Ziet u ook door alle ontwikkelingen door de bomen het bos niet meer als het gaat om de regels t.a.v. cookies. Third party cookies worden afgeschaft, we gaan naar een cookieless world. We stappen over op server-side tagging en re-marketing mag niet meer. In dit artikel praten we u weer even bij in de vorm van onze veelgestelde vragen. We beginnen bij de actualiteit en eindigen bij de basics, maar scroll gerust door.
Cookie compliance in een notendop
Gebruik van cookies voor marketing en re-marketing, hoe zit dat?
Cookies stellen een adverteerder in staat om gericht te adverteren binnen hun eigen site of op een site van derden. Op een generieke webpagina zoals nu.nl of marktplaats herkent de cookie bijvoorbeeld de schoenenliefhebber en kan hem of haar een persoonlijke advertentie worden getoond. Dit is handig want je hebt zo meer effectieve advertentieruimte. Het maakt namelijk niet uit of u op de homepage staat met uw advertentie.
Cookie-marketing duidt dus op de praktijk waarbij webbezoekers gericht en persoonlijk worden benaderd met content of aanbiedingen op basis van hun surfgedrag. Dit kan binnen de eigen site van een organisatie en op de sites van derden, waar de adverteerder een advertentie uitserveert aan bepaalde profielen. Dit mag op basis van toestemming die wordt uitgevraagd in de cookiebanner van de adverteerder of de derde website indien een adverteerder daar adverteert.
Er bestaat ook zoiets als re-marketing. Bij re-marketing wordt op de site van een adverteerder een third party cookie geplaatst bijvoorbeeld van Facebook of Google, die de bezoeker die de site van de adverteerder heeft verlaten, op een later moment herkent op het Facebook of Google platform en hem hier nog eens een advertentie van de adverteerder laat zien. Dit mag op basis van toestemming die wordt uitgevraagd in de cookiebanner en de toestemming die de platformen hebben gevraagd voor deze advertenties in hun platform.
Het afschaffen van third party cookies, wat betekent dat?
Er bestaan (voorlopig nog) first-party cookies en third-party cookies. De first-party zijn cookies die worden geplaatst vanuit de website die een bezoeker bezoekt. Third-party cookies worden door andere partijen geplaatst vanuit de website die iemand bezoekt. De website zelf kan deze cookies niet uitlezen. Inmiddels zijn deze third-party cookies in opspraak. De browsers (Firefox, Edge, Safari) weigeren deze al standaard of gaan dit doen (Chrome). Third-party cookies zijn daarom in rap tempo aan het verdwijnen. Dat leidt ertoe dat adverteerders alleen nog informatie kunnen verzamelen met first-party cookies en hierop kunnen targetten. Dat betekent dat adverteerder A gerichte content of advertenties kan laten zien aan webbezoekers binnen zijn eigen websites. Adverteerder A kan ook nog adverteren op sites van derden, maar ook die zijn afhankelijk van first-party cookies of eigen data en moeten dus voldoende bereik hebben. Dat werkt dus voordelig voor online platformen (immers Google en Facebook hebben ingelogde gebruikers). Het schaalvoordeel geldt ook voor bepaalde uitgevers met een groot aantal websites en bezoekers. Re-marketing wordt zeer moeizaam door het afschaffen van third-party cookies omdat het niet meer mogelijk is iemand over websites te volgen.
Wat betekent server-side tagging in cookie marketing?
Er spelen een aantal ontwikkelingen in cookie marketing. Zo verdwijnen de privacy onvriendelijke ‘third party cookies’ en stappen veel organisaties over op server-side tagging of tracking, wat ook de privacy van de webbezoeker beter borgt. Server-side tracking houdt in dat een cookie, die geplaatst wordt vanuit een website, niet meteen wordt uitgelezen van het apparaat van de gebruiker, maar via een server naar één van de trackers (Google Analytics, Facebook, Bing) wordt gestuurd. De adverteerder is dan in de lead ten aanzien van de informatie die zij deelt met de platformen.
Gedragstargetten zonder cookie, kan dat?
Dat is even de vraag. De platformen zijn bezig met het ontwikkelen van technieken waarbij targetting en re-targetting mogelijk blijft maar niet meer op individueel niveau, maar op groepsniveau. Privacy technisch zijn er wel wat onduidelijkheden. Het is nu al mogelijk om gedragsmodellering te doen op basis van niet identificeerbare pings die naar een platform worden gestuurd: zoals timestamp, user agent, referrer en geaggregeerde informatie zoals click informatie en page loads. Op basis van die anonieme data wordt dan een gedragsmodel voor een bezoeker gemaakt op basis waarvan hem toch gerichte content kan worden getoond. Dus ook met gedragsmodellering wordt een profiel gemaakt dat bedoeld is om bezoekers te individualiseren, ook al kan je hem niet identificeren. Daarnaast valt de techniek, het sturen van pings, vermoedelijk onder de reikwijdte van de cookiewet. Die geeft aan dat als je informatie uitleest van de randapparatuur van een bezoeker, hiervoor toestemming vereist is. Behalve als dit noodzakelijk is voor het leveren van de dienst of om communicatie over een netwerk mogelijk te maken. Die pings kunnen wel technisch noodzakelijk zijn maar worden nu ook commercieel gebruikt. De vraag luidt dus of gedragsmodellering de tand de tijds doorstaat.
Wat is een cookie ook alweer?
Een cookie is een klein tekstbestand met een lange computercode die informatie verzamelt. Een cookie wordt door de website die iemand bezoekt op zijn device gezet (apparaat waarmee men de site bezoekt) en opgeslagen. Deze informatie wordt bij een volgend bezoek weer naar de website (server) teruggestuurd. Zo kan de website de bezoeker opnieuw herkennen en bijhouden wat de hij in het verleden heeft gedaan. Dat is handig want zo onthoud een site de taalinstellingen, hoef je niet opnieuw in te loggen of worden de items in de winkelmand onthouden. Het wordt gebruikt voor fraudebestrijding en andere relevante functies. Het kan ook worden gebruikt voor gerichte marketing of content.
Welke soorten cookies zijn er allemaal?
Er zijn verschillende soorten cookies. In deze blog noemen wij de meest voorkomende cookies die worden gebruikt: functionele, analytische, tracking en affiliate cookies.
- Functionele cookies
De functionele cookies zijn nodig om websites technisch goed te laten functioneren, hierdoor is toestemming niet nodig. Dit zijn cookies die gebruikt worden om de items van een winkelmandje te onthouden en bijvoorbeeld ook om inloggegevens te onthouden, een taal of land te herkennen of te zien of je de site bezoekt vanaf een pc, tablet of telefoon. Voor functionele cookies is geen toestemming nodig - Analytische cookies
Analytische cookies zijn niet nodig voor het functioneren van de website, maar worden wel gebruikt voor de analyse ervan zoals Google Analytics. Deze verzamelen cijfers zoals het aantal website bezoekers, het klikgedrag en populaire onderwerpen. Hiermee kunnen organisaties hun websites onder de loep nemen om hun marketing te kunnen verbeteren. Als u de data samenvoegt (aggregatie) dan heeft dit weinig impact op de privacy van de webbezoeker en hoeft u geen toestemming te vragen voor deze cookies. Maar als de cookies wel unieke identifiers bevatten en bezoekers volgen, dan moet toestemming gevraagd worden. - Tracking cookies
De tracking cookies hebben wel invloed op de privacy. Ze zijn niet nodig om een website goed te laten functioneren. Ze worden ingezet om een bezoeker lange tijd binnen de site en soms op andere sites te “volgen. Via deze cookies worden profielen gebouwd van webbezoekers zodat organisaties specifieke inhoud of reclames kunnen tonen om zo in te spelen op de persoonlijke voorkeuren van de webbezoeker. Toestemming vragen voor deze cookies is noodzakelijk. - Affiliate cookies
Affiliate cookies meten de effectiviteit van een advertentie. Ze houden bij welke advertentie leidt tot een aankoop, zodat degene die deze advertentie heeft getoond (de affiliate oftewel tussenhandelaar) hiervoor een beloning kan ontvangen. Hierdoor hebben ze geringe privacy impact en wordt voor deze cookies geen toestemming gevraagd.
Wat regelt de wet over het gebruik van cookies?
Organisaties gebruiken cookies om websites gebruikersvriendelijker te maken en om informatie te verzamelen over de webbezoekers. Met het doel om webbezoekers persoonlijk te benaderen of gericht te adverteren. Deze informatie is indirect herleidbaar tot een persoon waardoor de Algemene Verordening Gegevensbescherming (AVG) in beeld komt. De Cookiewet (opgenomen in de Telecommunicatiewet artikel 11.7a) zoomt verder in op het gebruik van de techniek.
De Cookiewet verplicht organisaties om webbezoekers te informeren en om toestemming te vragen.
Informeren
Als uw website cookies plaatst moet u de bezoekers hierover duidelijk en volledig informeren. De wettelijke toezichthouder Autoriteit Consument & Markt (ACM) zegt hierover het volgende:
Informeren mag niet door een vage verwijzing naar een privacy of cookiestatement. Een cookiestatement is wel geschikt om nadere uitleg te verstrekken en bijvoorbeeld de werking van de cookies die uw website plaatst te benoemen. In uw privacy statement moet u dan de volgende zaken vermelden:
Welke cookies worden geplaatst;
- Voor welk doel (analytics, conversie-attributie, online advertising of personalisatie);
- Welke informatie wordt met een cookie vastgelegd;
- Of de informatie verstrekt wordt aan derden.
De informatie over het plaatsen van cookies moet op een zichtbare plek op de website staan, met een begrijpelijke uitleg waarom u de cookie plaatst en welke informatie met welk doel wordt verzameld moet terug te vinden zijn in uw cookie statement.
Toestemming
De tweede verplichting is dat u toestemming moet vragen voor het plaatsen van cookies. De toestemming geldt niet voor cookies die noodzakelijk (functioneel) zijn.
Voorbeelden van noodzakelijke cookies zijn:
- Cookies die gebruikt worden bij het onthouden van items in een winkelmandje;
- Cookies om inloggegevens te onthouden.
U kunt op dit moment op meerdere manieren toestemming vragen voor het plaatsen van de cookies. Dit kan bijvoorbeeld via een pop-up of een banner waarmee u toestemming of geen toestemming kunt vragen voor het plaatsen van cookies. Let hierbij op om een onderscheid te maken in de verschillende soorten cookies, zodat de webbezoeker hiervoor apart zijn of haar toestemming kan geven.
Hoe geef ik invulling aan de verplichtingen uit de cookiewet?
- Cookie statement: biedt een cookiestatement aan. Een soort privacy statement waarin u alle cookies die geplaatst kunnen worden benoemd, samen met hun functie, welke informatie ze verzamelen en hun bewaartermijn. Zorg dat het cookiestatement makkelijk te vinden is op uw website, bijvoorbeeld door een hyperlink in de footer.
- Cookiebanner: als u tracking cookies plaatst of analytics cookies met een unieke identifier dan moet u toestemming vragen. Dat kunt u doen met een cookiebanner: een soort pop-up op de website waarin de webbezoeker kan aangeven of hij wel of geen cookies wilt. Voor de voornoemde cookies moet de toestemming actief gegeven worden, dit mag dus niet default aan staan. Onze privacy toezichthouder de Autoriteit Persoonsgegevens geeft ook aan dat een cookiewall niet mag. Dit is het model waarbij mensen die een website willen bezoeken of app willen gebruiken, de vraag krijgen om cookies te accepteren voordat zij toegang krijgen tot de website. Geven zij geen toestemming, dan krijgen zij geen toegang. Volgens de toezichthouder kan deze toestemming niet vrij worden gegeven.
- Cookie procesbeschrijvingen: documenteer welke cookies in gebruik zijn en weet welke impact deze hebben op de privacy van bezoekers, zodat het inzichtelijk is voor de organisatie en ook aantoonbaar is voor toezichthouders zoals de ACM. En vraag uzelf af of deze gebruikte (vooral third-party) cookies wel passen bij uw organisatiecultuur.
Wie houdt toezicht op de cookiewetgeving?
De Autoriteit Consument & Markt (ACM) ziet toe dat websites die surfgedrag van webbezoekers volgen, zich aan de regels van de Cookiewet houden en kunnen ook boetes uitdelen mochten organisaties dit niet doen. De Autoriteit persoonsgegevens kn ingrijpen als cookies gebruikt worden om persoonsgegevens te verwerken e dit niet volgens de AVG gebeurt.
Er zijn vele cookies en het juiste gebruik hiervan blijft een uitdaging en aan verandering onderhevig. Mocht u door de bomen het bos niet meer zien, dan kunt u altijd hulp inschakelen. Wij adviseren organisaties over hun cookie gebruik. Mocht u vragen hebben over cookies en privacy compliance, neem dan contact met ons op!
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.