Onder online ondernemers bestaat er nog steeds veel onduidelijkheid over de cookiewetgeving. Moet ik wel of niet om toestemming vragen voor het plaatsen van cookies? Hoe vraag ik op de juiste manier om toestemming? En hoe zorg ik ervoor dat bezoekers ook echt toestemming geven? Wij hebben het voor je uitgezocht en de belangrijkste regels samengevat in deze blogpost.

Wat zijn dan cookies?

Cookies zijn kleine tekstbestanden die via de browser op de computer worden opgeslagen om bepaalde informatie later opnieuw te kunnen gebruiken. Webapplicaties gebruiken cookies vooral om informatie over de bezoeker vast te leggen, bijvoorbeeld:

  • Wanneer de bezoeker jouw website voor het laatst heeft bezocht
  • Welke producten of productcategorieën de bezoeker eerder heeft bekeken
  • Of de bezoeker zijn persoonsgegevens heeft ingevoerd, bijvoorbeeld bij een opt-in.

Daarnaast zijn cookies ook verantwoordelijk voor het tonen van advertenties van producten die een bezoeker eerder op een andere website heeft bekeken. Voor veel bedrijven levert dit meer winst op, maar door bezoekers wordt het vaak als ongewenst ervaren.

Wat staat er in de cookiewetgeving?

De regels voor het plaatsen van cookies is vastgelegd in de telecommunicatiewet (artikel 11.7a). In deze wet staat dat cookies alleen mogen worden geplaatst als:

  • De bezoeker duidelijk over het plaatsen van de cookies is geïnformeerd
  • De bezoeker expliciet toestemming heeft gegeven voor het plaatsen van cookies.

Pas nadat er toestemming is gegeven mag de informatie worden uitgelezen en de cookies worden geplaatst.

Wel zijn er enkele uitzonderingen op de cookiewetgeving, bijvoorbeeld als de cookies noodzakelijk zijn voor het functioneren van de website en weinig tot geen inbreuk maken op de privacy van de bezoeker. Hierover later in deze blogpost meer.

Waarom de cookiewetgeving?

Cookies zijn o.a. noodzakelijk voor het functioneren van een website, maar worden ook gebruikt om profielen van bezoekers op te stellen. Zo’n profiel bevat veel gedetailleerde informatie over de bezoeker, die bedrijven kunnen gebruiken om veel gerichter te adverteren.

Om bezoekers en hun privacy te beschermen is de cookiewetgeving in werking getreden. Het doel is niet alleen om gebruikers van het internet te informeren over het plaatsen van cookies, maar ook om ze de mogelijkheid te geven deze te weigeren.

Cookies en de AVG

Sinds 25 mei 2018 moeten alle bedrijven die persoonsgegevens verzamelen in Europa voldoen aan de nieuwe AVG wetgeving. Ondanks dat de AVG niet zozeer over cookies gaat, zijn er wel cookies die persoonsgegevens verwerken. Voor een groot deel van de cookies betekent dit dat ze niet alleen moeten voldoen aan cookiewet, maar ook aan de nieuwe AVG.

Dit is wat je moet weten:

  • In de AVG staat dat indien de verwerking meerdere doeleinden heeft, je voor al deze doeleinden toestemming moet vragen. Voor de cookies betekent dit dat je voor verschillende soorten cookies (bijvoorbeeld tracking cookies, social media cookies) apart toestemming moet krijgen.
  • De AVG werkt volgens een omgekeerde bewijslast. Jij, als organisatie, moet kunnen bewijzen dat de bezoeker ook daadwerkelijk toestemming heeft gegeven, voordat je de cookies hebt geplaatst. Als het gaat om niet privacygevoelige cookies moet de ondernemer ook kunnen aantonen dat de privacy van de bezoeker daadwerkelijk niet is geschonden.
  • De bezoeker moet op elk moment zijn toestemming kunnen intrekken. Aan jou de taak om de bezoeker te informeren hoe dit in zijn werk gaat. Ook heeft de bezoeker recht op inzage als hij hierom vraagt.

Wat betekent dit voor mijn website?

(Bijna) elke website plaatst cookies. Jouw website waarschijnlijk ook. Het maakt niet uit of je website groot of klein is, winst maakt of niet. Als je cookies plaatst die niet zijn uitgezonderd van de informatie- en toestemminsgverplichting, is het belangrijk dat jij je website aanpast, zodat deze wel aan de wet voldoet.

Belangrijk om te weten is dat de cookiewetgeving niet alleen geldt voor het weergeven van websites op desktop computers. Ook smartphones tablets, spelcomputers en zelfs televisies vallen onder de cookiewet.

De nadelen

De cookiewet heeft een prijzenswaardig doel: de privacy van de burger beschermen. Toch zijn de gevolgen voor de website eigenaar niet zo rooskleurig.

De kans is namelijk groot dat je bezoekers de cookies niet zullen accepteren. Waarom zou een bezoeker iets accepteren waar hij zelf geen voordeel uithaalt? Daarnaast worden cookiemeldingen vaak als vervelend ervaren, waardoor de eerste indruk van jouw website al snel negatief wordt. Toch kan je niet om de wet heen.

Hoe pas ik mijn website aan?

De cookiewetgeving is van toepassing op verschillende cookies, waaronder tracking cookies en social media cookies. Wil je geen cookiemelding plaatsen, dan is het dus belangrijk dat je alleen cookies plaatst die zijn uitgezonderd van de informatie- en toestemmingsverplichting. Als eerste moet je dus uitzoeken welke cookies je website plaatst.

Stap 1. Soorten cookies bepalen

De cookiewet maakt een onderscheid tussen privacygevoelige en niet privacygevoelige cookies. De volgende cookies vallen onder de niet privacygevoelige cookies:

  • Functionele cookies: dit zijn (vaak) technische cookies die noodzakelijk zijn voor het functioneren van de website. Bijvoorbeeld cookies die ervoor zorgen dat de winkelwagen de producten van de klant onthoudt of de bezoeker na aanmelding ingelogd blijft.
  • Analytische cookies: deze cookies worden geplaatst door Google analytics, Clicky of andere analytics software en houden het gedrag bij van de bezoeker op de website. Alleen als de gegevens niet met derden worden gedeeld en niet zijn terug te leiden naar een individu, hoef je om geen toestemming te vragen. Wel moet je de bezoeker informeren over het plaatsen van analytische cookies.
  • Affiliate cookies: ook affiliate cookies behoren tot de uitzondering als ze geen of slechts geringe gevolgen hebben voor de privacy van de bezoeker. Voor affiliate cookies betekent dit dat de informatie alleen mag worden gebruikt voor het overmaken van een beloning naar de eigenaar van de website die de affiliate links heeft geplaatst. Belangrijk is dat de ondernemer een bewerkersovereenkomst heeft afgesloten met de derde partij om de privacy van de bezoeker te waarborgen. Ondanks dat je geen toestemming nodig heeft, moet je de bezoeker nog wel informeren over het plaatsen van deze cookies.

Voor deze 3 soorten cookies heb je geen toestemming nodig van de bezoeker. Een voordeel is dat je dan ook geen cookiemelding hoeft te plaatsen. Voor remarketing of tracking cookies en social media cookies heb je wel toestemming nodig van de bezoeker.

  • Tracking cookies: deze cookies houden het gedrag van de bezoeker bij, zodat adverteerders advertenties kunnen afstemmen op het profiel van de bezoeker. Deze informatie wordt niet gekoppeld aan een naam of adres, maar maken deze, volgens de cookiewetgeving, toch inbreuk op de privacy van de bezoeker.
  • Social media cookies: staan er social media buttons op je website of plaatst je wel eens Youtube video’s op je website? Dan is de kans groot dat er cookies worden geplaatst. Deze geven sociale netwerken de mogelijkheid om de bezoeker op je website te volgen.

Wil je weten welke soort cookies jouw website plaatst? Klik op het slotje naast de adresbalk als je op je eigen website bent.

Plaats je tracking cookies, social media cookies of andere cookies die inbreuk maken op de privacy van de bezoeker? Ga dan door naar stap 2. Plaats je alleen niet privacygevoelige cookies? Ga dan verder met stap 3.

Stap 2. Cookiemelding plaatsen

Heb je een cookiemelding nodig omdat je tracking cookies, social media cookies of andere privacygevoelige cookies plaatst? Voor WordPress websites zijn er verschillende WordPress plugins beschikbaar die je kan gebruiken. Om ervoor te zorgen dat jij je aan de wet houdt, is het belangrijk dat:

  • De cookies niet worden geplaatst voordat de bezoeker deze heeft geaccepteerd. Een plugin installeren is meestal niet voldoende. Er zijn aanpassingen in de code of in de applicatie nodig om ervoor te zorgen dat de cookies niet automatisch worden geplaatst.
  • Kies een cookiemelding die de toestemming kan opslaan. Deze functie is nodig als mogelijk later bewijs.
  • De bezoeker expliciet toestemming geeft. Dit betekent dat de vinkjes van de cookies waarvoor toestemming vereist is, niet vooraf aangevinkt mogen zijn. Daarnaast is ook een melding, zoals “Door het gebruik van onze website, geef je toestemming voor het plaatsen van cookies!” niet in lijn met de cookiewetgeving.
  • Er voor elke soort cookie apart toestemming kan worden geven. De cookiemelding moet een onderscheid maken tussen de verschillende soorten categorieën privacygevoelige cookies.

Impliciete vs. expliciete toestemming

De makkelijkste manier om de bezoeker toestemming te laten geven is door een checkbox te laten aanvinken. Toch is het ook toegestaan om cookies te plaatsen als de bezoeker impliciet toestemming heeft gegeven. Voorwaarden daarvoor zijn wel dat:

  • de bezoeker duidelijk geïnformeerd is over welke cookies zijn geplaatst
  • de bezoeker vervolgens een expliciete handeling uitvoert, door bijvoorbeeld op de content te klikken.

Één enkele scrollbeweging is echter niet voldoende als expliciete handeling. Daarnaast is het ook lastig aan te tonen dat de bezoeker de tekst echt heeft gelezen. Daarom raden wij je altijd aan om voor een cookiemelding met een checkbox of keuzeoptie te gaan.

De volgende cookiemelding gebruiken wij voor de websites van onze klanten.

Complianz

Een veelgebruikte plugin voor het plaatsen van een cookiemelding is Complianz. De plugin wordt gebruikt op meer dan 1 miljoen websites en biedt naast een betaalde versie ook een gratis versie. Complianz scant alle cookies op je website en verdeelt deze over de categorieën: noodzakelijk, voorkeuren, statistieken en marketing. Met een checkbox kunnen bezoekers aangeven voor welke categorieën zij toestemming willen geven.

Voordelen: 

  • Automatisch aanmaken van je cookiebeleid
  • Voldoet aan AVG wetgeving
  • Ondersteunt Google Consent Mode V2
  • Eenvoudig te installeren via een wizard
  • Self-hosted, alle informatie staat binnen je eigen website
  • Website cookie scan en koppeling met cookiedatabase.org

Nadelen:

  • De standaardteksten zijn alleen in een formele (u) versie beschikbaar
  • Geen directe instelling voor twee of meer analytics systemen (het tweede systeem moet je apart instellen)
Voorbeeld Complianz cookiemelding

Voorbeeld Complianz cookiemelding

Stap 3. Privacyverklaring aanpassen of cookiebeleid publiceren

Als website eigenaar ben je niet alleen verplicht om toestemming te vragen voor het plaatsen van cookies, maar ook om de bezoeker hierover te informeren. Ook als het gaat om het plaatsen van niet privacygevoelige cookies. Over functionele cookies hoef je volgens de cookiewetgeving de bezoeker niet te informeren, maar toch raden wij je aan om dit wel te doen en daarbij zo transparant mogelijk te zijn.

De beste manier om de bezoeker te informeren is met een aparte cookieverklaring als het gaat om heel veel informatie. Maar je kan natuurlijk de cookieverklaring ook opnemen als onderdeel van de privacyverklaring. In de verklaring moet staan:

  • De naam van uw website
  • Welke informatie (cookies) u over de bezoeker verzamelt. Onderverdeeld in de verschillende soorten categorieën cookies (functioneel, tracking, analytics, etc.)
  • Met welk doel je deze informatie verzamelt
  • Wat je met de informatie doet
  • Hoe de gebruiker toestemming geeft voor het plaatsen van cookies
  • De impact die de cookies kunnen hebben op de privacy van de gebruiker

Een cookieverklaring is bedoeld voor de bezoeker. De wet is immers bedoeld om het gebruik van cookies inzichtelijk te maken voor de bezoeker. Zorg ervoor dat de cookieverklaring, net zoals je privacyverklaring, volledig is en in begrijpelijke taal is geschreven.

Wat als je geen toestemming krijg?

In principe is het (nog) toegestaan om bezoekers te weigeren, die geen toestemming willen geven voor het plaatsen van cookies. In de meeste situaties zal dit onnodig zijn, omdat het vaak zal gaan om het wel of niet accepteren van tracking cookies.

Wil je deze bezoekers, wegens een bepaalde reden, toch niet toelaten. Dan raden wij aan om deze om te leiden naar een aparte pagina. Blijf ook op deze pagina altijd vriendelijk en leg de bezoeker uit waarom hij wordt omgeleid.

Voor overheidswebsites gelden andere regels. Voor deze websites is het niet toegestaan om bezoeker te weigeren die de cookies niet willen accepteren.

Tips om de kans op toestemming te vergroten

Ben je voor je winst voor een (groot) deel afhankelijk van remarketing campagnes? Dan kan het erg vervelend zijn als bezoeker de cookies niet willen accepteren. Het enige wat je hier eigenlijk aan kan doen, is de kans vergroten dat bezoekers toch toestemming geven. Bijvoorbeeld door:

  • De cookiemelding visueel aantrekkelijk te maken. Plaats bijvoorbeeld en verdrietige smiley naast de functionele cookies en een blije smiley naast alle andere cookies.
  • De bezoeker duidelijk te informeren. Vertel waarom het zo belangrijk is dat zij de cookies toch accepteren.
  • Het net iets anders te doen. Bezoekers komen op alle websites dezelfde soort cookiemelding tegen. De meesten zullen dan ook op automatische piloot de cookies weigeren. Met een originele cookiemelding is de kans groot dat bezoekers wel beter op moeten letten en de cookies dus niet automatisch weigeren.

Cookies? Liever niet!

De beste manier om de cookiemelding te vermijden is door geen privacygevoelige cookies te plaatsen. Een cookiemelding is namelijk niet alleen vervelend, maar er is ook geen garantie dat bezoekers toestemming geven voor het plaatsen van cookies.

Toch kan geen enkele online ondernemer om de cookiewetgeving heen. Controleer welke soorten cookies je plaatst, verwijder cookies die eigenlijk niet nodig zijn, plaats indien nodig een cookiemelding en wijzig je privacyverklaring.

Disclaimer
Bij het verzamelen van de informatie uit deze blogpost hebben wij ons best gedaan om volledige en juiste informatie te verstrekken. Aan de informatie kunnen geen rechten worden ontleend.

Gepubliceerd in: Website beginnen