Een lezer vroeg me:
Veel apps op de telefoon gebruiken analyticssoftware van derden. In de EULA en/of wordt er dan verwezen naar het privacy beleid van de derde partij en aangegeven dat ik daar moet zijn voor een opt-out. Nu vraag ik me af of dat zo wel mag. Is de leverancier van de App niet degene die dit met de derde partij moet regelen? Ik heb toch alleen een end-user overeenkomst met de leverancier van de App?
Het klopt dat je die software gebruikt onder een eindgebruikersovereenkomst (EULA) met die leverancier. Maar dat wil niet zeggen dat je dus altijd alleen maar een relatie met die partij hebt.
Een softwareleverancier mag software van derden bundelen. Dit kan gebeuren onder sublicentie – het gebruiksrecht is deel van de eigen EULA – of als aparte licenties. In dat laatste geval zou je dan ieder van die licenties apart moeten accepteren.
Meestal zal de leverancier die software van derden onder sublicentie verspreiden, zodat je geen aparte EULA per derde nodig zal hebben. Maar als die software iets doet waarbij data wordt opgeslagen of uitgelezen op je computer (terwijl dat niet technisch noodzakelijk is) dan is er desondanks toestemming nodig – dat is waar de cookiewet voor bedoeld is.
Wie precies die toestemming moet vragen, is onder de cookiewet altijd een lastige. Voor de hand ligt dat de derde dat moet doen – het is zijn analytics of andere opslag/uitlezen immers. Maar ik doe zaken met die ene leverancier en het boeit mij niet met wie hij samenwerkt, dus dan is het ook weer logisch dat hij toestemming vraagt voor zijn partners.
Als er geen toestemming wordt gevraagd, dan is het problematisch voor beide partijen, want dan overtreedt die software de cookiewet. (Tenzij het gaat om simpele first party analytics gefaciliteerd door een derde, dan is er geen toestemming nodig. Ook geen opt-out trouwens.)
Arnoud
Op die manier zou het wel heel simpel zijn om de cookiewet te omzeilen, je laat alleen ‘derden’ cookies plaatsen. Dat overleeft bij mij de giecheltoets niet – van juristen weet ik het niet.
Het probleem is dat je niet alleen toestemming moet vragen, je moet ook uitgebreid uitleggen waarvoor die cookies zijn. En dat weet je bij derden niet.
Een derde partij kan per bezoeker verschillende cookies plaatsen. Een derde partij kan per bezoek verschillende cookies plaatsen. Een derde partij kan op basis van geo-IP andere cookies plaatsen. Je komt er als ontwikkelaar nooit 100% achter welke cookies een derde partij plaatst en waarom.
Hoe zit dit in het concrete geval van gebruik van google analytics door de site die je bezoekt? Zelf heeft de gebruiker er (direct) niets aan, maar de site die het plaats krijgt gratis goede verkeersinformatie in ruil voor het feit dat google de verkeersgegevens ook zelf kan gebruiken (o.a. voor advertenties). In de meeste gevallen is de keuze zeer beperkt en veel gebruikers zullen niet in staat zijn om apart naar google te gaan om toestemming in te trekken.
Als er echter een relatie met google analytics (of in een ander voorbeeld facebook of doubleclick) is, zouden die partijen dan niet ook zelf (expliciete) toestemming moeten vragen. Dat is niet praktisch en als gebruiker zit ik ook niet op 3/4 cookiebanners te wachten. En als ik toestemming geef aan google analytics is dat dan per site of voor alle sites die er gebruik van maken?