Cookies en de AVG: wanneer is een cookiemelding verplicht?

Karen Foesenek
11 mei 2018
door Karen Foesenek

De Algemene Verordening Gegevensbescherming is op 25 mei 2016 ingegaan. Dat betekent dat websites en webshops nog 2 weken (tot 25 mei 2018) hebben om officieel aan alle regels te voldoen (er zat twee jaar tussen de inwerkingreding van de AVG en het moment dat deze daadwerkelijk van toepassing is, zodat iedereen genoeg tijd had om zich hierop voor te bereiden). Eén vraag die ik regelmatig hoor is: moet ik een cookiemelding op mijn site zetten? Het antwoord: dat hangt er vanaf…

In het kort: als jouw website cookies plaatst waar persoonsgegevens mee opgevraagd, opgeslagen en/of ingezien kunnen worden dan ben je verplicht hiervoor toestemming te vragen. Daarvoor is een cookiemelding inderdaad de beste manier.

Ik geef je in dit artikel wat meer informatie zodat je voor jezelf na kunt gaan of je een cookiemelding nodig hebt en zo ja: hoe je dit het beste kunt regelen. Voor wie geen zin heeft om het hele artikel te lezen beginnen we met een samenvattende infographic... 

 

Cookies en de AVG

Misschien heb je gehoord dat cookies officieel niet onder de AVG vallen, maar dat het gebruik van cookies geregeld wordt in de e-privacyverordening. Dat klopt. Er komt nog een nieuwe wet aan over privacy in combinatie met elektronische communicatie. Er wordt gesproken over het feit dat cookietoestemmingen dan niet meer via een cookiemelding geregeld zouden hoeven te worden, maar dat iedereen dit voor zich in zijn eigen browser moet instellen. Het wetsvoorstel is alleen nog niet goedgekeurd en deze verordening is dan ook nog niet van kracht.

Tot die tijd moeten we dus de AVG zo letterlijk mogelijk opvatten en dat betekent dat je actief toestemming moet vragen voor het verzamelen van persoonsgegevens door middel van cookies. En dan ontkom je niet aan een cookiemelding.

Wat zijn persoonsgegevens?

Persoonsgegevens zijn gegevens die direct of indirect te herleiden zijn tot een persoon. Denk aan een naam, e-mailadres, bankrekeningnummer of IP-adres.

De meeste gegevens die op B2B-websites worden verzameld vallen hier dus niet onder, maar zodra ze iets zeggen over een identificeerbaar individu wel. Zo is een info@ adres geen persoonsgegeven, maar een persoonlijk e-mailadres (jan@) is dat wel. Ook alle bedrijfsgegevens van een eenmanszaak worden als persoonsgegeven beschouwd.

Wat zijn cookies?

Cookies zijn kleine tekstbestanden die door een website op het apparaat kunnen worden geplaatst waarmee je een website bezoekt. Hierin wordt informatie opgeslagen die gedurende je bezoek wordt onthouden en bij een volgend bezoek ook weer wordt herkend.

Cookies kunnen verschillende doelen dienen. Over het algemeen worden ze in 4 categorieën opgedeeld:

Noodzakelijke cookies
Sommige cookies zorgen ervoor dat een website beter werkt. Zo is er bijvoorbeeld een cookie dat onthoudt dat je iets in je winkelmandje hebt geplaatst of die ervoor zorgt dat je binnen een webshop kunt zoeken.

Cookies die voorkeuren onthouden
Voorkeurscookies zorgen dat een website informatie kan onthouden die van invloed is op hoe de website eruit ziet. Denk aan de taal van je voorkeur of de regio waar je woont.

Cookies voor statistieken
Dankzij deze cookies kunnen website-eigenaren gegevens inzien over hoeveel bezoekers de website bezoeken en welke pagina’s het meest bezocht zijn. De meeste websites gebruiken hiervoor Google Analytics.

Marketing cookies
Tot slot zijn er marketing cookies. Deze dienen een duidelijk commercieel doel. Een bekend voorbeeld zijn remarketingcookies. Die zorgen ervoor dat als jij een product bekijkt op een website, deze informatie doorgespeeld kan worden naar bijvoorbeeld Facebook of andere advertentieplatformen. De website kan daar dan een advertentie laten zien voor het door jou bekeken product.

De levensduur is per cookie afhankelijk. Sessie-cookies worden na je websitebezoek weer verwijderd; andere cookies kunnen jaren op je apparaat blijven staan. Je kunt cookies wel zelf te allen tijden van je apparaat verwijderen via de instellingen van je browser.

Welke cookies mogen zonder toestemming geplaatst worden?

Niet alle cookies verwerken persoonsgegevens. Daarom zijn er ook cookies die geplaatst mogen worden zonder dat hiervoor specifiek toestemming is verkregen. Het gaat natuurlijk sowieso om de noodzakelijke cookies die ervoor zorgen dat een website goed functioneert. Daarnaast mogen ook statistische cookies worden geplaatst als deze niet te herleiden zijn tot een persoon.

Normaal gesproken verzamelen statistische cookies zoals Google Analytics je IP-adres. Dat is een persoonsgegeven en die mag je dus niet zomaar verzamelen. Wel kun je instellen dat dit IP-adres geanonimiseerd wordt. Je mag dan wel zonder toestemming deze cookies plaatsten. Je moet er wel voor zorgen dat de overige instellingen ook privacyvriendelijk zijn. Hier vind je een handleiding daarvoor.

Wanneer heb ik wel een cookiemelding nodig?

Je hebt dus een cookiemelding nodig als je door middel van cookies toegang krijgt tot persoonsgegevens. Maar hoe weet je of dit het geval is? Dat is vaak lastig te zeggen. Er zijn online checks te vinden, maar ik heb er nog geen gevonden die goed werkt.

Een paar situaties wanneer je zeker een cookiemelding nodig hebt:

  • Je maakt gebruik van een live chat
  • Je maakt gebruik van Hotjar
  • Je hebt een Facebookpixel op je site staan
  • Je gebruikt Google Analytics zonder dat IP-adressen worden geanonimiseerd
  • Je synchroniseert gegevens van je website of webshop met e-mailprogramma’s als Mailchimp
  • Je maakt gebruik van remarketing

Twijfel je? Je kunt een testaccount aanmaken op Cookiebot. Deze toont dan een volledige lijst met cookies die jouw site plaatst. Helaas hebben veel cookies vage namen als __cfduid of _gat. Zo weet je nog niet veel. Laat je site daarom door een expert onder de loep nemen om zeker te weten of je een cookiemelding nodig hebt.

Voorbeeld van een goede cookiemelding

En wat is nu een goede cookiemelding? Deze moet in ieder geval aan de volgende voorwaarden voldoen:

  • Hij moet ervoor zorgen dat er geen cookies geplaatst worden voordat de juiste toestemming is verkregen. Veel websites hebben wel een cookiemelding, maar plaatsen al cookies voordat iemand deze geaccepteerd heeft.
  • Je moet een duidelijke opt-out mogelijkheid hebben. Je moet meteen aan kunnen geven dat je geen of niet alle cookies wilt laten plaatsen.
  • Je mag mensen niet de toegang tot je site ontzeggen als ze niet akkoord gaan met het gebruik van cookies. Oftewel: er moet wel echt sprake zijn van een keuze om cookies wel of niet te accepteren.
  • Hij moet duidelijk en informatief zijn. Je moet mensen goed informeren over welke gegevens verzameld worden en hoe deze gebruikt worden. De informatie moet in eenvoudige taal geschreven zijn.
  • Mensen moeten te allen tijden hun gekozen voorkeur weer kunnen wijzigen.

Een balk met de melding dat je automatisch akkoord gaat met het plaatsen van cookies als je verder gebruik maakt van de site (zoals je heel vaak ziet), dat mag dus niet.

Het is niet heel duidelijk of je al wel vinkjes aan mag zetten of niet. Het is maar net hoe je de tekst van de wet letterlijk interpreteert. Voor niet-gevoelige persoonsgegevens geldt dat ‘impliciete toestemming’ in combinatie met een ‘bevestigende actie’ nodig is.

Verder klikken op een website met onderstaande cookiemelding, zou dat dan binnen de regels zijn? Of vind je dat iemand de vinkjes echt actief aan moet vinken? De tijd zal leren wat binnen de wet valt en wat (net) niet. 

cookiemelding

Let op: je mag natuurlijk de cookies sowieso dan pas plaatsen wanneer iemand ook daadwerkelijk verder navigeert.

Goede cookiemelding implementeren

Heeft jouw site nog een AVG-proof cookiemelding nodig? Wij adviseren Cookiebot. Je betaalt wel een fee per maand, maar het is tot nu toe de enige cookiemelding die ik ben tegengekomen die helemaal AVG-proof is. Hulp nodig bij het installeren en configureren? Bel ons op 013 - 580 0559. Wij helpen je graag!

Is je site dan AVG-proof? 

Een goede cookiemelding is een begin, maar er komt natuurlijk meer bij kijken om je site AVG-proof te maken. Heb je bijvoorbeeld al een goede privacyverklaring? Ik heb speciaal voor eigenaren van webshops een blog geschreven over webshops en de AVG. Ook interessant voor websites die niet aan online verkoop doen. 

Disclaimer: ik ben geen jurist. Ik heb bovenstaande informatie verzameld via diverse bronnen op het internet. Wil je zeker zijn dat jouw website aan de AVG voldoet? Schakel dan een jurist in. 

 

Karen Foesenek

Vragen over de AVG?

Wij adviseren je graag!