naar Kennisbank

Hoe is het met... de cookiewet?

Blog
22 juni 2018

De afgelopen maanden is er veel aandacht geweest voor de Algemene Verordening Gegegensbescherming (AVG), een Europese privacywetgeving met algemene regels voor het gebruik van persoonsgegevens. Omdat de AVG niet ingaat op de bescherming van persoonsgegevens in elektronische communicatie, leek het er in eerste instantie op dat de cookiewetgeving hier buiten beschouwing werd gelaten. Nieuwe regels hieromtrent worden namelijk vastgelegd in de naderende ePrivacy Verordening, waar nog volop over onderhandeld wordt. Tot die tijd is de Telecommunicatiewet, waar de Cookiewet onderdeel van is, nog van kracht. De verwachting is dat de ePrivacy Verordening pas ergens in 2019 van kracht wordt. Maar toch moeten we met de invoering van de AVG al wel wat met cookies. Waarom?

De Telecommunicatiewet vereist toestemming voor het plaatsen van cookies, de vormeisen van die toestemming zijn gekoppeld aan algemene privacywetgeving. Dat was de Wbp, dit is nu de AVG. Onder de AVG zijn de eisen waaraan toestemming moet voldoen strenger en dit heeft wel degelijk impact op tekst en functionaliteit.

Wat zijn cookies?

Cookies zijn kleine tekstbestanden die door een website worden opgeslagen op de harde schijf van een bezoeker. De informatie uit deze tekstbestanden kan bij een later bezoek weer worden herkend door deze website. En soms kunnen ook andere websites de cookie lezen en er informatie in opslaan. Bijna iedere website gebruikt cookies. Bijvoorbeeld om te onthouden in welke taal je de website wilt lezen of welke producten er in een winkelwagentje zijn gestopt. Ook statistiekpakketten zoals Google Analytics gebruiken cookies. En zo zijn er nog veel meer toepassingen die een cookie 'kunnen zetten'.

Wat kun je doen?

Als eigenaar van een of meerdere websites ben je zelf verantwoordelijk voor de cookies op je website(s). Je voldoet pas aan de wet als je aan de informatieplicht voldoet én toestemming vraagt voor het gebruik van cookies (indien van toepassing). Als internetbureau heeft Frontis de plicht om klanten te informeren en ook kunnen we ondersteuning bieden bij een aantal stappen die je moet doorlopen als je het ‘voor elkaar’ wilt hebben:

1. Cookies checken

De belangrijkste vraag, waarop je antwoord moet krijgen is: Welke cookies plaatst je website? En in welke categorie vallen ze? Gebruik je bijvoorbeeld alleen Google Analytics cookies om statistieken te meten? Dan heb je, na het nemen van de volgende maatregelen, niet eens een cookiemelding nodig:

  • Accepteer het ‘Amendement gegevensverwerking’ in het Analytics account
  • Blokkeer het meezenden van volledige IP-adressen
  • Zet het delen van gegevens met Google uit
  • Informeer je bezoekers in een cookieverklaring of privacyverklaring over het gebruik van Google Analytics, bijvoorbeeld via het Privacy Statement. Hiermee voldoe je aan de informatieplicht.

Wij kunnen je bij deze maatregelen helpen. En let op: het zijn niet alleen de cookies van Google die vragen om aandacht, denk aan andere advertentienetwerken of sociale platformen zoals Facebook, Yahoo, Bing, LinkedIn, YouTube, maar ook A/B testing tools of feedback tools plaatsen cookies. We kunnen de cookies die jouw website plaatst voor je in kaart brengen en zullen hierbij ook aangeven welke vervolgstappen voor jou van toepassing zijn.

2. Bezoekers informeren

Om je bezoekers te informeren moet je een tekst over cookiegebruik op jouw website opnemen in het privacy statement (die al een hele tijd verplicht is), of een ‘Cookieverklaring’ waar je een aparte pagina voor inricht. In beide gevallen moet je vermelden: welke (soort) cookies er worden geplaatst (welke technieken), wie deze cookies plaatst, wie de cookies kan lezen, wie beschikking heeft over en verantwoordelijk is voor de gegevens die worden verkregen. Ook moet je aangeven voor welk(e) doeleinde(n) de met cookies vergaarde informatie wordt gebruikt.

3. Toestemming vragen 

Gebruikt jouw website cookies waar toestemming voor moet worden gevraagd, bijvoorbeeld omdat je retargeting campagnes inzet? Dan ontkom je niet aan de cookiemelding waarin je toestemming vraagt om deze cookies te mogen zetten. Voor 25 mei 2018 mocht je ervan uitgaan dat wanneer een bezoeker verder navigeerde binnen jouw website, hij/zij akkoord was met de cookies. Na invoering van de AVG is dit niet meer 'specifiek' genoeg en moet je in de cookiemelding duidelijk omschrijven:

  • Dat je cookies plaatst
  • Van wie deze cookies afkomstig zijn (bijv. Frontis en derde partijen)
  • Waarom deze cookies nodig zijn
  • Wat er gebeurt als men op 'Akkoord' klikt
  • Waar meer informatie staat over privacy en cookies (met een link daarnaartoe)

Een voorbeeld van een 'cookiemelding tekst':

“Op onze website wordt gebruik gemaakt van cookies die door zowel Frontis als derde partijen worden geplaatst. Dit doen wij om de functionaliteiten op deze website mogelijk te maken en om inzicht te verkrijgen in het bezoekersgedrag. Door hieronder op ‘akkoord’ te klikken geef je toestemming voor het plaatsen van alle cookies voor de doeleinden zoals beschreven in onze privacy- en cookieverklaring.”

Qua functionaliteit betekent dit dat de cookies (met uitzondering van functionele cookies en Google Analytics zoals bij stap 1 ingesteld) pas geplaatst mogen worden nadat men op 'Akkoord' heeft geklikt. Ook als men niet klikt, maar wel verder surft, mogen de cookies niet geplaatst worden. We zien ook websites waar je per cookiecategorie toestemming kunt geven, zoals op Frankwatching.nl. Dit is echter niet verplicht. 

Belangrijk is ook het feit dat je tot vijf jaar terug moet kunnen aantonen dat je een waterdicht proces hebt toegepast om de toestemming te krijgen.

Frontis volgt bovenstaand advies van ICT Recht, die zelf ook een reeks blogs heeft geschreven over de AVG en de Cookiewet. Lees hier de laatste update over de Cookiewet in relatie tot de AVG, die ook geraadpleegd is voor dit artikel. 

Een artikel door:
Monique
Communicatie- en contentspecialist