De Cookiewetgeving: Hoe en wat?

|

Volgens ons één van de meest overtrede digitale regel die er is: De Cookiewetgeving. Vooral technisch zien wij veel misstanden. Formeel gezien mag een website pas een cookie plaatsen nadat de bezoeker daar toestemming voor heeft gegeven. In de praktijk voor velen erg lastig..?

Correct opt-in en opt-out systeem

Voor het geven van die toestemming moet een bezoeker voldoende/goed geïnformeerd worden over de cookies die geplaatst gaan worden. Optioneel is het aanbieden van keuzes voor soorten cookies, bijvoorbeeld 'ik wil alleen analytische-cookies, maar geen marketing-cookies'. Deze voorkeuren kan een bezoeker dan met bijvoorbeeld vinkjes aan- of uitzetten.

Technisch moet een webbouwer er dan wel voor zorgen dat de cookie pas geplaatst wordt nadat de bezoeker toestemming geeft. Hier zien wij allerlei foutieve varianten op, zoals:

  • Wij maken gebruik van cookies; bezoeker kan dan alleen op een knop 'ok, ik begrijp het' drukken.
  • Een cookiewall, met beperkte informatie.
  • Door gebruik te maken van onze website gaat u akkoord met het plaatsen van cookies.
  • Een prachtige cookiemelding, maar dan gaat de bezoeker akkoord door op de website naar beneden te scrollen..
  • Etc.

Vooraf akkoord door bezoeker

Gebruik maken van een website - evenals scrollen op een website - telt dus niet als expliciet akkoord van een bezoeker.

Toestemming geven moet - wat ons betreft - door middel van een duidelijke actie door een bezoeker, belangrijk detail is dat je aan moet kunnen tonen dat iemand akkoord gegaan is. Dat is dus wat ons betreft een behoorlijke uitdaging als je gebruik maakt van de bijvoorbeeld opmerking "Door gebruik te maken van onze website gaat u akkoord met het plaatsen van cookies.".

Ook met het oog op 'privacy by default' zit er dus maar één ding op; duidelijk toestemming vragen aan een bezoeker voor het plaatsen van cookies.

Cookiewall

Veel gezien bij nieuws websites; de cookiewall. Kort gezegd mag de bezoeker de website pas bezoeken nadat deze akkoord gaat met het plaatsen van cookies. Waarbij meestal alle cookies aangevinkt staan en juist niet het minimale. Wat ons betreft dus ook helemaal fout. Wij lazen op de website van cookieinfo dat een website toegankelijk moet zijn/blijven totdat de bezoeker zijn of haar voorkeur heeft aangegeven. Kortom een cookiewall is dus niet juist.

Verschillende soorten cookies

Het klopt dat er verschillende soorten cookies bestaan. Over het algemeen worden deze cookies door websites ook hetzelfde ingedeeld, maar let op, websites hebben de mogelijkheid om deze indelingen zelf te bepalen. We hebben het meestal over de volgende soorten cookies:

  • Functionele cookies
  • Voorkeuren cookies
  • Analytische- of Statistische cookies
  • Marketing- of Advertentie cookies
  • Social media cookies
  • Interesses cookies

Functionele cookies mogen altijd zonder melding geplaatst worden bij een bezoeker. De website zou zonder simpelweg niet werken. Denk hierbij aan bijvoorbeeld een winkelmandje. Cookies voor voorkeuren mogen meestal ook zonder melding geplaatst worden, deze worden meestal gebruikt om een de voorkeur van een taal van de bezoeker op te slaan. Vrijwel alle andere cookies mogen niet zonder toestemming van een bezoeker worden geplaatst.

Mag Google Analytics zonder cookiemelding gebruikt worden?

De website van de Rijksoverheid is vrij duidelijk, niet alle cookies mogen zonder toestemming. Functionele cookies en Analytische (Statistieken) cookies mogen wel zonder toestemming geplaatst worden. Deze cookies moeten dan overigen wel binnen de kaders van de AVG wetgeving opereren. Standaard Google Analytics voldoet daar niet aan, maar na een aantal aanpassingen - beschreven in ons artikel "Website AVG-proof maken" - mag het wel.

e-Privacy regelgeving

Opvallend is dat in de brochure van de Rijksoverheid genaamd "De AVG voor het MKB (ondernemers)" van 11 pagina's, maar ook de "Handleiding Algemene verordening gegevensbescherming (AVG)" het woord "cookie" niet voorkomt. Dat maakt het geheel dan ook niet duidelijker. Wij baseren ons dan ook op de regels zoals beschreven in de AVG wetgeving, die zijn van toepassing op cookies, maar - zoals wel vaker met wetgeving - soms wat vaag beschreven.

Gelukkig komt hier - als het goed is - verbetering in. Er komt in 2019 e-Privacy regelgeving die zich ook meer richt op cookies; de digitale wereld. Meer hierover volgt later.