Moet u een cookiemelding geven op uw website of niet? U leest er de meest wilde verhalen over. Maar hoe zit het nu echt en wat moet u er verder mee doen?
De wet is al snel overtreden; zoiets simpels als een YouTube fimpje embedden op uw website kan ervoor zorgen dat er bij uw bezoekers een tracking cookie wordt geplaatst (leg ik hieronder uit). Tenzij u daarvoor toestemming heeft gevraagd en gekregen van uw bezoekers bent u strikt genomen in overtreding.
En wist u al dat er behalve de AVG een nieuwe wet in de maak is die het gebruik van cookies gaat reguleren? De ePrivacy Wetgeving wordt mogelijk in 2019 al van kracht.
Maar laat ik bij het begin beginnen…
Een stukje theorie
Om deze materie goed te begrijpen begin ik met een stuk theorie en historie. Bij voorbaat excuus voor de lange uitleg maar het is in de context van dit artikel nodig. Daarna leg ik uit hoe u uw website kunt aanpassen zodat u goed zit de komende jaren. Tot slot laat ik u zien hoe u de cookie informatie nog kunt verwerken in uw verwerkingsregister.
Cookie meldingen
Voordat we de cookies in duiken moeten we eerst definiëren wat een cookie melding is. Een cookie melding is een duidelijke melding op uw website over het gebuik van cookies hierop die een bezoeker te zien krijgt zodra deze op uw website terecht komt, en nog vóór dat die cookies geplaatst worden op het apparaat van de bezoeker.
Dat is een hele lange zin maar het komt erop neer dat u uw website bezoekers duidelijk en vooraf informeert over het gebruik van cookies op uw website. De bezoeker moet vervolgens de mogelijkheid hebben om daar al dan niet mee akkoord te gaan.
Verschillende soorten cookies
Een cookie is simpelweg een klein tekstbestandje dat bij bezoek van een website op de computer van de bezoeker wordt opgeslagen. Een website kan zo bijvoorbeeld bijhouden wat u doet en wat u op formulieren ingevuld heeft en, afhankelijk van het soort cookie, daar eventueel ook weer (historische) informatie uit halen.
Er zijn echter verschillende soorten cookies. Dat wil zeggen, alle cookies zijn in essentie nog steeds gewoon een tekstbestand, maar het doel waarvoor de cookie gebruikt wordt is anders en de manier waarop een website ermee omgaat is verschillend.
Nu zouden we al zo 8 verschillende soorten cookies op kunnen noemen maar we houden het simpel en begrijpelijk. In het kader van de AVG hoeven we alleen onderscheid te maken in 4 soorten (groepen van) cookies.
Functionele cookies
Dit zijn cookies bedoeld om een website goed te kunnen laten werken. Een website heeft geen geheugen. Als u door de pagina’s van een website navigeert dan weet de website niet waar u allemaal geweest bent. Dat wordt vaak opgelost door cookies te gebruiken. Dit zijn dan sessiecookies en permanente cookies.
Sessiecookies
Dit zijn tijdelijke cookies want ze bestaan alleen tijdens uw browsersessie. Een browser is een programma waarmee u webpagina’s op het internet bekijkt, bijvoorbeeld. Chrome, Firefox, Edge, Safari of Internet Explorer. Zodra u uw browser afsluit worden dit soort cookies weer verwijderd.
Deze cookies slaan geen persoonsgegevens op, ze dienen om uw ervaring op de website te veraangenamen. Zo kunnen ze bijvoorbeeld filterinstellingen (even) onthouden of gegevens die u op een formulier invult.
Permanente cookies
Deze cookies worden niet na het afsluiten van uw browser verwijderd. Met dit soort cookies kan een website u ‘herkennen’ als u de website opnieuw bezoekt. Dit maakt het bijvoorbeeld mogelijk dat de website uw voorkeuren onthoudt.
Zo kan ik u alvast verklappen dat wij op deze website een permanente cookie gebruiken (type: cookie control cookie maar dat mag u verder vergeten) om te kunnen onthouden of u al dan niet goed vindt dat we Google Analytics gebruiken om uw gebruik van onze website in kaart te brengen.
Statistieken cookies
Deze cookies worden gebruikt om statistieken bij te houden. Denk hierbij aan bijvoorbeeld Google Analytics. Of u hier melding van moet geven hangt af van hoe de verzameling gebeurd. Als deze ‘geanonimiseerd’ is hoeft u geen cookie melding te geven van de AVG, anders wel.
In het praktische (groene) gedeelte ga ik daar verder op in.
Tracking cookies
Dit worden in het Nederlands meestal advertentie- en marketingcookies genoemd. Deze ‘cookies voor de lekkere track’ zijn aan banden gelegd. Zoals de naam al vermoed zijn dit het soort cookies waarmee u te volgen bent over meerdere websites en zo kan uw surfgedrag door de tijd heen in kaart gebracht worden.
U komt het gebruik van dit soort cookies vast wel eens tegen; u kijkt naar een paar schoenen op de website van Wehkamp en vervolgens krijgt u schoenenaanbiedingen te zien als u een blog of nieuwswebsite bezoekt.
Dit zijn het soort cookies waar de regels het meest strikt zijn. Als u dit soort cookies gebruikt dan hoort u daar een melding van te geven op uw website, met een opt-out optie, nog vóórdat de cookies geplaatst worden!
Zo komt u wel eens websites tegen met een zogenaamde ‘cookie wall’. Tenzij u akkoord gaat met het feit dat zij tracking cookies gebruiken kunt u de website niet bezoeken.
Overigens is in de nieuwe (aankomende) ePrivacy wetgeving hier het nodige over te doen want die cookie wall mag dan niet meer, maar daarover later in dit artikel meer.
Ik meld u alvast dat u voor AVG compliance ook een zogenaamde opt-out mogelijkheid moet bieden in het geval dat er persoonsgegevens worden verzameld door tracking cookies. Dat kan bijvoorbeeld een IP adres zijn of zelfs een IP adres waarvan het laatste stukje is gemaskeerd.
Social Media cookies
Dit zijn cookies die gebruikt worden voor het reageren op artikelen via social media (zoals Facebook, LinkedIn, Twitter etc.) of het delen van pagina’s op social media, of het embedden van social media zoals YouTube video’s.
De cookies komen rechtstreeks van het social media kanaal zelf. Om die reden heeft u dan ook geen invloed op het plaatsen ervan.
In het kader van de AVG moet u onderscheid maken tussen ‘inactieve’ an ‘actieve’ cookie plaatsing. Inactief is de situatie dat er pas een cookie geplaatst wordt als u een actie onderneemt, zoals op een knop klikken om een artikel te delen op social media. De ‘share’ buttons op deze website zijn daar een voorbeeld van. Dit soort cookies vallen namelijk onder een uitzondering waardoor u hiervan geen cookiemelding hoeft te geven.
De actieve soort zijn de cookies die bijvoorbeeld via advertenties op video’s binnen kunnen komen.
U zult de privacyverklaringen van deze kanalen moeten raadplegen om te zien hoe zij omgaan (verwerken) met de persoonsgegevens die zij verzamelen.Indien nodig zult u daar dan ook melding van moeten maken.
De wetgeving
Door de jaren heen is er flink aan de wet(ten) omtrent cookies gesleuteld. Nu dat de Algemene Verordening Gegevensbescherming gehandhaafd gaat worden per 25 mei 2018 moet u wellicht nog het nodige aanpassen en invullen.
De Wpb en de Cookiewet
De oude Wbp (Wet Bescherming Persoonsgegevens) voorzag niet goed in het gebruik van cookies. Om die reden is ‘de cookiewet’ opgesteld en van kracht geworden in juni 2012. Cookiewet staat tussen leestekens omdat de wet zelf feitelijk niet bestaat. Het is een deel van de Telecommunicatiewet, om precies te zijn gaat het dan om artikel 11.7A.
Dit artikel bepaalt dat toestemming nodig is van de eindgebruiker voordat gegevens mogen worden uitgelezen of geplaatst bij diens randapparatuur (zoals computers, laptops, tablet of telefoons).
Merk op dat de wet hier breder is dan alleen cookies, het gaat ook om browser add-ons, browser fingerprinting, javascripts en spyware. In dit artikel kijken we naar de cookies.
Het doel van dit wetsartikel was om het traceren (volgen) van gebruikers aan banden te leggen. Echter, deze wet was zo streng dat het overgrote deel van de websites in overtreding waren en daarom was het ook niet goed te handhaven. Websites die wel hun best deden om aan deze wet te voldoen hadden als nadeel op andere websites dat bezoeken minder prettig waren.
In februari 2015 is daarom een aanpassing gekomen op de telecommunicatiewet; het was niet meer verplicht bezoekers akkoord te laten gaan met het plaatsen van cookies als deze gebruikt werden voor statistiek systemen. Denk hierbij bijvoorbeeld aan Google Analytics.
Alleen voor cookies die gebruikt worden om mensen te kunnen volgen (de zogenaamde tracking cookies; dat zijn de commerciële cookies zeg maar) is het nog verplicht om goedkeuring te vragen.
De AVG en cookies
Nu per 25 mei 2018 gaat de AVG gehandhaafd worden, de wet zelf is al van kracht sinds mei 2016. De AVG stelt wat aanvullende eisen voor het gebruik van tracking cookies, of eigenlijk beter gezegd, aan de verwerkingen die plaatsvinden als gevolg van het uitlezen van dit type cookies
Binnen de AVG geldt een ‘omgekeerde bewijslast’ als het gaat over (de wettelijke grondslag) toestemming. Simpel gezegd komt dat erop neer dat men expliciete en ondubbelzinnige toestemming moet hebben van een bezoeker voordat je een tracking cookie geplaatst mag worden.
Overweging 32 van de AVG zegt:
Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt.
Ook een ‘cookie banner’ met daarop de melding dat als men doorgaat met het bezoek aan de website de tracking cookies impliciet worden geaccepteerd is dus niet meer toegestaan!
Overigens verzamelen lang niet alle tracking cookies (waarschijnlijk de meeste) persoonsgegevens. Toch is de wetgever van mening dat met dergelijke tracking cookies de privacy van de internetter te zeer in het gedrang komt en daarom is deze wetgeving toch van toepassing op alle tracking cookies.
De ePrivacy wetgeving
Alsof het nog niet genoeg is wordt ook nog eens, mogelijk in 2019 al, de ePrivacy wetgeving ingevoerd. Het doel van deze wet is om de veiligheid van digitale diensten te verhogen. Hoewel deze wet over meer dan alleen cookies gaat beperk ik me in dit artikel alleen tot de wijzigen ten opzichte van cookies.
Zo wil de Europese commissie bijvoorbeeld dat internetgebruikers in hun browserinstellingen kunnen bepalen of zij (standaard voor iedere website) privacygevoelige tracking cookies accepteren of weigeren. De standaard instelling moet zijn dat tracking cookies niet worden geaccepteerd (privacy by default). Dit in tegenstelling tot het al dan niet accepteren van deze cookies per website.
Als dit doorgaat dan zullen veel websites die nu advertentie-inkomsten genieten door het gebruik van tracking cookies (en dat zijn er nog al wat) nadelige gevolgen gaan bemerken.
Er zal online minder verkocht worden en als gevolg daarvan zullen waarschijnlijk meer websites een betaalde dienst worden.
Bovendien wil deze wet afdwingen dat geen enkele gebruiker geweigerd mag worden gebruik te maken van informatie, maatschappelijke diensten of functionaliteit (information society services or functions).
Kortom; alle websites moeten toegankelijk en bruikbaar zijn onafhankelijk van het feit of bezoekers nu wel of niet tracking cookies accepteren. Anders gezegd; toegang tot een website mag niet afhankelijk zijn van de toestemming voor tracking cookies.
Een mogelijke uitzonder hierop (wellicht een discussiepunt) zou kunnen zijn de betaalde diensten. Deze vallen namelijk niet onder bovenstaande beschrijving.
Die cookie wall mag dus niet meer en zomaar tracking cookies gebruiken is ook geen optie, dat mag standaard namelijk niet (privacy by default).
Online marketeers kijken huiveringwekkend naar deze ontwikkeling, zij moeten straks de bezoeker gaan verleiden om toch maar tracking cookies te accepteren.
De praktische oplossing
Er zijn best wel wat regels die het lastig maken om alles te overzien. Bovendoen moet u overzicht moet hebben van alle cookies die via uw website worden geplaatst, direct en indirect, voordat u kunt bepalen of/welke cookie melding u moet geven en wat u daarover in uw privacyverklaring moet zetten.
Voor wat betreft de huidige (AVG) wetgeving is het niet moeilijk. Welke cookies u ook gebruikt, of juist niet, u moet een uitleg en verklaring toevoegen aan de Privacyverklaring op uw website. U legt in deze verklaring uit welke cookies u gebruikt en met welk doel, en welke cookies u niet gebruikt.
Voor een voorbeeld hiervan zie de Privacyverklaring op deze website.
Functionele cookies mag u gewoon gebruiken zonder een cookiemelding (zoals een banner of popup bericht) te hoeven doen.
Tracking cookies mag u niet gebruiken zonder melding vooraf en mensen moeten ze kunnen accepteren, of niet, nog voordat ze geplaatst zouden worden.
Nu mag u nog een cookie wall (cookie muur) gebruiken als u dat wilt. Als de bezoeker niet de tracking cookies wil accepteren dan is de website gewoon niet toegankelijk of mist een deel van haar functionaliteit. Hou er echter rekening mee dat u géén cookie muur meer mag gebruiken (zoals het er nu naar uitziet) als de ePrivacy wetgeving van kracht wordt
Een vriendelijker oplossing en meer toekomstgerichte oplossing is om een informatieve cookie popup of cookie banner te plaatsen met daarin de optie om tracking cookies te accepteren. Deze optie dient standaard uit te staan.
De bezoeker kan idealiter verder gaan naar de website zonder functionaliteitsverlies, ongeacht de keuze om wel of niet cookies te accepteren.. Kiest u er voor dat de bezoeker wel door kan gaan maar dan met wellicht wat minder functionaliteit als tracking cookies niet geaccepteerd worden, dan moet u er rekening mee houden dat u dit mogelijk weer moet wijzigen als de ePrivacy wetgeving van kracht wordt.
Aan Social Media cookies en meldingen daarvan hoeft u niets te doen. Dat blijft zoals het is. Merk op dat als u bijvoorbeeld een Youtube video embed (YouTube is social media) u mogelijk toch een tracking cookie laat plaatsen op de hardware van uw bezoekers. Daarvoor gelden uiteraard dan de regels voor tracking cookies.
Tot slot de Statistiek cookies. Deze heb ik expres tot het laatste bewaard omdat daar met het oog op de AVG het nodige aangepast moet worden.
Kort samengevat komt het erop neer dat wanneer u statistieken ‘anonimiseert’ de bijbehorende cookies gewoon mag gebruiken zonder dat u daarvan een cookiemelding hoeft te maken.
Andersom geldt het ook; als u statistieken niet anonimiseert dan moet u wel een cookiemelding doen.
Google Analytics – een addertje onder het gras
Veel websites maken gebruik van Google Analytics. Niet verwonderlijk want het is gratis, gemakkelijk te implementeren en geeft veel inzicht in het gebruik van uw website. Maar….mogelijk staat uw Google Analytics account zodanig ingesteld dat deze niet AVG compliant is. U moet dan een cookiemelding geven met daarbij ook de optie om te voorkomen (opt-out) dat er van de bezoeker statistiekgegevens worden verzameld.
Ook is de kans groot dat u de statistiek gegevens op uw website niet anonimiseert (technische uitleg hier: https://support.google.com/analytics/answer/2763052?hl=nl) voordat ze aan Google worden doorgegeven en ook dan zult u een cookiemelding moeten geven met daarbij ook weer de optie om te voorkomen (opt-out) dat er van de bezoeker statistiekgegevens worden verzameld.
Overigens moet u altijd in uw privacyverklaring bovenstaande opt-out voor statistiek gegevensverzameling geven. Hoe dat moet leg ik verderop in dit artikel uit.
Het is gelukkig niet moeilijk Google Analytics toch zodanig te gebruiken dat deze AVG compliant is. Dit voorkomt dat u een cookiemelding op uw website moet geven, alleen de toelichting en opt-out in de privacyverklaring volstaat dan.
Wat u precies moet doen heeft de Autoriteit Persoonsgegevens keurig uitgewerkt en beschreven in dit document (laatste update 15 augustus 2018). Ten tijde van dit schrijven is de laatste versie van dit document van maart 2018.
Het document beschrijft de volgende stappen.
- Sluit een verwerkersovereenkomst af met Google.
- Anonimiseer IP adres bezoekers.
- Zet gegevens deln met Google diensten uit.
- Gegevens delen met Google voor advertentiedoeleinden uitzetten.
- Vergewis u ervan dat de functie voor User ID’s uit staat.
- Informeer uw bezoekers over Google Analytics en bied een opt-out mogelijkheid.
Om dit artikel niet te lang te maken laat ik achterwege hoe wij dat technisch opgelost hebben op bijvoorbeeld deze website. Als u echter wil weten hoe we bovenstaande 6 punten eenvoudig gerealiseerd hebben in deze WordPress website laat het dan weten via een commentaar onder dit artikel. Bij genoeg verzoeken zal ik dan onze oplossing in deze blog tonen en toelichten.
In uw privacyverklaring moet u opnemen dat u:
1) Google Analytics gebruikt;
2) een verwerkingsovereenkomst heeft met Google;
3) het laatste octet van het IP adres heeft gemaskeerd;
4) gegevensdeling heeft uitgezet;
5) functie voor User ID’s uitschakelen indien deze aan staat;
6) geen gebruik maakt van andere Google diensten in combinatie met de Google Analytics cookies.
Afgezien van het bovenstaande moet u, in de privacyverklaring, een optie bieden om Analytics cookies te weigeren. Zie ook dit Google artikel: https://developers.google.com/analytics/devguides/collection/analyticsjs/user-opt-out.
Merk op dat de Chrome extensie die Google aanbiedt op bovenstaande pagina geen goede oplossing is voor uw bezoekers omdat niet iedere bezoeker Chrome gebruikt.
De registratie in het verwerkingsregister
Nu alles op uw website op orde is rest er nog een klus voor om aan de AVG te voldoen; u moet het ook nog vastleggen in uw verwerkingsregister. In ons online verwerkingsregister is dat eenvoudig te doen.
Merk wel meteen op dat hoe uw website met cookies om gaat niet altijd een ‘verwerking’ is strikt genomen.Alleen als u cookies plaatst waarvoor u toestemming nodig hebt (tracking cookies) moet u een doel en rechtsgrondslag opgeven. In dat geval is het feitelijk wel een verwerking geworden, zelfs als u de persoonsgegevens niet zelf in handen krijgt zoals bijvoorbeeld bij statistiekenverzameling.
Voor gevallen dat cookies geen persoonsgegevens doorsturen zou je de registratie rondom deze cookies ook als een beleidszaak kunnen zien.
Toch gaan we hier het cookiebeleid vastleggen als een verwerking omdat dat makkelijk werkt maar weet dat, in dit geval, het ook op een andere plaats in het register vastgelegd kan worden. De AVG laat u daar verder helemaal vrij in.
Eenmaal ingelogd in het verwerkingsregister maken we een verwerking aan. Ik noem hem hier ‘Cookiegebruik op website avgpraktisch.nl’.
Omdat ik hier geen tracking cookies gebruik en de statistiekgegevens anonimiseer hoef ik op deze website geen cookiemelding te geven (en uiteraard ook geen toestemming te vragen). Ik vul daarom geen rechtsgrondslag in, die is niet nodig.
De overige gegevens op het tabblad Verwerking van de Verwerkingsactiviteit spreken voor zich. Het ziet er dan zo uit:
De overige tabbladen laat ik leeg op het tabblad Extra info na. Hier noteer ik de gegevens die nodig zijn voor de onderbouwing voor het niet hoeven tonen van een cookie melding.
Voor wat betreft het anonimiseren van statistiekdata schrijft de Autoriteit Persoonsgegevens het volgende:
Let op: bewaar een schermafdruk met datum/tijd van het moment dat u deze regel heeft toegevoegd aan de broncode van uw website, zodat u desgevraagd kunt aantonen wanneer u deze privacyvriendelijke maatregel heeft toegepast.
Daarom voeg ik de volgende screenshot toe aan het verwerkingsregister.
Het tabblad Extra info ziet er dan uiteindelijk als volgt uit.
Hiermee is de registratie in het verwerkingsregister voltooid.
Andere overwegingen
Het is nog niet helemaal duidelijk hoe de ePrivacy wetgeving er uit gaat zien. Mogelijk heeft dit grote gevolgen voor het gebruik van tracking cookies. Voor nu is het in ieder geval vereist om minimaal aan de AVG te voldoen maar hou in het achterhoofd dat u in geval van tracking cookies wellicht nog het nodige aan zal moeten passen in de toekomst.
Vindt u dit een informatief artikel?
Tip uw vrienden en relaties!