Cookie-wetgeving 2012-2013

Whitepaper Cookie-wetgeving 2012-2013 De nieuwe cookie-wetgeving en de gevolgen voor gebruikers van het Smartsite content management systeem Seneca BV Elektronicaweg 31 2628 XG Delft W: www.seneca.nl T: 015-2513700 I: info@seneca.nl Versie: 1.5, 3 januari 2013. Hoewel we dit document zorgvuldig hebben samengesteld, kunnen aan dit document geen rechten worden ontleend. Seneca streeft ernaar op basis van voortschrijdend inzichten dit document te zijner tijd te herzien.

Datum : 3 januari 2013 Versie : 1.5 Inhoudsopgave 1 Inleiding... 2 2 Gewijzigde wetgeving... 5 3 Onrust over de wetgeving... 7 4 Achtergrond... 9 5 De praktijk... 10 6 Bekijken welke cookies een website gebruikt... 18 7 Gebruikerscontrole op het plaatsen van cookies... 20 8 De gebruiker de keuze laten... 21 9 Cookies in een door Smartsite aangedreven website... 22 10 Cookies en uw website... 24 10.1 Workshop... 24 10.2 Gestandaardiseerde oplossing... 25 11 Contact... 28 12 Bronvermelding en eindnoten... 29

1 Inleiding Met ingang van 5 juni 2012 is nieuwe cookie-wetgeving van kracht, die is ingebed in de Telecomwet. Of en zo ja welke gevolgen de nieuwe cookie-bepalingen heeft voor websitebeheerders proberen we in dit document te beschrijven. Tegelijkertijd moeten we onderkennen dat er nog veel interpretatievragen zijn. Dit document is dan ook een voorlopige reactie op de nieuwe wetgeving en geënt op voortschrijdend inzicht. De handhaving van de Telecomwet is belegd bij toezichthouder OPTA. Het toezicht en de handhaving door OPTA zal meer duidelijkheid scheppen en de interpretatieruimte verkleinen. Iedere beheerder van een website zal naar aanleiding van deze gewijzigde wetgeving echter nu al in actie moeten komen om te zien of zijn website nog steeds voldoet aan de wettelijke eisen. Dit document en de kennissessies en workshops, die Seneca organiseert, bieden daarbij ondersteuning. Naarmate de jurisprudentie zich ontwikkelt, kan herziening noodzakelijk zijn. Dit document licht de achtergronden van het gebruik van cookies en van de wetgeving toe en kijkt naar de eerste maatregelen, die door partijen genomen worden. Vervolgens vertalen we deze naar websites, die door het content management systeem Smartsite worden aangedreven en lichten we de hulpmiddelen toe, die Seneca in Smartsite heeft ontwikkeld. De kern van door beheerders van websites naar aanleiding van de nieuwe wetgeving te nemen maatregelen is in ieder geval duidelijk: informeren en (uitzonderingen daargelaten) vooraf toestemming van de bezoeker verkrijgen. De nieuwe cookie-wetgeving Pagina 2 van 30

Figuur 1. Emerce bericht over aannemen gewijzigde wetgeving door de Tweede Kamer in 2011. Zie http://www.emerce.nl/nieuws/nieuwe-telecomwet-inclusief-cookiewetgeving-aangenomen. We hebben geprobeerd dit document zorgvuldig samen te stellen en daarin de meest recente inzichten te verwerken. Het speelveld is echter nog volop in beweging en de eerste handhaving door OPTA zal hopelijk veel interpretatievragen beantwoorden. We streven ernaar dit document met enige regelmaat op basis van nieuwe inzichten te herzien. Een belangrijke aanvulling op eerdere inzichten ontlenen we aan een document met veelgestelde vragen over de cookiewetgeving, uitgegeven door OPTA, dat verscheen op 2 augustus 2012 i. Een recente ontwikkeling is een brief, die de OPTA op 6 augustus 2012 verstuurde aan overheden. Het persbericht hierover meldt onder meer: OPTA heeft 121 overheidsinstanties per brief geïnformeerd over de nieuwe cookiebepaling. OPTA heeft zich in eerste instantie op deze specifieke groep gericht, omdat zij een voorbeeldfunctie vervullen. Het gaat hierbij overigens niet alleen om websites van de overheid zelf, maar ook om sites die door burgers hiermee geassocieerd worden. OPTA heeft 96 websites erop gewezen dat zij cookies plaatsen zonder te infomeren en/of De nieuwe cookie-wetgeving Pagina 3 van 30

toestemming te vragen. Zij moeten OPTA vóór 24 september laten weten hoe zij aan de wet gaan voldoen. Tien sites plaatsen alleen functionele cookies en vijftien sites helemaal geen. Om ervoor te zorgen dat deze sites ook in de toekomst blijven voldoen aan de cookiebepaling, zijn zij per brief geïnformeerd over de nieuwe regels. ii De onrust is in oktober 2012 toegenomen door opmerkingen van Eurocommissaris voor ICT Neelie Kroes, die kritiek uit op het feit dat de Nederlandse regelgeving afwijkt van de Europese wetgeving. Dat de interpretatie van deze regeling nog aan verandering onderhevig is, bleek op 20 december 2012. Minister Kamp van Economische Zaken schrijft in een brief aan de Tweede Kamer dat voor het gebruik van zogenaamde first party cookies, die voor de verzameling van web analytics dienen, geen toestemming gevraagd hoeft te worden. Een persbericht vermeldt: Minister Kamp vindt dat goede analytische gegevens van groot belang voor websites kunnen zijn. "Deze gegevens kunnen een positieve invloed hebben op de gebruikersvriendelijkheid van een website", aldus de minister. "Ik wil voor eigenaren van websites een drempel weghalen om over die gegevens te kunnen beschikken maar zonder de privacy van bezoekers aan te tasten. iii " In een brief aan de Tweede Kamer schrijft de minister: Ik zal op korte termijn samen met OPTA bekijken hoe de voorwaarden nader moeten worden ingevuld. Op dit moment ligt het het meest in de rede dat OPTA daarna de voorwaarden zal publiceren op haar website. iv Wordt dus vervolgd! Voor uw opmerkingen, suggesties en aanvullingen houden we ons van harte aanbevolen. Seneca BV Delft, 23 oktober 2012. Johan Blok (e-mail: jwblok@seneca.nl, twitter: @johanblok) Chief Strategy Officer De nieuwe cookie-wetgeving Pagina 4 van 30

2 Gewijzigde wetgeving De wetswijziging is een aanpassing van de Telecomwet en een voortvloeisel van de eprivacy richtlijn van de Europese Unie. De Nederlandse Wet Bescherming Persoonsgegevens bood al een eerste kader voor de privacybescherming op internet. De wijzigingen in de wetgeving v zijn op 5 juni 2012 in werking getreden. In de aankondiging van de Rijksoverheid is onder meer te lezen: De nieuwe cookiebepaling treedt direct in werking. Vanaf 5 juni 2012 is OPTA daarom bevoegd om de nieuwe cookieregels te handhaven en moeten partijen die cookies plaatsen en lezen de nieuwe cookieregels naleven: informeren en vooraf toestemming verkrijgen. In de gewijzigde wetgeving is met name Artikel 11.7a van belang: 1 Een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker, dient: a. de gebruiker duidelijke en volledige informatie te verstrekken overeenkomstig de Wet bescherming persoonsgegevens, en in ieder geval omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en b. van de gebruiker toestemming te hebben verkregen voor de desbetreffende handeling. 2 De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het geval op een andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk gegevens worden opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen gegevens. 3 Het bepaalde in het eerste en tweede lid is niet van toepassing, voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel: a. de communicatie over een elektronisch communicatienetwerk uit te voeren, of b. de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is. 4 Bij algemene maatregel van bestuur kunnen in overeenstemming met Onze Minister van Justitie nadere regels worden gegeven met betrekking tot de in het eerste lid, onder a en b, genoemde vereisten. Het College bescherming persoonsgegevens wordt om advies gevraagd over een ontwerp van bedoelde algemene maatregel van bestuur. Dit wetsartikel maakt duidelijk dat in principe voor alle cookies een informatieplicht van toepassing is (1a) en dat de bezoeker toestemming moet verlenen (1b) voor het actieve gebruik daarvan door een specifieke website. Hier past de wet hetzelfde opt-in mechanisme toe dat ook elders (bijvoorbeeld inzake e-mail marketing) van kracht is. Cookies met een specifieke functie zijn van deze informatie- en instemmingsplicht uitgesloten (3a, 3b). De concrete interpretatie van dit artikel, en met name van de uitzonderingen genoemd onder 3a en 3b, zal in de praktijk gaandeweg ontstaan. De wetswijziging betekent in ieder geval niet dat alle cookies per definitie De nieuwe cookie-wetgeving Pagina 5 van 30

verboden zijn, maar impliceert wel dat beheerders van websites op dit vlak een actieve verantwoordelijkheid hebben om te informeren en waar nodig toestemming te verkrijgen voor het gebruik van cookies. De Nederlandse wetgeving is overigens strikter dan die in de ons omringende landen. Dit bedreigt in de ogen van sommigen het principe van het level playing field, dat ten minste binnen de Europese Unie zou moeten gelden. De handhaving van de Telecomwet is belegd bij de OPTA. Te verwachten is dat deze de aandacht allereerst zal richten op de websites van grote, commerciële (B2C) instellingen en op het cross-domain verzamelen van profielgegevens van internetgebruikers. Immers, juist het delen of verhandelen van specifieke gebruikersinformatie tussen verschillende websites of toepassingen was een belangrijke aanleiding om de wetswijziging te initiëren. De beheerders van sommige grote, commerciële sites geven aan vooralsnog af te wachten of, en zo ja, op welke wijze, de OPTA in actie gaat komen. Eventueel ingrijpen van de OPTA zal ongetwijfeld leiden tot een of meer proefprocessen, die kunnen leiden tot een concreter inzicht in de ruimte en de grenzen die dit artikel biedt. Anderen hebben zeer recent de eerste, soms marginale, aanpassingen aan hun sites uitgevoerd. Daarmee is in ieder geval zichtbaar dat men gehoor geeft aan de verplichtingen die de gewijzigde wetgeving met zich meebrengt. Een aantal praktijkvoorbeelden passeren de revue in dit document. De afwikkeling van de brief van OPTA van 6 september 2012 aan een groot aantal overheidsinstellingen zal zeker bijdragen tot meer duidelijkheid. Uit deze brief citeren we: Strekking van artikel 11.7a Tw Artikel 11.7a Tw, voortvloeiende uit een Europese richtlijn, heeft consequenties voor het gebruik van onder andere cookies. In dit artikel staat dat wanneer u door middel van een elektronisch communicatienetwerk toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker of gegevens wenst op te slaan1 in de randapparatuur van een gebruiker, u de gebruiker duidelijke en volledige informatie dient te verstrekken en voor deze handeling toestemming dient te vragen. Kort gezegd, websites moeten bezoekers informeren en toestemming vragen voordat zij een cookie of andere gegevens op een computer, laptop of mobiele telefoon plaatsen of lezen. De bepaling gaat niet alleen over cookies, maar geldt ook voor andere technieken die hetzelfde doen, bijvoorbeeld Javascripts, Flash cookies en HTML5-local storage. De wet maakt geen onderscheid tussen cookies geplaatst door uw eigen organisatie en cookies geplaatst door derden; zo valt bijvoorbeeld ook een cookie geplaatst door uw webstatistieken-leverancier onder het bereik van de wet. Naleving van de wet Op dit moment plaatst uw website cookies. Het lijkt te gaan om cookies waarover bezoekers eerst geïnformeerd moeten worden én waarvoor zij eerst toestemming moeten geven voordat u deze cookies mag plaatsen. ( ) De nieuwe cookie-wetgeving Pagina 6 van 30

3 Onrust over de wetgeving Hoewel de wet al een aantal maanden van toepassing is, gaan geleidelijk toch meer stemmen op om de wet aan te passen c.q. de handhaving op te schorten. Een belangrijk argument van de tegenstanders is dat de Nederlandse wetgeving afwijkt van en strenger is dan die van EU en dus van omringende landen. Zo kan nooit een level playing field voor bedrijven binnen de EU ontstaan, is de gedachte. In een interview met tweakers.net spreekt Neelie Kroes, eurocommissaris voor ICT, haar zorgen en bezwaren uit: Kroes zet vraagtekens bij Nederlandse implementatie cookiewet Door Joost Schellevis, dinsdag 16 oktober 2012 20:36, views: 20.508 Eurocommissaris voor ict Neelie Kroes is niet blij dat de Nederlandse cookiewet afwijkt van de Europese richtlijn. Dat zegt ze in een gesprek met Tweakers.net. Volgens Kroes zijn de verschillen niet uit te leggen aan bedrijven buiten Europa. "Mijn ideaal is natuurlijk dat we in alle 27 lidstaten dezelfde interpretatie hebben van een voorstel", zegt Eurocommissaris Neelie Kroes van ict tegenover Tweakers.net. "Ik kan niet uitleggen aan buitenlandse, potentieel geïnteresseerden in Europa dat je in het ene land anders behandeld wordt dan in het andere land." In Nederland is de implementatie van de cookiewetgeving strenger dan in andere landen. Onder meer in het Verenigd Koninkrijk is implied consent genoeg; er wordt dan vanuit gegaan dat gebruikers toestemming hebben gegeven. In Nederland is het echter verplicht om expliciet om toestemming te vragen. Daarnaast vond de Tweede Kamer dat met browserinstellingen geen toestemming kan worden gegeven, terwijl dat volgens de richtlijn wel kan. Eurocommissaris Kroes wil niet zeggen of de Nederlandse implementatie een stap te ver is. Ze vindt wel dat EU-richtlijnen 'zo veel mogelijk' geharmoniseerd moeten worden. Bovendien steunt ze de gedachte achter de cookiewet die door de Europese Commissie is voorgesteld. Als iemand niet wil dat er bepaalde cookies worden geplaatst, moet dat gerespecteerd worden, vindt Kroes. De cookiewetgeving is bedoeld om te voorkomen dat gebruikers zonder dat ze dat weten worden gevolgd op internet. Voor alle niet-essentiële cookies moet toestemming worden gevraagd. Bij essentiële cookies moet worden gedacht aan cookies waarin sessiegegevens worden opgeslagen. De wetgeving, die onderdeel uitmaakt van de nieuwe telecomwet, geldt ook voor andere technologie als html5-local storage en Flashcookies. Vorige week bleek dat de websites van de Publieke Omroep voortaan alleen nog maar bezocht kunnen worden als gebruikers akkoord gaan met het plaatsen van cookies, als gevolg van de cookiewet. Bron: http://tweakers.net/nieuws/84994/kroes-zet-vraagtekens-bij-nederlandse-implementatie-cookiewet.html De branchevereniging Thuiswinkel haakte hier direct op in: Pas op de plaats met toezicht op cookiewet De nieuwe cookie-wetgeving Pagina 7 van 30

Toezichthouder OPTA moet een pas op de plaats maken met het toezicht op de cookieregels. Dat stelt Thuiswinkel.org na uitspraken van Eurocommissaris Neelie Kroes (Digitale Agenda). Zij vindt dat Nederland afwijkt van de Europese richtlijn. Ik kan niet aan buitenlandse bedrijven uitleggen dat je in het ene land anders behandeld wordt dan in het ander land, zegt Kroes in een interview met Tweakers.net. Ze vindt dat in alle 27 EU-landen dezelfde interpretatie van de Europese richtlijn moet gelden. Nederlandse bedrijven sterk benadeeld Wijnand Jongen, directeur van Thuiswinkel.org, vindt dat de Eurocommissaris hiermee een belangrijk signaal afgeeft. Europa heeft een belangrijke taak om in de Europese markt een gelijk speelveld te creëren die leidt tot eerlijke concurrentie. Op dit moment worden de Nederlandse bedrijven sterk benadeeld. Extra regels en interpretaties op EU-regels zijn schadelijk. Wij zijn blij dat mevrouw Kroes dat ook vindt. Pas op de plaats voor OPTA Wijnand Jongen roept de Nederlandse toezichthoudende organisatie OPTA dan ook op om een pas op de plaats te maken. De OPTA legt de wet blijkbaar anders uit dan de Europese bedoeling is geweest met de richtlijn. De richtlijn moet overal in Europa op dezelfde manier worden uitgelegd en op hetzelfde moment worden toegepast. Dat vindt Thuiswinkel.org en dat stelt nu ook de Eurocommissaris. Niemand wil conversieverlies De nieuwe cookieregels zijn in Nederlands van kracht sinds begin juni. Sinds die tijd doen bedrijven en overheidsinstelling hun best om aan de regels te voldoen. Wijnand Jongen: In de praktijk blijkt dit echter nog heel ingewikkeld te zijn. Zelfs websites van overheidsinstanties voldoen in veel gevallen niet. Zowel de interpretatie als de uitvoering leiden tot vragen en problemen. Niemand wil conversieverlies leiden. Daarom ligt het ook zo gevoelig. Bedrijven zitten flink met die cookies in hun maag, dat hoor je overal. Zelfde interpretatie, zelfde tijdstip Volgens Wijnand Jongen is het van groot belang dat de toezichthouders in de verschillende Europese landen hierin gezamenlijk optrekken, in overleg met de Europese Commissie. Dat geldt overigens niet alleen voor de cookieregels, maar ook voor andere regelgeving. Hier valt op Europees niveau nog veel winst te behalen. De regels moeten niet alleen op dezelfde manier toegepast worden, maar ook op hetzelfde moment worden ingevoerd. Alleen dan is er sprake van een gelijk speelveld. Bron: http://www.thuiswinkel.org/pas-op-de-plaats-met-toezicht-op-cookiewet De nieuwe cookie-wetgeving Pagina 8 van 30

4 Achtergrond Een cookie is een klein bestandje, dat door de browser tijdens het bezoek aan sommige websites op de harde schijf van de computer wordt aangemaakt of aangepast. Cookies zijn op zich niet schadelijk, zoals virussen en malware. Cookies kunnen allerlei soorten informatie bevatten. Een aantal sprekende voorbeelden van toepassingen zijn terug te vinden in een blog van Marketingfacts vi. Cookies hebben een bestandsnaam, tekstuele inhoud en een belangrijk kenmerk: een houdbaarheidsperiode, variërend van alleen bestaand tijdens het bezoek aan de betreffende website, via tijdelijk houdbaar tot permanent. Surfers op het internet merken soms dat na het bekijken van een product in een webwinkel (bijvoorbeeld Wehkamp) toevallig datzelfde product getoond wordt bij het lezen van een pagina van een nieuwssite (bijvoorbeeld De Telegraaf). Feitelijk wordt in zo n geval informatie over het surfgedrag van een individuele bezoeker op de ene site doorgegeven aan een andere site, zodat die daarop kan acteren, door bijvoorbeeld een bepaalde advertentie te tonen. Dit soort bezoekersprofielen worden real-time verhandeld via grote online platforms. Het opbouwen van bezoekersprofielen en het verhandelen daarvan is een van de drijvende business modellen achter veel recente internet initiatieven. Intuïtief voelen we aan dat het verhandelen van informatie, die op ons betrekking heeft, niet zonder onze instemming zou mogen plaatsvinden. Bij het opbouwen van de hierboven beschreven profielen spelen cookies een belangrijke rol. Maar cookies worden ook voor andere doelen ingezet, die onschuldig zijn en de gebruiker voordeel opleveren op het gebied van gebruiksgemak, een meer toegespitste informatievoorziening of betere prestaties van de website. En hier ontstaat de vraag: welke inzet van cookies is gerechtvaardigd als strikt noodzakelijk en mag zonder toestemming van gebruikers worden ingezet conform lid 3 van Artikel 11.7a, en voor welke cookies moet toestemming worden gevraagd? En als we toestemming vragen, hoe doen we dat dan? Want, in analogie met andere delen van de Telecomwet, bijvoorbeeld met betrekking tot e-mail marketing, geldt hier waarschijnlijk het opt-in principe. Meer lezen over cookies? http://www.allaboutcookies.org/ is geschreven voor en door marketeers en biedt een overzicht van aspecten die samenhangen met de Europese wetgeving ten aanzien van cookies. Een kanttekening is hier op zijn plaats: veel websites die over cookies berichten hebben een bepaalde bias en vertegenwoordigen soms een bepaalde lobby (van marketing belangen tot privacy waakhonden). Het is belangrijk dat beheerders van websites zich breed oriënteren en vervolgens evenwichtige en passende maatregelen treffen. De nieuwe cookie-wetgeving Pagina 9 van 30

5 De praktijk Het voorbeeld van de BBC De cookie wetgeving in het Verenigd Koninkrijk is prima vergelijkbaar met de Nederlandse wetgeving. We kijken daarom eerst hoe de website van de BBC (www.bbc.co.uk) omgaat met cookies, communicatie daaromtrent en de mogelijkheid als bezoeker van de site daar zelf keuzes te maken. De website van de BBC staat wereldwijd uitstekend bekend en is daarom een goed startpunt voor onze verkenning. De BBC website toont (status: juni 2012) bij het eerste bezoek bovenin de pagina een opvallend informatieblok over cookies. Doorklikken naar change your cookie settings resulteert in een volgende pagina, waarop men verschillende typen cookies in voor de meeste bezoekers begrijpelijke termen uitlegt. Figuur 2. www.bbc.co.uk bij eerste bezoek. In de pagina is een goed zichtbare balk met compacte, eerste informatie en de mogelijkheid om door te klikken voor instellingen en voor meer informatie. De nieuwe cookie-wetgeving Pagina 10 van 30

Figuur 3. http://www.bbc.co.uk/privacy/cookies/managing/cookie-settings.html Op hoofdlijnen laten de toepassingen van cookies zich groeperen tot onderstaande lijst, ontleend aan de BBC website vii (juni 2012): Strikt noodzakelijke cookies; Functionele cookies; Performance cookies; Online advertising cookies. Deze indeling lijkt een doordachte, onderbouwde categorisering, die we in het vervolg van dit document dan ook vaker zullen hanteren. Ook anderszins lijkt de aanpak van de BBC met betrekking tot cookies een zorgvuldig uitgewerkte methodiek en communicatiestrategie, die we hieronder in meer detail bekijken. In deze indeling van toepassingen van cookies herkennen we overigens de eerste categorie als de uitzonderingen, zoals bedoeld in lid 3 van Artikel 11.7a van de Telecomwet. De drie overige categorieën zijn niet strikt noodzakelijk. De vier gehanteerde categorieën en de bijbehorende toelichtingen sommen we hieronder op. 1 Strikt noodzakelijke cookies De BBC website licht deze categorie als volgt toe: Some cookies are strictly necessary in order to enable you to move around the website and use its features. Without these cookies, we will not be able to determine the number of unique users of the site or provide certain features, such as automatic sign De nieuwe cookie-wetgeving Pagina 11 van 30

in to the BBC services. De BBC plaatst blijkbaar cookies die noodzakelijk zijn voor web analytics in deze categorie. De argumentatie zou kunnen zijn dat web analytics cruciaal zijn om te zorgen dat voldoende capaciteit voorhanden is om aan de vraag van bezoekers te voldoen. Te verwachten is dat hierover in de eerste beoordelingen van websites, die OPTA zal uitvoeren, dit thema nadrukkelijk aan de orde zal komen. Ook cookies die inloggegevens van bezoekers bewaren ( remember me / onthouden op deze computer ) schikt de BBC in deze categorie, met daarbij misschien de argumentatie, dat alleen geïdentificeerde bezoekers toegang krijgen tot bepaalde informatie. Wat te doen met bezoekers, die (alle categorieën) cookies hebben uitgeschakeld in hun browser? Sommige websites vereisen dat cookies aangemaakt kunnen worden en bieden, indien dat niet wordt toegestaan, geen informatie aan de bezoeker. Vanuit het perspectief van toegankelijkheid (Webrichtlijnen) is dit echter niet acceptabel. 2 Functionele cookies Hierover schrijft de BBC redactie: Functionality cookies record information about choices you ve made and allow us to tailor the website to you. For example, if you set your location on the BBC homepage in order to receive your local news and weather forecast, we use cookies to save your location preference. Functionality cookies may also take the form of Flash cookies, which are stored in your Adobe Flash Player rather than your browser. These are used to provide features such as auto-resume on iplayer, by remembering the point to which you played a programme, and for saving preferences such as your volume setting. Deze categorie cookies bevat informatie, die het mogelijk maakt de aangeboden informatie te personaliseren voor de gebruiker. Dit zijn expliciete voorkeuren van de gebruiker (zoals door de gebruiker ingevoerde of bevestigde locatie-informatie). Impliciete voorkeuren, die bijvoorbeeld zijn afgeleid uit het klikgedrag van de bezoeker binnen de website, kunnen ook in deze categorie vallen. Impliciete voorkeuren komen overigens ook aan bod in de vierde categorie. Voor deze categorie cookies is belangrijk op te merken dat ze weliswaar profielgegevens bevatten, maar dat deze profielgegevens niet worden gedeeld met beheerders van andere websites. Een goede tekst op de privacy policy pagina van de website lijkt wel op zijn plaats. Bijvoorbeeld: Deze website maakt gebruik van cookies om de gebruikersbeleving te verbeteren en u beter van dienst te kunnen zijn. Het gebruikersprofiel, dat zodoende ontstaat, wordt alleen binnen deze website toegepast en vanzelfsprekend niet met derden gedeeld. 3 Performance cookies De toelichting van de BBC bij deze categorie luidt: We use Performance cookies across BBC websites for internal purposes to help us to provide you with a better user experience. Information supplied by cookies helps us to understand how our visitors use BBC websites so that we can improve how we present our content to you. They also allow us to test different design ideas for particular pages, such as the BBC Homepage. We generally contract with independent measurement and research companies to perform these services for us and when this is the case, these cookies may be set by a De nieuwe cookie-wetgeving Pagina 12 van 30

third party company (third party cookies). Third party cookies are identified in the list below, together with information as to how you can opt out of receiving them. Deze categorie cookies zet men bijvoorbeeld in bij zogenaamde in marketingstrategieën veelgebruikte A/B-testing of MVT-testing. Dit zijn marketingtests die aan verschillende bezoekers verschillende informatie (bijvoorbeeld banners) aanbieden of pagina s met verschillen in opmaak tonen. Deze tests zijn bedoeld om websites te optimaliseren (vanuit het perspectief van de beheerder gezien) en de conversieratio te verhogen. Ook cookies, die informatie opslaan over bijvoorbeeld het device, waarop de gebruiker de website bekijkt, rangschikken we in deze categorie. Een dergelijk cookie zorgt ervoor dat de volgende keer, dat de gebruiker de website bezoekt, allerlei (Javascript) tests niet opnieuw behoeven te worden uitgevoerd en de pagina sneller laadt. Dat komt de gebruikerservaring ten goede. 4 Online behavioural advertentie cookies Bij deze categorie hebben we misschien op voorhand al het beste beeld. De BBC schrijft hier: If you re outside the UK, you will see the international version of the BBC website, which features advertising. A certain amount of this advertising is tailored to the individual user. We use cookies to work out what advertising might be most relevant to you based on the areas you look at on our sites and your IP address geo-location. You can learn more about our online behavioural advertising in international users. The table below provides links to the individual ad serving partners opt-out mechanisms but you can also manage these through the cookie settings page. Of de door de BBC gehanteerde cookie-strategie ook zou standhouden in het kader van de Nederlandse wetgeving, kunnen we alleen maar vermoeden. In ieder geval kunnen we vaststellen: De communicatie is helder: bij eerste bezoek wordt de gebruiker begeleid in het kennis nemen van het gebruik van cookies op de website; Teksten zijn ook voor leken goed te begrijpen; De categorisering van cookies maakt inzichtelijk welke cookies voordelig zijn voor de gebruiker en welke cookies voordelig zijn voor de websitebeheerder c.q. voor adverteerders; De bezoeker kan aangeven welke toepassingen van cookies akkoord zijn. Overigens worden deze voorkeuren eveneens in een cookie viii opgeslagen, dat op zijn beurt als strikt noodzakelijk zou kunnen worden betiteld. De afgelopen maanden heeft de BBC overigens de wijze waarop bezoekers van haar websites gewezen worden op het gebruik van cookies, geleidelijk aangepast. Op dit moment (oktober 2012) is de BBC terughoudender geworden in haar communicatie en wordt de mogelijkheid om instellingen te wijzigen minder prominent (of zelfs enigszins obscuur) aangeboden. De nieuwe cookie-wetgeving Pagina 13 van 30

Nederlandse voorbeelden In Nederland zien we dat in sneltreinvaart beheerders van websites maatregelen nemen waaruit duidelijk blijkt dat ze zich bewust zijn van de eisen, die de nieuwe Telecomwet aan hun websites stelt. Gezien de snelheid van ontwikkeling is de opmerking hier op zijn plaats dat dit momentopnamen zijn. Western Union volgt op hoofdlijnen de BBC indeling van toepassingen van cookies (stand: juli 2012) en toont bij eerste bezoek een goed zichtbaar dialoogvenster over cookies: Figuur 4. Western Union: http://business.westernunion.nl/about/cookie-policy/ De indeling in categorieën is in lijn met het voorbeeld van de BBC: 1 Transactiecookies 2 Functionele cookies 3 Prestatiecookies 4 Marketingcookies. De toelichting is op hoofdlijnen eveneens vergelijkbaar met de teksten van BBC. Echter hier geldt de toevoeging bij de eerste categorie: Het accepteren van deze cookies is een gebruiksvoorwaarde van de website. Dit is een interessante variant, die voor veel financiële en transactie-georiënteerde websites de optin vastlegt. Te zijner tijd zal de OPTA (of de rechter) ongetwijfeld uitspraak doen of dit is toegestaan. De nieuwe cookie-wetgeving Pagina 14 van 30

Figuur 5. De Telegraaf toont onderin een balk waarin gewezen wordt op cookies. De Telegraaf (stand: juli 2012) is een voorbeeld van een site, waar de interpretatie van de nieuwe wetgeving pas sinds kort en tamelijk minimalistisch een plaats heeft gekregen. Door op de Sluiten knop te drukken in de weinig opvallende balk onderin de browser, vindt opt-in plaats. De link naar meer informatie leidt naar de Cookie verklaring van de TMG (http://www.tmg.nl/cookies/). De informatie die daar wordt geboden, is overzichtelijk en helder leesbaar. Ook hier een indeling in categorieën cookies: 1 Voor functionele doeleinden 2 Voor analytische doeleinden 3 Voor commerciële doeleinden 4 Voor targeting doeleinden. In de tekst geeft TMG aan dat cookies over meerdere websites van TMG gebruikt kunnen worden. Welke dat zijn, vermeldt de tekst echter niet. Bijzonder is echter de wijze waarom TMG omgaat met de opt-in / opt-out gedachte. Men verwijst hiervoor naar de browserinstellingen om cookies te wissen en uit te schakelen. De websites van TMG zelf bieden (nog) geen voorzieningen voor het maken van gerichte keuzes van gebruikers. Interessant zal zijn hoe de OPTA te zijner tijd over deze maatregel zal oordelen. De nieuwe cookie-wetgeving Pagina 15 van 30

Figuur 6. Intermediair: http://www.intermediair.nl/artikel/service/126727/privacy-statement.html De toepassing van cookies typeert men bij Intermediair (stand: juli 2012) als volgt: 1 Functionele cookies 2 Cookies voor het tonen van gerichte advertenties 3 Cookies voor website analyse 4 Overige cookies. Men vermeldt van welke website analyse hulpmiddelen men gebruikmaakt (Google Analytics) en voegt daaraan toe: Google Analytics maakt gebruik van cookies om VNU Media te helpen analyseren hoe gebruikers de Website gebruiken. De door de cookie gegenereerde informatie over uw gebruik van de website (met inbegrip van uw IP-adres) wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten. Google gebruikt deze informatie om bij te houden hoe de website gebruikt wordt, rapporten over de website-activiteit op te stellen voor VNU Media en andere diensten aan te bieden met betrekking tot website-activiteit en internetgebruik. Google mag deze informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover deze derden de informatie namens Google verwerken. Google zal uw IP-adres niet combineren met andere gegevens waarover Google beschikt. De zinsnede Google mag deze informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht duidt onder meer op de Patriot Act, die de Amerikaanse overheid onder omstandigheden het recht biedt informatie van zowel Amerikaanse burgers als niet-amerikaanse burgers te verzamelen. De vermelding van deze alinea over Google Analytics staat feitelijk los van de cookie wetgeving en zou op de privacy statement van iedere website, waarin dit hulpmiddel in gebruik is, moeten zijn vermeld. De nieuwe cookie-wetgeving Pagina 16 van 30

Een geval apart: uitzendinggemist.nl In oktober 2012 veroorzaakte Uitzendinggemist.nl veel ophef door het gebruik van cookies verplicht te maken voor gebruikers van de website. Het weigeren van cookies betekent dat de website niet toegankelijk is. Figuur 7. www.uitzendinggemist.nl verplicht bezoekers cookies te accepteren. De dag- en (online) vakbladen kopten onder meer: Geen cookies, geen uitzending gemist (Marqit) Uitzending gemist weert cookie-weigeraars (Webwereld) Publieke omroep chanteert burgers met cookie-muur (Volkskrant). Ondertussen zijn in de Tweede Kamer vragen gesteld over deze zaak. Uitzendinggemist.nl geeft echter aan in een spreidstand te worden gedwongen door de overheid: enerzijds heeft de organisatie de verplichting te rapporteren hoeveel bezoekers de site bezoeken en hoeveel programma s worden bekeken, terwijl de cookies, die hiervoor noodzakelijk zijn, niet gebruikt zouden mogen worden. Hoe de OPTA de keuze, voortvloeiend uit dit dilemma, zal beoordelen, is te bezien. Naar verwachting zal men echter het belang van de internetgebruiker laten prevaleren. De nieuwe cookie-wetgeving Pagina 17 van 30

6 Bekijken welke cookies een website gebruikt Er is een veelheid van tools in de markt aanwezig, die als plug-in in een browser (Internet Explorer, Chrome, Firefox et cetera) geladen kunnen worden en tonen welke cookies door een bepaalde website in gebruik zijn. Geïnteresseerde en alerte internet gebruikers kunnen zo inspecteren welke cookies door een bepaalde site gebruikt worden. Figuur 8. Cookies van de website www.bbc.co.uk tonen middels een Cookie Manager plug-in (in dit geval: Edit This Cookie in Google Chrome). Soms geven de namen van cookies al weer waarvoor ze bedoeld zijn; vaak krijgen cookies echter ook een cryptische naam. In bovenstaande lijst zal BBC-UID ongetwijfeld de unieke code bevatten, die ik als bezoeker van de website heb gekregen. Bij terugkeer naar deze site zal de website mij dus herkennen. Een Cookie Manager plug-in zal meestal ook de inhoud van een cookie kunnen tonen (zie hieronder) en eventueel de mogelijkheid bieden die inhoud zelf aan te passen. De nieuwe cookie-wetgeving Pagina 18 van 30

Figuur 9. De inhoud van een cookie (in dit geval BBC-UID) bekeken. Soms zal een cookie een voor mensen leesbare inhoud bevatten, maar in andere gevallen zal sprake zal van een zogenaamde GUID (global unique identifier) of kan de inhoud zijn versleuteld. De geldigheidsduur van het cookie is op deze wijze ook te inspecteren. De nieuwe cookie-wetgeving Pagina 19 van 30

7 Gebruikerscontrole op het plaatsen van cookies Browsers bieden voorzieningen waarmee gebruikers hun keuze kunnen bepalen met betrekking tot het type cookies, dat websites mogen schrijven. Zo toont Microsoft Internet Explorer (via Tools, Internet Options, Privacy (en Advanced) instellingsmogelijkheden voor het inzetten van cookies: Figuur 10. Standaard instellingen voor cookies in Internet Explorer 9. De hier getoonde instellingen gelden voor alle websites, die de gebruiker met deze browser bezoekt. De websites van de Telegraaf Media Groep verwijzen naar deze wijze voor het uitschakelen van cookies op de sites van TMG. Daarmee worden dus cookies op alle websites uitgeschakeld, en geen onderscheid gemaakt tussen de verschillende functies die cookies kunnen hebben. Naar verwachting zullen toekomstige versies van browsers steeds meer functionaliteit gaan bieden om het gebruik van cookies per site (per domein) te regelen. Dat zou er in resulteren dat de gebruiker op een uniforme wijze de privacy in zijn surfgedrag kan bewaken, in plaats van met allerlei site-specifieke oplossingen geconfronteerd te worden (te vergelijken met de uniforme wijze waarop toestemming gevraagd wordt tijdens de installatie van een App op een SmartPhone om GPS of andere faciliteiten van de SmartPhone te gebruiken). De nieuwe cookie-wetgeving Pagina 20 van 30

8 De gebruiker de keuze laten Dit is feitelijk het uitgangspunt van de wetswijziging: de gebruiker moet een expliciete keuze kunnen maken. In hoeverre dit ook voor groepen gelieerde of soortgelijke websites geldt, is nog niet duidelijk. Met andere woorden: geldt de expliciete keuze van een gebruiker op website A tevens voor website B, die van dezelfde organisatie is (bijvoorbeeld een campagnesite)? Momenteel nemen veel websitebeheerders nog geen maatregelen: de eerste acties van OPTA zullen mogelijk meer duidelijk maken over de interpretatie ix. De browserinstellingen, die hiervoor zijn toegelicht, zijn naar verwachting onvoldoende om aan de gestelde eisen te voldoen. Ook valt nog nader te bezien, op welke toepassingen van cookies de leden 3a en 3b van toepassing zijn. De ideale oplossing is dat ieder cookie, waarop de wetgeving van toepassing is, wordt aangeboden in combinatie met een transparante toelichting en de mogelijkheid het cookie wel of niet te accepteren, zoals bijvoorbeeld de BBC doet. De nieuwe cookie-wetgeving Pagina 21 van 30

9 Cookies in een door Smartsite aangedreven website In onderstaande matrix tonen we een overzicht van een aantal cookies, die in een Smartsite context van toepassing kunnen zijn, en de indeling daarvan in de BBC categorieën die al eerder zijn toegelicht. Onderstaande cookies zouden aanwezig kunnen zijn in een Smartsite ixperion omgeving, zoals SmartInstant of SmartInstant Overheid. We hebben geprobeerd aan te geven in welke categorieën deze cookies meestal zullen vallen. Smartsite ixperion Management Information cookies x Personalization Framework cookie Remember me cookies xi Sessie cookies xii Strikt noodzakelijk Functioneel Performance Strikt noodzakelijk om het unieke aantal bezoekers te kunnen tellen of functioneel, afhankelijk van belang en toepassing web analytics in de site. In veel gevallen alleen functioneel en dus optioneel. Gezien de brief van de minister van Economische zaken mogen zogenaamde first party cookies als strikt noodzakelijk worden gezien iv. Hiermee kan de website de bezoeker gerichter van informatie voorzien. Meestal niet strikt noodzakelijk en dus optioneel. Soms gebruik makend van Smartsite ixperion Management Information informatie. Zo kan worden voorkomen dat steeds moet worden ingelogd; de site herkent zo de gebruiker terug. Hierin wordt de gebruikerssessie bewaard. Sommige van deze cookies kunnen strikt noodzakelijk zijn, bijvoorbeeld returnurl cookies of cookies die binnen een financieel afhandelingsproces (E-Loket) vereist zijn. Online advertentie Smartlet Hierin worden specifieke cookies xiii gebruikersvoorkeuren opgeslagen. Maatwerk dat gebruik maakt van Afhankelijk van de doelstelling; veelal functioneel of performance georiënteerd. cookies Strikt noodzakelijk voor het gebruik van Sessie cookies de Smartsite voor de Smartsite Manager; alleen bij beheeromgeving inloggen (door eigen medewerkers). De nieuwe cookie-wetgeving Pagina 22 van 30

De bovenstaande opsomming maakt al duidelijk dat veel afhankelijk is van de inrichting van de website. Het is onmogelijk om generieke uitspraken te doen over het gebruik van cookies in door Smartsite aangedreven websites. Wel adviseren we het uitgangspunt te hanteren een cookie als niet-strikt noodzakelijk te beschouwen tenzij het tegendeel aangetoond kan worden. Bij het uitwerken van maatregelen is het belangrijk rekening te houden met twee randvoorwaarden: De maatregelen moeten ook werken indien de gebruiker Javascript heeft uitgeschakeld De maatregelen moeten voldoen aan de Webrichtlijnen. De nieuwe cookie-wetgeving Pagina 23 van 30

10 Cookies en uw website Tot de maatregelen die iedere beheerder van een website, die van cookies gebruikmaakt, behoren informatieverstrekking en (indien vereist) het vooraf toestemming verkrijgen van de gebruiker voor de inzet van cookies. Hieronder een summier stappenplan: 1 Maakt de website gebruik van cookies? Zo nee, dan is geen actie nodig. 2 Als de website gebruik maakt van cookies, moeten de toepassingen daarvan in kaart worden gebracht en onderverdeeld in strikt noodzakelijk en overige categorieën. 3 De toepassingen van cookies moeten worden beschreven in een cookie-policy document dat aansluit bij soortgelijke documenten, zoals de privacy policy of de proclaimer of disclaimer die de organisatie hanteert. 4 Als cookies worden toegepast die niet in de categorie strikt noodzakelijk vallen, dient opt-in eenmalig geboden te worden. Hiervoor zal een voorziening vereist zijn, die zich tijdens het eerste bezoek aan de website toont, en waarvoor geldt dat deze: i. Goed zichtbaar is; ii. Begrijpelijk is geschreven, passend bij de doelgroepen van de website; iii. Een link biedt naar een instellingenpagina; iv. Een link biedt naar meer informatie over cookies en wat met de informatie in cookies gebeurt; v. Een knop biedt om direct akkoord te gaan. 5 Daarnaast dient de bezoeker de instellingen bij een later bezoek te kunnen wijzigen. Graag helpt Seneca u om het gebruik van cookies binnen uw website(s) te analyseren en passende communicatie- en eventueel benodigde opt-in strategieën uit te werken op basis van de meest recente inzichten. 10.1 Workshop Seneca biedt hiervoor een eendaags workshop formaat, waarin een consultant van Seneca samen met een of meer medewerkers van de organisatie kennis deelt, de website(s) analyseert en de communicatie- en opt-in strategie verder uitwerkt. In de workshop onderzoeken c.q. bepalen de consultant en uw medewerkers samen onder meer: Welke cookies in gebruik zijn in de website en voor welke toepassing; Welke positie de organisatie zou kunnen innemen met betrekking tot communicatie en opt-in / optout strategie, eventueel mede op basis van de opstelling van andere organisaties in dezelfde sector. Aan het einde van deze workshop zijn de vervolgacties beschreven en waar mogelijk best practices aangereikt. Voor zover de tijd binnen de workshop dat toelaat zijn, pakken de consultant en medewerkers een of meer van de werkzaamheden gezamenlijk op. De nieuwe cookie-wetgeving Pagina 24 van 30

10.2 Gestandaardiseerde oplossing Een gestandaardiseerde oplossing, die Seneca heeft voorbereid, bestaat uit de volgende onderdelen: Een administratieomgeving voor beheerders, waarin alle in de website gebruikte cookies worden geregistreerd; deze informatie wordt opgeslagen in tabellen in de Smartsite database, zie eindnoot xiv. Beheerders en ontwikkelaars registreren hier welke cookies in gebruik zijn. Dat kunnen exacte cookie namen zijn of cookie namen met een wildcard. In deze omgeving categoriseren ze cookies in een van de vier standaard vooraf reeds gedefinieerde categorieën (die overigens vrij aanpasbaar zijn): Strikt noodzakelijke cookies; Functionele cookies; Performance cookies; Third party cookies. Een dialoogvenster, dat verschijnt wanneer een bezoeker de website voor het eerst bezoekt; deze dialoog toont een introductietekst en een link naar meer informatie. De dialoog voldoet vanzelfsprekend aan de Webrichtlijnen; deze dialoog kan in het vervolg verder worden aangepast aan specifieke vormgeving van de website; Een pagina, die alle in de site gebruikte categorieën met cookies toont (zoals vermeld in de administratieomgeving voor beheerders), met daarbij de optie om ieder van de niet strikt-noodzakelijke categorieën te activeren. Hierbij is de categorie strikt noodzakelijk niet te deactiveren; Een voorziening om deze instellingen per bezoeker op te slaan (in een cookie, dat een plaats krijgt in de categorie strikt noodzakelijk). De hier beschreven oplossing maakt duidelijk dat de eigenaar van de website zich ervan bewust is dat zorgvuldig omgaan met de privacy van gebruikers van groot belang is. Door de voorgestelde inrichting wordt ook een toekomstvaste oplossing geboden; als later andere categorieën cookies worden ingezet, kan de eigenaar van de website (of de betrokken ontwikkelaar) deze zelfstandig toevoegen. Ook biedt de omgeving zo ruimte voor voortschrijdend inzicht. Deze standaard oplossing is zal met de release van Smartsite ixperion 1.4 build 9 voor gebruikers met een onderhoudsovereenkomst kosteloos beschikbaar komen (Seneca heeft deze versie in december 2012 vrijgegeven). De nieuwe cookie-wetgeving Pagina 25 van 30

Figuur 11. Voorbeeld van standaard implementatie van een cookiemelding op www.seneca.nl; vanzelfsprekend is de vormgeving geheel vrij. Op de website van Seneca zien we een onderbalk, die me de mogelijkheid geeft instellingen te wijzigen. Na aanklikken van deze optie verschijnt het volgende scherm: Figuur 12. Aanpassen van de opties. Een aandachtspunt is dat sommige onderdelen van reeds geïmplementeerde websites minder goed kunnen gaan werken (of zelfs stoppen te werken) nadat bepaalde categorieën cookies zijn uitgezet. Noodzakelijke De nieuwe cookie-wetgeving Pagina 26 van 30

aanpassingen aan de site kunnen daarvan het gevolg zijn. Gebruikerstests van de website zijn dan ook gewenst met alle varianten van cookie-keuzen door de gebruiker. De site-specifieke inrichting kan het best plaatsvinden na de hiervoor beschreven workshop. Ter voorbereiding op de uitrol van Smartsite ixperion 1.4 build 9 adviseren we gebruikers hun omgeving te (laten) updaten naar Smartsite ixperion 1.4 build 8. De nieuwe cookie-wetgeving Pagina 27 van 30

11 Contact Seneca B.V. Elektronicaweg 31 2628 XG Delft t: 015 251 37 00 f: 015 251 37 01 Website: www.seneca.nl / www.smartsite.nl E-mail: info@seneca.nl www.twitter.com/senecabv www.linkedin.com/company/seneca De nieuwe cookie-wetgeving Pagina 28 van 30

12 Bronvermelding en eindnoten i Zie http://www.opta.nl/nl/actueel/alle-publicaties/publicatie/?id=3636 ii Zie http://www.opta.nl/nl/actueel/alle-publicaties/publicatie/?id=3647 iii Zie voor het persbericht http://www.rijksoverheid.nl/ministeries/ez/nieuws/2012/12/20/oplossing-voorcookies-die-gegevens-verzamelen.html iv Zie http://www.rijksoverheid.nl/ministeries/ez/documenten-enpublicaties/kamerstukken/2012/12/20/kamerbrief-olver-analytische-cookies-en-artikel-11-7a-van-detelecommunicatiewet.html v Zie http://www.rijksoverheid.nl/documenten-en-publicaties/persberichten/2012/06/01/nieuwetelecommunicatiewet-treedt-5-juni-2012-in-werking.html vi Zie http://www.marketingfacts.nl/berichten/de-cookiewetgeving-gaat-in-wat-nu/ vii Zie http://www.bbc.co.uk/privacy/cookies/managing/cookie-settings.html viii Dit is het cookie ckns_policy, dat de drie keuzes opslaat (0=nee, 1=ja), zoals blijkt uit onderstaande schermafdruk: ix Overigens heeft OPTA zelf eerst de eigen websites onder de loep genomen: tot voor kort maakte bijvoorbeeld de website http://jaarverslag2011.opta.nl nog gebruik van cookies. x Smartsite ixperion Management Information schrijft een cookie ( <sitename>_guid )om de uniciteit van de bezoeker vast te stellen. Dit zou als strikt noodzakelijk kunnen worden betiteld. Dit cookie wordt in Smartsite ixperion 1.4 build 8 en eerder volledig automatisch geschreven en kan in deze versies niet worden De nieuwe cookie-wetgeving Pagina 29 van 30