De cookiewall is terug, of we nou willen of niet.
De cookiewet is begin dit jaar versoepeld, maar dat betekent niet dat we lekker achterover kunnen gaan leunen. De controle van de implementatie van de cookiewet is toegenomen. Sinds de wijzigingen in maart 2015 in de Telecommunicatiewet worden de nieuwe cookieregels actief gecontroleerd door de Autoriteit Consument & Market (ACM). Het belangrijkste verschil tussen de oude en nieuwe wetgeving is dat expliciete toestemming niet nodig is en dat impliciete toestemming voldoende is. Er is dus nog steeds wel toestemming nodig.
Een aantal van onze klanten hebben al een waarschuwing ontvangen, tijd voor actie! Tijd voor een optimale integratie van de cookiewall.
Maar we duiken eerst even de theorie in.
Wat zijn cookies eigenlijk?
Een cookie wordt op een device geplaatst en slaat de informatie op die ontstaat bij het bezoeken van een website. Zo kan het gedrag van de gebruiker bijgehouden worden. Sommige cookies zijn noodzakelijk omdat anders bepaalde functionaliteiten van de website het niet doen. Er zijn ook cookies die handig zijn voor de bezoeker omdat bijvoorbeeld instellingen van een vorige bezoek wordt onthouden.
Deze informatie kan in vele gevallen natuurlijk ‘goud’ waard zijn. Vanwege de privacyaspecten blijven cookies dus een interessant onderwerp. Aan de ene kant worden ze ingezet voor het optimaliseren van de gebruiksvriendelijkheid, maar aan de andere kant moeten we ons ook realiseren dat cookies persoonlijke informatie kunnen opslaan.
De Cookiewet; wat mag wel en wat mag niet?
Vanwege de privacy van de internetgebruiker vereist de Cookiewet dat de gebruiker toestemming geeft voor het plaatsen van tracking cookies. Uitzonderingen zijn cookies die noodzakelijk zijn voor de technische werking van de site of analytische cookies die geringe inbreuk maken op de privacy van gebruikers. De regels voor het plaatsen en uitlezen van cookies staan in artikel 11.7a van de Telecommunicatiewet. Dit artikel wordt ook wel de Cookiewet genoemd. De cookiewet legt websites die cookies plaatsen twee verplichtingen op: namelijk een informatie- en toestemmingsverplichting. Als een website cookies plaatst moet u de bezoekers daarover duidelijk en volledig informeren.
“Bij het ontwikkelen van het prototype van de Cookie Wall for WordPress plugin zijn we begonnen op de WordPress manier: namelijk door in te haken op een bestaande action. De eerste action in het laadproces van WordPress waarop kan worden ingehaakt is ‘muplugins_loaded’. Met behulp van PHP werd in het prototype op dat moment op het bestaan van de cookie gecontroleerd. Hoewel deze manier wel werkte, voelde het niet goed. Deze manier is namelijk niet waterdicht, er is namelijk de mogelijkheid dat andere plugins ook inhaken op dezelfde action. Als die plugins een cookie zouden instellen bij de gebruiker, zou dat kunnen gebeuren voordat onze cookiewall wordt getoond.”
Level Level’s Cookie Wall for WordPress
Geen muur voor bots
De optimalisatie van onze oplossing zit voornamelijke in de controle of een website bezoeker een persoon is of een zogenoemde bot. De Google bot moet bijvoorbeeld niet tegengehouden worden omdat de website dan nog gewoon geïndexeerd kan worden. Ook bots van bijvoorbeeld Facebook, Twitter, Slack en Skype moeten toegang krijgen krijgen zodat de preview is te zien als een link wordt gedeeld.
Om te checken of een bezoeker een persoon is, bekijken we de user-agent om te achterhalen of een browser zoals Firefox de website bezoekt of dat het bijvoorbeeld een bot is zoals de Google bot.
De cookiewall checkt: Is de bezoeker een persoon? En heeft de bezoeker al eerder toestemming gegeven?
De meeste huidige cookiewalls lossen die op door dergelijke bots te whitelisten. Dat betekent dat alle bots die wel toegang mogen hebben op een lijst staan waar de user-agent mee vergeleken wordt. Het nadeel hiervan is dat die lijst erg lang wordt en redelijk veel onderhoud vergt. Wij hebben de oplossing om die reden omgedraaid. Wij zetten de verschillende browsers in een lijst en vervolgens vergelijken we die met de user-agent. Dat zorgt ervoor dat alleen browsers (dus echte mensen) geen toegang krijgen en dus een de cookiewall voor hun neus krijgen. Terwijl alle andere zogenaamde spiders, crawlers en bots gewoon toegang krijgen en waardoor we er zeker van zijn dat het delen van bijvoorbeeld links altijd goed gaat.
Presentatie
Naast het vragen van toestemming is het ook verplicht om te informeren welke cookies er geplaatst worden en waarom. Informeren mag volgens de ACM niet door een vage verwijzing naar een privacy statement. De informatie moet op een zichtbare plek op de website staan, met een begrijpelijke uitleg waarom u welke cookies plaatst en welke informatie er met welk doel wordt verzameld en of de informatie aan derden wordt verstrekt. Door de informatieplicht bevat een cookiewall redelijk veel informatie. De verdiepende uitleg wordt gepresenteerd met uitklap functionaliteit.
Google Analytics
In de cookiewall plugin voor WordPress houden we ook rekening met Google Analytics. We hebben er ook voor gezorgd dat bezoekers wel een cookiewall te zien krijgen, maar wel worden meegerekend in de Google Analytics. We hebben de trackingscode ook op de cookiewall pagina ingesteld zodat de bezoekers ook geregistreerd werden als ze via de cookiewall binnenkwamen. Door gebruik te maken van de anonieme instellingen van Google Analytics is deze oplossing toegestaan. Volgens de Cookiewet mogen analytische cookies wel ingesteld worden als deze anoniem zijn. Daarom worden al die cookies eerst anoniem gemaakt met de speciale code die Google daarvoor beschikbaar heeft gesteld.
“De eerste website waar je onze plugin in actie ziet is Z24.nl. Na vele tests en tweaks op de test omgeving hebben wij de plugin live gezet en geoptimaliseerd.”
Generieke WordPress oplossing
Om volledige controle te hebben en zeker te weten dat er geen cookies worden geplaatst voordat er toestemming wordt gevraagd, hebben we een serveroplossing voor de cookiewall geïmplementeerd. WordPresss websites met verschillende plugins plaatsen cookies op verschillende momenten. Om er zeker te zijn dan onze oplossing voor alle WordPress installaties is te implementeren wordt de bezoeker al tegengehouden voordat de website wordt geladen. Dit wordt op de server al afgevangen met logica in de .htaccess voor servers met Apache of de Nginx config regels voor servers met Nginx. Op die manier kunnen er geen cookies worden geplaatst zonder toestemming.
Op de website Cookie wall for WordPress kan je de plugin downloaden en meer lezen over de nodige (server)instellingen.
Vertel ons meer over je plannen en ambities!
We zijn klaar om jullie online uitdaging op te pakken.