Home Blog Cookies en de AVG: wanneer is een cookiemelding verplicht?
Analytics, Privacy

Cookies en de AVG: wanneer is een cookiemelding verplicht?

Karen Foesenek
Karen Foesenek

Dit bericht werd oorspronkelijk geschreven op 11 mei 2018 en is meerdere keren bijgewerkt, voor het laatst op 04-04-2024.

Er verandert veel in 2024. Google is begonnen met het uitfaseren van third party cookies. In de tweede helft van 2024 zal Google helemaal geen third party cookies meer verwerken. Daarnaast gaat de Digital Markets Act (DMA) in. Dit is nieuwe Europese privacywetgeving. Deze combinatie heeft een enorme impact op je dataverzameling. Er zijn een aantal acties die je moet ondernemen als je als website of webshop gebruik wil maken van platforms als Google Ads en Meta Ads: 

  • Een cookiemelding wordt zo goed als verplicht. 
  • Implementeer Google Consent Mode V2 (d.m.v. je cookiebanner in combinatie met Google Tag Manager)
  • Implementeer server-side tagging

In het kort: de verantwoordelijkheid voor het verkrijgen van de juiste toestemming (consent) komt te liggen bij Google en Meta (en 4 andere grote platforms, de Gatekeepers). Maar jij als website of webshop moet zorgen dat zij deze krijgen. Kun je deze toestemming niet laten zien, dan zou je in theorie gestraft kunnen worden door deze platforms. Los daarvan kunnen de platforms geen data gebruiken als deze niet met toestemming verkregen is. Of ze dit ook echt niet zullen doen, dat is nog onduidelijk. Maar je wilt natuurlijk sowieso geen onbetrouwbare doelgroepen en conversiemetingen. Het wordt steeds lastiger om te adverteren wegens steeds meer beperkingen. Maar bovenstaande 3 oplossingen zorgen ervoor dat je data zo volledig en betrouwbaar mogelijk is. 

Meer informatie lees je in ons blog over deze veranderingen

—–

De Algemene Verordening Gegevensbescherming is op 25 mei 2016 ingegaan. Eén vraag die ik nog steeds regelmatig hoor is: moet ik een cookiemelding op mijn site zetten? Het antwoord: dat hangt er vanaf…

In het kort: als jouw website cookies plaatst waar persoonsgegevens mee opgevraagd, opgeslagen en/of ingezien kunnen worden dan ben je verplicht hiervoor toestemming te vragen. Dit doe je inderdaad door middel van een cookiemelding.

Ik geef je in dit artikel wat meer informatie zodat je voor jezelf na kunt gaan of je een cookiemelding nodig hebt en zo ja: hoe je dit het beste kunt regelen. Voor wie geen zin heeft om het hele artikel te lezen beginnen we met een samenvattende infographic…

wanneer is een cookiemelding verplicht

Cookies en de AVG

Misschien heb je gehoord dat cookies officieel niet onder de AVG vallen, maar dat het gebruik van cookies geregeld wordt in de e-privacyverordening. Dat klopt. Er komt nog een nieuwe wet aan over privacy in combinatie met elektronische communicatie. Er wordt gesproken over het feit dat cookietoestemmingen dan niet meer via een cookiemelding geregeld zouden hoeven te worden, maar dat iedereen dit voor zich in zijn eigen browser moet instellen. Het wetsvoorstel is alleen nog niet goedgekeurd en deze verordening is dan ook nog niet van kracht.

Tot die tijd moeten we dus de AVG zo letterlijk mogelijk opvatten en dat betekent dat je actief toestemming moet vragen voor het verzamelen van persoonsgegevens door middel van cookies. En dan ontkom je niet aan een cookiemelding.

Wat zijn persoonsgegevens?

Persoonsgegevens zijn gegevens die direct of indirect te herleiden zijn tot een persoon. Denk aan een naam, e-mailadres, bankrekeningnummer of IP-adres.

De meeste gegevens die op B2B-websites worden verzameld vallen hier dus niet onder, maar zodra ze iets zeggen over een identificeerbaar individu wel. Zo is een info@ adres geen persoonsgegeven, maar een persoonlijk e-mailadres (jan@) is dat wel. Ook alle bedrijfsgegevens van een eenmanszaak worden als persoonsgegeven beschouwd.

Daarnaast zijn er andere vormen van ‘persoonsgegevens’ die door bijvoorbeeld Google Analytics gebruikt kunnen worden om websiteverkeer te tracken, zoals online identifiers en device identifiers aan de hand waarvan een user ID samengesteld kan worden.

Wat zijn cookies?

Cookies zijn kleine tekstbestanden die door een website op het apparaat kunnen worden geplaatst waarmee je een website bezoekt. Hierin wordt informatie opgeslagen die gedurende je bezoek wordt onthouden en bij een volgend bezoek ook weer wordt herkend.

Cookies kunnen verschillende doelen dienen. Over het algemeen worden ze in 4 categorieën opgedeeld:

Noodzakelijke cookies
Sommige cookies zorgen ervoor dat een website beter werkt. Zo is er bijvoorbeeld een cookie dat onthoudt dat je iets in je winkelmandje hebt geplaatst of die ervoor zorgt dat je binnen een webshop kunt zoeken.

Cookies die voorkeuren onthouden
Voorkeurscookies zorgen dat een website informatie kan onthouden die van invloed is op hoe de website eruit ziet. Denk aan de taal van je voorkeur of de regio waar je woont.

Cookies voor statistieken
Dankzij deze cookies kunnen website-eigenaren gegevens inzien over hoeveel bezoekers de website bezoeken en welke pagina’s het meest bezocht zijn. De meeste websites gebruiken hiervoor Google Analytics.

Marketing cookies
Tot slot zijn er marketing cookies. Deze dienen een duidelijk commercieel doel. Een bekend voorbeeld zijn remarketingcookies. Die zorgen ervoor dat als jij een product bekijkt op een website, deze informatie doorgespeeld kan worden naar bijvoorbeeld Facebook of andere advertentieplatformen. De website kan daar dan een advertentie laten zien voor het door jou bekeken product.

De levensduur is per cookie afhankelijk. Sessie-cookies worden na je websitebezoek weer verwijderd; andere cookies kunnen jaren op je apparaat blijven staan. Je kunt cookies wel zelf te allen tijden van je apparaat verwijderen via de instellingen van je browser.

Welke cookies mogen zonder toestemming geplaatst worden?

Niet alle cookies verwerken persoonsgegevens. Daarom zijn er ook cookies die geplaatst mogen worden zonder dat hiervoor specifiek toestemming is verkregen. Het gaat dan met name om de noodzakelijke cookies die ervoor zorgen dat een website goed functioneert.

Wat betreft statistische cookies is hier veel onduidelijkheid over.

Universal Analytics

Normaal gesproken verzamelen statistische cookies zoals die van Universal Analytics (de oude Google Analytics) je IP-adres. Dat is een persoonsgegeven en die mag je dus niet zomaar verzamelen. Wel kun je instellen dat dit IP-adres geanonimiseerd wordt. Je mag dan wel zonder toestemming deze cookies plaatsten. Je moet er wel voor zorgen dat de overige instellingen ook privacyvriendelijk zijn. Hier vind je een handleiding daarvoor.

Google Analytics 4

Google Analytics 4 verzamelt geen IP adressen meer en slaat deze ook niet op. Ziet GA4 dat een gebruiker zich in de EU bevindt, dan verwijdert GA4 deze voordat ze worden geregistreerd via EU domeinen en servers. Daarnaast biedt GA4 de mogelijkheid om:

  • het verzamelen van Google signals uit te zetten per regio
  • het verzamelen van gedetailleerde locatie- en apparaatgegevens per regio uit te zetten.

Verder verzamelt Google Analytics 4 alle gegevens van apparaten in de EU via domeinen en op servers in de EU voordat dit wordt doorgestuurd naar de Analytics-servers voor verwerking.

We gingen er daarom vanuit dat je met de juiste configuratie voor het verzamelen van gegevens via Google Analytics 4 geen cookiemelding nodig hebt. Echter meldt dit artikel van Secure Privacy dat Google Analytics 4 gebruik maakt van online identifiers en device identifiers om een User ID samen te stellen. Zelfs als IP-adressen afgeschermd worden gebruikt Google Analytics nog steeds persoonsgegevens die uiteindelijk naar de Verenigde Staten gestuurd worden. En hier ligt het probleem. De Verenigde Staten gaan namelijk anders met persoonsgegevens om en de Europese Unie vond dat daardoor de rechten van de Europese burger niet voldoende beschermd waren en daarom werd zelfs besloten dat data helemaal niet naar de Verenigde Staten gestuurd zou mogen worden.

Een versimpeld voorbeeld: iemand uit Nederland zoekt online naar T-shirts en komt op jouw webshop uit. De Amerikaanse autoriteiten volgen deze persoon omdat deze mogelijk betrokken is bij criminele activiteiten. Ze verzoeken Google om deze informatie aan te leveren en Google moet dit aanleveren. De Nederlandse websitebezoeker heeft geen gemakkelijke toegang tot Amerikaanse rechtbanken om verhaal te halen. Daarom beschouwt de Europese Unie de Verenigde Staten als een onveilig land voor gegevensoverdracht.

Er zijn verschillende aanpassingen voorgesteld in het Privacy Shield en Privacy Shield 2.0. Uiteindelijk is in juli 2023 bepaald dat data naar de Verenigde Staten gestuurd mag worden, mits aan bepaalde voorwaarden wordt voldaan.

Eén daarvan is uiteraard dat je toestemming hebt van de gebruiker. En het moet duidelijk zijn voor de gebruiker dat data naar de Verenigde Staten gestuurd wordt. Sommige autoriteiten adviseren daarnaast om GA4 cookies maximaal 6 maanden te bewaren, en daarna opnieuw om toestemming te vragen. Dit is echter niet verplicht.

Een alternatief is uiteraard om in plaats van Google Analytics te kiezen voor Europese analytics software.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens voerde in 2022 onderzoek uit naar Google Analytics. Zij gaven op hun website aan dat het gebruik van Google Analytics mogelijk werd verboden. Dit is navolging van meerdere Europese landen die het gebruik van Google Analytics al hadden verboden, zoals Oostenrijk, Noorwegen en Frankrijk. De reden hiervan is echter al weer achterhaald, nu er een opvolger is van het Privacy Shield.

Momenteel is te lezen op de website van de Autoriteit Persoonsgegevens dat je analytische cookies mag verzamelen die persoonsgegevens verwerken, mits je voldoet aan de AVG door een goede cookiebanner te gebruiken.

Wanneer heb je sowieso een cookiemelding nodig?

Eigenlijk heb je dus vrijwel altijd een cookiemelding nodig. In ieder geval als je Google Analytics gebruikt.

Andere situaties waarin je persoonsgegevens verzamelt of bezoekers volgt en dus een cookiemelding nodig hebt:

  • Je maakt gebruik van een live chat
  • Je adverteert via Google Ads
  • Je maakt gebruik van Hotjar
  • Je hebt een Facebookpixel op je site staan
  • Je synchroniseert gegevens van je website of webshop met e-mailprogramma’s als Mailchimp
  • Je maakt gebruik van remarketing

Twijfel je? Je kunt een testaccount aanmaken op Cookiebot. Deze toont dan een volledige lijst met cookies die jouw site plaatst. Helaas hebben veel cookies vage namen als __cfduid of _gat. Zo weet je nog niet veel. Laat je site daarom door een expert onder de loep nemen om zeker te weten of je een cookiemelding nodig hebt.

Voorbeeld van een goede cookiemelding

En wat is nu een goede cookiemelding? Deze moet in ieder geval aan de volgende voorwaarden voldoen:

  • Hij moet ervoor zorgen dat er geen cookies geplaatst worden voordat de juiste toestemming is verkregen. Veel websites hebben wel een cookiemelding, maar plaatsen al cookies voordat iemand deze geaccepteerd heeft.
  • Je moet een duidelijke opt-out mogelijkheid hebben. Je moet meteen aan kunnen geven dat je geen of niet alle cookies wilt laten plaatsen.
  • Je mag mensen niet de toegang tot je site ontzeggen als ze niet akkoord gaan met het gebruik van cookies. Oftewel: er moet wel echt sprake zijn van een keuze om cookies wel of niet te accepteren.
  • Hij moet duidelijk en informatief zijn. Je moet mensen goed informeren over welke gegevens verzameld worden en hoe deze gebruikt worden. De informatie moet in eenvoudige taal geschreven zijn.
  • Mensen moeten te allen tijden hun gekozen voorkeur weer kunnen wijzigen.

Een balk met de melding dat je automatisch akkoord gaat met het plaatsen van cookies als je verder gebruik maakt van de site (zoals je heel vaak ziet), dat mag dus niet.

Het is niet heel duidelijk of je al wel vinkjes aan mag zetten of niet. Het is maar net hoe je de tekst van de wet letterlijk interpreteert. Voor niet-gevoelige persoonsgegevens geldt dat ‘impliciete toestemming’ in combinatie met een ‘bevestigende actie’ nodig is.

Verder klikken op een website met onderstaande cookiemelding, zou dat dan binnen de regels zijn? Of vind je dat iemand de vinkjes echt actief aan moet vinken?

cookiebot cookiemelding

Let op: je mag natuurlijk de cookies sowieso dan pas plaatsen wanneer iemand ook daadwerkelijk verder navigeert. Hier lees je richtlijnen van de Autoriteit Persoonsgegevens m.b.t. cookiebanners.

Goede cookiemelding implementeren

Heeft jouw site nog een AVG-proof cookiemelding nodig? Wij adviseren Cookiebot. Je dient wel een maandelijks abonnement af te sluiten, maar deze is veruit het meest compleet en het prettigst in gebruik. Bovendien werkt Cookiebot ook goed samen met Google Consent Mode. Goedkopre alternatieven zijn Cookiescript en Cookiecode, maar hier ervaren wij vaker problemen mee en implementeren we dus niet meer. Hulp nodig bij het installeren en configureren? Bel ons op 013 – 580 0559. Wij helpen je graag!

Is je site dan helemaal AVG-proof?

Een goede cookiemelding is een begin, maar er komt natuurlijk meer bij kijken om je site AVG-proof te maken. Heb je bijvoorbeeld al een goede privacyverklaring? Ik heb speciaal voor eigenaren van webshops een blog geschreven over webshops en de AVG. Ook interessant voor websites die niet aan online verkoop doen.

Disclaimer: ik ben geen jurist. Ik heb bovenstaande informatie verzameld via diverse bronnen op het internet. Wil je zeker zijn dat jouw website aan de AVG voldoet? Schakel dan een jurist in. 

 

Nieuwe website nodig? Doe inspiratie op in ons portfolio >

Gerelateerde artikelen