De cookiewet is al sinds 2012 van kracht, maar door de invoering van de AVG richtlijn is er opnieuw veel aandacht voor cookies en cookiebeleid.
Elke techniek die gebruikt wordt om internetgebruikers te identificeren of volgen valt onder de cookiewet/AVG (denk aan de Facebookpixel).
Hoe zorg je ervoor dat je aan de regels voldoet?
- Stel vast welke soorten cookies je plaatst, en waarom.
- Ga snoeien, want zonder noodzaak data verzamelen is nooit een goed idee.
- Stap zo mogelijk over naar alternatieve technieken en diensten die geen cookies plaatsen.
- Controleer de instellingen van je analytics oplossing en pas ze zo nodig aan.
- Vermeld in een online privacyverklaring/cookiebeleid wat je wel en niet doet.
- Regel de toestemming voor het plaatsen van cookies op de website.
Welke soorten cookies zijn er?
Een goed begrip van de definities is belangrijk omdat je in veel gevallen vooraf toestemming nodig hebt om bepaalde soorten cookies te mogen plaatsen.
Er worden helaas veel verschillende termen voor dezelfde soort cookies door elkaar gebruikt. Maar er zijn maar vier categorieën cookies.
1) Noodzakelijke/functionele/voorkeurs-cookies:
Deze cookies faciliteren basisfuncties, ze helpen bij het bruikbaarder maken van een website. Denk aan paginanavigatie, toegang tot beveiligde gedeelten van een website regelen.
Maar ook zaken als ‘ingelogd blijven’ die de gebruiker kan aanvinken vallen hieronder, of het opslaan van de inhoud van een winkelmandje, of een taalvoorkeur.
Voor deze categorie cookies is géén voorafgaande toestemming noodzakelijk.
Een duidelijke vermelding in een privacyverklaring of cookiebeleid is voldoende; je hoeft geen cookie-verklaring dwingend in beeld te brengen voordat de gebruiker verder kan op je site. Doordat de gebruiker de privacyverklaring beschikbaar heeft op de site, en ‘toch’ gebruik maakt van de site, wordt er vanuit gegaan dat er impliciet toestemming is gegeven om de cookies te plaatsen. Achterliggende reden voor deze soepele manier van toestemming inregelen, is natuurlijk dat de privacy-impact van deze categorie cookies laag is.
2) Analytische/Statistische cookies:
Deze cookies geven inzicht in hoe bezoekers de website gebruiken, door gedragsgegevens te verzamelen en daarover te rapporteren (bijv. klikgedrag, welke pagina is er bezocht etc.). Zo lang je de gegevens anonimiseert kun je ook hier volstaan met een vermelding in een privacy/cookieverklaring ergens op de site, en mag je uitgaan van impliciete toestemming.
De privacy-impact van deze categorie cookies is bij anonimisering relatief laag. Doe je niet aan anonimisering dan moet je wél expliciete toestemming vragen of inregelen.
Expliciete toestemming vragen; elke bezoeker wordt geconfronteerd met de vraag of ze dit soort cookies accepteren, en pas daarna mag je ze plaatsen (pop-up met de vraag om toestemming).
Expliciete toestemming inregelen; je plaatst een uitleg in de footer of header van je website waarin je kort en meteen zichtbaar uitlegt dat het verdere gebruik van de website gelijk gesteld wordt aan het geven van toestemming.
3) Targeting/Marketing/Advertentie/Tracking/Social Media-cookies:
Deze cookies worden gebruikt om bezoekers over verschillende websites te volgen en hun gedrag in kaart te brengen. Het achterliggende doel is gerichte advertenties te kunnen vertonen, en als je dit consequent doet dan kun je zeer gedetailleerde profielen samenstellen van individuen.
Bekende voorbeelden zijn de remarketingcampagnes van Google AdWords, en het volgsysteem van Facebook. Ook koppelingen met andere social media zullen leiden tot het plaatsen van dergelijke cookies. Denk ook aan aanmeldingen voor externe nieuwsbrieven, of als je werkt met referrals of partnersites.
Dit zijn cookies met de grootste privacy impact en die mag je altijd alleen gebruiken nadat je expliciet toestemming hebt gevraagd/ingeregeld.
4) Niet-geclassificeerde cookies
Cookies waarvan onduidelijk is wat ze precies doen, en waarom zou je die plaatsen op het systeem van je bezoekers?
Ik heb alles in orde gebracht, en nu?
Documenteer wat je hebt gedaan, en op basis van welke overwegingen je dat hebt gedaan; op die manier kom je goed beslagen ten ijs wanneer er ooit vragen over komen.
Stel procedures op die een feedback-loop faciliteren; bijvoorbeeld evalueer elk half jaar of er wijzigingen zijn geweest in de toepasselijke wetgeving en controleer of je nog compliant bent.
Let op als je functionaliteiten toevoegt, wat je voortaan altijd mee moet nemen in je overwegingen is de impact die het gaat hebben op de privacy van sitebezoekers.
Let op bij het gebruik van software van derden zoals een forum, prijsvraag of enquête. Mogelijk wordt daarmee privacy gevoelige data van jouw bezoekers geoogst.
Nuttige links
www.cookiebot.com classificeert je cookies automatisch
Handleiding voor het anonimiseren van Google Analytics resultaten www.autoriteitpersoonsgegevens.nl
Google’s privacyverklaring; www.google.nl