Er is een probleem met cookiebanners (en zo test je die van jou)
Ken je dat? Je bent op een website geweest, je hebt de cookies níet geaccepteerd, maar toch zie je overal advertenties van de desbetreffende website. Dat is geen toeval. Dik 80% van de cookiebanners die je ziet op websites werken niet naar behoren. Het geeft een gevoel van controle voor de gebruiker maar dat is schijn. Wat gaat er mis?
Helaas gebeurt dit maar al te vaak. De oorzaak ligt vaak in een onjuiste configuratie van de cookiebanner. Deze houdt cookies niet tegen, tot er toestemming gegeven is dat ze geplaatst mogen worden. Het gevolg? Cookies worden geplaatst, ongeacht of je wel of niet toestemming geeft. Overigens heb ik het dan nog niet gehad over de lay-out van een cookiebanner. Eerdere artikelen zoals deze en deze op Frankwatching beschreven dit erg goed.
Wat cijfers
Uit een klein onderzoek (N=47) onder marketeers, ondernemers, product ontwikkelaars en webbouwers kwamen de volgende inzichten:.
- 90% vindt de AVG belangrijk en wil hier graag aan voldoen.
- 27,7% denkt dat de website volledig voldoet aan de AVG-eisen rondom cookies.
- 61,7% heeft wat gedaan aan de AVG, maar weet niet of het nu afdoende is en kan dus niet met zekerheid zeggen dat de website voldoet aan de AVG.
Er zit dus een duidelijk gat tussen het belang van de AVG en de kunde van organisaties om er ook daadwerkelijk aan te voldoen. Van de ondervraagden geeft maar liefst 93,6% aan dat cookies en de AVG-wetgeving complex zijn. Men weet simpelweg niet wanneer je volledig voldoet en hoe je dat kunt bereiken.
Tel daarbij op dat het onderwerp als erg saai (34%) en tijdrovend (23,4%) gezien wordt. Dit alles creëert omstandigheden waarbij organisaties een poging doen, maar eigenlijk nog steeds in overtreding zijn. Zonde van de tijd en moeite. In dit artikel beschrijf ik aan de hand van een vergelijking hoe en waar het mis gaat en wat je er aan kunt doen.
Waar gaat het precies mis met cookiebanners?
Om precies aan te geven waar het precies misgaat, gebruik ik twee voorbeelden. In het eerste voorbeeld zie je hoe het (helaas) misgaat. In het tweede voorbeeld zie je hoe het zou moeten werken. Aan de hand van een aantal stappen leg ik je uit hoe je het zélf kunt zien. De stappen vergen een klein beetje technische kennis, maar je bent nooit te oud om te leren. Toch?
In het voorbeeld gebruiken we twee grote kranten. The New York Times & De Telegraaf. Voor kranten zijn cookies van belang voor onder andere advertentie-inkomsten en de werving van abonnees. Deze twee kranten gebruik ik ter illustratie, ik ben me ervan bewust dat er voor The New York Times andere regels gelden dan voor de Telegraaf gezien hun locatie en doelmarkt.
In dit voorbeeld maak ik gebruik van Google Chrome. Voor andere browsers kunnen de stappen net iets anders zijn. Heb je hier een vraag over, reageer dan onder het artikel.
Oké laten we beginnen.
Stap 1. Open een incognito-tabblad
Ga incognito eerst naar NYTimes.com. Open daarnaast een tweede tabblad waarop je naar Telegraaf.nl gaat. Kleine tip: de shortcode in Google Chrome voor een nieuw incognito tabblad is Ctrl+Shift+N.
Wanneer je naar NYTimes.com gaat zie je een grote cookiebanner onderaan. Klik hier nog niet op.
Hetzelfde geldt voor het tabblad waar je Telegraaf.nl open hebt staan.
Stap 2. Checken van de cookies
Je kunt nu bij beide websites zien of er al cookies geplaatst zijn en welke dat precies zijn. Door de pagina te inspecteren (shortcode in Chrome: Ctrl+Shift+I) opent Google Chrome DevTools. Zie het screenshot hieronder.
Klik vervolgens in de bovenste balk op ‘Sources’. Aan de linkerkant verschijnt een lijst van elementen die al geladen zijn. Je ziet in het geval van NYTimes.com dat de website al diverse advertentiecookies heeft geplaatst voordat je op ‘Accept’ hebt geklikt. Het zijn de cookies van onder andere de volgende advertentie-oplossingen:
- Google Ads
- Chartbeat
- Iterate HQ
- Google Analytics & Google Tag Manager
Stap 3. Accepteren van de cookies
Wanneer je op NYTimes vervolgens op ‘Accept’ klikt, zie je dat er weinig gebeurt. Er worden geen nieuwe cookies geplaatst. Kortom: de cookies zijn al geplaatst zélfs voordat je consent hebt gegeven. Dit is precies het probleem met veel cookiebanners. In plaats van daadwerkelijk de cookies tegen te houden, zijn de cookies al geplaatst. Met alle gevolgen van dien.
Stap 4. Vergelijken met De Telegraaf
Je hebt nu een goed beeld van hoe het niet moet. De cookiebanner van De Telegraaf werkt wel goed. Ook bieden ze een overzichtelijke mogelijkheid om een selectie van cookies te accepteren.
Terug naar de vergelijking: voer dezelfde stappen uit als je gedaan hebt bij NYTimes.com. Je zult zien dat onder de ‘Sources’-tab bij Telegraaf.nl slechts enkele services staan. Dit zijn cookies die nodig zijn om de website te laten functioneren, zoals het lettertype en het CDN. Klik vervolgens op ‘Akkoord’ en je zult in de ‘Sources’-tab de cookies erbij zien komen. Je hebt hiervoor expliciet consent gegeven, waardoor het dus is toegestaan om te doen. Je ziet dat De Telegraaf veel services gebruikt, zoals Google Ads, Google Analytics, Criteo en talloze andere oplossingen.
En hieronder ná het accepteren van de cookies
Stap 5. Check je eigen website!
Je weet nu hoe je kunt checken of een cookiebanner werkt of niet. Doe de analyse eens bij een website die je zelf veel bezoekt, beheert of de organisatie waarbij je werkt. Ik ben benieuwd wat je tegenkomt.
Risico’s van het niet voldoen aan AVG
Het niet voldoen aan de AVG-wetgeving kan behoorlijke consequenties hebben. Regelmatig lees je in de krant artikelen dat de Autoriteit Persoonsgegevens (AP) organisaties ‘op de vingers tikt’. Mocht dat niet het gewenste effect hebben, dan kan de AP boetes uitdelen. Die kunnen flink oplopen: tot 4% van de omzet met een maximum van 20.000.000 euro. Tel daarbij op dat er naast de boete ook reputatieschade is. Je kunt echter stellen dat de AP niet heel vaak overgaat tot het uitdelen van boetes.
Behalve dat een organisatie boetes uit kan delen, is het voldoen aan de AVG iets wat klanten en relaties verwachten. Vergelijk het met een MVO-beleid. Voor (met name) grotere bedrijven is de AVG belangrijk en zullen er eisen zijn rondom de AVG voordat er over een samenwerking gesproken kan worden.
Hoewel de AVG veel breder is dan enkel websitecookies, is het belangrijk om op alle vlakken te voldoen aan deze wetgeving. Dus naast een duidelijk beleid rondom het gebruik persoonsgegevens, 2-factor-authenticatie en maatregelen om een datalek te voorkomen, zorg je ervoor dat de cookies op de websites ook naar behoren werken.
Monitoring van de website
Zeker als je bij een grotere organisatie werkt, worden er regelmatig veranderingen aan de website doorgevoerd. Diverse teams werken op hetzelfde moment aan experimenten, A/B-tests, nieuwe content of ze implementeren een nieuwe tool. Het is dan goed mogelijk dat de website niet meer voldoet aan de cookie-eisen. Monitoring is daarom dus erg belangrijk.
Eerder in het artikel beschreef ik hoe je kunt zien of een website cookies plaatst zonder je toestemming. Ik kan me voorstellen dat het uitvoeren van deze check op een dagelijkse basis lastig kan zijn en erbij inschiet. Gelukkig zijn er oplossingen die je helpen bij het in kaart brengen van de mogelijke problemen met je cookies.
- CompliancyScore.com werkt op een simpele manier. Je vult alleen de URL in van de website en je krijgt daarna een overzicht van alle cookies. De tool geeft een score aan de website én laat zien welke cookies nog wat werk nodig hebben. Er is een gratis versie waar de tool 1x per maand de website automatisch checkt. Wil je dat vaker, dan betaal je een klein bedrag (20 euro per maand voor één website, 60 euro per maand tot tien websites).
- CookieServe.com is een tool van CookieYes, een oplossing voor cookiebanners. Ook hier kun je de URL van een website invullen en door de tool laten checken. Het is wat minder uitgebreid dan CompliancyScore, maar geeft je nog steeds een overzicht van de verschillende cookies. Ook bij deze tool kun je voor een relatief klein bedrag de website laten monitoren.
Op naar meer cookievriendelijke websites
Veel websites hebben op dit moment een niet goed functionerende cookiebanner. En dat is jammer. Breng voor de websites die je beheert of vaak bezoekt eens in kaart welke cookies ze allemaal gebruiken. Zijn alle tools nodig? En belangrijker: worden de cookies op een juiste manier (niet) geplaatst? Ga gericht aan de slag met het verbeteren van de werking van de cookiebanner. Je developer kan je vaak helpen. Toch een vraag? Stel hem hieronder en ik probeer je te helpen.