Vandaag is het dan zover; de cookiewet is actief geworden. Vanaf vandaag moeten alle websites toestemming vragen voor het plaatsen van cookies die niet puur bedoelt zijn voor het functioneren van de site. Daarbij wordt geen onderscheid gemaakt tussen first-party en third-party cookies en ook maakt het niet uit of er nu wel of geen privacy gevoelige informatie in staat; alleen cookies bedoelt voor bijvoorbeeld het bijhouden van een sessie of winkelwagentjes mogen 'stil' worden geplaatst, alle andere cookies moet je vooraf toestemming voor vragen aan de bezoeker. Verder is de naamgeving 'cookiewet' misleidend, omdat het om alle mogelijkheden van 'local storage' gaat en niet alleen om de standaard cookies. Flash cookies en alle mogelijkheden van HTML storage vallen daar dus ook onder!
De wet heeft ook gelijk flink wat munitie gekregen; overtredingen kunnen door de OPTA beboet worden met sancties die op kunnen lopen tot € 450.000 ! Verder kan de wet ook met terugwerkende kracht worden toegepast; foute cookies die wel ooit geplaatst zijn (na vandaag), maar niet meer gebruikt worden kunnen ook beboet worden. Daarnaast is de OPTA niet verplicht eerst een waarschuwing te geven en mag het bij ernstige overtredingen direct overgaan tot beboeten.
Dit heeft nogal wat consequenties. Om te beginnen zijn alle site die gebruik maken van tracking of analyse mogelijkheden (zoals bijvoorbeeld Google Analytics) per direct in overtreding. Ook is het opslaan van persoonlijke voorkeuren in cookies niet meer toegestaan en zal iedere website dus een profiel voor iedere klant moeten gaan bijhouden.
En daar komen we gelijk op een heikel punt; door de cookiewet worden websites gedwongen om meer gegevens van de klant te verzamelen aan de server kant om personalisatie te kunnen aanbieden. Alle voorkeuren van een klant zullen voortaan in een klantprofiel moeten worden opgeslagen. Om dit klantprofiel uniek genoeg te maken moeten of alle klanten voortaan inloggen of zal de website zoveel mogelijk informatie moeten verzamelen over de klant. Gelukkig is hier geen persoonlijk identificeerbare informatie voor nodig; zelf met de informatie die je browser naar een website stuurt is een klant al behoorlijk uniek te identificeren, zelfs zonder dit direct te koppelen aan het IP adres. (ter info: de uniekheid van je browser kun je hier testen (je IP wordt hier niet bij gebruikt): https://panopticlick.eff.org/ )
Theoretisch levert dit natuurlijk een extra risico op in de vorm van datalekken die onder de Wet Bescherming Persoonsgegevens vallen, maar gelukkig moet zo'n lek eerst plaatsvinden en moet er aangetoond worden dat dit een overtreding is van de WBP. En zelfs als je verzuimd een lek te melden en dit wordt toch ontdekt dan is de maximale boete slechts € 200.000.
Vanaf vandaag is privacy dus minder waard dan een cookie!
