Laatst bijgewerkt: 27-09-2023
De Algemene Verordening Gegevensbescherming is op 25 mei 2016 ingegaan. Eén vraag die ik nog steeds regelmatig hoor is: moet ik een cookiemelding op mijn site zetten? Het antwoord: dat hangt er vanaf…
In het kort: als jouw website cookies plaatst waar persoonsgegevens mee opgevraagd, opgeslagen en/of ingezien kunnen worden dan ben je verplicht hiervoor toestemming te vragen. Daarvoor is een cookiemelding inderdaad de beste manier.
Ik geef je in dit artikel wat meer informatie zodat je voor jezelf na kunt gaan of je een cookiemelding nodig hebt en zo ja: hoe je dit het beste kunt regelen. Voor wie geen zin heeft om het hele artikel te lezen beginnen we met een samenvattende infographic…
Cookies en de AVG
Misschien heb je gehoord dat cookies officieel niet onder de AVG vallen, maar dat het gebruik van cookies geregeld wordt in de e-privacyverordening. Dat klopt. Er komt nog een nieuwe wet aan over privacy in combinatie met elektronische communicatie. Er wordt gesproken over het feit dat cookietoestemmingen dan niet meer via een cookiemelding geregeld zouden hoeven te worden, maar dat iedereen dit voor zich in zijn eigen browser moet instellen. Het wetsvoorstel is alleen nog niet goedgekeurd en deze verordening is dan ook nog niet van kracht.
Tot die tijd moeten we dus de AVG zo letterlijk mogelijk opvatten en dat betekent dat je actief toestemming moet vragen voor het verzamelen van persoonsgegevens door middel van cookies. En dan ontkom je niet aan een cookiemelding.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn gegevens die direct of indirect te herleiden zijn tot een persoon. Denk aan een naam, e-mailadres, bankrekeningnummer of IP-adres.
De meeste gegevens die op B2B-websites worden verzameld vallen hier dus niet onder, maar zodra ze iets zeggen over een identificeerbaar individu wel. Zo is een info@ adres geen persoonsgegeven, maar een persoonlijk e-mailadres (jan@) is dat wel. Ook alle bedrijfsgegevens van een eenmanszaak worden als persoonsgegeven beschouwd.
Wat zijn cookies?
Cookies zijn kleine tekstbestanden die door een website op het apparaat kunnen worden geplaatst waarmee je een website bezoekt. Hierin wordt informatie opgeslagen die gedurende je bezoek wordt onthouden en bij een volgend bezoek ook weer wordt herkend.
Cookies kunnen verschillende doelen dienen. Over het algemeen worden ze in 4 categorieën opgedeeld:
Noodzakelijke cookies
Sommige cookies zorgen ervoor dat een website beter werkt. Zo is er bijvoorbeeld een cookie dat onthoudt dat je iets in je winkelmandje hebt geplaatst of die ervoor zorgt dat je binnen een webshop kunt zoeken.
Cookies die voorkeuren onthouden
Voorkeurscookies zorgen dat een website informatie kan onthouden die van invloed is op hoe de website eruit ziet. Denk aan de taal van je voorkeur of de regio waar je woont.
Cookies voor statistieken
Dankzij deze cookies kunnen website-eigenaren gegevens inzien over hoeveel bezoekers de website bezoeken en welke pagina’s het meest bezocht zijn. De meeste websites gebruiken hiervoor Google Analytics.
Marketing cookies
Tot slot zijn er marketing cookies. Deze dienen een duidelijk commercieel doel. Een bekend voorbeeld zijn remarketingcookies. Die zorgen ervoor dat als jij een product bekijkt op een website, deze informatie doorgespeeld kan worden naar bijvoorbeeld Facebook of andere advertentieplatformen. De website kan daar dan een advertentie laten zien voor het door jou bekeken product.
De levensduur is per cookie afhankelijk. Sessie-cookies worden na je websitebezoek weer verwijderd; andere cookies kunnen jaren op je apparaat blijven staan. Je kunt cookies wel zelf te allen tijden van je apparaat verwijderen via de instellingen van je browser.
Welke cookies mogen zonder toestemming geplaatst worden?
Niet alle cookies verwerken persoonsgegevens. Daarom zijn er ook cookies die geplaatst mogen worden zonder dat hiervoor specifiek toestemming is verkregen. Het gaat natuurlijk sowieso om de noodzakelijke cookies die ervoor zorgen dat een website goed functioneert. Daarnaast mogen ook statistische cookies worden geplaatst als deze niet te herleiden zijn tot een persoon.
Universal Analytics
Normaal gesproken verzamelen statistische cookies zoals die van Universal Analytics (de oude Google Analytics) je IP-adres. Dat is een persoonsgegeven en die mag je dus niet zomaar verzamelen. Wel kun je instellen dat dit IP-adres geanonimiseerd wordt. Je mag dan wel zonder toestemming deze cookies plaatsten. Je moet er wel voor zorgen dat de overige instellingen ook privacyvriendelijk zijn. Hier vind je een handleiding daarvoor.
Google Analytics 4
Google Analytics 4 verzamelt geen IP adressen meer en slaat deze ook niet op. Ziet GA4 dat een gebruiker zich in de EU bevindt, dan verwijdert GA4 deze voordat ze worden geregistreerd via EU domeinen en servers. Daarnaast biedt GA4 de mogelijkheid om:
- het verzamelen van Google signals uit te zetten per regio
- het verzamelen van gedetailleerde locatie- en apparaatgegevens per regio uit te zetten.
Verder verzamelt Google Analytics 4 alle gegevens van apparaten in de EU via domeinen en op servers in de EU voordat dit wordt doorgestuurd naar de Analytics-servers voor verwerking.
Met de juiste configuratie heb je voor het verzamelen van gegevens via Google Analytics 4 dus geen cookiemelding nodig.
Onderzoek Autoriteit Persoonsgegevens
Overigens voert de Autoriteit Persoonsgegevens momenteel onderzoek uit naar Google Analytics. Zij geven op hun website aan dat het gebruik van Google Analytics binnenkort mogelijk niet meer is toegestaan. Dit is navolging van meerdere Europese landen die het gebruik van Google Analytics al hebben verboden, zoals Oostenrijk, Noorwegen en Frankrijk. De reden hiervan is echter al weer achterhaald, nu er een opvolger is van het Privacy Shield waar veel controverse over was. Meer kun je lezen in dit artikel van Tweakers.net. Ik vermoed dan ook dat er niet veel zal veranderen en we Google Analytics kunnen blijven gebruiken zoals we nu doen.
Wanneer heb ik wel een cookiemelding nodig?
Je hebt dus een cookiemelding nodig als je door middel van cookies toegang krijgt tot persoonsgegevens. Maar hoe weet je of dit het geval is? Dat is vaak lastig te zeggen. Er zijn online checks te vinden, maar ik heb er nog geen gevonden die goed werkt.
Een paar situaties wanneer je zeker een cookiemelding nodig hebt:
- Je maakt gebruik van een live chat
- Je maakt gebruik van Hotjar
- Je hebt een Facebookpixel op je site staan
- Je synchroniseert gegevens van je website of webshop met e-mailprogramma’s als Mailchimp
- Je maakt gebruik van remarketing
Twijfel je? Je kunt een testaccount aanmaken op Cookiebot. Deze toont dan een volledige lijst met cookies die jouw site plaatst. Helaas hebben veel cookies vage namen als __cfduid of _gat. Zo weet je nog niet veel. Laat je site daarom door een expert onder de loep nemen om zeker te weten of je een cookiemelding nodig hebt.
Voorbeeld van een goede cookiemelding
En wat is nu een goede cookiemelding? Deze moet in ieder geval aan de volgende voorwaarden voldoen:
- Hij moet ervoor zorgen dat er geen cookies geplaatst worden voordat de juiste toestemming is verkregen. Veel websites hebben wel een cookiemelding, maar plaatsen al cookies voordat iemand deze geaccepteerd heeft.
- Je moet een duidelijke opt-out mogelijkheid hebben. Je moet meteen aan kunnen geven dat je geen of niet alle cookies wilt laten plaatsen.
- Je mag mensen niet de toegang tot je site ontzeggen als ze niet akkoord gaan met het gebruik van cookies. Oftewel: er moet wel echt sprake zijn van een keuze om cookies wel of niet te accepteren.
- Hij moet duidelijk en informatief zijn. Je moet mensen goed informeren over welke gegevens verzameld worden en hoe deze gebruikt worden. De informatie moet in eenvoudige taal geschreven zijn.
- Mensen moeten te allen tijden hun gekozen voorkeur weer kunnen wijzigen.
Een balk met de melding dat je automatisch akkoord gaat met het plaatsen van cookies als je verder gebruik maakt van de site (zoals je heel vaak ziet), dat mag dus niet.
Het is niet heel duidelijk of je al wel vinkjes aan mag zetten of niet. Het is maar net hoe je de tekst van de wet letterlijk interpreteert. Voor niet-gevoelige persoonsgegevens geldt dat ‘impliciete toestemming’ in combinatie met een ‘bevestigende actie’ nodig is.
Verder klikken op een website met onderstaande cookiemelding, zou dat dan binnen de regels zijn? Of vind je dat iemand de vinkjes echt actief aan moet vinken? De tijd zal leren wat binnen de wet valt en wat (net) niet.
Let op: je mag natuurlijk de cookies sowieso dan pas plaatsen wanneer iemand ook daadwerkelijk verder navigeert.
Goede cookiemelding implementeren
Heeft jouw site nog een AVG-proof cookiemelding nodig? Wij adviseren Cookiebot. Je dient wel een maandelijks abonnement af te sluiten, maar deze is veruit het meest compleet en het prettigst in gebruik. Bovendien werkt Cookiebot ook goed samen met Google Consent Mode. Goedkopre alternatieven zijn Cookiescript en Cookiecode. Hulp nodig bij het installeren en configureren? Bel ons op 013 – 580 0559. Wij helpen je graag!
Is je site dan helemaal AVG-proof?
Een goede cookiemelding is een begin, maar er komt natuurlijk meer bij kijken om je site AVG-proof te maken. Heb je bijvoorbeeld al een goede privacyverklaring? Ik heb speciaal voor eigenaren van webshops een blog geschreven over webshops en de AVG. Ook interessant voor websites die niet aan online verkoop doen.
Disclaimer: ik ben geen jurist. Ik heb bovenstaande informatie verzameld via diverse bronnen op het internet. Wil je zeker zijn dat jouw website aan de AVG voldoet? Schakel dan een jurist in.
Nieuwe website nodig? Doe inspiratie op in ons portfolio >