Vandaag is de cookiewetgeving van kracht geworden.
zie: http://www.antwoordvoorbedrijven.nl/wet ... g-internet
en ook: http://www.rijksoverheid.nl/documenten- ... rking.html

Ik ben wel benieuwd hoe jullie daar mee omgaan, het expliciet toestemming vragen voor de cookie en ook voor bijvoorbeeld Analytics en aanverwante producten.

Lastig inderdaad, want bijvoorbeeld widgets voor KiyOh en Facebook zetten allemaal cookies. En dat niet alleen voor hun eigen domeinen, maar vervolgens vaak ook voor derden, bijvoorbeeld Google via Google Analytics.

Gelukkig geldt er tot 1 januari 2013 een overgangsregeling.

Antwoord voor bedrijven schreef:De cookiebepaling geldt sinds 5 juni 2012. Pas vanaf 1 januari 2013 moet u bij het gebruik van cookies, waarmee surfgedrag wordt gevolgd, kunnen aantonen dat u geen persoonsgegevens verwerkt. Tot 1 januari 2013 moet in beginsel de toezichthouder dit aantonen.

Dus OPTA komt op de site... bekijkt de bron, ziet dat Google gezet word neemt screenshot van de bron et voila...

Ligt eraan hoe je Analytics inzet.

Google heeft sinds een jaar de anonymize-functie toegevoegd. Als een webmaster deze code toevoegt aan zijn Analytics-configuratie, worden geen IP-adressen meer naar Google gestuurd. Het laatste octet van het IP-adres (de 55 in 192.168.1.55) wordt verwijderd, zodat tracking op individueel niveau technisch onmogelijk wordt.

_gaq.push (['_setAccount', 'UA-XXXXXXX-YY']);
_gaq.push (['_gat._anonymizeIp']);
_gaq.push (['_trackPageview']);

Dat lijkt me geen waterdichte oplossing. De nieuwe wet kent twee hoofdregels: informeren en vooraf toestemming verkrijgen. Met het gedeeltelijk verbergen van een IP-adres wordt nog niet voldaan aan de tweede vereiste.

Je moet inderdaad de bezoekers ook nog vooraf informeren. Dat kun je eenvoudig door een js scriptje doen. Een voorbeeld hiervan is de telegraaf al voldoet die nog niet geheel aan de wettelijke voorwaarden.

Met de code voldoe je in het geval van Google Analytics aan een belangrijke bepaling "Pas vanaf 1 januari 2013 moet u bij het gebruik van cookies, waarmee surfgedrag wordt gevolgd, kunnen aantonen dat u geen persoonsgegevens verwerkt". Door het IP-adres te anonimiseren worden geen persoonsgegevens verwerkt.

Met het gedeeltelijk verbergen van een IP-adres wordt nog niet voldaan aan de tweede vereiste.

Je hoeft ook niet toestemming te vragen als je geen persoongegevens verwerkt.

dat is niet juist
je mag gewoon niet zomaar een cookie plaatsen

Met google analytics ben je er ook niet zomaar:
http://blog.iusmentis.com/2012/05/25/ma ... cookiewet/

http://www.rijksoverheid.nl/onderwerpen ... et-cookies

Hier staat dat cookies die noodzakelijkzijn voor communicatie of het leveren van dienstem noodzakelijk ijn wel mogen. Zoals voor een winkelmanje

Ik vind het nog niet helemaal duidelijk allemaal (maar ik ben niet de enige geloof ik?!).

Mijn webwinkel plaatst 3 categorieën cookies:
1. de site zelf plaatst cookies die noodzakelijk zijn voor het functioneren van de shop. Zonder dat loopt het in soep. Dus het gaat hier om het herkennen van de bezoeker, zodat de site 'weet' wat er in zijn mandje zit, wat zijn taalvoorkeur en schermresolutie zijn. Als ik het goed begrijp, hoef ik hiervoor geen toestemming vooraf te vragen, maar ben ik dit wel verplicht te vermelden in mijn privacybeleid?

2. google analytics: dit zal ik zeker ook moeten melden in mijn privacybeleid? Moet de bezoeker vooraf toestemming geven, voor Google de cookie op de pc van mijn klant mag zetten? Hoe pak je dat technisch aan dan? (pas als er toestemming is, het analytics script uitvoeren?) PS: webwinkelforum maakt ook gebruik van GA, maar ik ben nergens om toestemming gevraagd.

3. ik maak gebruik van buttons van sociale netwerken. Dat zijn nogal wat cookies die mogelijk geplaatst kunnen worden door bijv. Twitter en Facebook. Hoe kom ik daarachter eigenlijk? Ik weet wel dat als ik "cookies van derden" uitschakel deze buttons niet meer lekker werken (ik kan dan bijvoorbeeld geen FB-like meer uitdelen). Als ik echter kijk welke cookies door MIJN site zijn uitgedeeld, zie ik alleen mijn eigen webwinkelcookies, en de bekende GA-cookies (utmz etc). Niets anders. Moet ik nu toch toestemming vragen aan de bezoeker voor deze buttons?

Punt 1: klopt

Punt 2 & 3 moet je toestemming voor vragen. De third party cookies bied jij aan middels de javascript op jou site. Dus die moet je laten uitvoeren nadat er toestemming is verkregen.

Ten minste dat is wat ik er op dit moment van begrijp.

OK bedankt. Maar wat punt 3 betreft: de cookies van derden... je moet dus eigenlijk continu je site checken op wat voor cookies er door die derden worden geplaatst. Nogal een gedoe als je buttons, embedded youtube-filmpjes, facebook-content, twitter-feeds etc. erop hebt staan.

Anyway: Twitter bijvoorbeeld plaatst idd cookies op mijn computer vanwege mijn Twitter-feed. Eigenlijk is het geen optie om dat er af te halen. Ik zit in een niche-markt, en moet het juist hebben van mond-tot-mond-reclame. Social networking buttons zijn daarom ook onmisbaar. Ik móet dus toestemming gaan vragen aan elke bezoeker. Bah.

Klopt het dat je ook verantwoordelijk bent voor de zgn. third party cookies? Als ik een FB-like button heb, en facebook de cookie plaatst, moet ik toestemming vragen aan mijn bezoeker?! (hoe kan die wet er ooit gekomen zijn, waarom worden er geen limieten gesteld aan tracking door de cookieplaatsers zelf, zoals Facebook? Snap hier niets van.)

De cookie komt overigens niet in mijn lijst met cookies te staan van MIJN website. Als ik iets 'like', opent er een popupscherm van Facebook zelf, en dan wordt er een cookie geplaatst met de URL facebook.com. Valt dit dan toch onder mijn verantwoordelijkheid? Ik kom er zelf niet achter hoe het zit als je al bent ingelogd bij FB en je liked dan iets. Hoe check je nu welke third-party cookies er allemaal via je site bij de bezoeker op de pc komen? Ik gebruik bijv. addthis, heb van addthis zelf de cookies geblokkeerd, maar die van de social media komen nog steeds door.

Jij bent als eigenaar van een website verantwoordelijk voor alle cookies die via jouw website worden geplaatst, dus ook voor de third party cookies. Sociale netwerken als Facebook, Twitter, Linkedin, Google+, Hyves, etc. plaatsen door middel van hun like-buttons cookies.

De bekende internet jurist Arnoud Engelfriet heeft er het een en andere over geschreven: Standaardtekst voor uw privacyverklaring als u tracking cookies inzet

Wanneer je wilt zien wat voor cookies er zo al door websites worden geplaatst, de browser add-on Ghostery kan je dat tonen.

Ik heb hier nog wat gevonden voor wie gebruik wil maken van social media widgets : http://www.cookierecht.nl/juridisch-web ... oplossing/

Blijf het krom vinden dat alleen de website-eigenaar verantwoordelijk is, en degenen die geld verdienen aan tracking cookies vrijuit gaan. Maar goed, zo houden we onszelf wel zoet deze week

Blijf het krom vinden dat alleen de website-eigenaar verantwoordelijk is, en degenen die geld verdienen aan tracking cookies vrijuit gaan.

Nee dat is niet krom. Als je een widget op je site plaatst die cookies plaatst moet jij toestemming hebben. Als je alleen een link naar bijv facebook zet hoeft dat niet. Zodra iemand op facebook komt moet facebook ook weer toestemming vragen voor het plaatsen van cookies.
Het gaat dus om cookies die geplaatst worden als jouw pagina laad.

Zo glashelder is het overigens niet: http://www.cookierecht.nl/juridisch-web ... y-cookies/
Interessante reacties ook.

Arnoud is er behoorlijk helder over:

Maar even goed verdedigbaar is dat de first party (de webmaster) de plicht heeft om voor de toestemming te zorgen. Hij is immers uiteindelijk verantwoordelijk voor het cookie: hij neemt code van de third party op die leidt tot de plaatsing. Zonder die opname was het cookie nooit gezet; het is dus de keuze van de first party geweest dat de third party het cookie mocht gaan zetten. En daarmee is hij eindverantwoordelijk.

en even verder:

Ik denk dat de meeste logische interpretatie is dat in eerste instantie de third party voor de toestemming moet zorgen. Maar als een webmaster willens en wetens cookies laat plaatsen door derden waarvan hij wéét dat die niet vragen om toestemming, dan zie ik hem zomaar zélf verantwoordelijk daarvoor worden.

tja:

De wet legt nergens vast wie verantwoordelijk is voor het verkrijgen van de toestemming. Voor de hand ligt om deze verantwoordelijkheid te leggen bij de partij die het cookie feitelijk opstuurt, de third party dus. Dat sluit aan bij de wetstekst dat “een ieder die gegevens wil opslaan” hiervoor toestemming moet hebben. De adverteerder wil opslaan, dus hij mag de toestemming gaan regelen.

En eerlijk gezegd denk ik dat niet iedereen op de hoogte is van het feit dat je met een facebook button gelijk cookies laat plaatsen. Beetje code plakken is niet moeilijk, maar vervolgens weten wat er gebeurt is een tweede. Ik ben heel benieuwd naar de eerste rechtszaak m.b.t. cookiewet. Je kunt heel makkelijk zeggen "wist ik niet". Kennis over cookies is zelfs bij webwinkeleigenaren niet altijd aanwezig.

Ben het wel met je eens dat het er nu op lijkt, dat je ook hiervoor toestemming moet hebben, maar de wet is zelfs niet helemaal helder wie die toestemming moet vragen.

Ghostery is een heel aardig ding, maar ik krijg hem niet zover dat hij laten zien welke cookies er worden geplaatst. Wel laat het zien welke externe scripts er draaien. Dat is nuttig, maar geeft nog geen garanties qua cookies. Zo heb ik AddThis, met cookies uitgeschakeld, maar krijg ik bij Ghostery wel melding van AddThis.

Ik heb een andere browser geïnstalleerd, waarin ik alle cookies verwijder en dan de site bezoek. Dan kan ik daarna zien welke cookies er op mijn pc komen. Attacat Cookie Audit Tool is ook een leuke http://www.attacat.co.uk/resources/cookies

Yamma schreef:tja:
En eerlijk gezegd denk ik dat niet iedereen op de hoogte is van het feit dat je met een facebook button gelijk cookies laat plaatsen. Beetje code plakken is niet moeilijk, maar vervolgens weten wat er gebeurt is een tweede. Ik ben heel benieuwd naar de eerste rechtszaak m.b.t. cookiewet. Je kunt heel makkelijk zeggen "wist ik niet". Kennis over cookies is zelfs bij webwinkeleigenaren niet altijd aanwezig.

"Wist ik niet" is een argument dat in de rechtszaal zonder meer terzijde wordt geschoven. Iedere Nederlander behoort de wet te kennen. Daarnaast is er meer dan genoeg publiciteit over deze wet geweest, dus gaat het argument ook niet op.

Een aantal grote site's laten het nu op een proefproces uitlopen. De argumenten die zij naar voren zullen brengen is dat er geen goede technische realisatie mogelijk is en dat we moeten wachten tot de browsers en/of W3C daar een goede oplossing voor bieden. Gezien de hoeveelheid tools die de afgelopen weken op de markt zijn verschenen zie ik daar weinig heil in. Het tweede argument dat ze zullen aandragen is dat de wet niet duidelijk is en dat ze de rechter om verduidelijking vragen. Ik verwacht dat de regelgeving op dit gebied op kleine punten nog verduidelijkt zal worden, verwacht enkel geen grote aanpassingen.

Ben het wel met je eens dat het er nu op lijkt, dat je ook hiervoor toestemming moet hebben, maar de wet is zelfs niet helemaal helder wie die toestemming moet vragen.

Ghostery is een heel aardig ding, maar ik krijg hem niet zover dat hij laten zien welke cookies er worden geplaatst. Wel laat het zien welke externe scripts er draaien. Dat is nuttig, maar geeft nog geen garanties qua cookies. Zo heb ik AddThis, met cookies uitgeschakeld, maar krijg ik bij Ghostery wel melding van AddThis.

Ik heb een andere browser geïnstalleerd, waarin ik alle cookies verwijder en dan de site bezoek. Dan kan ik daarna zien welke cookies er op mijn pc komen. Attacat Cookie Audit Tool is ook een leuke http://www.attacat.co.uk/resources/cookies

Ik gebruik er meerdere o.a. Edit this cookie

Ik ben heel benieuwd naar de rechtszaken die komen gaan. Misschien moesten ze maar eens beginnen met de websites van politieke partijen die hard moord en brand hebben geroepen om cookies.

PS: ik weet dat "ik wist het niet" in de rechtszaal geen stand houdt. Feit is wel dat heel veel webwinkeleigenaren niet eens van het bestaan weten van deze wet. Of denken dat het op hun site niet van toepassing is. Of amper weten wat cookies zijn of doen. Aangezien grofweg 90% van de huidige sites illegaal bezig is, ben ik heel benieuwd hoe dit zich verder gaat ontwikkelen.

PS2: misschien moet je zelf ook even mijn aangerade tool proberen. Ik krijg nl. zonder op akkoord te hebben geklikt van je popup, toch een hele lading niet-essentiële cookies cadeau, op beide websites. Quantcast en GA bijvoorbeeld.

Ik krijg nl. zonder op akkoord te hebben geklikt van je popup, toch een hele lading niet-essentiële cookies cadeau, op beide websites. Quantcast en GA bijvoorbeeld.

Iedereen die een javascript popup gebruikt zal de cookies anders moeten verwerken. De pagina onder de cookiepopup zal namelijk gewoon inclusief cookies geladen worden. Deze popup heeft dus totaal geen nut. Zie je al op meer websites maar doet dus niet wat hij moet doen.

Yamma schreef:
PS2: misschien moet je zelf ook even mijn aangerade tool proberen. Ik krijg nl. zonder op akkoord te hebben geklikt van je popup, toch een hele lading niet-essentiële cookies cadeau, op beide websites. Quantcast en GA bijvoorbeeld.

Quantcast lijkt me erg vreemd aangezien ik geen enkele code van hen gebruik. Ik heb de Cookie Audit Tool eveneens gebruikt, deze geeft een overzicht van alle cookies van alle vensters en alle sessies tijdens het recorden. Ze geven zelf aan dat hun resultaten niet echt betrouwbaar zijn. Dus ik ga er vanuit dat Quantcast een misreading is en afkomstig is van een andere sessies en venster.

Op eCom Pro worden enkel essentiële cookies geplaatst. Voor Akkoord worden PHPSESSID; wassup; wassup_screen_res geplaatst, die na Akkoord worden uitgebreid met de cookies die de 'popup' akkoord cookies: civicShowCookieIcon en civicAllowCookies.

Op eCom Blog worden eveneens enkel essentiële cookies geplaatst. Voor Akkoord worden PHPSESSID; wassup; wassup_screen_res geplaatst, die na Akkoord worden uitgebreid met de cookies die de 'popup' akkoord cookies: jsCookiewarning29Check

PaulG schreef: Iedereen die een javascript popup gebruikt zal de cookies anders moeten verwerken. De pagina onder de cookiepopup zal namelijk gewoon inclusief cookies geladen worden. Deze popup heeft dus totaal geen nut. Zie je al op meer websites maar doet dus niet wat hij moet doen.

Dat ligt eraan hoe je ze inzet. Je kunt het zetten van cookies uitstellen tot na het Akkoord. Hou daarbij rekening dat voor niet essentiële cookies geen toestemming is vereist.

Bij eCom Pro hanteer ik een methode die inderdaad niet volgens de wet voldoet. eCom Blog daarentegen werkt met een layover, hoe doorzichtig die ook is. Je voldoet daarmee wel aan de vereisten van de wet.

Ik wil niet zeggen dat de huidige cookie akkoord methodes die ik hanteer ideaal zijn, verre van dat. Ik ben dan ook druk opzoek naar methodes die aan de wet en aan mijn wensen voldoen.

Update
Na lang zoeken, cleane browser in een VM geïnstalleerd, Quantcast cookie gevonden. Wordpress installeert inderdaad zelf cookies. Die niet zonder meer zichtbaar zijn. Bij deze zijn ze dan ook verwijderd.

Update II
Dat kost dus wat meer moeite, aangezien dat Quantcast cookie zichzelf ook via andere kanalen zichzelf plaatst.

eCom Pro schreef:Op eCom Pro worden enkel essentiële cookies geplaatst. Voor Akkoord worden PHPSESSID; wassup; wassup_screen_res geplaatst, die na Akkoord worden uitgebreid met de cookies die de 'popup' akkoord cookies: civicShowCookieIcon en civicAllowCookies.

Als je in Google Chrome Element inspecteren en daarna Resources kiest, zie je daarnaast nog cookies van Google Analytics voorbijkomen: __utma, __utmb, __utmc en dergelijke. Die behoren niet tot de essentiële cookies.

Ward schreef:

eCom Pro schreef:Op eCom Pro worden enkel essentiële cookies geplaatst. Voor Akkoord worden PHPSESSID; wassup; wassup_screen_res geplaatst, die na Akkoord worden uitgebreid met de cookies die de 'popup' akkoord cookies: civicShowCookieIcon en civicAllowCookies.

Als je in Google Chrome Element inspecteren en daarna Resources kiest, zie je daarnaast nog cookies van Google Analytics voorbijkomen: __utma, __utmb, __utmc en dergelijke. Die behoren niet tot de essentiële cookies.

Daarom heb ik een nieuwe VM opgezet. Mijn reguliere PC en browsers verhinderen dat dergelijke cookies worden geplaatst.
Als het goed is zijn ze nu weg. Nu verder speuren naar wat Wordpress nog allemaal verder uitspookt.

Dit illustreert m.i. maar weer dat het quasi-onmogelijk is om all websites in korte tijd 'legaal' te krijgen. Ik denk dat veel webwinkeleigenaren, die met moeite een e-commerce pakket hebben weten te installeren, hier geen raad mee weten. Tot er wellicht een werkende plugin komt.

Maar dan zit je nog met een tweede punt: het duidelijk informeren van de bezoeker. Als je de letter van de wet volgt, is een tekst als "het is mogelijk dat derden cookies plaatsen, zoals Google en Facebook" onvoldoende. In de UK zie je al veel websites met uileg per mogelijk geplaatste cookies: wat is de waarde die er in staat, en waar dient het toe?

Yamma schreef:Dit illustreert m.i. maar weer dat het quasi-onmogelijk is om all websites in korte tijd 'legaal' te krijgen. Ik denk dat veel webwinkeleigenaren, die met moeite een e-commerce pakket hebben weten te installeren, hier geen raad mee weten. Tot er wellicht een werkende plugin komt.

Maar vaak zal ook het tegenovergestelde gelden. Na een schone installatie worden er hooguit functioneel vereiste (sessie)cookies gebruikt. De tracking cookies waarvoor toestemming nodig is, sluipen pas later binnen als je Google Analytics en social media-widgets toevoegt. Voor die uitbreidingen kies je als webwinkelier toch echt bewust zelf.

Dat is nu precies het probleem: er is van alles toegevoegd aan veel shops. Voor een enthousiaste webwinkeleigenaar, die zelf met pijn en moeite zijn winkel werken heeft gekregen, is het niet altijd makkelijk te achterhalen waar de cookies vandaan komen.

Sterker nog: op een ander forum met een aantal webwinkeliers was zelfs niemand op de hoogte van deze wet. De werking van cookies was ook nieuw voor de meeste. Ik pleit mezelf niet vrij hoor, maar schat zo in dat het merendeel van de Nederlandse webwinkels niet op korte termijn zijn cookiezaken op orde heeft. Voor de grote webwinkels is er geen excuus mogelijk; die hebben immers gewoon programmeurs.

op ons blog van magentowebshop.org heb ik meerdere stukken gewijd aan de nieuwe cookiewetgeving.

Hierbij heb ik in stappen vertelt wat de cookiewet is, wat het inhoud, wat strafbaar is en wat niet strafbare cookies zijn. magento webshop | Cookiewet wat is het?

Daarnaast heeft magento de nieuwe magento 1.7 uitgebracht waar standaard een cookiewet functie in zit. Deze functie is in schakelbaar, waardoor je zelf kan bepalen of je de cookiewet gaat toepassen of niet. Hier heb ik ook een stuk over geschreven: magento 1.7 de cookie vriendelijk magento webshop

Deze functie werkt heel makkelijk. heb jij een magento 1.7 webshop die cookies bevat, dan verschijnt er een kleine pop-up die aan de magento webshop bezoeker vraagt of hij/ zij akkoord gaat met het cookie gebruik op deze webshop. Hierbij heeft de webshop bezoeker om akkoord te gaan of niet akkoord te gaan. Het werkt super makkelijk en heel begrijpelijk voor de webshop bezoeker.

Mocht je vragen hebebn, stuur me even een pr of kijken op magentowebshop.org

Vandaag werd ik aangesproken door een collega over het volgende...

Wij hebben als vereniging een website waarbij Google Analytics gebruikt wordt. Hiervoor moet toestemming gevraagd worden voor het plaatsen van cookies. Dat is duidelijk. Nu vertelde mijn collega dat door de webwinkel die op een ander domein (en zelfs andere hosting) draait en geen tracking cookies of iets dergelijks plaatst, ook toestemming aan moet vragen voor het plaatsen van cookies.

Volgens mij hoeft dit niet omdat er door de winkel geen cookies geplaatst worden. Hij gaf aan dat ondanks de eigen domeinnaam van de winkel er toestemming gevraagd moet worden omdat er op de website een link naar de winkel staat. Dit lijkt mij een vreemde situatie. Ik ben er (bijna) van overtuigd dat ik in de webwinkel geen toestemming hoef te gaan vragen voor het plaatsen van cookies.

Graag hoor ik hoe jullie hier over denken...