Vanaf 1 juli 2012 mag je als website niet zomaar meer cookies plaatsen, het moet dan puur noodzakelijk zijn of het je moet de gebruiker toestemming vragen om cookies te plaatsen.
Hoewel er nog veel onduidelijk is over deze maatregel, wordt in ieder geval duidelijk dat tracking-cookies zoals het veel gebruikte 'Google Analytics' niet meer legaal zijn.
Dit geldt trouwens niet alleen voor cookies maar ook voor andere methodes zoals 'locale storage' in moderne browsers.
Gaan jullie over op andere statistieken systemen? Of hoe gaan jullie dit verbod aanpakken?
Ikzelf heb een leuke hobbymatige nieuwssite, en kijk eerst even de kat uit de boom voordat ik allerlij 'moeilijke' popupjes door de gebruiker zijn str*t ga duwen.
Pas als de OPTA gaat klagen, of een hele grote klopjacht over de 5 mln site gaat houden (succes heren) dan zal ik ook kijken of ik actie zal ondernemen.
Zo, the story continues. Ik ben nog wat "leuks" tegengekomen. Volgens dit artikel moet de eigenaar van de website kunnen bewijzen dat iemand een cookie heeft geaccepteerd. De schrijver van het artikel zegt hierover "Op zijn minst zou ik loggen vanaf welk IP adres en op welk moment er toestemming is gegeven, inclusief de inhoud van het cookie dat wordt geplaatst."
Er wordt dus gesteld dat je de tijdstippen en IP adressen moet vastleggen waarop iemand een cookie heeft geaccepteerd. Tevens wordt gesteld dat het bewijs 5 jaar bewaard moet worden omdat dat de termijn is waarbinnen de OPTA een boete kan opleggen.
Concluderend: behalve dat je de bezoeker dus om toestemming moet vragen, moet je ook het tijdstip waarop en het IP-adres waarvandaan hij/zij toestemming gegeven heeft opslaan. In de praktijk zal je dit opslaan gaan doen in een database, wat je een hoop extra schijfruimte kan gaan kosten.
Fijn die cookiewet!
[size=xsmall]Toevoeging op 06/06/2012 09:52:39:[/size]
Ook maar eens even de websites van de politieke partijen gecheckt:
Zowel PvdA, CDA, PVV en VVD maken gebruik van Google Analytics. D66 gebruikt Piwik Analytics. GroenLinks lijkt gebruik te maken van een oude versie van Google Analytics. De VVD maakt zelfs gebruik van een advertentienetwerk (DoubleClick). Geen van deze partijen vraagt om toestemming waarmee ze dus allemaal de cookiewet overtreden. Goed voorbeeld doet volgen zullen we maar zeggen.
De SP maakt overigens geen gebruik van trackingcookies en overtreedt de wet dus niet.
De SP maakt overigens geen gebruik van trackingcookies en overtreedt de wet dus niet.
De SP doet dit dus wel:
[hr] Cookies & equivalents used
[table]
[tr][td]Name[/td][td]Domain[/td][td]Pages (out of 10)[/td][td]Purpose[/td][/tr]
[tr]
[td]mobify[/td]
[td]m.sp.nl[/td]
[td]10[/td]
[td]This cookie isn't recognised and probably performs a custom function for this website.[/td]
[/tr]
[tr]
[td]YouTube[/td]
[td]www.youtube.com[/td]
[td]2[/td]
[td][color=red]Used to track visitors[/color]
Features for sharing videos via YouTube, and remembering what videos you've seen.[/td]
[/tr]
[tr]
[td]Twitter[/td]
[td]api.twitter.com[/td]
[td]1[/td]
[td][color=red]Used to track visitors[/color]
Features for sharing via Twitter, and viewing tweets by other people.[/td]
[/tr]
[tr]
[td]B[/td]
[td]geo.yahoo.com[/td]
[td]1[/td]
[td]This cookie isn't recognised and probably performs a custom function for this website.[/td]
[/tr]
[tr]
[td]BX[/td]
[td]www.flickr.com[/td]
[td]1[/td]
[td]This cookie isn't recognised and probably performs a custom function for this website.[/td]
[/tr]
[/table]
@ozzie, je hebt waarschijnlijk alleen op de homepagina gekeken? Die twitter en youtube cookies werden aangemaakt op een andere pagina.
ICTrecht heeft trouwens ook een cookie plugin in gebruik (nog 1tje erbij). Zij gebruiken Cookie control, één van de 3 grote cookie plugins.
Het bewijsmateriaal vind ik een beetje vreemd. Natuurlijk je moet het bewijzen, maar als je een screenshot/screencast maakt van hoe het werkt, de procedure en wat er in de code gebeurd, moet het goed zijn.
Het opslaan in een DB of bestand dat een IP adres toestemming heeft gegeven vind ik niet echt heel handig. Waarom zou je moeten weten wie toestemming geeft en wanneer? Je moet bewijzen dat je alleen cookies gebruikt als de gebruiker toestemming geeft.
Ook zou ik een log file maken, mocht ik het doen, en geen database.
Overigens hoeven we nu nog zeker niet bang te zijn. OPTA en CBP hebben te weinig mensen om heel het internet te bekeuren. Ze zullen voorlopig alleen afgaan op grote site's of site's waarvan ze veel meldingen binnenkrijgen.
Ik neig ook naar wat Wouter zegt over de bewijslast. Mits je een duidelijke procedure hebt en aannemelijk kan maken dat die werkt. Aan de andere kant, de bewijslast is wel een beetje moeilijk hier. Normaal gesproken moet worden bewezen dat iemand de wet heeft overtreden. In dit geval betekent dat twee dingen:
1) er moet een cookie zijn geinstalleerd
2) er is geen toestemming voor gegeven
Punt 1 is duidelijk. Staat er een cookie, dan heb je het bewijs. Punt 2 is echter heel onduidelijk. Als website kan je zeggen 'we hebben die procedure, dus als de cookie er staat dan moet de persoon het hebben geaccepteerd'. Maar als dan die persoon zegt 'maar dat heb ik niet', dan vraag ik me af wie wat moet bewijzen. Ik neig te zeggen dat er moet worden bewezen dat de website verkeerd heeft gehandeld. Andersom zou namelijk omgekeerde bewijslast zijn en dat kennen we normaal gesproken niet in Nederland. Maar ja... hoe zal het echt gaan, mocht het zover komen.
Wouter, ik had idd alleen even vlug de homepages gecheckt.
Bewijslast schijn je volgens de schrijver toch te moeten hebben, want je moet kunnen bewijzen dat op het moment van het plaatsen van de cookie om toestemming is gevraagd. Anders zou je namelijk achteraf snel nog even een scriptje op je site kunnen zetten. Dus vandaar dat je het ip-adres en tijdstip van acceptatie moet loggen (aldus de schrijver).
Het zou kunnen, ik ben daar zeker geen expert in. Het enige wat ik er raar aan vind als het zo is, is dat het dan omgekeerde bewijslast is. In Nederland is het normaal gesproken zo dat een de aanklager moet bewijzen dat je iets fout hebt gedaan. Jij hoeft niet te bewijzen dat je het goed hebt gedaan. In dit geval is het dan wel dat jij moet bewijzen dat je het goed hebt gedaan.
"De cookiewet bepaalt dat het plaatsen van cookies alleen nog mag met toestemming (behalve bij enkele functionele cookies). Mocht daar discussie over komen, dan moet de site bewijzen dat die toestemming is gegeven."
De bewijslast ligt dus bij de eigenaar van de site, zo wordt hier gezegd.
Ik zelf ben er nog niet zo mee bezig maar hier bij de Telegraaf zijn er druk mee bezig. Bijvoorbeeld op www.telegraaf.nl wordt je al gewaarschuwd voor de cookies die op je PC opgeslagen wordt maar bij veel sites moeten ze het nog fixen.
