DE “COOKIEWET” EN AFFILIATE MARKETING
VOORWOORD Op 5 juni 2012 is de wetswijziging artikel 11.7a van de Telecommunicatiewet, ook wel de “cookiewet” genoemd, van kracht geworden. zanox-M4N wil affiliates en adverteerders graag ondersteunen met advies over deze wetgeving. Met dit document wil zanox-M4N laten zien wat - volgens ons - de eerste stappen zijn, nodig om aan de eisen van de cookie-bepaling te voldoen. Omdat nog onduidelijk is hoe de cookie-bepaling precies toegepast gaat worden, kunnen aan onze adviezen geen rechten worden ontleend. Wat wij kunnen doen is naar ons beste inzicht vertellen wat volgens ons de werking van artikel 11.7a Tw zal zijn. Uiteindelijk zullen het College Bescherming Persoonsgegevens, de OPTA en de wetgever bepalen wat wel en niet voldoet aan de eisen van de wet. zanox-M4N kan geen verantwoordelijkheid nemen voor wat affiliates en adverteerders doen, maar we willen graag zo goed mogelijk informatie leveren. Vragen kunt u sturen naar
[email protected].
ZANOX-M4N
2
WAT KUNT U NU AL DOEN? De eerste stap op weg naar de naleving van de nieuwe wetgeving is nagaan wat voor tracking-technologieën (bijvoorbeeld tracking cookies) er op uw eigen website actief zijn. U kunt bijvoorbeeld de tool Ghostery gebruiken om te zien wat voor “third party” technieken actief zijn. Daarnaast is het belangrijk om na te gaan wat voor technieken (bijvoorbeeld cookies) u zelf gebruikt, wat voor cookies uw eigen website plaatst, waar ze voor dienen, hoe lang ze actief zijn, en welke informatie ze opslaan. Deze informatie kunt u achterhalen via uw browser of IT-afdeling. Zorg dat u hiervan een lijst maakt. U kunt de verschillende technieken in verschillende categorieën indelen: (a) (b) (c) (d)
functionele cookies (bijvoorbeeld een cookie voor het winkelwagentje) performance cookies (waaronder affiliate tracking) analytische cookies (bijvoorbeeld Google Analytics) targeting cookies (voor retargeting)
Deze indeling kan in een volgende stap gebruikt worden om per categorie van cookies toestemming te vragen. De wet vereist dat de gebruikers geïnformeerd worden over de doeleinden waarvoor de cookies worden gebruikt alsook de doeleinden waarvoor de verzamelde informatie wordt gebruikt. Door een onderscheid te maken in categorieën kan onmiddellijk de informatie over deze doeleinden worden toegevoegd, bijvoorbeeld in een overzichtelijke tabel. Stel vervolgens een apart cookie-statement op (waarin u bovenstaande lijst en een omschrijving opneemt) en plaats deze op uw website. Dit cookie-statement dient duidelijk zichtbaar te zijn en makkelijk te vinden. Twijfelachtig is of de enkele opname van het cookie-statement in de footer van uw webpagina voldoende is. Het is ook belangrijk dat het cookie-statement in begrijpelijke taal geschreven is. De volgende stap is moeilijker, en is een uitdaging voor iedereen die cookies en andere technieken gebruikt. Dit is het verkrijgen van een geldige toestemming. De gebruiker moet een bewuste, specifieke en op voldoende informatie gebaseerde keuze kunnen maken om de toepassing van tracking-technieken (zoals cookies) te accepteren. Hoe dat precies moet gebeuren heeft de wetgever of de handhavende instantie, de OPTA, niet gezegd. Het is aan de branche om hier oplossingen voor te vinden. Daarbij is het natuurlijk belangrijk om de gebruikerservaring zo min mogelijk te verstoren. De wetgever heeft daarbij aangegeven dat toestemming voor meerdere technieken of meerdere gevallen in één keer kan worden verkregen. Het is niet noodzakelijk om voor gebruik van elke cookie een pop-up te tonen om de toestemming te krijgen. zanox-M4N kan nu nog geen technische oplossingen bieden of advies geven over welke
ZANOX-M4N
3
methode voor het verkrijgen van toestemming het best voldoet aan de wetgeving, aangezien nog weinig bekend is over hoe deze wet toegepast zal gaan worden. Wij zullen u zo spoedig mogelijk informeren als wij meer duidelijkheid en een oplossing hiervoor hebben.
ZANOX-M4N
4
UITLEG VAN DE WETGEVING Welke regels golden tot 5 juni 2012? Vroeger was artikel 5 lid 3 e-Privacy Richtlijn niet geïmplementeerd in de Tw maar in artikel 4.1 van het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE). Op grond van het eerste lid van dit artikel diende eenieder die “via het internet toegang wenst te verkrijgen tot de gegevens die zijn opgeslagen op de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan op de randapparatuur van een gebruiker” daartoe
voorafgaand aan het plaatsen dan wel de toegang, de gebruiker op een duidelijke en nauwkeurige wijze te informeren omtrent de doeleinden waarvoor men de informatie wenst te plaatsen dan wel te gebruiken; en
aan de gebruiker op voldoende kenbare wijze gelegenheid te bieden de desbetreffende handeling te weigeren.
In de praktijk voldeed men aan de bovenstaande verplichtingen door in het privacystatement een cookie-bepaling op te nemen waarin gebruikers op algemene wijze geïnformeerd werden over de doeleinden waarvoor cookies werden gebruikt en de wijze waarop cookies konden worden geweigerd via de browserinstellingen. Wat meteen opvalt, is dat het artikel niet verwijst naar “cookies” maar “toegang tot gegevens die zijn opgeslagen op de computer van een gebruiker dan wel gegevens die worden opgeslagen”. Het artikel was dus niet enkel van toepassing op het gebruik van cookies. De bovenstaande verplichtingen golden niet ten aanzien van cookies die gebruikt werden met als uitsluitend doel om (a) de verzending van communicatie over het internet uit te voeren of te vergemakkelijken, of om (b) de door de gebruiker gevraagde dienst van de informatiemaatschappij te leveren en het gebruik van cookies daarvoor strikt noodzakelijk was. Kortom, de zogenoemde “functionele” cookies – die bijvoorbeeld toelaten om een virtueel winkelwagentje te onthouden – zijn dan ook van de regels opgesomd in het eerste lid van artikel 4.1 BUDE uitgezonderd. Wat verandert er vanaf 5 juni 2012? Met de wijziging van artikel 5, lid 3 e-Privacy Richtlijn is het niet langer voldoende om een gebruiker op voldoende wijze de gelegenheid te bieden om cookies te weigeren. Volgens het nieuwe artikel 11.7a lid 1 Tw, dient eenieder eerst toestemming te verkrijgen van gebruikers voordat zij cookies kunnen opslaan op de randapparatuur van gebruikers of toegang kunnen krijgen tot de opgeslagen cookies. We gaan dus van een opt-out naar een opt-in situatie. Ook geldt de eis dat het plaatsen en uitlezen van cookies slechts is toegestaan wanneer de gebruiker wordt voorzien van duidelijke en volledige informatie in overeenstemming met de Wet bescherming persoonsgegevens, en in ieder
ZANOX-M4N
5
geval over de doeleinden waarvoor de informatie wordt opgeslagen of waarvoor toegang tot de informatie wordt verkregen. Artikel 11.7a Tw rept opnieuw met geen woord over “cookies”. Artikel 11.7a Tw is van toepassing op eenieder die “toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker.” Het toepassingsgebied is dus ruimer dan enkel het gebruik van cookies en gaat dus over alle mogelijke manieren waarop informatie over gebruikers kan worden ingewonnen (bijvoorbeeld device fingerprinting), en beslaat alle mogelijke apparaten waarop dat kan gebeuren ( bijvoorbeeld computer en mobiele telefoons). Dit wordt duidelijk in het tweede lid van artikel 11.7a Tw. De toestemming van de gebruiker – waarnaar hierboven verwezen wordt – moet een “vrije, specifieke en op informatie berustende wilsuiting zijn.” Wil de toestemming specifiek en op informatie berustend zijn dan moet de gebruiker vóór het plaatsen van de cookie geïnformeerd worden over de doeleinden waarvoor de cookies worden gebruikt. Met andere woorden: die doeleinden moeten dus ook aan de gebruiker of bezoeker verteld worden. Over de manier waarop een geldige toestemming kan worden verkregen is op dit moment nog veel onduidelijkheid. “Functionele” cookies blijven nog steeds van het toepassingsgebied van artikel 11.7a Tw uitgezonderd. Wat verandert er vanaf 1 januari 2013? Vanaf 1 januari 2013 wordt ook het gedeelte van kracht waarin staat dat “een handeling als bedoeld in 11.7a, eerste lid Tw die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden, wordt vermoed een verwerking van persoonsgegevens te zijn, als bedoeld in artikel 1, onderdeel b, van de Wet bescherming persoonsgegevens.” Met andere woorden: het verzamelen van gegevens over surfgedrag op meerdere websites ten behoeve van behavioural advertising wordt vermoed een verwerking van persoonsgegevens te zijn waarop de Wet bescherming persoonsgegevens van toepassing is. Het is aan de verzamelende of verwerkende partij om aan te tonen dat dit niet het geval is.
ZANOX-M4N
6
zanox-M4N | Wibautstraat 129 | 1091 GL | Amsterdam +31 20 555 8900 |
+31 20 555 8999 |
[email protected]
www.zanox.com | blog.zanox.com/nl | wiki.zanox.com ZANOX-M4N
7