Zie je door de kruimels de cookies in de trommel niet meer? Dan hebben wij hier een duidelijke samenvatting voor je.
Het digitaal volgen en vastleggen van surfgedrag op internet via volgsoftware of andere digitale methodes is een van de grootste verwerkingen van persoonsgegevens, omdat vrijwel iedereen op internet actief is. Websites die bezoekers alleen toegang geven op hun site als deze akkoord gaan met het plaatsen van zogeheten ‘tracking cookies’ of andere vergelijkbare manieren van volgen en vastleggen van gedrag door middel van software of andere digitale methodes, voldoen niet aan de Algemene verordening gegevensbescherming (AVG).
De Autoriteit Persoonsgegevens (AP) heeft veel klachten ontvangen van websitebezoekers die een website niet konden bezoeken, nadat ze de plaatsing van tracking cookies geweigerd hadden. Aangezien dit niet conform de AVG is heeft de AP een onderzoek ingesteld naar deze werkwijze en specifieke partijen een brief gestuurd dat de werkwijze niet in overeenstemming is met de AVG.
Als deze partijen geen opvolging geven aan deze brief kan het zijn dat de AP overgaat tot een boete, zoals zij die eerder heeft opgelegd aan Zorgverzekeraar Menzis en de Nationale Politie nadat zij ook geen (of niet voldoende) gehoor hebben gegeven aan een dergelijke sommatie van de AP.
Aangezien er vele varianten zijn van cookiemeldingen hebben en veel partijen niet meer weten hoe het zit, heeft Privacy Patrol een overzicht van de richtlijnen samengesteld. Deze kun je gebruiken om te bepalen of de door jou toegepaste cookieverwerking aan de huidige regelgeving voldoet.
Functionele cookies
Functionele cookies zorgen dat een website je keuzes kan onthouden (zoals je gebruikersnaam, taal of producten die je in je winkelmandje hebt gelegd) en bieden verbeterde, meer persoonlijke kenmerken. Deze cookies kunnen ook worden gebruikt om te onthouden welke wijzigingen je hebt aangebracht in tekstgrootte, lettertypen en andere delen van de webpagina’s die je kunt aanpassen. Ook kunnen deze cookies technisch noodzakelijk zijn voor een goede werking van de website. De gegevens die deze cookies verzamelen, zijn geanonimiseerd, en deze cookies kunnen niet je surfgedrag op andere websites volgen.
Voor het plaatsen van functionele cookies hoeft geen toestemming worden gevraagd, wel moeten websitebezoeker geïnformeerd worden dat deze cookies geplaatst worden. Dit kan bijvoorbeeld via een vermelding in de privacyverklaring of als je het duidelijker wilt doen via een pop-up bericht op de website.
Tip: Voor de verwerking van functionele cookies kun je (in je register van verwerkingen) als grondslag “Gerechtvaardigd belang” gebruiken.
Analytische cookies
Analytische cookies verzamelen informatie over het functioneren van een website. Bijvoorbeeld welke pagina’s bezocht worden en of er foutmeldingen optreden op webpagina’s. Analytische cookies verzamelen informatie over de bezochte pagina’s en kunnen bijvoorbeeld worden gebruikt voor het testen van ontwerpen en om te zorgen voor een consistente look en feel voor de websitebezoeker.
Anonieme analytische cookies
Als je de analytische cookies niet kunt gebruiken om websitebezoekers te volgen en waar mogelijk anders te behandelen dan andere websitebezoekers (bijvoorbeeld d.m.v. reclame, re-targetting, profilering), dan hebben deze cookies nauwelijks gevolgen voor de privacy van de websitebezoekers.
Voor het plaatsen van anonieme analytische cookies hoeft geen toestemming te worden gevraagd, wel moeten websitebezoeker geïnformeerd worden dat deze cookies geplaatst worden. Dit kan bijvoorbeeld via een vermelding in de privacyverklaring of als je het duidelijker wilt doen via een pop-up bericht op de website.
Tip: Voor de verwerking van anonieme analytische cookies kun je (in je register van verwerkingen) als grondslag “Gerechtvaardigd belang” gebruiken.
Niet-anonieme analytische cookies
Als je de analytische cookies kunt gebruiken om websitebezoekers te volgen en waar mogelijk anders te behandelen dan andere websitebezoekers (bijvoorbeeld d.m.v. reclame, re-targetting, profilering), dan hebben deze cookies gevolgen voor de privacy van de websitebezoekers en dienen hetzelfde behandeld te worden als tracking cookies.
Tip: Voor de verwerking van niet-anonieme analytische cookies kun je (in je register van verwerkingen) als grondslag “Toestemming” gebruiken.
Tracking cookies
Met tracking cookies kunnen websites of apps (internet)gedrag van bezoekers/gebruikers door de tijd heen volgen. Vaak zijn dit advertentiecookies. Hiermee kunnen bedrijven bijvoorbeeld gerichte, persoonlijke advertenties sturen. Onder tracking cookies worden ook andere (met cookies vergelijkbare) technieken bedoeld die bedrijven gebruiken om mensen te volgen.
Enkele voorbeelden wat onder tracking cookies valt:
- Audience measurement
- Gebruik van Doubleclick, AdWords, AdSense
- Sociale cookies, bijvoorbeeld de Facebook Pixel
Voor het plaatsen van tracking cookies is toestemming nodig. Tracking cookies mogen dus niet geplaatst worden voorafgaand aan de verkregen toestemming. Deze toestemming wordt op dit moment veelal verkregen door het tonen van een pop-up met de vraag voor toestemming.
Vaak is het toestemmingsvakje al vooraf ingevuld en hoeft de websitebezoeker alleen nog maar op Ja of Akkoord te klikken. Deze werkwijze is niet geheel onomstreden, want op deze wijze wordt volgens de AVG geen expliciete toestemming gegeven. De websitebezoeker moet dit toestemmingsvakje zelf aanvinken voor akkoord.
In de praktijk gaat dit veelal ten koste van de conversie en kiezen partijen ervoor om het toestemmingsvakje vooraf in te vullen. Hiermee wordt een bewuste keuze gemaakt voor een risico op een boete.
Tip: Voor de verwerking van tracking cookies kun je (in je register van verwerkingen) als grondslag “Toestemming” te gebruiken.
Aanvullende informatie
Heb je een website, app of andere dienst waarbij je tracking cookies inzet? Dan moet je toestemming vragen aan je websitebezoekers of gebruikers voor deze tracking cookies. Je mag dit volgens de AVG niet doen met een cookiewall (cookiemuur).
Dat betekent dat je bezoekers of gebruikers de mogelijkheid moet geven om tracking cookies te weigeren. Bijvoorbeeld door een informatiebalk of pop-up aan te bieden met een duidelijke keuze tussen ‘ja’ en ‘nee’. Je mag geen cookies plaatsen voordat de bezoeker een keuze heeft gemaakt.
Weigert iemand tracking cookies? Dan moet je deze persoon toch toegang geven tot je website of app, bijvoorbeeld na betaling.
Uit het nalaten van een handeling kun je geen toestemming afleiden. Bijvoorbeeld als een bezoeker niet via zijn browser heeft gekozen om tracking cookies te weigeren. Ook als je verwijst naar je privacyverklaring, is dit onvoldoende.
Maar let op! Je moet ook kunnen aantonen dat bezoekers daadwerkelijk toestemming hebben gegeven voor het plaatsen van cookies.
Om rechtsgeldige toestemming te krijgen voor het plaatsen van tracking cookies, moet je je websitebezoekers eerst informeren over:
- de soorten persoonsgegevens die je via de cookies verzamelt en verwerkt
- de doeleinden van de gegevensverwerking
- de categorieën bedrijven waaraan je de gegevens verstrekt
- de bewaartermijn
- zo veel nadere informatie als nodig is om je bezoekers een eerlijk beeld te geven van de gegevensverwerking
Soorten persoonsgegevens
Geef informatie over de soorten persoonsgegevens die je verzamelt en verwerkt met tracking cookies. Denk daarbij in ieder geval aan:
- bezochte webpagina’s
- IP-adressen
- cookie-inhoud
- referrer-URL
- eventuele overige gegevens die je verzamelt, zoals gegevens over de gebruikte randapparatuur en instellingen van de software op het apparaat
Doeleinden
Laat je bezoekers weten waarvoor je hun persoonsgegevens verzamelt en verwerkt. Doe je dit bijvoorbeeld voor het (laten) tonen van gerichte advertenties, het gebruik van social media, websitestatistieken, het opstellen van interesseprofielen, het tonen van aanbevelingen, marktanalyse, doelgroepanalyse en/of verbetering van de navigatie op je website?
Let op: een algemeen doeleinde als ‘verbeteren van de dienstverlening’ is onvoldoende specifiek.
Verstrekken van persoonsgegevens
Informeer over de soorten derde partijen waaraan je de persoonsgegevens verstrekt. Noem advertentienetwerken, eventuele social media en andere partijen die via je website tracking cookies plaatsen bij naam. Geef ook de namen van de cookies en informatie over het doeleinde van de verwerking.
Bewaartermijn
Informeer bezoekers per cookie over de bewaartermijn. Controleer de levensduur van de tracking cookies die via je website worden geplaatst. Beoordeel vervolgens of de bewaartermijn noodzakelijk is voor het doeleinde.
Een bewaartermijn van een half jaar of langer is snel bovenmatig. Dat komt ook doordat de termijn elke keer met een half jaar wordt verlengd bij bezoek aan deze of een andere website die dit cookie plaatst.
Alleen social media
Wil je op je website alleen een paar social media-buttons opnemen, zodat je bezoekers artikelen kunnen delen? En gebruik je geen andere tracking cookies? Dan kunt je bijvoorbeeld werken met niet-actieve sociale media knoppen. Bezoekers moeten dan bewust op deze ‘grijze’ knoppen klikken om toestemming te geven. Door te klikken bepaalt de gebruiker of hij de functionaliteit van de knop wil activeren. En daarmee dus of hij gebruik wil maken van de social media plug-in cookies. Ook in dit geval moet de bezoeker uiteraard geïnformeerd worden waar hij toestemming voor geeft.
Om Google Analytics AVG-proof in te stellen kun je de Handleiding privacyvriendelijk instellen Google Analytics van de Autoriteit Persoonsgegevens (AP) gebruiken. In 6 stappen leert je hoe je Google Analytics zo instelt dat je de privacy van je bezoekers zo goed mogelijk beschermt.
Liever bespreken we het onderwerp niet, maar aangezien in veel gevallen de cookie verwerking niet AVG-proof is, is het wellicht toch fijn om te weten wat de risico’s zijn.
In het kader van verwerking van persoonsgegevens bij tracking cookies komen twee van de meest in het oog vallende artikelen naar voren. Er zijn zeker meer artikelen die in aanmerking komen, maar die laten we even voor wat ze zijn.
- Artikel 7: Voorwaarden voor toestemming
- Artikel 22: Geautomatiseerde individuele besluitvorming, waaronder profilering
Volgens de boetebeleidsregels van de AP staan op overtredingen van bovenstaande artikelen de volgende boetes:
Artikel AVG | Klasse | Categorie | Boetebasis | Boetebandbreedte |
---|---|---|---|---|
7 | 2 | 3 | € 525.000 | € 300.000 - € 750.000 |
22 | 2 | 4 | € 725.000 | € 450.00 - € 1.000.000 |