Opmerkelijk document met een opmerkelijke timing. Privacytoezichthouder CBP heeft een instructie gepubliceerd hoe sitebeheerders die Google Analytics gebruiken toch kunnen voldoen aan de privacywet (wbp), ontdekten advocaten Polo van der Putt en Herwin Roerdink.

Dat Google Analytics niet zomaar voldoet aan de vereisten was al langer duidelijk, maar blijkbaar nu opnieuw aan de orde, terwijl de gewijzigde cookiewet (momenteel in behandeling in de Senaat) juist coulanter omgaat met analytische cookies. Begrijpt u het nog?

Het idee is dat sites juist geen toestemming meer hoeven te vragen, en ook geen meldplicht hebben, als ze (analytische) cookies gebruiken die "geen of slechts geringe gevolgen voor de privacy hebben".

Geen melding, wel melding

Daar vallen de default-instellingen van Google Analytics inderdaad niet onder, dus een bewerkersovereenkomst, anonimiseren van IP-adressen en uitschakelen van 'gegevens delen met Google' moet geregeld worden. Maar dat daarná ook nog een uitgebreide melding en opt-out-regeling moet worden opgetuigd is moeilijk te vatten en staat precies tegenover de intentie van de nieuwe cookiewet.

De woordvoerster van het CBP erkent dat het document voor verwarring kan zorgen. "Maar wij gaan niet over de cookiewet (telecomwet), wij gaan over de wet bescherming persoonsgegevens (wbp). Die geldt nu en verandert ook niet."

UPDATE: Het CBP verwijst voor verdere uitleg naar de FAQ over cookies, die ook ingaat op het gebruik van Google Analytics. Daarin verzwijgt de waakhond echter dat het voorgestelde regime 'onschuldige cookies' niet alleen vrijwaart van het toestemmingsvereiste, maar ook van de informatieplicht. De verwarring blijft dus bestaan.

UPDATE 2, 21 januari: Het CBP heeft na kritische vragen van Computerworld de handleiding aangepast.

Lees ook: Haal de cookiewet alsjeblieft van de beademing