Nieuwe cookiewet door de Eerste Kamer
De cookiewet is dinsdag als hamerstuk aangenomen in de Eerste Kamer. Wanneer de wet precies in werking treedt is echter nog niet duidelijk.
De nieuwe wet bevat een belangrijke uitzondering. Cookies die informatie verzamelen over de kwaliteit van de website maar weinig of géén privacy gevolgen hebben voor de consument, kunnen straks zonder toestemming geplaatst worden. Dus ook analytics zoals het veelgebruikte Google Analytics. Voor cookies die niet onder de uitzonderingen vallen én voor het verzamelen van persoonsgegevens blijft de toestemming van de consument leidend.
Na veel ophef, met name over cookiemuren bij de publieke omroep, is er dan toch gekozen voor een wettelijk compromis, zegt Arnoud Engelfriet. Je mag nu zonder toestemming cookies plaatsen die de privacy niet of slechts een klein beetje schenden én je dat doet voor het doel “informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij”.
Recent publiceerde het Cbp een handreiking (pdf) over hoe je je aan de privacywet kunt houden en toch Google Analytics kunt inzetten. Je moet vier stappen nemen:
- Accepteer het “Amendement gegevensverwerking” in je Analytics-account (‘Beheer’ > ‘Account instellingen’ en dan helemaal onderaan);
- Blokkeer het meezenden van volledige IP-adressen (ga(‘set’, ‘anonymizeIp’, true);) en forceer als je toch bezig bent even SSL (ga(‘set’, ‘forceSSL’, true););
- Zet het delen van gegevens met Google uit (‘Beheer’ > ‘Account instellingen’ en dan vier instellingen uitvinken);
- Informeer je bezoekers in een cookieverklaring of privacyverklaring over je gebruik van Google Analytics.
Hiermee is je gebruik van Google Analytics zo privacyvriendelijk mogelijk, en onder de Wbp is het dan oké via de “eigen dringende noodzaak”-uitzondering. En kennelijk vinden we het in die situatie dan ook oké om te spreken van een “geringe inbreuk op de privacy”, zodat je je popup weg kunt laten als je daarmee werkt.
Ga je mensen over meerdere sites heen tracken dan blijft de cookiewet van kracht. Hetzelfde geldt voor andere analytics-achtige tools waarbij je wél IP-adresgebonden informatie logt en analyseert.