Drupal en de cookiewet

De nieuwe cookiewet

Inmiddels weet bijna elke internetter wat cookies zijn en wat deze voor invloed hebben op de privacy. Minder duidelijk is welke maatregelen websites en webshops moeten nemen om te voldoen aan de nieuwe cookie-wetgeving. Elke site die cookies gebruikt, die niet strict noodzakelijk zijn voor het functioneren van de website, moet toestemming aan de gebruiker vragen om deze cookies te mogen opslaan op de computer van de bezoekers.

Bezoekers hebben al jaren uitgebreide mogelijkheden in de webbrowser om zelf te bepalen wie en hoe lang cookies in hun webbrowser mogen worden opgeslagen. Maar blijkbaar vond de wetgever deze mogelijkheden niet voldoende en worden website-uitgevers nu verplicht hun website aan te passen.

Webshops, die een cookie gebruiken voor functionele aspecten van de webshop, in casu de winkelwagenfunctie, hoeven geen toestemming te vragen voor het plaatsen van een cookie. Maar omdat veel webshops gebruik maken van statistische software, b.v. in de vorm van Google Analytics, moeten deze toch aangepast worden.

Drupal cookies

Hoe maakt Drupal gebruik van cookies? Drupal (versie 6 en eerder) geeft anonieme (niet-ingelogde) bezoekers van een website een cookie met een sessienummer. Doel van dit cookie is om bij te houden of een bezoeker ingelogd is. Het cookie is ca. 23 dagen geldig. Discrepancy is dat het in principe niet nodig is om een cookie aan een niet-ingelogde gebruiker te geven, tot het moment dat deze daadwerkelijk aanmeld. Vanaf Drupal 7 wordt dit cookie, voor niet-ingelogde gebruikers, niet meer verstrekt, maar plaatst de javascript component in Drupal wel nog een cookie. Dit cookie heeft alleen als indicatie of javascript actief is bij de bezoeker.

Gevolg is wel dat veel Drupal websites aangepast moet worden om te voldoen aan de nieuwe cookie-wetgeving!

Er zijn inmiddels een aantal modules in de Drupal community verschenen die een Drupal website aan de nieuwe regelgeving willen laten voldoen. Deze modules werken voornamelijk met Javascript om een bevestiging aan een gebruiker te vragen. Mijn inziens is dit een onvolledige aanpak en moet er ook toestemming worden gevraagd als een gebruiker geen Javascript gebruikt, danwel specifiek uitgezet heeft.

Daarnaast is er een alternatieve Drupal distributie/optimalisatie beschikbaar die is ontwikkeld voor high-performance implementaties van Drupal: Pressflow. Onderdeel van deze distributie, voor het optimaliseren van Drupal in een omgeving met caching proxies, is het weglaten van cookies voor niet-ingelogde gebruikers.

Google Analytics

Omdat veel website gebruik maken van Google Analytics is een veelgehoorde vraag: "Moet ik wijzigingen in mijn website aanbrengen omdat ik Google Analytics gebruik?"

Inmiddels is het duidelijk dat het "anonimiseren" van IP adressen voor Google Analytics onvoldoende is om aan de cookiewet te voldoen.

In combinatie met een Drupal module is het mogelijk om het gebruik van Google Analytics voorwaardelijk te maken. Gevolg is echter wel dat er een gedeelte van de bezoekers uitgesloten zal gaan worden van meting met Google Analytics; metingen zullen dus lager gaan uitvallen. En mogelijk zullen ook e-commerce rapporten vanuit Google Analytics incompleet zijn.

Als je website gebruikt maakt van Google diensten, die als third party een cookie bij de bezoekers plaats, dan zul je daarvoor toestemming moeten vragen. Dus dat verzoek om toestemming kan niet worden verlegd naar de dienstenaanbieder.

Links

Update 23-08-2012

De derde optie wordt altijd

De derde optie wordt altijd (expres) weggelaten door bouwers, publiceerders en dergelijke: Gewoon geen 3rd party cookies gebruiken!

Statistieken kun je perfect zelf hosten. Ieder hostingpakket heeft statistiektools beschikbaar. Die werken veelal zonder cookies, maar draaien iig altijd op je eigen domein. Bijvoorbeeld piwik als perfect alternatief voor google analytics.

Advertenties zijn precies dat: advertenties. Advertentienetwerken die meer zijn, die bijvoorbeeld allerlei trackingcodes plaatsen bij je bezoekers staan niet ten dienste van jou bezoekers, maar in dienst van obscure netwerken. Als je daar persé aan wilt meedoen: perfect, maar dan moet je dus de toestemming van je klanten vragen.

Als je je klanten netjes behandelt, hoef je ze geen vragen te stellen. Niet met javascript. Niet met modules, popups enzovoort. Gewoon niet.

cookiewet

hi ber

IANAL 9en ik speel er ook geen in een soap)

het heet cookiewet. maar is het niet :-) het gaat over het opslaan van data van een gebruiker en de opt in die hier voor nodig is. of je dit doet met http logging, browserfingerprinting of met een cookie is niet van belang (lees
http://wetten.overheid.nl/BWBR0009950/Hoofdstuk11/i111/Artikel117/geldigheidsdatum_22-09-2012 )

logging analyseren van http valt dus onder zelfde wet :-(

@Bert: nope, IANAL, maar het

@Bert: nope, IANAL, maar het betreft third party tracking. Logging en systeemcookies (die sessies beheren etc) vallen daar expliciet niet onder. De aangehaalde wet is een heel andere, zover ik kan zien. Het gaat enkel over opslaan van persoonsgegevens uit formulieren (aka wie en wannneer mag je spammen).

Iamal

http://wetten.overheid.nl/BWBR0009950/Hoofdstuk11/i111/Artikel117a/geldigheidsdatum_25-09-2012

11.7.a inderdaad. Niet 11.7.

Maar gaat om functioneel, niet third party of niet. Http logging functioneel. Tracking cookie van eigen domain voor eigen analytics niet

Dan blijft mijn eerste punt

Dan blijft mijn eerste punt overeind. IANAL, trouwens.

> de door de abonnee of gebruiker gevraagde dienst van de
> informatiemaatschappij te leveren en de opslag of toegang tot gegevens > daarvoor strikt noodzakelijk is.

Zonder jurisprudentie blijft het koffiedikkijken. En zelfs daarna moeten we nog maar eens zien wat allerlei hoge-rechters erover te zeggen hebben.

Maar interessant zijn http://blog.iusmentis.com/2012/07/03/valt-browser-fingerprinten-wel-onder-de-cookiewet/ en http://dirkzwagerieit.nl/2012/02/27/minister-cookiewet-ook-van-toepassing-op-device-fingerprinting/ (kan die internet-advokaat niet een plaatje kleiner dan 2000x200 aanleveren?)

TL;DR "Zolang het niet expliciet op jou dinges gezet wordt, valt het niet onder de koekjeswet". In andere woorden: nope. Logs enzo mogen gewoon. Piwik dan trouwens (nog) niet. Wordt aan gewerkt, zeggen ze daar. En Google-web-anal., trouwens al helemaal niet, dan.

Sinds de wijziging van de

Sinds de wijziging van de cookiewet mogen cookies geplaatst worden die bedoeld zijn voor de verbetering van de dienst. Analysecookies mogen gewoon. Google Analytics is echter niet alleen een analyse-, maar ook een trackingtool en die mag dus niet zomaar worden ingezet. Je zult je Analytics-account zo moeten doen dat hij niet trackt.

Pressflow

Ik voel veel voor de Pressflow-weg: geen cookies, geen probleem met vragen, geen probleem met javascript. Grootste probleem met Drupal projecten zijn de 1st party cookies, niet die van 3rd parties.

Serverstatistieken hebben altijd gewerkt, maar in sommige situaties bewerkelijk, met name in een redundante hostingomgeving. Daarnaast is GA zo goed en handig geworden dat veel klanten dat eisen. Ik zal eens naar Piwik kijken: goeie tip.

Over MO6.nl

Dit is een persoonlijk blog van George Moses. George is een webdeveloper gespecialiseerd in Drupal en vennoot van Dynamic Presentations, een Internet Solutions Provider gevestigd in Nederland.
Meer over MO6.nl.

MO6 in English: MO6.me

MO6 op het web

MO6