First party analytische cookies zullen onder voorwaarden worden toegestaan

In een brief aan de Tweede Kamer heeft Minister Kamp van Economische Zaken laten weten met OPTA te overleggen over versoepeling van de cookiewet.

Dit naar aanleiding van het algemeen overleg van 21 november 2012 met de Vast commissie voor Economische Zaken, waarbij is gesproken over de praktische gevolgen van de cookiewet. Daarbij werd voorgesteld om first party analytische cookies ook onder de uitzonderingen van de cookiewet te laten vallen, althans t.a.v. het toestemmingsvereiste. First party analytische cookies zijn cookies die uitsluitend gegevens over het gebruik van de eigen website verzamelen, ten behoeve van het verbeteren van de werking van die website.

Een goed idee, want first party analytic cookies zijn niet tot nauwelijks privacygevoelig. In juni van dit jaar constateerde de Europese Artikel 29 Werkgroep dat al. Minister Kamp erkent dit nu ook, mits er wordt voldaan een bepaalde voorwaarden:

  • het moeten dus cookies betreffen die uitsluitend worden gebruikt om gegevens over het gebruik van de eigen website te verzamelen, ten behoeve van het verbeteren van de werking van de site;
  • het moet een geanonimiseerde gegevensverzameling betreffen;
  • de gegevens mogen niet gedeeld worden met derde partijen;
  • de cookies mogen geen negatieve gevolgen voor de privacy van de gebruiker hebben;

De Minister zal nog in overleg treden met de OPTA om deze voorwaarden verder uit te werken. Als aan die voorwaarden wordt voldaan, dan zal geen toestemming vereist zijn. Overigens dient de websitehouder dan nog altijd wel de gebruiker te informeren over het gebruik van deze cookies in haar cookiebeleid. De versoepelde voorwaarden zullen worden gepubliceerd op de website van de OPTA.

 

Update: geldt dit nu ook voor Google Analytics?

Vooralsnog niet. De artikel 29 Werkgroep stelt dat onder first party cookies het volgende moet worden begrepen:

““first party cookie” will be used to refer to a cookie set by the data controller (or any of its processors) operating the website visited by the user, as defined by the URL that is usually displayed in the browser address bar.

Oftewel: alleen cookies die de websitehouder zelf plaatst, of anderen in opdracht van de websitehouder. In dat laatste geval moet er wel sprake zijn van een bewerkersovereenkomst.

““third party cookie” to describe cookies that are set by data controllers that do not operate the website currently visited by the user

Oftewel: andere verwantwoordelijken, die zelf ook doelen/middelen vaststellen voor de verwerking van de gegevens, en/of die via een ander domein dan de website cookies plaatsen, zijn third parties.

Tenzij je afspreekt met Google dat zij de gegevens alleen voor jou mogen verzamelen, zal Google Analytics dus third party cookies betreffen. Google zet de verzamelde gegevens immers ook in voor haar andere diensten en kan daardoor niet vallen onder de definitie van “first party” cookies. Stel nu dat je toch zou kunnen afspreken met Google dat ze de gegevens niet voor haar eigen diensten mag gebruiken en alleen voor jouw website? Dan kan er wellicht wel sprake zijn van “first party” cookies, maar ook dan zou je toestemming nodig hebben: De “voorwaarden van Kamp” -stellen dat je de gegevens niet mag delen met anderen, dus ook niet met Google zelf (ook al is dat alleen voor jouw eigen site).

Over Wouter Dammers advocaat

Advocaat in softwarerecht en privacyrecht, met name op het gebied van contracten en compliance

Er zijn 53 reacties

  1. Wouter, hoe verhoudt zich tot het eerdere nieuws m.b.t. de aanpassing van de Cookiewet per 1 januari 2013? http://orangevalley.nl/wijziging-cookiewet-op-1-januari-2013/ ? Ik kan het nu niet meer volgen …

  2. Hoi Rene,

    Dat staat hier los van. Per 1 januari gaat enkel een ‘bewijsvermoeden’ van kracht dat er bij trackingcookies wordt vermoed dat er sprake is van verwerking van persoonsgegevens waardoor (ook) de Wet bescherming persoonsgegevens van toepassing zal zijn op de gegevensverwerking via de cookies. Maar 9 van de 10 keer zal er al sowieso sprake zijn van verwerking van persoonsgegevens, dus heb je al te maken met de Wet bescherming persoonsgegevens. Meer over de gevolgen per 1 januari kan je hier lezen: https://cookierecht.nl/juridisch-weblog/de-cookiewet-is-nu-al-van-kracht-en-niet-pas-1-januari-2013/

    De voorgestelde versoepeling waar mijn blogbericht over gaat zal nog niet per 1 januari gaan gelden – eerst zal Minister Kamp “op korte termijn” overleggen met de OPTA.

  3. Dus grote kans dat je bij [onaangepast] gebruik van Google Analytics nog steeds melding moet doen bij College Beschermking Persoonsgegevens? Ik zeg bewust [onaangepast] want ik meen dat als je Google Analytics geanonimiseerd gebruikt dat je dan weer geen melding hoeft te doen?

  4. Even een update aangebracht in het blogbericht, om gelijk antwoord te geven op de vraag of dit nu ook geldt voor Google Analytics… (nee dus).

    @Rene: De voorwaarden van Kamp zien alleen op het toestemmingsvereiste onder de cookiewet, en niet op de meldingsplicht onder de Wbp. Die geldt dus onverkort.

  5. En wat nu als in Google Analytics de anonymize IP functie actief is?

  6. Lijkt mij ook niet, Wouter. Technisch gezien zijn GA cookies first party, want ze komen vanaf jouw domein. Maar de informatie gaat naar servers van Google.

    Wel intrigerend is wat je schrijft “Stel nu dat je toch zou kunnen afspreken met Google dat ze de gegevens niet voor haar eigen diensten mag gebruiken en alleen voor jouw website?”

    Google heeft opties om het delen van informatie te beperken, en ook kun je IP-adressen anonimiseren. Zouden die twee genoeg zijn om onder de artikelnegenentwintiguitzondering te vallen?

    Verder heb je een bewerkersovereenkomst met Google nodig als je hun Analyticsdienst voor jouw bezoekers inzet. Dat is een Wbp-schending anders.

  7. Een oplossong is wellicht een server-side implementatie van Piwik analytics. Dan heb je zelf de data in de hand die je niet deeld en je werkt ganonimiseerd.

  8. @Arnoud: ik meen van niet. De beperking “delen van informatie” betreft enkel het beperken van delen van informatie t.a.v. andere Google diensten. De gegevens worden nog altijd met Google zelf gedeeld. Daarmee wordt niet voldaan aan de Voorwaarden van Kamp.

    Nog los van het feit dat je dus een bewerkersovereenkomst nodig zou hebben…

    @Desiré: ook met alleen het anonimiseren kom je er dus niet. (Ook niet met zowel beperken van delen info als met anonimiseren)

    @Rene: Piwik zal hier inderdaad wel onder vallen.

  9. @Wouter: Google zegt zelf

    If no options are enabled, your data will be excluded from any process that isn’t specifically related to operating and improving Google Analytics or protecting the security and integrity of the data.

    De opties moet je wel apart allebei uitzetten, maar hier zegt Google toch dat het /nergens/ mee wordt gedeeld tenzij technisch nodig voor GA of de security daar omtrent?

  10. “any process that isn’t specifically related to operating and improving Google Analytics ”

    Dus: wel voor ieder proces dat wel gerelateerd is aan het gebruik en verbeteren(!) van Google Analytics. Daarmee worden nog steeds de gegevens gedeeld met Google, lijkt me.

  11. Je bent cynischer dan ik ;) Ik las dat als “de interne processen van GA voor het verwerken en verbeteren”. Maar dat staat er niet, en Google kan inderdaad zeggen dat het koppelen aan je Gmail inbox een vorm van “verbeteren” is.

  12. Het zou als een Instagrammetje kunnen werken, die bepaling ;-)

  13. Wel lastig hoor… Overal barst de discussie los of en onder welke omstandigheden GA beschouwd moet worden als 1st party of 3rd part cookie. Als jullie er onderling al niet uit zijn ;-)

  14. @Rene: Nee hoor, wij zijn er al over uit dat GA geen first party cookies zijn, zeker vanwege het ontbreken van een bewerkersovereenkomst. Het ging nog even om de (zo goed als hypothetische) situatie dat je toch zo’n overeenkomst zou kunnen sluiten: zou je dan toch nog onder de “Voorwaarvan van Kamp” kunnen vallen? Uitkomst: nee dus.

  15. Dan lijkt de politiek het WEER eens niet te snappen: https://twitter.com/KeesVee/status/281783991756025856

  16. Zie daar toevallig dat Jeroen Terstegge (de Anton Geesink van de Wbp) ook vindt dat Google bewerker is en dat het daarom fout gaat: https://twitter.com/PrivaSense/status/281786775830134784

  17. Jullie brengen zo wel extra verwarring over 1st en 3rd party. De afgelopen 20 jaar werd dit verschil op technische gronden bepaald, en nu opeens op juridische gronden. Ik denk dat je daar andere termen voor moet bedenken.

    Een cookie die op het domein van de bezochte site geplaatst wordt is technisch per definitie 1st party. Dat hij juridisch als iets anders gezien wordt zou best kunnen, maar ik zou het anders noemen.

    • Wij hebben het niet bedacht hoor André…. Ook wij vinden het vervelend dat dit verschil in technische en juridische benadering zoveel verwarring veroorzaakt. Daarom proberen we het ook zoveel mogelijk uit te leggen via onze blogs en adviezen.

  18. Noem het dan [1st/3rd] party cookies geplaatst door [de site zelf/derden] (doorhalen wat niet van toepassing is).

  19. @André: Technisch zijn de GA cookies first party maar ze zorgen wél voor dataoverdracht naar een third party. Ik vind het wezenlijk verschillend van bv. Piwik, waarbij alles onder de controle van de first party blijft. Jij niet?

  20. Ja, helemaal mee eens, daarover bestaat ook geen twijfel. Alleen in de manier van communiceren wordt technisch 1st en 3rd party samen met juridisch 1st en 3rd gebruikt, dat schept verwarring aangezien men dan niet meer weet wat er nou met 1st en 3rd bedoeld wordt.

  21. Hoe noemen we het dan? Outsourced first party? Semi-third party?

  22. @Arnoud Dat Google een first party cookie gebruikt staat los van data-overdracht naar Google. Je kan ook zonder cookies te gebruiken data naar Google sturen. Of een first party cookie zetten zonder data-overdracht naar Google. Door die data-overdracht wordt een first party cookie toch niet ineens een third party cookie?

    • Klopt, maar als we gaan zeggen “first party cookies mogen” dan lijkt dat te impliceren dat Google Analytics ook mag. Dat zijn immers first-party cookies. Ik zocht dus naar een term die duidelijk maakt dat op zich het cookie first party is maar er wel data naar een third party gaat.

  23. Een leuke en interessante discussie hier. Maar de discussie wordt m.i. wel een beetje te juridisch/technisch.

    Wat ik mis is de intentie van deze wijziging. En dat is dat de gewone internetter geen last heeft van al die cookie popups die eigenlijk niks verkeerd doen.

    Als Google Analytics (die door gigantisch veel websites wordt gebruikt) niet onder de uitzondering valt, had je net zo goed niets kunnen wijzigen.

  24. Wouter, zullen we eerst even de definitieve criteria van OPTA afwachten? De brief van Kamp laat m.i. voldoende ruimte om GA onder uitzonderingen te brengen, maar vooralsnog ligt OPTA nog dwars (volgens Webwereld). Maar die reactie vond ik wat kort door de bocht.

    • Ik wacht met je mee! Bovenstaande is mijn visie op de voorwaarden zoals genoemd in de brief, op basis van de huidige regelgeving en uitleg. Ik ben net zo benieuwd hoe het er daadwerkelijk uit komt te zien, en of Google Analytics wellicht (toch) nog wordt toegestaan zonder het verkrijgen van toestemming.

  25. Willen jullie aub opletten met verwarring over first en third party cookies…. Google Analytics zet zoals nagenoeg elk webanalytics pakket first party cookies. Je zet zelf een script op jouw domein dat wordt uitgevoerd wanneer jouw domein wordt opgevraagd en ook namens jouw domein een cookie plaatst. Zoals Andre aangeeft: dat is een first party cookie. Dat de script library wordt opgehaald van een extern domein, dan maakt niet uit, het wordt daar niet uitgevoerd. Google kan zelf niet bij het cookie. Alleen script op jouw domein kunnen dat.

    Andere verhaal is de “derde partij”. Intentie lijkt mij het feit dat je wilt voorkomen dat partij A data verkoopt aan partij B (jouw website bezoekdata aan een andere website). Ligt aan de definitie derde partij. De SaaS analytics leverancier of het bureau dat jij inhuurt voor jouw website lijkt contractueel af te dichten, maar dat weten jullie beter. Data opslag bij Google met daarbij uitvinken van deelbaarheid (en gebruik van anoniem IP) lijkt gezien de reactie van Kees Verhoeven ook in kannen en kruiken.

    Vraag me wel af of we nog wel opt-out moeten aanbieden of dat dat niet meer hoeft.

  26. Dat lijkt mij ook de intentie van de wet ja: het niet verkopen van de informatie aan een 3e partij. In de brief staat wel als voorwaarde “het niet delen van de gegevens met derden”. Als de minister gaat praten met de OPTA moet dan blijken wat ze verstaan onder “delen”. Strikt genomen deel je het natuurlijk met Google, dat lijkt me niet echt een discussiepunt. De vraag is of dat erg is voor de wet. Als je inderdaad bij Google (of met welke andere partij dan ook) kan instellen dat zijn niets doen met die data of kan vastleggen dat ze er verder niets mee doen dan is dat op zich ok. Probleem is alleen dat je dat als gebruiker van de website helemaal niet weet of kan controleren. De data staat bij Google, maar hoe weet ik als website bezoeker dan wat er is afgesproken tussen Google en de website? Zoiets kun je dan natuurlijk vastleggen in een cookiebeleid, maar dat is dus bij bezoek van de site niet direct duidelijk.

    Als Google helemaal niets met je gegevens mag doen is dat ook het punt waarop het voor Google totaal oninteressant is geworden om het gratis aan te bieden (if you’re not paying for the product, you’re the product).

  27. Mensen, besteed toch geen aandacht aan die juristen hier. Die bekijken de dingen op een totaal andere manier en hanteren een FUD strategie; Fear, Uncertainty and Doubt. En wat doe je als je daar gevoelig voor bent? Een jurist inhuren misschien? Ze denken het allemaal precies te weten, maar het zijn allemaal persoonlijke interpretaties en niets gebaseerd op objectieve informatie of jurisprudentie.

    Mijn persoonlijke interpretatie is dat Google Analytics met ip-anonimisering en zo ingesteld dat de data niet met Google worden gedeeld geen enkel probleem is onder deze wet met de laatste aanpassing. Laat de Opta maar komen, maar het lijkt me nu wel duidelijk dat die zich op andere cookies zullen gaan richten, zoals van advertentienetwerken en retargeting.

    Piwik is vanwege de uitgebreide tracking en profiling functies in handen van grote commerciële mediabedrijven vele malen gevaarlijker voor onze privacy dan Google Analytics.

  28. Arnoud schreef: Zie daar toevallig dat Jeroen Terstegge (de Anton Geesink van de Wbp) ook vindt dat Google bewerker is en dat het daarom fout gaat: https://twitter.com/PrivaSense/status/281786775830134784

    Zo lang Google bewerker is (en dus geen verantwoordelijke en dus niet zelf doeleinden voor verwerking bepaalt) dan is volgens WP 29 toestemming niet vereist (mits ook aan andere voorwaarden wordt voldaan).

    Brief Kamp bevat een paar rare kronkels:
    1. de eis van anonimiteit (WP 29 heeft het over niet gebruiken IP adres). Is daarmee hele privacy issue niet al verdwenen?
    2. Waarom mag je deze anonieme (WP 29 heeft het ook over geaggregeerde) gegevens niet delen met derden? (Wp 29 heeft het niet over delen met derden, maar over wie in de zin van Wbp verantwoordelijke is en wie bewerker). Volgens die redenatie mag De Volkskrant ook geen oplagecijfers delen met adverteerders, mag adverteerders niet worden verteld in welke postcode gebieden hun abonnees zijn geconcentreerd. En ga zo maar door met vergelijkebare data die als dezelfde eisen in analoge wereld worden gesteld iedereen je voor volkomen gestoord uitmaakt (en terecht). Maar internet begrijpen we niet dus moeten we alles maar verbieden.
    3. Waarom moet de Wetgever zich laten voorlichten door de Toezichthouder? Vormt dat niet een kleine botsing met de Trias Politica? Hallo scheiding der machten? OPTA heeft al laten zien een hele andere (veel strengere en op punten met de wet strijdige) interpretatie aan de wet te geven. Lijkt me daarmee juist niet de aangewezen partij om mede te bepalen waar de grens wordt getrokken.

  29. @Rolf: wat een ongenuanceerde reactie? De juristen geven een stukje duiding op het nieuwe voorstel, en daaruit blijkt inderdaad dat er nog geen exacte interpretatie gegeven kan worden. Het is daarbij de overheid die FUD in de hand werkt en niet de juristen…

    En waarom zou Piwik gevaarlijker zijn dan Google Analytics? Voor zover ik het zie bieden ze beide veel dezelfde mogelijkheden voor het meten van individuen. Daarbij heeft Google nog de troef in handen dat ze het inladen van de ga.js van iedereen kunnen zien en ze je dus in Nederland op 95% van de sites kunnen volgen…dat zie ik Piwik nog niet doen. Dit gebeurd nu ook bij Facebook die je als individu ook kan volgen op alle sites waar Facebook widgets (like knoppen) staan, zelfs als je uitgelogd bent.

    Ik ben het wel met je eens dat gezien de intentie van het nieuwe voorstel de analytics cookies buiten schot zullen blijven.

  30. We gaan weer afwachten en doet m.i. nu toch kunnen, waarom verder kosten maken voor implementatie na deze nieuwe onduidelijkheid. Hoewel de richting wel helder is: first party cookies zijn ok – meten en verbeteren van je eigen winkel op basis van niet 1 op 1 data mag zonder opt-in.

    Qua bewerker: als dat uberhaupt een issue is: Google plaatst immers niet het cookie. Het cookie wordt geplaatst door een script dat wordt geactiveerd omdat ik dat script op mijn website plaatst (uitlezen idem). Daarnaast kan ik zonder problemen zelfs die script library op mijn eigen server zet, waardoor er geen scripts vanaf derde domein draaien. Google is vanuit die kant gezien (qua cookie) geen bewerker).

    Google krijgt data binnen (omdat wij die sturen) en slaat deze op. Enige issue blijft dan opslag van data bij Google is, maar daar zijn m.i. genoeg afspraken over? Hoor het graag. Controle op het daadwerkelijk niet delen van data met anderen door Google zal een ander issue zijn. Maar ook daar zijn afspraken over te maken (of misschien al gemaakt).

  31. @andre die ga.js wordt door de meeste browsers gewoon gecached hoor. Google ziet de eerste opvragen, maar de 38 andere sites waar jij langs komt niet meer hoor op die manier. Hoewel ze het zelf qua up to date blijven afraden zorgt lokaal plaatsen dan ook voor het ontnemen van de mogelijkheid dat Google alsnog stiekem third party zaken gaat ondernemen: http://support.google.com/analytics/bin/answer.py?hl=en&answer=1032389

  32. Dat weet ik, maar een caching header is zo aan te passen, ik noem alleen het gevaar wat zich zou kunnen voordoen ;)

  33. dus lokaal hosten :-) Dan vraag je alleen die utm pixel nog op. Kunnen ze in de brieven dat niet gewoon allemaal technisch uitwerken? ;-)

  34. Kijk wat D66′er Kees Verhoeven erover tweet: https://twitter.com/KeesVee/status/281756840403017728 ….

  35. @Ton: Punt bij Google Analytics is dat, ondanks alle mooie instellingen die ze aanbieden m.b.t. het delen van data ze gewoon in hun gebruiksvoorwaarden afdwingen dat jij die data met hun deelt. Duidelijker dan in artikel 6 is het volgens mij niet te verwoorden: http://www.google.com/analytics/terms/nl.html
    Zolang Google zijn gebruikersvoorwaarden voor analytics niet verandert, lijkt het me juridisch niet echt houdbaar om te beweren dat je geen data deelt met Google.

  36. @Roger artikel 6 van de voorwaarden van Google en de data die zij gebruiken betreft m.i. in de eerste regels de data die ontstaat doordat jij de tool gebruikt. Qua klantdata staat vooral dat Google het niet zal delen met derden. Er wordt ook niet benoemd dat zij deze zelf gebruiken. Dit is echter het terrein van juristen. Er zal vast al eens een onafhankelijke audit zijn geweest / of komen om te bepalen of Google hier goed mee om gaat.

  37. Korte vraag: Als ik als hosting partij een Piwik opzet voor mijn klanten en die een login per site geef, hoe werkt dat dan?
    De cookies zijn first party, maar zijn er dan andere zaken waar we op moeten letten?

  38. De belangrijkste eis is dat elke klant een eigen, afgeschermde database heeft. Er mag geen data worden gedeeld, en ook mogen anderen (inclusief jijzelf) geen data van een klant op kunnen vragen. Jij mag wel op verzoek van de klant in zijn database voor technical support en dergelijke.

    Piwik heeft verder een aantal instellingen mbt privacy, die zijn op zich vrij aan te passen maar het kan mooie service zijn als je het op voorhand al privacyvriendelijk oplevert:
    - IP anonimisatie
    - logs wissen na zes maanden
    - “Do not track” aan laten staan

    Verder moeten je klanten een privacypolicy/cookiepolicy hebben, maar daar kun jij weinig aan doen.

  39. Ik ben op zoek naar een lijst met analytics pakketten die zonder opt in gebruikt kunnen worden. Als ik het goed begrijp zou een Piwik een dergelijke oplossing zijn, maar er zijn er vast meer!

  40. Dag Arnoud,

    Bedankt voor je antwoord, ik was vergeten een email notificatie aan te vinken.
    Een Piwik per klant is technisch geen grote uitdaging, maar wel jammer van de duplicatie aan installaties en het aantal databases.
    Omdat het ook veiliger is (een klant kan alleen inloggen en bij zijn eigen gegevens) is het uiteindelijk wel de betere optie.

    Bedankt voor de link met standaard privacy instellingen. Een hoop had ik daar zelf al van ingesteld (ik haal alleen de laatste byte van de IP’s af omdat anders geolocation niet goed werkt)

  41. Dag Arnoud,

    Toch een kleine aanvullende vraag; Waarom moet elke klant een eigen database hebben? Piwik heeft de optie om elke gebruiker alleen toegang te geven tot zijn / haar eigen websites. Het verschil is vrij klein tussen 1 grote database.

    Ik kan me voorstellen dat er mogelijk gaten zitten in de software waardoor misschien een klant zich toegang zou kunnen verschaffen tot data van anderen (daarom is op tijd updaten van belang, iets wat makkelijker is met 1 centrale installatie). Dit bezwaar geld ook voor de onderliggende database software. Het lijkt me niet dat de wet verplicht dat elke klant ook fysiek zijn data ergens anders heeft staan

  42. Je hebt gelijk, het is goed genoeg als de klant alleen zijn eigen data kan zien. Een fysiek gescheiden installatie is niet verplicht, mits je het technisch dan kunt afschermen (wat met een typische database wel moet lukken).

  43. Bedankt voor de aanvulling, Arnoud. Ik ga dit alles eens wat beter testen

  44. Na uitgebreid testen merk ik dat Google Analytics zelf geen cookie plaatst of gebruik maakt van localstorage. Dus ik zie geen reden tot het vragen van toestemming. Of gaat de ‘cookiewet’ niet over cookies?

  45. Ik verbaas me over hoe weinig AdSense in dit verband genoemd wordt. Veel sites zijn voor hun voortbestaan daarvan afhankelijk. Voor mij is het belangrijk dat ik AdSense kan blijven plaatsen, veel belangrijker van Analytics. Mis ik dan de point? Moet ik AdSense misschien onder dezelfde noemer hangen als Analytics? (Ik zie bijvoorbeeld bij de Volkskrant dat zij al AdSense plaatsen voordat ik expliciet met cookies ingestemd heb.)

  46. Cookies voor AdSense zullen hoe dan ook toestemming blijven vereisen. Daar is de wet voor gemáákt: het opbouwen van profielen van bezoekers via cookies voor advertenties op maat is heel eng, in de Europese privacygedachte.

    Discussie is mogelijk over randverschijnselen zoals social media cookies of Analytics. Maar als je zegt, ik wil Adsense plaatsen zonder toestemming dan moet de hele wet terug naar wat ‘ie was met een opt-out.

  47. @ Arnoud: Je bent nogal stellig. Hoe weet je zo zeker wat er gaat gebeuren? Je beeld van Adsense klopt namelijk niet helemaal. Het opbouwen van een profiel gebeurt door remarketing (of retargeting als het om niet-Google advertenties gaat) maar Adsense wordt in het merendeel van de gevallen gebruikt voor contextueel adverteren, dat betekent het plaatsen van advertenties op basis van de inhoud van de webpagina en niet op basis van het profiel van de bezoeker. Daar is zelfs helemaal geen profiel van wie dan ook voor nodig; het is een hele goede manier van adverteren en helemaal niet ‘eng’. De cookies die daarvoor gebruikt worden voorkomen dat iemand dezelfde advertentie 100 keer ziet (frequency cap) zodat minder irritatie optreedt, dat heeft helemaal niets met profileren te maken. Stellen dat Adsense cookies hoe dan ook in alle gevallen toestemming nodig hebben lijkt me wat voorbarig. Zonder remarketing verwacht ik juist geen problemen. Wat betreft remarketing en retargeting heb je denk ik helemaal gelijk.

  48. Goed punt, ik ging wat snel van Adsense naar profiling. Maar de cookiewet is generieker: élk cookie vereist toestemming, ook als het niets doet met de privacy. Behalve de cookies die een door de gebruiker gewenste dienst realiseren (webwinkel, onthouden settings). Een frequency capping cookie valt daar niet onder.

    Aanpassen van de cookiewet zodanig dat “nuttige functionaliteit” zoals Analytics uitgezonderd wordt, zou wellicht ook frequency capping kunnen dekken.

  49. Ben ik helemaal met je eens. Als frequency capping zonder toestemming niet meer mag dan verwacht ik dat veel adverteerders het liever weglaten; dan maar geen cookie. En dat lijkt me dan weer niet in het belang van de consument. Maar ja, de wetgever doet wel vaker dingen zonder over de gevolgen na te denken, dat bewijst deze wet wel weer :)

Plaats een reactie

Uw reactie wordt onder bovengenoemd artikel geplaatst. ICTRecht behoudt zich het recht voor om reacties te verwijderen. Alle reacties zijn te allen tijde voor verantwoordelijkheid van de inzender.