Hoe zit het met de cookies en de AVG?

Wij schreven al eerder over de AVG en alle vereisten die bij deze nieuwe wet om de hoek komen kijken. Echter over de cookies hebben wij het nog niet gehad. Hoog tijd dus om hierover een blog te wijden.
Cookies, een veelbesproken begrip in de online wereld van gebruikers. Maar niet alleen de online wereld heeft er zijn mening over gevormd. De Europese Commissie wil dat internetgebruikers in hun browserinstellingen kunnen bepalen of zij privacygevoelige tracking-cookies accepteren of weigeren. Welke impact hebben de wijzigingen straks op u als ondernemer met een website?
Omdat de wetgeving omtrent cookies nog in de maak is, is er nog geen definitieve duidelijkheid. Verwijzen naar de browser instellingen van de cookies is straks in elk geval niet meer voldoende volgens de e-Privacyverordening die het moet gaan regelen. Deze wetgeving is anders dan de AVG dus nog niet af. De Europese Commissie is er nog druk mee in de weer maar toch is het belangrijk hier als ondernemer naast uw website AVG-proof te maken ook al op in te spelen. Wat moet u zoal doen?
Wij adviseren u in elk geval de volgende stappen te nemen:
1. Nagaan welke cookies u gebruikt en of hiervoor toestemming is vereist.
Maar voor welke cookies moet u nu toestemming van uw bezoeker hebben?
Wij leggen het hier voor u uit.
Voor het plaatsen van functionele cookies hoeft u volgens de wet geen toestemming aan uw bezoeker te vragen. Functionele cookies zijn momenteel nodig om een website te laten werken. Een voorbeeld van een functionele cookie is het opslaan van de producten die de bezoeker in het winkelmandje plaatst.
Voor analytische cookies die worden gebruikt om het verkeer op een website te analyseren, hoeft u tevens geen toestemming aan de bezoeker te vragen. Dit is bijvoorbeeld als u gebruik maakt van Google Analytics.
Maar als we het hebben over tracking-cookies, ook wel marketingcookies genoemd, is er wel toestemming vereist van uw bezoeker. Dit zijn cookies die binnen een domein of over verschillende domeinen gebruikt worden om surfgedrag van de bezoekers vast te leggen. Hiermee kunnen uiteindelijk gerichte aanbiedingen gedaan worden. Een bekend voorbeeld hiervan is Google AdWords. Niet alleen Google AdWords maakt gebruik van tracking-cookies, ook social media-accounts, nieuwsbrieven en partnersites maken gebruik van deze cookies.
Voor het bijhouden van persoonsgerichte gegevens is altijd toestemming vereist. Nadat een gebruiker geaccepteerd heeft dat cookies worden bijgehouden, mogen deze cookies pas worden geplaatst.
U kunt bij degene die uw website heeft gemaakt navragen welke cookies er worden gebruikt door uw website. Deze webontwikkelaar kan u namelijk een lijst van alle cookies aanleveren. In andere gevallen zult u geheel zelf na moeten gaan welke cookies u gebruikt met uw website.
2. Keuzemogelijkheid maken voor het plaatsen van cookies.
Uw bezoeker moet de mogelijkheid hebben om een cookie of cookiecategorie (analytische/ functionele of tracking cookies) aan- of uit te zetten.
3. Opslaan van de keuze van de bezoeker.
U moet aan kunnen tonen dat iemand expliciet toestemming heeft gegeven dus deze moet u ergens opslaan.
4. Gemakkelijke “verwijder/pas mijn cookies aan” knop maken.
Als een bezoeker besluit geen toestemming meer te geven voor cookies moet hij dat gemakkelijk aan kunnen geven/aan kunnen passen. Het intrekken van toestemming moet net zo gemakkelijk zijn als het geven ervan. Dit betekent dat er behalve vinkjes gezet moeten kunnen worden door bezoekers voor toestemming (ook wel "opt-in" genoemd) er ook een “opt-out” knop toegevoegd moet worden op de pagina’s van uw website.
Om ervoor te zorgen dat de toestemming vrijelijk kan worden gegeven, mag het niet geven van toestemming geen gevolgen hebben voor de betrokkene. Dit betekent dat website bezoekers alsnog gebruik moeten kunnen maken van de website (weliswaar met beperkingen), ook al hebben zij geen toestemming gegeven voor het gebruik van cookies.
5. Verwerking cookies in privacyverklaring opnemen.
Verder moet u in de privacyverklaring aangeven welke cookies u verzamelt, voor welk doel en voor welke termijn u ze opslaat. Aangezien de cookies maandelijks enorm veranderen zal dit enorm veel werk gaan opleveren voor u als ondernemer of de websitebeheerder. Bovendien is het de vraag hoe deze verordening dit uiteindelijk definitief zal gaan regelen en hoe de toezichthouder Autoriteit Persoonsgegevens dit in de praktijk zal gaan controleren.
Voor nu adviseren wij u in elk geval de cookies wel duidelijk te omschrijven in de privacyverklaring met het doel en opslagtermijn per cookie. Om te voorkomen dat daardoor de privacyverklaring ellenlang en onoverzichtelijk wordt, adviseren wij de cookies te benoemen (onder de groepsnaam: technische/functionele cookies, analyse cookies of tracking cookies) en in de privacyverklaring te linken naar de specifieke cookies (in een aparte lijst op uw website bijvoorbeeld waar weer een koppeling is per cookie om hem aan en uit te zetten). Als u bij een bepaalde webbouwdienst zoals WIX uw website heeft laten bouwen dan hebben zij mogelijk een privacyverklaring welke van toepassing is en waar u ook weer naar kunt verwijzen in uw privacyverklaring.
Onze tip:
De e-Privacyverordening zal in de toekomst meer duidelijkheid moeten verschaffen over hoe u als ondernemer om moet gaat met cookies en cookiebeleid. Vooralsnog adviseren wij u in elk geval alvast te beginnen met een duidelijke privacyverklaring waarin u de cookies meeneemt en te linken naar een lijst van de specifieke cookies waarin u tevens het doel en de opslagtermijn weergeeft. Ook adviseren wij u alvast zowel een "aan-knop" voor de cookies (ook per categorie) als een gemakkelijke “verwijder/pas mijn cookies aan” knop te maken op uw website.
Wilt u hier meer over weten of wilt u graag een jurist spreken over dit onderwerp? Neem dan contact op met één van onze ervaren juristen op gebied van de nieuwe AVG wetgeving.
Wij staan voor u klaar!
Het team van HBO Juristen.