Sinds 5 juni 2012 is de zogenaamde Cookiewet van kracht geworden. Deze wet vereist dat bedrijven (lees: websites) die cookies plaatsen de bezoeker/gebruiker duidelijk en volledig moeten informeren en toestemming hiervoor moeten vragen. De OPTA zal op de naleving van de wet toezien en kan waarschuwingen geven en boetes opleggen.
Voor een duidelijke uitleg van de wet, de consequenties en te nemen stappen raadpleeg De handleiding Cookiewet van de DDMA en de wat uitgebreidere 'Cookie Compliance - Een praktische gids' van het IAB.
Om volledig aan de wet te voldoen zal de website op een aantal zaken aangepast moeten worden zodat wordt voldaan aan de informatieplicht (bijv. een popup tonen bij een eerste bezoek) en het verkrijgen van de toestemming (bijv. via een formulier of ook via een popup). Met name dit laatste is lastig en vereist enig onderzoek aan een (bestaande) website, bijvoorbeeld welke diensten van derden worden ingezet die mogelijk cookies plaatsen (Google Analytics, Facebook, Adwords en andere reclamenetwerken, etc.)
Sinds 5 juni 2012 moet elke website volledig aan de wet voldoen! Echter, er is veel twijfel en onduidelijkheid over de wet. Zelfs grote websites voldoen vaak alleen aan de informatieplicht en wachten af wat de markt en/of de OPTA gaat doen. Desalniettemin is het goed om iets te doen, namelijk te voldoen aan de meld/informatieplicht:
Voldoe aan de meldplicht per 1 juli 2012. Dit betekent dat er een pagina beschikbaar moet zijn waarin vermeldt staat welke cookies worden geplaatst, waarvoor ze dienen en wat ze opslaan.
Een duidelijke verwijzing naar deze tekst moet op elke pagina van de website aanwezig zijn. Het meest voor de hand liggende is om het 'Privacy statement' uit te breiden en de link er naar toe te hernoemen in 'Privacy en Cookie statement'.
Het cms en alle modules (op 1 na, zie hieronder) werken met functionele cookies die alleen nodig zijn voor de correcte werking van de modules en/of het gebruiksgemak van de bezoeker dienen.
De statistieken-module van het cms slaat 2 cookies op om het surfgedrag van de bezoekers te meten in algemene termen voor het tellen van aantal unieke bezoekers op de website en het vaststellen van de gemiddelde duur van een bezoek op de website.
De diensten van derde die op de website worden ingezet, zoals webanalytics (Google Analytics, Nedstat, etc.), reclamenetwerken (Adwords, Doubleclick, etc.), enquete-systemen, social-sharing buttons (Addthis), etc. kunnen ook gebruik maken van cookies.
Ook over deze cookies moet de bezoeker geinformeerd worden.
Voor elke website is het dus zaak om
Het is niet alleen voldoende om te informeren over het gebruik van cookies, de gebruiker moet ook actief en vooraf toestemming worden gevraagd voor het mogen plaatsen van niet-functionele cookies.
Deze toestemming kan worden verkregen door de bezoeker een pagina/overlay/popup/etc. te tonen met de juiste informatie en vraagstelling en de optie om wel/niet akkoord te gaan. Deze keuze kan vervolgens vast worden gelegd in een... cookie (functioneel, dus geen toestemming nodig).
Heel simpel voorbeeld:
Staat u toe om cookies te plaatsen? <a href="#" onclick="javascript:setCookie('cc_Ja', 1, 365);return false">Ja</a> <a href="#" onclick="javascript:setCookie('cc_Ja', 0, 365);return false">Nee</a>
Bovenstaande code zet een cookie met de naam cc_Ja die de waarde 1 heeft als de bezoeker akkoord gaat, of 0 als niet. De cookie wordt 365 dagen bewaard.
De toestemming kan in 1x voor alle cookies worden gevraagd, maar mag ook worden opgesplitst naar soorten cookies (zodat een bezoeker bijv. kan aangeven dat cookies voor eigen statistieken wel mogen, maar voor Google Analytics of een reclamenetwerk niet).
In de html/javascript van de website/vormgeving kan vervolgens worden bepaald of de toestemming is gegeven en kan de betreffende code worden vrijgeschakeld. Bijvoorbeeld voor Google Analytics:
<script type="text/javascript"> if (getCookie("cc_Ja")) { // Als toestemming, dan Google Analytics activeren... var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : http://www.); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); var pageTracker = _gat._getTracker("UA-12345-1"); pageTracker._trackPageview(); } </script>
Om te komen tot een generieke oplossing/aanpak is het W3C al langer bezig met de Do Not Track-standaard (DNT) die zeer waarschijnlijk nog in 2012 door alle browsers zal worden ondersteund en voldoet aan de wetgeving ten aanzien van de toestemming.
Via DNT kan een gebruiker via zijn browser instellen of niet-functionele cookies wel/niet zijn toegestaan (voor alle of bepaalde websites/domeinnamen). Als ingesteld zal de browser altijd de HTTP-header
DNT: 1
meesturen. Deze header kan de webserver/cms/applicatie uitlezen en op basis daarvan het wel/niet zetten van cookies regelen.
Het cms reageert ook al op deze header en zal deze automatisch beschikbaar maken in de vorm van een cookie met als naam DNT (met als waarde 1).
Als gezet, zal de statistieken-module van het cms automatisch geen cookies meer zetten.
Voor eigen doeleinden kan deze cookie uiteraard ook worden gebruikt in eigen code:
if (!getCookie("DNT")) { ... // Do Not track staat uit }
NB: zolang niet alle browsers/gebruikers deze optie kunnen zetten is het verstandig deze controle vooralsnog te combineren met een eigen cookie voor toestemming.