DDMA-Rechters_over_Google_Tag_Manager_en_TC-string__bedrijven_zitten_klem_tussen_cookiewet_en_consent-paradox.pptx.pdf

Transcript

1. Cookie Chaos Frank de Vries | DDMA 10 en 11

   september 2025 | Data Expo

2. DDMA staat voor succesvolle en verantwoorde data-driven marketing. Marketing die

   mensen in beweging brengt, door data, technologie en creatie elkaar te laten versterken. Verantwoord omgaan met data en technologie is daarbij essentieel. Voor het vertrouwen van consumenten én de toekomst van de marketingsector. Visie

3. Netwerk & Kennis DDMA is de grootste branchevereniging voor datagedreven

   marketing, sales en service. Als lid ben je onderdeel van een netwerk van meer dan 350 merken, non-profits, uitgevers, bureaus en tech-leveranciers. ▪ Laat zien dat je de doorontwikkeling van het vakgebied belangrijk vind door onderdeel te zijn van een branchevereniging en druk actief een stempel op de groei van de sector door commissie deelname ▪ Bezoek gratis of met korting ruim 50 DDMA events of bekijk met ons de mogelijkheden voor een inhouse masterclass op het gebied van privacy, ethiek of AI ▪ Laten zien waar je goed in bent. Doe mee aan een van de award uitreikingen ▪ Toegang tot de DDMA Kennisbank met onderzoeken, templates en whitepapers ▪ Toegang tot de juridische helpdesk ▪ Behaal het privacy waarborg keurmerk en laat daarmee zien dat jullie op een verantwoorde manier omgaan met data ▪ Gratis licenties bij Postfilter ter waarde van € 3.830

4. Agend a Welke regels gelden er? • Cookiebepaling • AVG

   Rechters over functionele cookies • Google Fonts • Google Tag Manager Waar gaat dit naartoe? • Gevolgen • Stop de Impasse by design

5. 🍪 ❤

6. • Opbouwen van profielen • Gepersonaliseerde en relevante advertenties •

   Meten van conversie en (web) analytics • Onthouden van (cookie)voorkeuren… • ... Data ❤ cookies…

7. Privacy zorgen…

8. Rolverdeling wetten… • Wetgever (regering, parlement, EU) maakt de regels

   • Toezichthouder (AP in NL) houdt toezicht en kan boetes of sancties opleggen • Rechter oordeelt over geschillen tussen partijen (en in hoger beroep over besluiten toezichthouder)

9. Cookieregels: Art. 11.7a Tw Cookiebepaling (sinds 2002) • Uitlezen of

   opslaan van informatie op apparaat ▪ Informatie =/= niet alleen persoonsgegevens! • Hoofdregel: toestemming • Uitzonderingen op hoofdregel: ▪ Transmissie-exceptie: Cookie is uitsluitend nodig voor om communicatie technisch mogelijk te maken (bijv. load balancing). ▪ Dienst-exceptie: Cookie is onmisbaar voor een door de gebruiker gevraagde dienst. ▪ Analytics-exceptie (in NL): analytics met een geringe impact op de privacy.

10. Een quote… “Gek genoeg staat het woord ‘cookies’ geen enkele

    keer in de cookiebepaling benoemd. De cookiebepaling heeft het over het opslaan en uitlezen van informatie. Naast cookies regelt deze bepaling dus ook het gebruik van Javascript en andere technieken.” Frank @ Data Expo

11. Cookieregels: AVG AVG (sinds 2018) • Onderwerp: Verwerking van persoonsgegevens

    ▪ Cookie-id kan herleidbaar zijn. • Toestemming of opt-out (gerechtvaardigd belang) • Andere verplichtingen: informeren (privacy statement, recht van betrokkenen etc. etc.) AVG Art. 11.7a Tw

12. Dienst-exceptie Geen cookie-toestemming is nodig voor… • inloggen op een

    account; • producten in een winkelmandje bewaren; • een taal- of regio-instelling opslaan; • afspelen embedded video- of audiocontent afspelen; • formuliergegevens onthouden binnen één sessie; • pure beveiliging (bijv. om brute-force-aanvallen te detecteren).

13. Vandaag: Wat mag óók zonder toestemming? • Lettertypes inladen via

    Google Fonts (behoorlijk gebruikelijk?) • Mag je zelf bepalen hoe je code inlaadt? > bijv. via een Content Delivery Network of Google Tag Manager • Cookievoorkeuren bewaren?

14. Google Fonts?

15. Lettertypes inladen? • Hosting: CDN Server van Google in de

    VS • Hosting: Eigen (Nederlandse) server

16. CDN was jarenlang de technische default

17. Oordeel rechter • IP-adres is een persoonsgegeven • Datadeling met

    een server (fonts.gstatic.com) in de VS is ‘niet noodzakelijk’; bovendien geen informatie! • Schadevergoeding van 100 euro • Externe hosting van lettertypen mag alleen met toestemming (LG München I, Endurteil v. 20.01.2022 – 3 O 17493/20)

18. Google Tag Manager?

19. GTM: Wat is het eigenlijk? • Dienst van Google: Server

    in de VS • Lege huls: GTM plaatst zelf geen cookies, maar kan wel scripts inladen die cookies plaatsen • Beheergemak: Er is niet steeds een web ontwikkelaar nodig om een cookie te plaatsen • Praktijk: Marketeers gebruiken het om Google Analytics of Ads in te laden
20. None
21. None

22. Is GTM een technisch middel om de website in overeenstemming

    met de wensen van de bezoeker te leveren? Moeten we voorschrijven hoe organisaties code inladen, wanneer het effect praktisch hetzelfde is?

23. Oordeel rechter • GTM is geen onderdeel van de gevraagde

    dienst (de website) • GTM dient vooral het beheergemak van de site-eigenaar • Bovendien gaan het IP-adres e.a. device-data naar de VS • GTM vanaf een Google-domein mag pas na toestemming laden (Verwaltungsgericht Hannover Urt. v. 19.03.2025, Az.: 10 A 5385/2)

24. Wat betekent dit voor (self hosted) server-side google tag manager?

    Maar…

25. Waar gaat dit naar toe?

26. Gevolgen • Technische frictie • Mag je het weigeren van

    cookies zonder toestemming worden bewaren in een cookie?

27. Stop deze impasse by design 1. Stop met techniek-voorschriften, maar

    adresseer alleen echte (privacy) risico’s 2. Schrap de cookiebepaling, want consent by default is gek 3. Ruimte voor innovatie zonder voorgeschreven oplossingen

28. ▪ Meld je aan voor de DDMA nieuwsbrief ▪ Bekijk

    de agenda ▪ Bekijk eventueel de DDMA commissies Blijf op de hoogte