OPTA: “De cookiewet is duidelijk.” Maar geldt dat ook voor OPTA zelf?

Eergisteren vond in Amsterdam DDMA’s iLounge plaats met als thema ‘Het cookiedebat 2.0’. Op 1 januari jl. startte de actieve handhaving op de naleving van de ‘cookiewetgeving‘ door OPTA, dus het was een mooi moment om de balans eens op te maken. En al helemaal omdat o.a. OPTA zelf aanwezig was om te spreken. Het werd een … laten we zeggen interessante discussie tussen de sprekers onderling en met het publiek.

OPTA

OPTA opende de middag in de persoon van Evert-Jan Hummelen, Plaatsvervangend Afdelingshoofd Consument, Nummers en Bestuur. Hij formuleerde het doel van de cookiewetgeving als volgt:

De gebuiker weet wat er met zijn surfgegevens gebeurt en heeft de keuze of hij deze gegevens deelt.

Daarbij was het probleem dat er qua ‘weten‘ een kenniskloof bestaat tussen de markt en de gebruiker en qua ‘keuze‘ dat gebruikers iets te kiezen moeten hebben.

De wetgeving die nu bepaalt wat wel en niet mag, laat volgens Hummelen aan duidelijkheid niets te wensen over. En ook juristen beamen dat: de bepalingen in de wet zijn helder. Wel is het implementeren ervan vervelend voor de branche.

Een beetje tegenstrijdig was het wel dat in zijn volgende slide de eerste onduidelijkheden de kop opstaken. Want waar het niet is toegestaan om (niet-functionele) cookies te plaatsen zonder toestemming, kun je toestemming toch wel op veel verschillende manieren interpreteren. De wet geeft aan de de toestemming “vrij, specifiek en op informatie berustend” gegeven moet worden. Maar is die toestemming ondubbelzinnig, uitdrukkelijk, voorafgaand aan of volgend op, expliciet of impliciet?

Hummelen ging ook in op de huidige stand van zaken voor wat betreft de implementatie door de branche. Een aantal punten dat hij noemde:

1. 12 van de websites uit de STIR top-25 gebruiken de informatieteksten zoals opgesteld door DDMA & IAB (i.s.m. OPTA).
2. 22  van diezelfde websites vragen toestemming voor het plaatsen van cookies (status vorige week).

Cookiemuur

Maar het meest opvallende punt dat Hummelen aanhaalde, was dat van de ‘cookiemuur’. Deze constructie – waarbij bezoekers van een website alleen toegang krijgen als ze (alle soorten) cookies accepteren,  is volgens hem nl. niet in lijn met de geest van de wet. En hij gaf toe verrast te zijn van die uitwerking van de cookiewetgeving. Het was immers de bedoeling om de gebruikers meer keuze te geven. En is die er eigenlijk wel?

Als de enige keuze is: accepteer alles of je bent niet welkom, is er dan wel echt sprake van een keuze? Natuurlijk is er de mogelijkheid om de website niet te betreden. En Hummelen geeft aan dat dat inderdaad met het oog op de wet voldoende keuze is.

Interessanter nog is de vraag of het accepteren van cookies in het geval van een cookiemuur wel een ‘echte’ ja is. Immers: is die keuze dan wel “vrij, specifiek en op informatie berustend”? Hierover heerst momenteel twijfel bij OPTA, dus de kans bestaat dat ze hier op termijn een stelling over innemen.

Dat kan overigens volgende week al zijn, omdat dan de update van de bestaandeFrequently Asked Questions verschijnt. Eigenlijk was de publicatie ervan gepland tijdens het event, maar er moesten toch nog wat mensen naar kijken…

Sundio

De Sundio Group, dat veel reislabels voert zoals Sunweb, Jiba, GOGO, Sudtours en Eliza was here, behaalt 95% van z’n omzet via internet. Vandaar dat Bas Geenen, E-Commerce Manager van Sundio, het vermoeden had dat de implementatie van de cookiewetgeving wel impact ging hebben. Dat bleek mee te vallen.

Sundio liet voor alle alternatieven van implementatie (afwachten, opt-out i.p.v. opt-in en de cookiemuur) oplossingen bouwen en startte met de cookiemuur. Deze is overigens minder strikt doorgevoerd dan bij de NPO, want je krijgt als bezoeker van een Sundio-website wél toegang tot de site als je de cookies niet accepteert. De muur dwingt wel een keuze af, want zonder keuze krijgen bezoekers géén toegang.

Funnel

De cookiemuur werd beschouwd als een funnel die geoptimaliseerd kan worden. Er werd dan ook nauwkeurig gemeten welke keuzes bezoekers maakten. Al met al bleek dat enorm mee te vallen.

• Het percentages bounces ligt op 25% en dat is vergelijkbaar met de situatie vóór de implementatie van de cookiemuur.
• 45% van de bezoekers accepteren direct de cookies.
• 29% van de bezoekers accepteren alsnog de cookies na gekozen te hebben voor de optie met ‘meer informatie’.
• Slechts 1% weigert de cookies.

Bij nadere analyse bleken er bovendien geen verschillen te zijn tussen de diverse (label)websites en hun respectievelijke doelgroepen, noch tussen de seizoenen.

Sunwebs uitleg over de cookie-instellingen. Dit is de defaultwaarde, waarbij de gebruiker alle cookies accepteert.

En het belangrijkste: de omzet daalde niet. Al met al reden genoeg om te stellen dat de invoering van de cookiewetgeving bij Sundio geen effect heeft gehad. Of toch, maar dan bij de consument: die stoort zich nl. aan het moeten nadenken over en wegklikken van het cookiescherm.

Observaties

Geenen sloot af met een aantal observaties:

• De consument zit niet op deze wet te wachten en/of begrijpt deze niet.
• De invoering heeft geen impact voor e-commercepartijen, althans niet op die partijen met een vergelijkbare lange ‘customer journey’ als bij reizen. In het geval van impulsaankopen, het andere uiterste, zal het effect wellicht anders zijn.
• Er zijn aanwijzingen dat de effecten van de invoering anders zijn voor sterke merken dan voor non-brands. Sterke merken ondervinden al met al minder hinder.
• De informatieplicht ligt nu bij de website-eigenaar, maar het incentive daartoe mist. Bovendien zit de klant er niet op te wachten, waardoor het sterk de vraag is of het logisch is deze constructie te handhaven. Wellicht is het logischer de informatieplicht te centraliseren.

Concluderend stelde Geenen vast dat privacy een kwestie is van vertrouwen. Juist voor een partij als Sundio is klantvertrouwen van levensbelang. Daarom lijkt het logischer om privacy te koppelen aan die klantrelatie, dan het te vast te leggen in een proces dat juist tot minder vertrouwen leidt.

Discussie

In de afsluitende discussie met de drie sprekers – onder leiding van moderator Arnoud Engelfriet, privacy jurist bij ICTRecht.nl – kwamen er veel (terechte) vragen los vanuit de zaal.

Veel daarvan spitsten zich toe op de opmerking van Hummelen van OPTA dat cookiemuren “niet de bedoeling van de wet” waren. Maar ondanks enkele pogingen liet hij zich niet verleiden tot het doen van (juridische) uitspraken over wat wel en niet past.

Daarnaast wekte Hummelen verbazing door te stellen dat er in de nieuwe versie van de Frequently Asked Questions, die volgende week uitkomt, de eisen t.a.v. omgekeerde bewijslast wellicht worden versoepeld. Het bijhouden, opslaan en kunnen aantonen van de toestemmingsvereisten heeft immers veel bedrijven voor flinke investeringen gesteld. Het zou op z’n zachtst gezegd wrang zijn als nu blijkt dat een deel van die investeringen niet nodig blijken te zijn.

Engelfriet maakte nog de opmerking dat de discussie over privacy eigenlijk niet thuishoort bij de wetgeving die de ‘cookiewet’ is gaan heten. Allereerst gaat die wet zeker niet alleen over cookies, maar over alle momenten waarop bedrijven informatie bij een gebruiker willen plaatsen of aflezen. Het oorspronkelijke voorstel was bijv. bedoeld om te zorgen dat bedrijven niet zomaar een browserbalk mogen installeren.

Pas op een later moment is daar het aspect van persoonlijke informatie en de uitwisseling ervan over meerdere websites aan toegevoegd. Daarbij wordt gesproken over privacy, maar daarvoor zijn al langere tijd andere wetten van kracht. Dat maakt de discussie soms wat lastig.

Dit is een samenvatting van een artikel op Marketingfacts, lees hier het hele artikel.