Weinig onderwerpen waar ik zó over platgemaild werd als de vraag “Mag Google Analytics nog als de cookiewet in werking treedt”. Analytics is een handige tool voor webmasters maar het perfide Google maakt er meteen ook gebruikersprofielen mee – én plaatst cookies. Wij hadden ooit een oplossing gevonden voor het profileren (anonimiseer het IP-adres) maar dat levert geen oplossing voor de cookiewet. Ik heb er uitgebreid over zitten peinzen en dacht eerst dat het wel moest kunnen, maar ik loop steeds vast op de tekst van de wet.
Je kunt, aldus Google, met Analytics werken zonder dat deze persoonlijke gegevens opslaat. Allereerst zeg ik daar meteen bij dat Google een geheel eigen definitie heeft van “persoonlijke gegevens”, kort door de bocht moet je naam en je adres erbij staan anders vinden zij het niet persoonlijk. Dat gaat lijnrecht in tegen de Europese privacyregels, die het al “persoonlijk” vinden als je er twee personen mee kunt onderscheiden, ongeacht of je weet welke personen het zijn. Het getal 461 is dus een persoonsgegeven – voor mij, want dat identificeert een klant in mijn klantenbestand (hoi Erik).
Maar zelfs als de Analyticsdata die wordt verzameld compleet geaggregeerd wordt en totaal niet naar individuele users te herleiden is (ok ok maar stél), dan nog helpt ze dat helemaal niets. Want cookie zetten is toestemming vragen, punt. First party, third party, persoonsgebonden of niet; compleet irrelevant. Behalve dus als het cookie strikt noodzakelijk is voor het goed functioneren/leveren van een dienst. De wet wil met één zin zowel cookies als dialers, toolbars en dergelijke meuk afdekken. Vandaar de brede bewoordingen. Een toolbar trackt op zichzelf niets (kan wel) maar het installeren van een toolbar vereist toestemming. En een cookie dus ook.
De standaardvoorbeelden van toestemmingsloze cookies zijn de houd-me-ingelogdcookies en de webwinkelwagentjescookies. Zonder die cookies moet je continu je wachtwoord invullen of kun je niet fatsoenlijk een serie producten in één keer bestellen, dus dat moet gewoon kunnen. Maar iedere meelezende techneut zal nu uitroepen “nou, noodzakelijk, noodzakelijk, dat kan prima op een andere manier hoor”. Maar omdat het de bedoeling is dat dergelijke cookies zonder toestemming gezet moeten worden, mag je “strikt noodzakelijk” dus lezen als “net zo noodzakelijk als een webwinkelwagentjescookie”. Leuk hè, rechten?
Hoe noodzakelijk is een cookie voor Google Analytics? Niet zó noodzakelijk, vond de minister in de Eerste Kamer:
Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.
Hm. Minder snel. Dus het zóu kunnen.
… voor diensten waarbij wordt ingelogd op een persoonlijk account, kan het noodzakelijk zijn om met gebruik van cookies te controleren of er niet met deze accounts wordt gefraudeerd.
Ook hier: nee, hij bedoelt niet “noodzakelijk” als in “geen andere technische oplossing is mogelijk”. (En nee ik weet ook niet hoe ik met een cookie -clientside info- kan controleren of een client fraudeert.) Waar het om gaat is of het cookie het belang van de gebruiker dient en dan ook alléén diens belang. Bij een houd-me-ingelogd-cookie of een rot-op-met-je-enquête-cookie is dat duidelijk. Maar bij Analytics? Wat heeft de bezoeker aan Analytics?
Iets later:
Wanneer van het gebruik van analytics cookies in een bepaald geval gezegd kan worden dat dit noodzakelijk is voor het goed kunnen functioneren van de door de gebruiker bezochte site, valt dit gebruik van analytics cookies onder de uitzondering in het derde lid van artikel 11.7a.
Soms voel ik me net een oude Griek die het orakel van Delphi moet duiden. Wanneer is aan de uitzondering voldaan? Nou, als aan de eis genoemd in de uitzondering is voldaan dan gaat de uitzondering op. Eh. Ja.
Goed. Welk nut heeft Analytics voor de eindgebruiker? Wat ik van Google lees, gaat alleen over de voordelen van de webmaster. Die krijgt mooie plaatjes met statistieken en kan op allerlei niveaus draaitabellen, filters en meerdere dimensies visualiseren. En ja, dat is leuk maar als eindgebruiker merk je niet of Analytics aan of uit staat. Het Analyticscookie draagt op geen enkele manier bij aan de dienst die de gebruiker afneemt en is ook niet in diens belang.
Ik ontkom dus niet aan de conclusie dat je voor Google Analytics écht toestemming nodig hebt onder de cookiewet. Ja, ook als je de IP-adressen anonimiseert en ook als je geen Adsense draait. Dat dat niet gaat werken, moge duidelijk zijn – maar wishful thinking of roepen dat je er geen last van hebt, is geen juridisch argument.
Arnoud
@N.P.
Je hebt een punt. Wel steun je de stelling. Analytics bieden de gebruiker geen direct nut, naar jouw redenering. Zouden analytics de gebruiker wél direct nut opleveren, dan moet dat in voorbeeld 2 ook het geval zijn. Dus: jammer voor de analytics.
@Olaf
Ik kan het ook omdraaien. Bezoekers komen voor de content, niet voor om bij te dragen aan de statistische database van de website-eigenaar. Dan kom ik tot dezelfde conclusie: als analytics direct nut opleveren voor de gebruiker, dan doen advertenties dat ook. Voor beide valt immers overtuigend te beargumenten tot in hoeverre het nut direct of indirect is. Dus: jammer voor de analytics.
Rodney G. | 29 mei 2012 @ 20:01
Ik ben het niet met je eens: in hoeverre zijn effectievere ads beter voor de bezoeker? Ik zie het voordeel voor de publisher en de adverteerder, maar niet voor bezoeker. Die komt immers voor de content, niet de reclame.
Daar zou je een harde grens kunnen trekken: tracking m.b.t. geagregeerde website data mag, individuele tracking en tracking m.b.t. adverteren (retargeting, audience targeting, tagging, etc.) mag niet.
@Reinier: Die wettekst klopt, geen zorgen. Waarom het nog niet op wetten.nl staat weet ik niet.
Met “gegevens” worden inderdaad cookies bedoeld, maar ook zaken als toolbars of plugins die je downloadt via internet. Zie bv. deze OPTA-boete onder de oude wet over silent installs van spyware.
Ik vind het moeilijk om bij cookies te zeggen dat de gebruiker die wil opslaan. Het is toch de site die bedenkt “laat ik eens een cookie zetten” en niet de gebruiker? Toegegeven, de gebruiker kan weten dat sites cookies kunnen zetten en hij kan met zijn browser dat blokkeren, maar dat is wat anders dan “hee Nu.nl geef me eens een _utmz cookie”.
En met zaken als het IP-adres lijkt het me vrij evident dat die strikt noodzakelijk zijn voor de te leveren dienst. Zonder IP-adres is het lastig communiceren.
@152: OK, maar als een IP-adres hieronder valt, dan ook de user_agent (want die staat op schijf opgeslagen in je browser) en zeker ook alles in je browsercache op schijf. Alles wat daarin 3rd-party is (zoals ouderwetse 1-pixel-tracking-GIFjes of bij Google gehoste kopietjes van jQuery) is dus sowieso verdacht (jQuery is denk ik wel ‘functioneel’ maar jQuery hosten bij een 3rd party niet) en zelfs van alles wat op je eigen site staat moet je nu in principe kunnen aantonen dat het ‘functioneel’ is. Toch?
Ik zie nergens een uitzondering ‘dit geldt niet als de gebruiker zelf om het materiaal heeft gevraagd’.
@Reinier: wat bedoel je met, als de gebruiker zelf vraagt om de dienst? Dat is toch altijd met webpaginas?
@155 Is dat wel zo, een gebruiker vraagt toch niet om 3rd party js of content uit een 3rd party iframe?
Zijn er al voorbeelden van bedrijven/sites die iets hebben doorgevoerd om hieraan te voldoen?
De gebruiker wil content zien, de technische achtergronden en (on)noodzakelijkheden zullen de meeste gebruikers (zelfs de wél technisch geïnteresseerde) worst wezen.
Eigenlijk had de wet beter helemaal niet in technische termen geformuleerd kunnen zijn (‘iets plaatsen op randapparatuur van de gebruiker’) maar in functionele: gebruiker mag alleen na toestemming op een pagina iets getoond krijgen dat de webserver bepaalt op basis van info verkregen bij bezoek aan een andere pagina (of: andere website?).
Want daar gaat het eigenlijk om: tracking cookies.
En, zoals Reiner Post zich al enkele malen afvroeg: wat is precies randapparatuur? Schijf wel en RAM niet? Waarom? Omdat rond 1978 het een er met een kabeltje aanhing en in een aparte kast stond (van 1 x 1 x 0,5 meter), en het andere niet (ringkerngeheugen in zelfde kast als de CPU)? Dergelijke technische details zijn toch niet (meer) relevant?
@ N.P. Dat is een goeie. Veel online marketeers gebruiken iframes in een website met content die van een totaal ander domein komt met een andere URL. Die worden als het ware ingezet als advertenties. Als gebruiker vraag je daar niet om want je activeert één URL en je krijgt er twee zonder dat je het merkt. Is dat nog wel toegestaan? Lijkt me van niet toch?
Want dat is de achtergrond van die term randapparatuur: apparaten die niet in de computer zelf zaten, maar aan de rand, eromheen (peripherals in het Engels, vergelijk de Parijse Route Periférique) in aparte kasten. Printers, terminals, printer-terminals (ja, kijkbuiskinderen, die had je toen nog, de teletypes) en externe (let op dat woord: buiten de computer dus weer) geheugens. Trommels, schijven. Ponskaartponsers en -lezers ook.
Dat is nu uiteraard allemaal zwaar uit de tijd. Dus heeft het woord ‘randapparatuur’ nu ook zijn zin verloren. Daarom had het beter niet in een wet kunnen staan.
@Olaf
Nogmaals:
Voor beide voorbeelden kan evengoed beargumenteerd worden of er wel of niet sprake is van direct nut. Een arbitraire grens gaan trekken hiertussen gaat alleen maar problemen opleveren. Je kan technologie niet op zodanige triviale wijze reguleren. Zoals de reacties hier al laten blijken: deze materie verzandt op een gegeven moment in extreem technisch-semantische discussies.
Het lastige is hier dat door de norm op traditionele juridische wijze te formuleren, er nog voor de wet überhaupt in werking treedt, discussies en onduidelijkheid ontstaan die dikwijls technologische voortschrijdendheid hinderen.
M.i. hadden ze het beter kunnen regelen zoals bijvoorbeeld de Wet Wapens en Munitie: Daar wordt eerst een opsomming geven van voorbeelden (Cat IV):
Vervolgens is er een sub 6 welke de Minister de bevoegdheid geeft om de lijst aan te vullen, en sub 7 waarin de wapens afgevangen worden die niet onder de exacte definities vallen:
Op deze manier weet je exact wat er wel of niet toegestaan is en biedt je de regering de slagkracht om, mocht dat nodig zijn, met bekwame spoep in te spelen op nieuwe technologische ontwikkelingen. (Alhoewel ik niet denk dat dat nodig is. Hoeveel manieren om een gebruiker te tracken zijn er? Cookies, flash-cookies, user-agent-strings, UID’s, [wat nog meer?]?)
Toegegeven, met deze aanpak zou de cookiewet erg technisch worden, maar dat lijkt mij geen sterk argument om helemaal niet op die manier te doen.
edit: @Ruud en Rolf
Mooi voorbeeld van de technisch-semantische discussie die ik noem! Een interessante discussie, maar je komt er echt niet verder mee.
@ Rick V Nee, want niemand weet precies wat je moet doen 🙂 Mijn advies is om in ieder geval te zorgen dat je voldoet aan de informatieplicht via een duidelijk en goed bereikbaar privacy statement op elke pagina van je site waarin je uitlegt welke cookies je gebruikt en waarom. Third party cookies zou ik mee stoppen, net als met remarketing/retargeting en profiling, of je moet er expliciet toestemming voor gaan vragen van de gebruiker (vooraf). Gebruik je first party cookies (bijvoorbeeld voor winkelwagen, login, Analytics) claim dan in je privacy statement dat die ‘strikt noodzakelijk’ zijn. Dat is wat de wet eist om ze zonder toestemming van de gebruiker te kunnen toepassen en tot 31 december ligt de bewijslast bij de OPTA en niet bij jou. Als de OPTA het niet met je eens is moeten zij dat aantonen. Hoe ze dat gaan doen weten ze zelf ook nog niet 🙂
Verder zou ik er voor zorgen dat je webstatistieken software gebruikt die geen profiling doet en geen gegevens opslaat die naar een persoon of apparaat te herleiden zijn. IP adressen maskeren is daarvor één van de vereisten. Verder zou ik ook altijd een opt-out mogelijkheid bieden voor de gebruikers. Die kun je dan in je privacy statement zetten. Voor Analytics is dat bijvoorbeeld deze: https://tools.google.com/dlpage/gaoptout?hl=nl. Voor andere tools ken ik ze niet direct, maar die zijn er ook vast.
@Rodney, 161:
Het spijt me Rodney, mij heb je niet kunnen overtuigen. Jouw voorbeeld:
Ik vind de eerste reden nog steeds een brug te ver. Meer advertentie-inkomsten leiden niet direct tot een betere user experience en content. Analytics is hiervoor onmisbaar.
Ik vind het jammer dat de overheid geen onderscheid in deze concepten heeft gemaakt. Als ik de discussie tussen consumenten volg (b.v. op Nujij.nl), dan vallen een paar dingen op:
a) Consumenten weten niet hoe de techniek werkt (en terecht) b) Consumenten willen niet individueel worden getrackt c) Veel consumenten denken dat al hun gegevens met naam, toenaam en adres in een dbase bij Google komen d) Eigenlijk willen consumenten gratis content met zo min mogelijk reclame
Deze wet gooit het kind met het badwater weg. De gevolgen zijn: minder effectieve reclame, minder incentive om goede content te schrijven, minder keuze in online media, meer reclame, slechtere gebruikerservaring, minder websiteverbeteringen, tracking op IP-adres en ID’s, etc.
Daar zit toch niemand op te wachten?
@163: Ik ben het volledig met je eens. Dan kun je alles wat meer winst oplevert wel scharen onder ‘meer geld voor mij is goed voor jou’, inclusief hele nare telemarketing en andere onwenselijke zaken. Als je een non-profit organisatie bent gaat het misschien nog op, maar in vrijwel alle andere gevallen gewoon niet.
Desalniettemin ben ik geen voorstander van deze wet. Normaal gesproken zou marktwerking ervoor moeten zorgen dat sites en bedrijven die aan ‘onwenselijke’ dingen doen zoals tracking cookies en dergelijke minder bezoekers krijgt. Echter, veel mensen weten gewoonweg niet dat dit gebeurt. Mijn voorkeur zou uitgaan naar technologische oplossingen aan de client-kant (browser instellingen, black-/whitelists, e.d.), en meer bewustwording bij mensen (wat mij betreft via SIRE reclames). En waarschijnlijk zijn er ook veel mensen die zich wel bewust zijn van het feit dat ze getrackt worden en daar niets om geven (facebookgebruikers noemen we deze mensen).
@155: Arnoud: wat ik bedoel is dat als content onder de data in kwestie valt (wat je beaamt) je moet gaan zitten bepalen welke content functioneel is en welke niet (zie hierboven @120-@124, @126, @139, etc.). Een typische webpagina bestaat tegenwoordig uit tientallen apart opgehaalde documentjes, en verzin maar eens een criterium om daarin functioneel van niet-functioneel te scheiden. Als ik een CSS-bestand weglaat is mijn dienst ook nog functioneel, dus CSS is niet-functioneel, dus ik moet er toestemming voor vragen?
@163: Google weet zo veel van de gemiddelde Google-gebruiker dat ze diens naam en adres met weinig moeite op kunnen zoeken. Niet met 100% betrouwbaarheid, maar toch heel aardig. De meeste IP-adressen zijn bijvoorbeeld jarenlang aan een specifieke locatie gekoppeld. Log een keer bij Google in met een bepaald IP-adres en Google kan met grote waarschijnlijkheid aannemen dat de andere Google-hits van dat IP-adres in dezelfde periode van dezelfde persoon zijn. Doe vaak genoeg een ‘directions’ met Google Maps en Google weet heel aardig waar je woont (zeker als het dat combineert met openbare informatie over IP-nummerlocaties). Enzovoorts.
Volgens de wet is het onthouden van dit soort gegevens pas een verwerking van persoonsgegevens als de onthouder er een bepaald doel mee heeft. Dat lijkt me niet zo handig. Hoe toon je aan of iemand dat doel wel of niet had? Wat als iemand eens lekker gaat zitten dataminen op een grote berg mooie, misschien zonder dergelijke bijbedoelingen bijelkaargebrachte data? (Want dat is het grootste risico van Google Analytics-data.)
=== Doe vaak genoeg een ???directions??? met Google Maps en Google weet heel aardig waar je woont […] /===
Haha, grappig. Dan kwamen ze bij mij uit bij streken waar ik beslist niet woon, maar wel soms fantaseer dat ik er misschien zou willen wonen, hoewel dat waarschijnlijk toch nooit gaat gebeuren. Zegt dus helemaal niks, eigenlijk. Ja, over mijn interesse in bepaalde landen, maar die was toch al wel bekend.
@166, Reinier:
In hoeverre is dit betoog relevant op de discussie of mijn eerdere post? Google Maps en IP-logging hebben hier niets mee te maken. Bij Analytics worden IP-adressen bovendien geaggregeerd opgeslagen en zijn ze niet te gebruiken.
Grote data repositories brengen altijd het risico van niet-toegestane datamining met zich mee. Maar dan zijn er wel waardevollere databases te gebruiken of te hacken, zoals: Grote Postcode Loterij, AH’s bonuspassen, MultiTankPas, Nationale Consumenten Enquete, etc. Wat doen we daar dan mee?
De tweedeling tussen: het accepteren van (on- en offline) voorwaarden en het accepteren van cookies loopt scheef. Consumenten krijgen geregeld boekwerken met voorwaarden voorgeschoteld (iTunes, hypotheek, online enquetes, prijsvragen, etc.). Niemand leest die dingen, maar hiermee geven mensen vaak voor jarenlang toestemming voor datamining, doorverkopen van persoonsgegevens, opt-ins, koppelverkoop, etc. Over cookies houdt de gebruiker tenminste altijd nog de controle.
Matthijs heeft een goed punt. Promoot websites als myonlinechoices.nl via SIRE-reclames, informeer de consument en laat deze zelf kiezen wat ze willen.
@168: Olaf: Relevant is dat de data niet geaggregeerd worden verstuurd en je Google maar op hun blauwe ogen moet geloven dat ze alleen geaggregeerde of geanonymiseerde data opslaan en met welke doelen ze gegevens opslaan.
AH-bonuspassen worden relevant zogauw ze lezen of schrijven van gegevens op de randapparatuur van je computer gaan veroorzaken.
@169, Reinier:
Je kunt zien welke info Analytics doorgeeft. Dat zijn geen NAW-gegevens, credit card info, of informatie uit formulieren (m.u.v. zoekopdrachten). De rest zijn gegevens met relatief weinig waarde.
Ja, je moet Google op hun blauwe ogen geloven. Maar dat moet je met veel bedrijven, inclusief de (semi-)overheid. Die houden zich ook bezig met datamining en verkopen het zonder toestemming door aan 3rd party’s (ik spreek uit eigen ervaring). Waar trek je dan de grens? Zolang er geen strafbaar feit heeft plaatsgevonden (en dat zou Google’s positie enorm schaden), dan moet je redelijkerwijs vertrouwen tonen.
Het lezen of schrijven van cookies op randapparatuur vind ik persoonlijk een kolder-argument. De harde schijf wordt als een tool gebruikt om een website goed te laten functioneren. Een paar lege bytes tijdelijk vullen zie ik niet als computervredebreuk, TENZIJ deze voor potentieel ongewenste praktijken wordt gebruikt (b.v. remarketing).
@170 Het probleem van Google is dat ze overal aanwezig zijn op het internet en tegenwoordig ook op mobiele telefoons. De data die ze daarmee (zouden) kunnen verzamelen over individuen is enorm. Daar komt de angst vandaan dat sommige mensen (zoals ik) niet willen dat Google nog meer informatie kan verzamelen via websites van derden.
Ik heb al in een eerdere reactie aangetoond dat Google het vertrouwen al een paar keer (al dan niet bewust) heeft geschonden en er ook strafbare feiten zijn gepleegd. De macht van Google op het internet is echter zo enorm groot dat misbruik van die macht makkelijk kan zonder dat de consument Google helemaal links zal laten liggen.
Dat veel bedrijven en de (semi-)overheid dit ook doen is misschien juist wel een argument om er tegen op te treden en het verzamelen van gegevens aan banden te gaan leggen.
@171:
“Dat veel bedrijven en de (semi-)overheid dit ook doen is misschien juist wel een argument om er tegen op te treden en het verzamelen van gegevens aan banden te gaan leggen.”
Dan moet er een discussie en wetgeving op gang komen om data-aggregatie en datamining aan banden te leggen. Geen technische discussie over welke en wanneer cookies geplaatst mogen worden.
Ik vind het echter geen rol voor de overheid om technieken en initiatieven zomaar te verbieden, zonder dat deze een bewezen negatieve impact hebben op de consument. De overheid kan beter een educatieve en faciliterende rol spelen.
Ik begrijp dat sommige mensen graag zouden willen dat hun gedrag nooit en op geen enkele wijze in de statistieken terugkomt. Zelf vind ik het eng als de overheid te ver gaat in het bepalen wat we wel en niet mogen.
@170, @171: Jullie hebben het erover waar jij of ik de grens zou trekken. Ik heb het erover dat ik niet weet waar deze wet de grens trekt of hoe ik dat zou moeten bepalen. Een andere vraag.
Ik vind de vraag die jullie je stellen ook belangrijk (als burger hebben we belang bij goede wetten), maar ik wil vooral een antwoord op mijn eigen vraag, omdat ik geacht wordt om me aan die wet te houden, terwijl sommige van mijn websites hem misschien overtreden.
@172: Ik vraag me werkelijk af of een strengere wetgeving mbt het opslaan van persoonsgegevens een bewezen negatieve impact heeft op de consument. Ook vraag ik me al of dat het geval zou zijn bij een verbod van Analytics.
@173: Als je je echt aan de letter van de wet wilt houden, zou je bij alle cookies die je plaatst je af moeten vragen of die specifieke gebruiker er direct nut van heeft dat die informatie wordt opgeslagen in het cookie. Bij inloggen, sitevoorkeuren, winkelwagens is dat makkelijk te doen. Bij veel andere cookies en dan voornamelijk cookies/informatie die gedeeld worden met andere partijen is dat erg lastig te doen.
Zelf zal ik helemaal niets gaan veranderen totdat duidelijk is wat de wetgever precies wilt.
@Reinier: Om die reden vertaal ik het noodzakelijkheidscriterium naar “direct nuttig voor de afnemer van de dienst”. Niet per se technisch nodig maar toegevoegde waarde direct nu bij de levering van de dienst zelf. Die CSS is nuttig want anders ziet de webpagina er voor hem lelijk uit. Dat javascript dat je input valideert, is nuttig want het scheelt tijd. Dat cookie dat onthoudt dat je niet aan een enquête mee wilt doen ook. Maar Analytics?
@ N.P. Je hoeft Google niet op hun blauwe ogen te geloven. Ze hebben heldere privacy voorwaarden. Ze stellen je al sinds geruime tijd en zonder druk van de overheid jou in staat om Analytics volledig te blokkeren. Maar wat veel belangrijker is; hun business model staat of valt met de eindgebruikers. Ze houden echt wel vinger aan de pols met betrekking tot het sentiment van de consumenten. Als ze die niet tevreden houden zodat ze gaan weglopen dan lopen ook de adverteerders weg. Daarom ben ik er niet zo bang voor dat ze misbruik gaan maken van hun positie. Niet omdat ik ze zo aardig vind, maar omdat ze de eindgebruikers nodig hebben. Daarom werk ik liever met Analytics dan met een ander programma van een bedrijf dat minder rekening houdt met de belangen van de eindgebruikers. Google is inderdaad groot en machtig, maar daarvoor is maar één reden; wij gebruiken het massaal met z’n allen. En Google snapt echt wel dat ze zuinig moeten zijn op ‘ons’.
Als serieuze gebruiker van Analytics en andere webstatistieken pakketten kan ik je overigens garanderen dat het stoppen met bijhouden van deze statistieken nadelig zal zijn voor de consumenten. Website eigenaren zijn nu in staat om hun websites beter te maken voor de gebruiker op basis van objectieve informatie. Als dat niet meer kan zijn we weer net als ‘vroeger’ overgeleverd aan het gevoel van de grafisch designer en de persoonlijke mening van de techneut over wat wel en niet werkt. En ik was juist zo blij dat we die tijd achter ons hadden gelaten.
@ Arnoud 175 Ik denk dat je bij dit soort uitspraken duidelijk moet aangeven dat het jouw persoonlijke interpretatie is die niet hard wordt onderbouwd door de wet noch door jurisprudentie of een uitspraak van de OPTA. Anders loop je het gevaar dat mensen ermee aan de haal gaan als de enige echte waarheid. Er zijn ook andere interpretaties mogelijk. Je gaat namelijk telkens voorbij aan het feit dat dingen als CSS en HTML weliswaar noodzakelijk zijn voor het bekijken van de pagina, maar het hoeft allemaal niet te worden opgeslagen. Dat geldt ook voor de plaatjes van de website. Dat verschil ontloop je telkens in de discussie terwijl de wet juist gaat over het ongevraagd opslaan van bestanden. Dat opslaan is ook in deze gevallen niet strikt noodzakelijk. Hooguit handig.
@Rolf: Ik denk dat ik dat absoluut niet hoef te doen omdat ik met juridische argumenten onderbouw waaróm ik vind wat ik vind. Ik geef keer op keer aan hoe ik het noodzakelijkheidscriterium invul. NIET omdat ik zomaar wat uit mijn duim zuig. Ik citeer hierboven de minister, dat is een rechtsbron – die citaten zijn deel van de wet, als het ware. Verder ben ik nog nérgens een standpunt tegengekomen van andere juristen die zeggen dat Analytics wel mag.
Ik ben heel benieuwd naar een tegeninterpretatie die past binnen de gegeven citaten en de wetstekst zelf én tot de conclusie komt dat Analytics structureel wél mag. Dus kom maar op en leg me nu eens uit hoe jij van de wetstekst én die citaten komt tot “Analytics mag”.
@Arnoud, Off topic: Ik heb het al vaker gehad dat ik een reactie schrijf, op
plaats reactie
klik en ik mijn tekst kwijt ben maar niets geplaatst wordt.@Rolf:
Het argument dat de vrije markt het wel zal regelen is in het nabije verleden al duidelijk onderuit gehaald. Voorbeelden zijn de woekerpolissen, bankencrisis, Fukushima, de privacy schendingen van Google en Apple, etc etc.Het cachen van bestanden heeft een direct nut voor de gebruiker omdat de pagina sneller zal laden. Het gaat er dus niet om of iets technisch noodzakelijk is (want dat is bijna niets) maar of het direct nut heeft voor deze specifieke gebruiker.
@ Arnoud Je woordkeus is al niet zorgvuldig. De wet gaat namelijk niet over de vraag of Analytics wel of niet mag. Het gaat over de vraag of voor het first party cookie van Analytics door de gebruiker vooraf toestemming gegeven moet worden. En tot 31 december mag ik stellen dat voor het Analytics cookie geen toestemming nodig is omdat deze volgens mij strikt noodzakelijk is. De bewijslast om aan te tonen dat ik niet gelijk heb ligt bij de OPTA en niet bij mij. Ik hoef dus helemaal niets aan te tonen tot 31 december. Uitleggen kan ik wel en dat heb ik bijvoorbeeld zo gedaan: http://www.interpedia.nl/privacy-statement. Als de OPTA mij erop aanspreekt dat dit niet klopt en dat het anders moet ga ik het aanpassen, maar voorlopig hoeft dat niet.
Ook de uitspraak van de minister die je gebruikt is niet duidelijk en blijft openingen houden. Hij geeft aan dat Analytics “minder snel onder de uitzondering zal vallen, maar dat zal per geval beoordeeld moeten worden.” Er staat “minder snel”. Ik lees nergens dat het “niet” onder de uitzonderingen zal vallen. En dat beoordelen moet tot 31 december de OPTA doen, niet ik.
@ N.P. 179 “Direct nut” staat niet in de wet. En direct nut kan ook op andere manieren uitgelegd worden. Dit wordt een herhaling van zetten op basis van meningen. Ik geef toe dat mijn mening er maar één is. Ik laat me graag corrigeren door de OPTA. Maar ik heb er moeite mee dat mensen nu al op basis van een complexe en onduidelijke wet precies zeggen te weten wat wel en niet mag. Daar zit heel veel wens en vader van de gedachte bij. Ook bij mij dat geef ik gelijk toe. Ik zou het een ramp vinden voor de consument als we geen anonieme statistieken meer bij mogen houden van websites met een goede professionele tool.
Rolf, in je privacy statement (geeft 404 overigens) zetten dat het strikt noodzakelijk is, betekend nog niet dat het ook zo is 🙂
Ik denk dat je in elk geval verschil moet kunnen waarnemen in het gebruik van jouw site als het aan staat en als het uit staat. Bij Caching is dat duidelijk, bij onlog cookies zie je ook direct een verschil maar met je Analytics cookie is er gewoon geen verschil en levert het de bezoeker dus niet direct nut op.
Ergens in de lange discussie hierboven kwam iemand met een voorbeeld van het sorteren van de producten op basis van de Analytics-API. Dit geeft dus direct nut en mede daarom kan een minister nooit zeggen dat het nooit uitgezonderd kan worden.
Dat de bewijslast nu nog bij de OPTA ligt en niet bij jou doet volgens mij niet erg af aan de wet maar alleen aan de handhaving er van.
@ N.P.
Het probleem zit in de woorden “ik denk”. Jij mag dat denken en Arnoud ook, maar voorlopig mag ik denken dat het anders is. Ik denk namelijk dat het binnen de wettekst heel goed mogelijk is om te zeggen dat het direct nut soms pas op langere termijn merkbaar is voor de bezoeker. Vooral bij websites die heel regelmatig gebruikt worden, vaak zelfs meerdere keren per dag, kan het ontbreken van Analytics al binnen een paar dagen een sterk nadelig effect hebben voor de bezoekers.
Natuurlijk mag jij denken dat het anders is, dat is geen probleem. Maar ondertussen schat ik de juridische kennis van Arnoud wat hoger in dan die van jou 🙂
Dit is wat de minister zegt:
Leg mij dan eens uit waarom het analytics cookie technisch noodzakelijk zou zijn?
Cookies voor winkelwagentje etc zijn technisch noodzakelijk om bij te houden wat iemand besteld heeft. De technische noodzaak van een analytics cookie is er niet, wel een commerciele noodzaak. En zoals Arnoud zegt, het gaat er niet om dat het technisch niet anders zou kunnen.
Er zijn argumenten om aan te geven dat het cookie technisch noodzakelijk is. Bijvoorbeeld voor een goede analyse van de laadsnelheid van iedere pagina zoals deze door de gebruiker wordt ervaren (dus niet getest op een server zoals pingdom) met een alert als er iets mis is met die laadsnelheid. Natuurlijk blijft de site wel werken als ik dat niet heb, maar de site wordt trager zonder dat ik dat in de gaten heb en er iets aan kan doen. Bij browsercaching gaven jullie aan dat dat inderdaad niet technisch noodzakelijk is maar wel van direct nut voor de gebruiker omdat de site er zo lekker snel van wordt. Waarom zou dat argument dan niet hier gelden?
Zo zijn er nog meer voorbeelden te noemen. Ik geef direct toe dat Arnoud veel en veel meer juridische kennis heeft, maar ik ken Analytics beter en ook dat mag, nee moet onderdeel van de discussie zijn. Zou een rechter ook niet precies willen weten wat Analytics nu precies doet en welke voordelen het oplevert voor de website bezoekers?
Je blijft maar de fout maken tussen
de bezoekers
van je site en die ene specifieke bezoeker waar jij het cookie bij plaatst. Voorde bezoekers
van je site is het prachtig dat jij je site steeds beter kan maken. Voor de bezoeker (ik dus) van jouw site die daar eenmalig komt, is er geen belang van dat cookie. Jij kan namelijk niet tijdens mijn bezoek de gegevens analyseren en je site optimaliseren.Dus je moet een argument geven waarvoor het voor die ene bezoeker (ik dus) technisch van belang is om dat cookie te zetten.
Hoezo fout? Als de snelheid van de website traag is dan is dat voor die ene bezoeker irritant. Die vraagt zich echt niet af of andere bezoekers dat ook vinden. Als ik daar iets aan kan doen dan is dat op dat moment in het belang van die ene bezoeker. Waarom zou het nut duidelijk moet worden meteen op het moment dat de bezoeker op de site is? Dat lees ik niet. Als dat nut pas een half uur later is als hij terugkomt waarom is het dan geen direct nut meer? Waar ligt de grens?
Maar deze discussie leidt nergens toe. Als je wilt dat ik toegeef dat ik de waarheid niet in pacht heb; dat heb ik al een paar keer gezegd in deze discussie en bij deze geef ik dat direct weer toe. Ik verdedig alleen het belang van professionele en serieuze website beheerders die altijd al voluit gekozen hebben voor de privacy van website bezoekers. Ook voordat deze wet er kwam.
@175: Hm, dat lijkt me inderdaad helder. ‘Direct nuttig’ kun je nader preciseren: ‘direct’ bijvoorbeeld als ’tijdens dit gebruik, voor deze gebruiker’ en ‘nuttig’ als ‘bijdragend aan de functionaliteit en/of kwaliteit van de dienst’ waarbij je dan voor ‘kwaliteit’ nog kunt kissebissen wat daar precies onder valt. Disk caching door browsers vereist dan geen toestemming (want dat komt nog tijdens de lopende sessie van pas); CSS en jQuery laden ook niet.
Google Analytics zou dan ook geen toestemming volgens deze clausule vereisen als je het live gebruikt voor bv. performance tuning of herafstemming van je siteinhoud of -opmaak. (Ik dacht trouwens niet dat de gegevens zo snel beschikbaar zijn, maar dat is wat anders.)
Nu zie ik weer een ander hellend vlak: je hoeft maar een of ander direct nuttig gebruik van je gegevens in je site te stoppen om geen toestemming meer te hoeven vragen, ook als je voornaamste gebruik ervan helemaal niet voor het directe nut is.
Voor performance tuning lijkt Analytics me een beetje een overkill. Waarom bijhouden waar de gebruiker vandaan komt (referer/land), welke pagina’s hij bezoekt en hoe lang, met welke browser, waar hij de site verlaat, etc, etc alleen om de performance van de site te meten? Wat mij betreft wat ver gezocht.
Ook de inhoud van de site wijzigen zoals boven al geopperd is, is misschien al twijfelachtig omdat je gebruik maakt van de gegevens van vorige bezoekers voor deze bezoeker. Dus bezoeker 1 van een site bekijkt producten en de content van bezoeker 2 wordt afgestemd op het gebruik zoals dat gedaan is door bezoeker 1. Bezoeker 3 ziet dan weer content op basis van bezoeker 1 en 2. De vraag is dus of het cookie technisch noodzakelijk is voor de betreffende bezoeker.
@ N.P. Met welke browser – om te kijken welke versies mijn website nog zou moeten ondersteunen. Het liefst ondersteun ik alleen de laatste versie, maar in het belang van de gebruiker ondersteunt mijn site ook nog oudere versies, mits die gebruikt worden door mijn doelgroep Met welke resolutie – om te kijken hoe breed mijn website zou mogen zijn zodat het merendeel van de gebruikers niet horizontaal hoeft te scrollen
Enz. enz.
Analytics wordt echt vrijwel alleen maar gebruikt om echt klantgericht te kunnen werken. Deze tool wegzetten als ‘leuk voor de webmaster maar niet voor de individuele gebruiker’ doet geen recht aan de werkelijkheid.
Rolf, Wederom doe je dat voor je toekomstige bezoekers en niet voor de bezoekers waar je het cookie plaatst. Het is een beetje het bordje in mijn stamkroeg
morgen gratis bier
….Daarbij is het nog maar de vraag of dit allemaal in het belang van de bezoeker is of toch voornamelijk in het belang van de webmaster.
Het is ook in het belang van de gebruikers van Google dat Google een zo goed mogelijk profiel heeft van hun zodat Google hun site en advertenties zo goed mogelijk kunnen afstemmen en de gebruiker een steeds betere site krijgt….
De minister praat over technisch noodzakelijk hij zegt daar niet dat het voor een webwinkel of voor logins is. Is het technisch noodzakelijk dat ik track wat mensen bekijk op mijn site, ja aangezien daar de dienstverlening beter van word. Er staat niet geschreven dat het direct noodzaak is dat mensen er zelf beter van worden.
@ N.P. Een suggestieve reactie en dat maakt deze discussie zo moeilijk. Wat je in feite doet is zeggen dat de gebruikers en webmasters tegengestelde belangen hebben. Zulke webmasters zijn er misschien, maar het merendeel probeert gewoon serieus en integer zijn werk te doen voor zijn klanten. De bezoeker die mijn cookie door zijn browser laat plaatsen (want zo werkt het) is in veel gevallen de bezoeker die na een kwartier, 2 uur of twee dagen weer terugkomt.
Het doel van deze wet is volgens mij de privacy beschermen van een individu. Dat iets beter ka zijn voor een bepaalde groep mensen (toekomstige gebruikers) heeft er niets mee te maken. Je moet het altijd op individueel niveau bekijken.
Dus voor toekomstige verbeteringen aan de site val je niet onder de uitzondering van technisch noodzakelijk voor die individuele gebruiker..
Ik zeg niet dat webmasters en gebruikers een tegengesteld belang hebben. Maar het belang van een webmaster is over het algemeen zo veel mogelijk geld verdienen. Dat gaat het beste om een zo goed mogelijke site te maken maar daarmee is nog steeds niet per definitie hetzelfde belang als van een gebruiker.
Met analytics zal je a/b testen gaan doen om te zien wat het beste converteerd. Je wil dus kijken hoe je de gebruiker het beste kan verleiden om een actie te nemen. Als je echt puur en alleen het belang van de gebruiker zou hebben dan kan dat alleen door ook te vragen naderhand hoe blij ze waren dat ze die actie hebben ondernomen. Zo kan je zien of ze niet toevallig te snel een impuls hebben gevolgd en zou je dus een minder converterende oplossing kiezen als gebruikers dat liever hadden…..
Het heeft niets te maken met integer zijn maar uiteindelijk wil elk bedrijf gewoon geld verdienen door zo veel mogelijk producten te verkopen. Klanttevredenheid is daarvoor een middel maar kan niet het doel zijn….
Arnoud, zou je nog even willen reageren op 180? Is wel een belangrijk punt voor de lezers lijkt me.
Sinds september 2011 zijn deze gegevens voor een belangrijk deel wél real-time beschikbaar met Google Analytics’ Right Now. Zie http://analytics.blogspot.com/2011/09/whats-happening-on-your-site-right-now.html met de informatie die gepubliceerd werd bij de lancering van de eerste versie.
Deze data wordt letterlijk elke seconde bijgewerkt. Je kunt nú zien hoe vaak welke pagina’s nu opgevraagd worden (1 a 2 seconden vertraging), dit monitoren en waar nodig direct actie ondernemen.
Ik zie dit als de hartslagmeter (zoals je die in het ziekenhuis tegenkomt) voor webmasters en andere online specialisten.
Als je in Google Analytics Right Now nú ziet dat je 404 error pagina (of elk willekeurige andere pagina die je daar niet verwacht) ineens de “Top active pages” lijst betreedt (in het algemeen of via een specifieke bron/zoekwoord) dan weet je dat je voor je bezoekers die nú op je site zijn (direct nut) actie moet ondernemen.
Middels Google Analytics kun je daardoor real-time (direct nut voor de gebruiker die op dát moment op de site is) monitoren of je site/platform/pagina/internal search engine/kassa/winkelmand enz nog werkt (indien de 404 pagina binnen GA Right Now real-time plots meer/het meest geladen wordt dan is er klaarblijkelijk iets kapot dat op dat moment gerepareerd kan worden voor de mensen die dán op de site zijn).
Ik zie dit argument als een sterk punt om het wel te mogen blijven gebruiken zonder toestemming vooraf.
Overigens dit naast het punt dat ik eerder aanvoerde (wat ik nog niet ontkracht heb zien worden met argumenten) dat je voor die gebruikers ook nog eens de Google Analytics API gebruikt om voor hén de inhoud te tonen/sorteringen te doen op basis van hún surfgedrag op dát moment (op basis van hun surfgedrag en dat van anderen op dat moment in combinatie met surfgedrag uit het verleden). Als dat niet meer zou mogen hebben de recommendation engines overigens ook een forse kan om out-of-business te raken als men niet gaat opt-innen. Denk aan Amazon’s tool “Mensen die dit bekeken kochten/zagen ook deze producten” enz.
PS Hoe kijken jullie tegen de laatste vraag van Reinier aan in reactie 188?
@Hein: Voor het monitoren van een site is het niet nodig om de gegevens die GA opslaat ook op te slaan (herkomst, browser, tijd op site, exit pagina’s, etc). Het is een beetje alsof een winkel een copie van je paspoort vraagt bij binnenkomst en op basis van de getelde copietjes er een kassa bij doen.
Het doel van deze wet is volgens mij het tegengaan van profilering van gebruikers. Als je dan als argument neemt dat je op basis van hun profiel de juiste producten kan tonen, zie ik niet in hoe dat in de geest van de wet kan zijn?
Voor de vraag van 188 lijkt het me dat je moet kunnen uitleggen welke gegevens je opslaat/gebruikt en waarom. Voor performance monitoring van de site zal je dus moeten aantonen waarom het van belang is dat je de herkomst, exit, browser instellingen, etc gaat opslaan en waarom je niet gewoon gebruik maakt van je webserver logs?
@ Hein De Google API op die manier gebruiken kan nooit betrouwbare gegevens opleveren. Ik ben een zware Analytics gebruiker, maar ik vindt dit persoonlijk over de grens. Het is niet waar Analytics voor bedoeld is, het is er eigenlijk ook helemaal niet geschikt voor omdat de belangrijkste informatie nog altijd met vertraging binnenkomt. De realtime informatie is heel beperkt en niet voldoende voor behavioural targeting. Als je zal zoiets wilt moet je andere tools voor behavioural targeting gebruiken en dan ga je dus ongevraagd profileren. Ik ben het eens met N.P. dat dat ongevraagd en zonder toestemming van de gebruiker niet kan.
Maar dat geldt dan ook voor webwinkels die de ‘laatste bekeken producten’ laten zien of suggesties geven voor andere aankopen op basis van je surfgedrag. Concreet betekent dit dat webwinkels geen impulsaankopen meer mogen stimuleren op basis van je profiel.
@Rolf
Ik zie dit als twee afzonderlijke dingen:
Ik wil niet de suggestie wekken dat Real-time en GA API data door elkaar lopen… Twee tools, twee doelen.