraard nooit een excuus zijn voor bedrijven om zich niet aan de wet te houden, maar in de praktijk is het een belangrijke factor waardoor het soms toch misgaat.
Als branchevereniging zien we dat de meeste bedrijven zich inzetten om aan de regels te voldoen. Wij zien nog twee belangrijke oorzaken waarom het ze niet altijd lukt. De eerste heeft te maken met onduidelijkheid van de regels. De komst van de AVG heeft het nog een stuk ingewikkelder gemaakt, mede daarom is er nog wat onduidelijkheid over de manier waarop je toestemming moet vragen. Hier krijgen wij dagelijks vragen over van organisaties, die niet zeker weten wanneer ze het goed doen. Wij proberen hen hier zo goed mogelijk over voor te lichten.
Een tweede oorzaak heeft te maken met handhaving. Er is een belangrijke rol voor de toezichthouder. Die moet voorbeelden geven hoe die toestemming eruit moet zien. Hier hebben wij de toezichthouders al herhaaldelijk om gevraagd, tot dusver zonder resultaat.
Daarnaast zouden wij het goed vinden als de toezichthouder vaker zou handhaven om zo te laten zien wat wel en niet mag. Tot nu toe is slechts één keer gehandhaafd, en dat was in het geval van de cookiewall van de publieke omroep.
Voor wie meer wil lezen over de juridische onduidelijkheid, ik heb hierover een artikel geschreven dat gepubliceerd is in het Tijdschrift voor Compliance, editie Cybersecurity & Privacy, 2018 nr. 5. Het artikel is hier te lezen: https://www.linkedin.com/pulse/duidelijkheid-over-cookies-na-de-invoering-van-matthias-de-bruyne
Woordvoerder en jurist, dat sluit elkaar zeker niet uit. Je kunt voor één artikel/interview woordvoerder zijn, het hoeft niet je beroep te worden.
Daarnaast probeert men kennelijk toch de grens van de mogelijkheden te onderzoeken, ondertussen klagend dat het zo moeilijk is.
Als je nu eens begint met gewoon heel veilig aan alle voorwaarden te voldoen. Misschien werkt je site dan niet meer zo goed of krijg je niet de gegevens die je gewend bent, maar je voldoet aan de wet! Ga daarna eens rustig studeren of er binnen die wet meer mogelijkheden zijn. Doe het dus niet andersom, zoals kennelijk veel organisaties, door gewoon maar wat te doen en te zien waar het schip strand.
Organisaties hebben het zélf te bont gemaakt dat er een cookiewet en een AVG moest komen. Je huurt maar deskundig personeel in om het goed te krijgen. Wie zijn billen brandt moet op de blaren zitten!
Kort gezegd: het mag niet, tenzij…….
Dat lijkt me het enige juiste uitgangspunt, waarbij het belang van de eindgebruiker voor alles gaat.
Mijn uitgangspunt: een site heeft geen cookies nodig.
Als je toch bepaalde gebruikersgerelateerde instellingen wilt gebruiken vraag dan aan de bezoeker toestemming de gegevens in een database op te slaan, of wel zo eerlijk laat het hem zelf doen, en houd daar je instellingen in bij.
Volkomen helder dat het mag, want de gebruiker heeft persoonlijk toestemming gegeven. En ja, het is wat lastiger misschien, maar je schept in ieder geval duidelijkheid en wederzijds vertrouwen.
Technisch inhoudelijk ben ik het volkomen met W.H.P. Metselaar eens.
Er zijn zat manieren om een sessie bij te houden zonder een diaree van stiekeme truukjes
achter te laten.
De AVG was er bij mijn weten al een hele tijd, is echter pas later daadwerkelijk uitgevoerd.
Ik denk dat Matthias De Bruyne wel een punt heeft waar hij aangeeft dat de toezichthouder wellicht beter had kunnen aangeven hoe de toestemming gegeven moet worden.
Sommige website halen wel heel rare truken uit om toestemming te forceren.
Gewoon heel simpel Ja/Nee moet voldoende zijn.
Lees ik me toch recentelijk dat onze politiek juist dit laatste verplicht wil gaan stellen.
Toestemming geven houdt ook de mogelijkheid in om er voor te kiezen dit niet toe te staan
waarbij nog steeds de voledige functionaliteit van de betreffende website moet blijven bestaan.
Het internet (met name het www) is ontwikkeld om gemakkelijk kennis en informatie uit te wisselen.
Dat alle media vooral benut worden door marketeers is nog geen reden om hen te laten bepalen wat wel en niet acceptabel is.
Neem even als voorbeeld Radio en Televisie… niemand is daar nog in geintereseerd, simpelweg omdat de content is overwoekerd door de marketing.
Veel website zijn zonder ad-blocker en tracking-blocker nauwelijks nog te bekijken. zo erg zelfs dat browsers inmiddels deze functionaliteit standaard reeds ingebouwd hebben.
De tijd van het aanbieden van (non)Content op basis van marketing is wellicht snel voorbij.
Verzin wat anders. Ga bijvoorbeeld eens werken voor je poen, moet ik ook.