Cookies: kies je voor de wet of voor je businessmodel?
Op 25 mei is het een jaar geleden dat de GDPR in werking trad: de General Data Protection Regulation – of Algemene Verordening Gegevensbescherming. En hoewel de storm lijkt te zijn gaan liggen, is voldoen aan de GDPR een constant proces. We hebben bij Frankwatching met name geworsteld met cookies. En omdat wij onze inzichten graag delen met onze community (en dus met jou), leggen we graag uit welke keuzes we gemaakt hebben.
Een website zou toegankelijk moeten zijn voor bezoekers, ook als je niet gevolgd wil worden door tracking cookies. Dat betekent dat cookiewalls uit den boze zijn, vindt Autoriteit Persoonsgegevens.
Hierover is nog wel wat discussie. Verschillende juristen vinden dit namelijk iets te kort door de bocht. De Volkskrant verdedigt zelfs een cookiemuur (ook voor betalende klanten).
Door de GDPR besloten wij vorig jaar onze cookiewall wel te vervangen. We plaatsten een cookiebanner, waarin je als bezoeker zelf kon aangeven voor welke cookies je toestemming gaf (afgezien van de noodzakelijke cookies die we nog wel mogen plaatsen).
Nauwelijks nog opt-ins
Wat we al verwachtten, gebeurde: bijna niemand gaf meer toestemming om marketingcookies te plaatsen. Met deze cookies is het mogelijk om embeds van bijvoorbeeld Instagram of YouTube te plaatsen, elementen die bijdragen aan een goede artikel-ervaring. Ook tools als Hotjar, waarmee je inzichten krijgt om je website te optimaliseren, vallen onder cookies waar vooraf toestemming voor nodig is. Door een lage opt-in wordt deze tool dus praktisch onbruikbaar – je doet onderzoek onder een te kleine en specifieke groep mensen.
Ook kun je zonder toestemming geen gepersonaliseerde advertenties meer tonen. Gelukkig zijn wij voor ons verdienmodel daar niet van afhankelijk, maar voor veel gratis websites geldt dit wel. Zij zouden hun inkomsten drastisch zien dalen, als ze zich precies aan de wet houden.
Overigens wijst hoogleraar Global ICT Law Loekke Morrel op de werkwijze van NRC. Het mediamerk doet aan ‘contextueel adverteren’: het baseert advertenties niet op het profiel van een bezoeker, maar op de inhoud van de content. Dit zou ongeveer dezelfde inkomsten opleveren als gepersonaliseerde advertenties.
Voor websites met een ander karakter, zoals webshops, is personalisatie van een ander belang. Zonder marketingcookies kan een webshop geen gepersonaliseerd aanbod tonen en krijgt het minder inzicht in de customer journey. Stel: webshop A houdt zich wel aan de wet, en webshop B niet. Dan kan er een concurrentienadeel ontstaan voor webshop A.
Wat je in de praktijk dus ziet, is dat veel websites nog steeds een cookiewall hanteren of op een andere manier niet-compliant zijn.
Kiezen: de wet of je bedrijf?
De keuze lijkt voor veel organisaties dus neer te komen op de wet volgen of financieel overeind blijven. Uiteraard is het niet zo zwart-wit: de GDPR is gebaseerd op het grondrecht privacy. En hoe kun je als organisatie privacy van je klanten (en in ons geval: lezers) nou niet belangrijk vinden?
Privacyjurist Linde Mensink van juridisch adviesbureau ICTRecht heeft daar, uiteraard, een duidelijke mening over: “Eigenlijk mag heel veel nog, maar moet je alleen je werkwijze aanpassen. Door de wet te volgen en toestemming te vragen voor commerciële, tracking- en bepaalde analytische cookies, zorg je dat je het netjes doet. Je hoeft hierbij heus niet al je conversie te verliezen, én een voorbeeldfunctie in de markt kan commercieel interessant zijn.” Bovendien loop je dan minder kans om op de vingers getikt te worden. De Autoriteit Persoonsgegevens heeft nog nauwelijks boetes uitgedeeld, maar dat wil niet zeggen dat het zo blijft.
Wij besloten in de maanden die volgden verschillende varianten van de cookiebanner te testen. Wat werkt het beste en waar reageren bezoekers goed op? Voor het eerste experiment veranderden we de balk onderin het scherm in een venster middenin het scherm. Dat liet meteen een duidelijk verschil zien in de acceptatie van marketingcookies: we gingen van 1% opt-in naar 97% (!).
We twijfelden wel over de cookiebanner: in het keuzescherm waren alle vinkjes alvast aangevinkt. Dat is volgens het principe ‘privacy by default’ niet toegestaan. Er is dan geen sprake van ‘vrije toestemming’.
Teruggefloten door de community
Vervolgens floot onze community ons terug. Terecht. Maar als we ons aan de letter van de wet houden, komen sommige dingen in het gedrang:
- Een zo goed mogelijke lezerservaring, bijvoorbeeld met embedded content
- Inzichten in hoe Frankwatching gebruikt wordt en hoe we ons platform op basis daarvan kunnen optimaliseren (zoals ik al schreef: via Hotjar)
- Plannen om onze content nog beter aan te laten sluiten op de interesses van onze bezoekers
Toch vinden wij de voorbeeldfunctie en het voldoen aan de wet zwaarder wegen dan de nadelen. Privacy van onze community vinden we essentieel. Daarom vroegen we privacyjurist Linde ons te helpen met een cookiebanner die helemaal correct is, én daarbinnen zo goed mogelijk onze belangen dient.
Dit is het resultaat:
Sinds de banner live is (eind april) lijkt het aantal opt-ins iets terug te zakken van 97% naar 94%. Een opt-in rate waar we alsnog blij mee zijn.
Wat is een persoonsgegeven?
Denk je nu: ‘ik verwerk geen persoonsgegevens, dus ik heb met dit alles niets te maken’? De kans is groot dat je je hierin vergist. En dat zit hem in twee dingen: de ‘persoonsgegevens’ en het ‘verwerken’.
Een persoonsgegeven is alles dat direct of indirect herleidbaar is tot een persoon. Dus ook een IP-adres, en ook als je het zelf niet meer kunt herleiden, maar een derde partij wel. Cookies verzamelen persoonsgegevens. Sommige tools bieden een anonimiseer-functie aan. Maar deze is niet voldoende om geen toestemming te hoeven vragen. Er is één uitzondering: Google Analytics kun je privacyvriendelijk instellen (met deze handleiding in pdf). Daardoor hoef je voor dit analytische cookie geen voorafgaande toestemming te vragen. Wel moet je de toepassing van de Google Analytics-cookies nog toelichten in je privacyverklaring.
Wat is het verwerken van persoonsgegevens?
Je hoeft de persoonsgegevens niet per se ergens voor te gebruiken. Alleen al het opslaan van gegevens is het verwerken ervan.
De 6 grondslagen van de GDPR
Even ter opfrissing: er zijn 6 mogelijke grondslagen op basis waarvan je persoonsgegevens mag verzamelen en verwerken.
Een deel van de cookies valt onder gerechtvaardigd belang, de ‘noodzakelijke cookies’ die nodig zijn om de basisfuncties van de site te laten draaien. Voor andere cookies (in ons geval statistiekencookies, marketingcookies en cookies voor voorkeuren) moet je toestemming vragen.
Mag je nu helemaal niets meer?
Het grootste misverstand dat Linde Mensink tegenkomt, is dat je sinds de GDPR ‘niets meer mag’. Dat klopt niet, legt ze uit: “Zolang je het volgens de regels doet, mag je nog veel gegevens verzamelen en gebruiken.” Met andere woorden: je moet een grondslag hebben om gegevens te verwerken en voldoen aan de informatieplicht. In veel gevallen geldt: als je er een rechtsgeldige toestemming voor hebt gekregen, dan mag je de gegevens verwerken.
Toestemming vragen moest je voor de GDPR ook. Toen mocht deze toestemming nog verplicht zijn voor websitebezoekers – zoals een cookiewall dus. Een ander belangrijk verschil na de GDPR zit hem in de verantwoordingsplicht. De verantwoordelijkheid ligt nu bij jou: jij moet kunnen aantonen dat je je aan de regels houdt.
Zoals uit onze case blijkt: door te testen wat jouw bezoekers aanspreekt, kun je binnen de wet een hoge opt-in halen. Zo heb je alsnog veel data tot je beschikking.
Heb jij (of je organisatie) ook zo’n discussiepunt meegemaakt met de GDPR? Hoe hebben jullie het opgelost? Ik ben erg benieuwd, laat vooral een reactie achter bij de comments!