Ook Google Analytics valt onder de cookiewet. De cookies die deze websiteanalysetool zet, zijn immers niet puur en alleen bedoeld om de eindgebruiker een gepaste webpagina voor te schotelen. De webmaster kan extra informatie krijgen over bezoekers met deze cookies, en dat maakt de cookies toestemmingsplichtig. Los daarvan wordt Analytics gezien als privacytechnisch dubieus, met name omdat het Amerikaanse Google erachter zit. Als alternatief wordt steeds vaker de open source Piwik analytics-software aanbevolen. Is Piwiki wél legaal onder de cookiewet?
Piwik is een open source pakket voor webmasters waarmee analytics (bezoekersgegevens en dergelijke) kunnen worden verkregen. Het expliciete doel van Piwik is een alternatief voor Analytics van Google te bieden. Het belangrijkste onderscheid ten opzichte van Google is dat je Piwik zelf installeert. Er gaat dus geen data naar derden, en al helemaal niet naar Amerikaanse bedrijven (die onder de privacywet in een speciale gevarenzone zitten).
Ook hamert Piwik er op vele punten op dat zij de privacy respecteert en de webmaster én de gebruiker daar allerlei opties voor biedt. Zo kan men IP-adressen automatisch anonimiseren, kan eenvoudig aan bezoekers een opt-out worden geboden en biedt men een optie om cookies uit te zetten. Wanneer deze wordt gebruikt, probeert Piwik langs andere wegen alsnog bezoekers van elkaar te onderscheiden, middels IP-adressen en “footprints” (een soort browser fingerprinting dus).
Privacytechnisch zit het dus wel snor met Piwik. Maar desondanks blijft de cookiewet een probleem, tenzij je natuurlijk cookies uitzet.
Het lastige van de cookiewet is namelijk dat het niet alléén gaat over tracking cookies of privacyschendingen via cookies. Ook een eenvoudig cookie waarmee alleen bezoekspaden kunnen worden gereconstrueerd valt al onder de cookiewet. Zelfs als die reconstructie meteen wordt geaggregeerd zodat geen mens de individuele bezoekspaden kan reconstrueren, laat staan aan een specifiek persoon koppelen.
Ook als je cookies uitzet blijf je formeel een probleem houden: Piwik hanteert dan een soort browser fingerprinting om toch mensen te herkennen, en ook dat valt onder de cookiewet, zo bleek uit de parlementaire stukken rond invoering van deze wet.
Een sprankje hoop biedt nog de recente cookiewetopinie van de Artikel 29 Werkgroep. Deze analyseert op onnavolgbaar juridische wijze de uitzondering onder de cookiewet om zo toch een aantal dingen te kunnen noemen die legaal zouden moeten zijn.
In deze analyse meldt men ook:
[F]irst party analytics cookies are not likely to create a privacy risk when they are strictly limited to first party aggregated statistical purposes and when they are used by websites that already provide clear information about these cookies in their privacy policy as well as adequate privacy safeguards. Such safeguards are expected to include a user friendly mechanism to opt-out from any data collection and comprehensive anonymization mechanisms that are applied to other collected identifiable information such as IP addresses.
Dit is dus precies wat Piwik doet, mits je de privacygevoelige opties op hun strengst instelt. Hoewel het dus formeel nog steeds een overtreding van de cookiewet is om Piwik in te zetten, lijkt het ons een dusdanig geringe overtreding dat we ons niet kunnen voorstellen dat de OPTA hiertegen gaat handhaven. Bij Google zou dat iets anders liggen: daar gebeurt op de achtergrond veel meer, en als webmaster heb je daar geen zicht op omdat het bij Google gebeurt.
Ons advies is dan ook dat wie analytics wil én zo netjes mogelijk binnen de cookiewet wil blijven zonder apart opt-in te vragen, beter Piwik kan gebruiken met de strenge privacyinstellingen. Opt-in of toestemming vragen voor tracking (zoals wij doen met de Cookie Control linksonder) kan natuurlijk altijd, zowel met Google Analytics als met Piwik.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.