De cookiewet is sinds juni 2012 van kracht, maar door de recente invoering van de AVG richtlijn is er opnieuw veel aandacht voor cookies en cookiebeleid.

We gaan voorbij aan wat cookies precies zijn, en waarom het plaatsen van cookies een privacy gerelateerde issue is, dat veronderstellen we als bekend.

N.B.: Elke alternatieve techniek die gebruikt wordt om gebruikers te identificeren of volgen (de Facebookpixel bijvoorbeeld) valt onder de cookiewet/AVG.

De aanpak in het kort:

  • Stel vast welke soorten cookies je plaatst, en waarom.
  • Ga snoeien, want zonder noodzaak data verzamelen is nooit een goed idee.
  • Stap zo mogelijk over naar alternatieve technieken en diensten die geen cookies plaatsen.
  • Loop de instellingen van je analytics oplossing na (Google Analytics/Matomo/etc.), en pas ze zo nodig aan.
  • Vermeld in een online privacyverklaring/cookiebeleid wat je wel en niet doet.
  • Regel de toestemming voor het plaatsen van cookies in op de website.

Welke soorten cookies zijn er?

Een goed begrip van de definities is belangrijk omdat je in veel gevallen vooraf toestemming nodig hebt om bepaalde soorten cookies te mogen plaatsen. Er worden helaas veel verschillende termen voor dezelfde soort cookies door elkaar gebruikt. We onderscheiden vier categorieën cookies.

Noodzakelijke/functionele/voorkeurs-cookies:

Deze cookies faciliteren basisfuncties, ze helpen bij het bruikbaarder maken van een website. Denk aan paginanavigatie, toegang tot beveiligde gedeelten van een website.

Maar ook zaken als ‘ingelogd blijven’ die de gebruiker kan aanvinken vallen hieronder, of het opslaan van de inhoud van een winkelmandje, een taalvoorkeur.

Voor deze categorie cookies is géén voorafgaande toestemming noodzakelijk.

Een duidelijke vermelding in een privacyverklaring of cookiebeleid is voldoende; je hoeft geen cookie-verklaring dwingend in beeld te brengen voordat de gebruiker verder kan op je site. Doordat de gebruiker de privacyverklaring beschikbaar heeft op de site, en ‘toch’ gebruik maakt van de site, wordt er vanuit gegaan dat er impliciet toestemming is gegeven om de cookies te plaatsen. Achterliggende reden voor deze soepele manier van toestemming inregelen, is natuurlijk dat de privacy-impact van deze categorie cookies laag is.

Analytische/Statistische cookies:

Deze cookies geven inzicht in hoe bezoekers de website gebruiken, door gedragsgegevens te verzamelen en daarover te rapporteren (bijv. klikgedrag, welke pagina bezocht etc.).

Zo lang je de gegevens anonimiseert kun je ook hier volstaan met een vermelding in een privacy/cookieverklaring ergens op de site, en mag je uitgaan van impliciete toestemming.

De privacy-impact van deze categorie cookies is bij anonimisering relatief laag.

Doe je niet aan anonimisering dan moet je expliciete toestemming vragen of inregelen.

Expliciete toestemming vragen; elke bezoeker wordt geconfronteerd met de vraag of ze dit soort cookies accepteren, en pas daarna mag je ze plaatsen (pop-up met de vraag om toestemming).

Expliciete toestemming inregelen; je plaatst een uitleg in de footer of header van je website waarin je kort en meteen zichtbaar uitlegt dat het verdere gebruik van de website gelijk gesteld wordt aan het geven van toestemming.

Targeting/Marketing/Advertentie/Tracking/Social Media-cookies:

Deze cookies worden gebruikt om bezoekers over verschillende websites te volgen en hun gedrag in kaart te brengen. Het achterliggende doel is gerichte advertenties te kunnen vertonen, en als je dit consequent doet dan kun je zeer gedetailleerde profielen samenstellen van individuen.

Bekende voorbeelden zijn de remarketingcampagnes van Google AdWords, en het volgsysteem van Facebook. Ook koppelingen met andere social media zullen leiden tot het plaatsen van dergelijke cookies. Denk ook aan aanmeldingen voor externe nieuwsbrieven, of als je werkt met referrals of partnersites.

Dit zijn cookies met de grootste privacy impact en die mag je altijd alleen gebruiken nadat je expliciet toestemming hebt gevraagd/ingeregeld.

Niet-geclassificeerde cookies?

Cookies waarvan onduidelijk is wat ze precies doen, en waarom zou je die plaatsen op het systeem van je bezoekers?

Ik heb alles in orde gebracht, en nu?

  • Documenteer wat je hebt gedaan, en op basis van welke overwegingen je dat hebt gedaan; op die manier kom je goed beslagen ten ijs wanneer er ooit vragen over komen.
  • Stel procedures op die een feedback-loop faciliteren; bijvoorbeeld evalueer elk half jaar of er wijzigingen zijn geweest in de toepasselijke wetgeving en controleer of je nog compliant bent.
  • Let op als je functionaliteiten toevoegt, wat je voortaan altijd mee moet nemen in je overwegingen is de impact die het gaat hebben op de privacy van sitebezoekers.
  • Let op bij het gebruik van software van derden zoals een forum, prijsvraag of enquête. Mogelijk wordt daarmee privacy gevoelige data van jouw bezoekers geoogst.

Nuttige links: