AVG en jouw website: hoe zit het nou eigenlijk met die cookies?

Foto van Merel

Geschreven door Merel Janssen

In het kader van onze reeks artikelen over de invloed van de Algemene Verordening Gegevensbescherming (AVG) op het beheer van websites, in deze blogpost: cookies en de AVG. Wat zijn cookies ook alweer? Welke soorten zijn er? En wat zegt de AVG nu eigenlijk echt over het plaatsen van cookies?

Heb je specifieke vragen over jouw website? Neem dan contact met ons op. We denken graag met je mee!

Cookies: voor het onderscheid tussen gebruikers

Cookies zorgen ervoor dat je, als bezoeker van een website, te onderscheiden bent van een andere bezoeker door bepaalde instellingen op te slaan in de vorm van kleine tekstbestandjes. Deze bestandjes worden op je harde schijf weggeschreven op het moment dat je een website bezoekt of akkoord gaat met cookies. Dit zorgt er bijvoorbeeld voor dat je niet elke keer opnieuw hoeft in te loggen op een bepaalde website. Maar dit kunnen ook instellingen zijn waar je zelf niets aan hebt, maar de eigenaar van de website wel, bijvoorbeeld voor marketingdoeleinden.

Soorten cookies

Cookies zijn grofweg in te delen in drie categorieën.

  1. Functionele cookies gebruikt bijna elke website. Deze cookies zijn nodig voor het goed laten functioneren van je website. Ze kunnen ook het gebruikersgemak van je website verhogen door bijvoorbeeld de inhoud van een winkelwagentje in een webshop op te slaan. Ze worden zelfs ingezet om te onthouden dat je de cookieinstellingen al een keer hebt geaccepteerd. Een cookie voor een cookie dus. Functionele cookies hebben nauwelijks effect op de privacy van de bezoeker van een website.
  2. Met analytische cookies kan het gedrag van de bezoeker van je website worden geanalyseerd. Hiervoor worden oplossingen gebruikt zoals Google Analytics en Matomo. Op basis van deze analyses kunnen websites bijvoorbeeld worden geoptimaliseerd. Het effect van analytics op de privacy van een bezoeker is afhankelijk van wat je wil analyseren en dus wilt opslaan.
  3. Dan zijn er nog tracking cookies. Deze cookies kunnen het gedrag van de bezoeker van je websites het meest specifiek opslaan en hebben daarmee vanzelfsprekend het meeste effect op de privacy van de bezoeker. Op basis van het surfgedrag dat wordt opgeslagen kunnen bijvoorbeeld persoonlijke aanbiedingen gedaan worden. Sommige mensen ervaren dit als erg prettig: als je dan toch een aanbieding ziet, dan maar een die relevant is. Anderen vinden het minder fijn, omdat het zo wel erg duidelijk wordt dat je ‘gevolgd’ wordt op het internet.

De gevolgen van de AVG voor het plaatsen van cookies

Zoals in onze vorige blogpost beschreven, is er veel op internet te vinden dat net niet helemaal lijkt te kloppen. Zo zijn we tijdens ons onderzoek naar de AVG en het plaatsen van cookies veel blogposts tegengekomen die stellen dat het in de AVG is vastgelegd op welke manier elektronische communicatie geregeld moet worden. Dit is echter niet het geval.

In het kort: in de AVG staat op welke wijze er omgegaan moet worden met het verwerken van persoonsgegevens. Hierbij is alles wat je doet met informatie die kan leiden tot de identificatie van een natuurlijk persoon van belang. Aangezien in de AVG (punt 30, pagina L 119/6) is gespecificeerd dat identificatiecookies ertoe kunnen leiden dat er een profiel wordt opgesteld van personen, valt het plaatsen van (bepaalde) cookies dus ook onder het ‘verwerken’ van persoonsgegevens en dus onder de AVG. Op basis hiervan concluderen wij dat de basisprincipes die in de AVG staan dus ook van toepassing zijn op het plaatsen van cookies.

De wet die dieper in zal gaan op het gebruik van elektronische communicatiemiddelen en online privacy is echter de ePrivacy Verordening. Het is nog niet helder wanneer deze wet ingaat. Uit het wetsvoorstel voor deze verordening blijkt dat er met name wordt teruggevallen op de basisprincipes uit de AVG, waarbij vooral Artikel 7 (toestemming voor verwerking) een belangrijk uitgangspunt vormt. Voor meer informatie over het verkrijgen van toestemming verwijzen we je graag naar ons vorige artikel waarin wij een aantal tips met je delen over het ‘AVG-ready’ maken van jouw website.

Zoals zowel impliciet uit de wettekst van de AVG als expliciet uit het wetsvoorstel van de ePrivacy Verordening blijkt is bij het plaatsen van cookies toestemming een belangrijke voorwaarde. Ons advies met betrekking tot cookies is daarom gebaseerd op zowel de AVG als het ePrivacy wetsvoorstel.

Cookies en jouw website: ons advies

Als je een cookiebanner voorbij ziet komen op websites, dan klik je bijna automatisch op ‘accepteren’. Gewoon omdat je wilt dat de website goed werkt of omdat je soms niet de keuze wordt gegeven om het niet te accepteren. Dat laatste gebeurt vaak door middel van een cookiewall: een schermvullende mededeling dat je cookies moet accepteren om toegang tot de website te krijgen.

De AVG en de ePrivacy Verordening hebben het belang van de gebruikers hoog in het vaandel. Het wetsvoorstel voor de ePrivacy Verordening stelt onder andere het volgende: “Een basistoegang tot breedbandinternet en spraakcommunicatiediensten moeten worden beschouwd als essentiële diensten waarmee particulieren kunnen communiceren en deelnemen aan de voordelen van de digitale economie. De toestemming voor de verwerking van gegevens van internet- of spraakcommunicatiegebruik is niet geldig indien de betrokkene geen echte vrije keuze heeft of niet in staat is zijn toestemming te weigeren of in te trekken zonder nadelige gevolgen.”

In het kader van de transparantie, een rechtmatige grondslag tot verwerking van gegevens (toestemming) en de genoemde basistoegang tot de digitale economie raden wij het af een cookiewall te plaatsen waarbij bezoekers als enige optie ‘accepteren’ wordt gegeven. Heb je dit nu op je website staan, dan adviseren wij je om dit om te bouwen naar een cookiebanner waarmee je je bezoekers de keuze geeft cookies wel of niet te accepteren.

Deze cookiebanner kan je dan ook nog eens inzetten om een onderscheid te maken tussen functionele, analytische en tracking (marketing / social / voorkeuren) cookies. Hierbij is het belangrijk te weten dat gebaseerd op de AVG en het ePrivacy wetsvoorstel voor functionele cookies geen toestemming gevraagd hoeft te worden. Voor analytische cookies wel op het moment dat de gegevens gedeeld worden met een derde en/of niet geanonimiseerd zijn. Dit is bijvoorbeeld al het geval als bij het gebruiken van Google Analytics het IP-adres van de gebruiker wordt meegezonden. Voor tracking cookies moet áltijd toestemming gevraagd worden.

In het kort: do’s en dont’s

Om AVG compliant te zijn en ook direct zoveel mogelijk voorbereid te zijn op de komende ePrivacy Verordening raden wij aan om:

  • Alleen die cookies te gebruiken die je ook daadwerkelijk nodig hebt voor het goed laten functioneren van je website of voor je eigen bedrijfsdoeleinden.
  • Geen cookiewall te plaatsen.
  • Geen cookies te plaatsen waar toestemming voor nodig is vóórdat de bezoeker van je website toestemming heeft kunnen geven.
  • De keuze per soort cookie voor aan-/uitzetten aan te bieden door middel van een cookiebanner. Uitgaande van de definitie waarbij toestemming een ondubbelzinnige actieve handeling is waarbij de verwerking van persoonsgegevens worden aanvaardt, zien wij een ‘opt-in’ hierbij als standaard. Wil je een cookiebanner op je website? Dan helpen we je graag met de technische implementatie.
  • Het eenvoudig te maken voor de bezoeker van je website om cookies op een later moment nog in/uit te schakelen.
  • In het kader van aantoonbare toestemming (AVG, pagina L 119/8, punt 42): ervoor te zorgen dat je aan kunt tonen dat specifieke bezoekers toestemming hebben gegeven voor bepaalde cookies.
  • In het kader van de transparantie en het recht op informatie: in je privacyverklaring, disclaimer of cookie-beleid te beschrijven welke cookies er geplaatst worden op je website en met welke reden (zowel functionele, analytische als tracking cookies). Zorg er dus voor dat je de bezoekers van je website informeert over het gebruik van cookies.

Met de tool Cookiebot kan je veel van bovenstaande opvangen. Per 19 mei 2018 zijn wij reseller van Cookiebot. Dit betekent dat je eenvoudig via ons (zonder extra kosten) Cookiebot aan kunt schaffen. Wil je hier meer over weten, neem dan contact met ons op via support@level-level.com (zet in het onderwerp van je mail ‘Cookiebot’).

Uitdagingen genoeg!

Naast bovenstaande tips raden wij aan na te gaan op welke manier het ‘niet-accepteren’ van cookies effect heeft op jouw website. Stel dat iemand de tracking cookies niet accepteert, werkt jouw website dan nog wel naar wens of worden er bijvoorbeeld video’s geblokkeerd? Tijdens het ontwikkelen van websites proberen wij hier al zo veel mogelijk rekening mee te houden door privacy by design en privacy by default als uitgangspunt te nemen. Hierover in een aparte blogpost meer. Daarnaast houden we natuurlijk in de gaten wat de gevolgen van de ePrivacy Verordening zijn als deze daadwerkelijk wordt ingevoerd en brengen we je hiervan graag op de hoogte. Houd onze website en onze nieuwsbrief daarom goed in de gaten!

Disclaimer: Wij adviseren en assisteren je graag als het gaat om het toepassen van de Algemene Verordening Gegevensbescherming (AVG) op je website en/of je webshop. Wij zijn geen juristen en ons advies is gebaseerd op onze eigen interpretatie van de AVG. Voor een gedegen juridisch advies raden wij je aan contact op te nemen met een gespecialiseerd jurist.

Vertel ons meer over je plannen en ambities!

We zijn klaar om jullie online uitdaging op te pakken.