Cookies en privacy: zijn die twee te combineren?

Een recept voor het gebruik van cookies

De Autoriteit Persoonsgegevens (AP) heeft een controle uitgevoerd bij circa 175 websites en hieruit blijkt dat bijna de helft van de websites niet voldoet aan de eisen voor het plaatsen van tracking cookies: "Veel websites vragen op onjuiste wijze toestemming voor het plaatsen van tracking cookies", kopt de AP in haar nieuwsbrief van 28 januari 2020. Uw website gebruikt ook cookies. Hoe zit het nu precies met die cookies? Wat betekent dit voor de privacy van de bezoekers op uw website? Voldoet uw website wel aan de wettelijke eisen? Stadhouders Advocaten informeert u over de soorten cookies en de juridische regels die gelden voor uw organisatie.

Wat is een cookie?

Iedere website gebruikt cookies. Cookies zijn kleine bestanden met informatie die de aanbieder van de website op de apparatuur van de bezoeker plaatst (computer, telefoon, tablet). Deze cookies verzamelen informatie over het websitebezoek, over het apparaat van de bezoeker of over de bezoeker zelf. Cookies vertellen bijvoorbeeld iets over welke pagina’s worden bekeken en welke gegevens worden ingevuld. Heel handig voor uw organisatie. Zo kunt u het gedrag van bezoekers in kaart brengen en de website optimaliseren.

Soorten cookies

Er zijn verschillende soorten cookies. Niet elke cookie verzamelt persoonsgegevens. Volgens de toezichthouders zijn er de volgende smaken cookies:

  • Functionele cookies
    Deze cookies zorgen ervoor dat de webpagina’s goed werken. Ze zorgen er bijvoorbeeld voor dat de bezoeker ingelogd kan blijven tijdens het bezoek op de website en dat het ‘winkelwagentje’ werkt. Deze cookies mogen worden ingezet als de website anders niet goed werkt. De cookies kunnen anoniem worden ingezet.

  • Analytische cookies
    Analytische cookies helpen uw website te verbeteren. Deze cookies analyseren bijvoorbeeld welke pagina’s van de website het meest worden bezocht en hoe de bezoeker op uw website is gekomen. Een veelgebruikt systeem is Google Analytics. Analytische cookies mogen beperkt worden ingezet. Ze mogen geen of maar weinig gevolgen hebben voor de privacy van de bezoeker. Let u daarom op de privacyinstellingen van de analytische cookies. De Autoriteit Persoonsgegevens heeft een handleiding opgesteld voor het gebruik van Google Analytics
    (Handleiding privacyvriendelijk instellen Google Analytics).

  • Tracking cookies
    Tracking cookies zijn cookies die mensen op het internet volgen. Deze cookies kunnen ook bij een bezoek aan een andere website worden uitgelezen. Hiermee krijgt u inzicht in persoonlijke interesses van de bezoeker. Dat is interessante informatie, want daarmee kunt u gerichte advertenties tonen. Met tracking cookies worden persoonsgegevens verwerkt. Tracking cookies worden door anderen (derden) geplaatst en worden daarom ook wel third-party cookies genoemd. Enkele voorbeelden van derden die tracking cookies plaatsen: Google, Yahoo, Twitter, Facebook en Oracle.

Nieuws: Google heeft op 14 januari 2020 laten weten te gaan stoppen met tracking cookies. Het doel is deze cookies over twee jaar niet meer toe te staan.

Handhaving

Voor het gebruik van cookies gelden wettelijke regels. Deze zijn te vinden in de Telecommunicatiewet en de Algemene verordening gegevensbescherming (AVG). Er zijn twee toezichthouders die gezamenlijk toezicht houden op het gebruik van cookies: de Autoriteit Consument & Markt (ACM) en de AP. ACM houdt toezicht op de naleving van de cookiesregels uit de Telecommunicatiewet en de AP gaat over privacyschending door cookies. Beide toezichthouders kunnen boetes opleggen. Uit het onderzoek van de AP blijkt dat nog veel websites niet voldoen aan de wettelijke vereisten. De AP heeft de organisaties die bij de controle niet voldeden aan de wettelijke eisen kort de tijd gegeven om dit op te lossen. Voldoen ze na een nieuwe controle nog steeds niet, dan gaat de AP over tot handhaving en kan zij forse boetes opleggen.

Informatieplicht en toestemming

U bent altijd verplicht de bezoekers van uw website te informeren over het plaatsen van cookies. Informeer welke informatie u van de bezoekers verzamelt, op welke manier u dat doet (met cookies, scripts of beacons) en wat u met deze informatie doet. Gebruikt u functionele of analytische cookies die geen of nauwelijks gevolgen hebben voor de privacy van de bezoekers? Dan hebt u geen toestemming nodig. U kunt de bezoekers dan informeren met een cookiestatement. Analytische cookies hebben nauwelijks gevolgen voor de privacy als u deze alleen gebruikt om bezoekers te tellen en u de gegevens niet gebruikt om bezoekers anders te behandelen.

Wanneer toestemming nodig?

Naast de informatieplicht, heeft u voor het gebruik van sommige cookies toestemming nodig. Zijn de cookies niet nodig om uw website goed te laten werken? Of is er een privacyrisico voor de bezoekers? Dan hebt u vooraf toestemming nodig van bezoekers.

De AVG verstaat onder toestemming van de betrokkene:
"elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt."

Hoe vraagt u toestemming?

Hebt u toestemming nodig, dan moet u de bezoeker informeren en vervolgens de keuze geven om wel of niet in te stemmen met het plaatsen van de cookies. Dit kunt u bijvoorbeeld doen door een informatiebalk of een pop-up aan te bieden op uw website.
De bezoeker moet de keuze vrij kunnen maken. Dat betekent dat het weigeren van de cookies geen nadelige gevolgen mag hebben. Let u erop dat u de toestemming vooraf moet vragen (opt-in). Tot het moment dat de bezoeker instemt, kunt u dus alleen functionele en analytische cookies plaatsen die geen gevolgen hebben voor de privacy van de bezoeker.

Wat mag niet?

De toestemming moet actief en ondubbelzinnig worden gegeven. Een stilzwijgende of inactieve toestemming is niet toegestaan. Variaties op ‘U gaat akkoord met het plaatsen van tracking cookies als u verder gaat op deze website’ zijn verboden. Ook is een vooraf met ‘ja’ aangevinkt vakje waarmee de bezoeker akkoord gaat met het plaatsen van tracking cookies, niet rechtsgeldig.

Autoriteit Persoonsgegevens

Ook een cookiewall (cookiemuur) is niet toegestaan. Een cookiewall houdt de toegang tot de website tegen, totdat de bezoeker de cookies accepteert. Als de bezoeker geen toestemming geeft, dan krijgt hij geen toegang tot de website. Door het gebruik van een cookiewall kan de bezoeker geen echte vrije keuze maken. Het weigeren van de cookies betekent immers dat de bezoeker de website niet kan bezoeken. Daarom is een cookiewall verboden.

Overige vereisten AVG

Verwerkt uw organisatie persoonsgegevens door het plaatsen van cookies, dan moet u ook aan de overige eisen van de AVG voldoen. Dit betekent onder meer dat u met de derde partij die de tracking cookies faciliteert een verwerkersovereenkomst moet sluiten en dat u de verwerking dient op te nemen in uw verwerkingsregister.

Conclusie

Stadhouders Advocaten adviseert om uw keuken te controleren. Welke cookies plaatst u op uw website? En vraagt u op juiste wijze toestemming aan de bezoekers? Als u dit recept gebruikt, zijn privacy en cookies te combineren.

Contact

Wil u meer weten over cookies en privacy? Of heeft u andere vragen over privacyrecht? Neem dan contact op met:

Hanna Hoegee
Stadhouders Advocaten
E-mail: hoegee@stadhouders.nl 
Tel.: +31 (30) 252 0855

Meer algemene informatie over preferred supplier Stadhouders Advocaten en hun dienstverlening en de ledenvoordelen vanuit Cultuurconnectie vindt u op hun informatiepagina.