Cookies en de AVG – de gevolgen en kansen voor je website

De AVG/GDPR heeft gevolgen voor het gebruik van cookies op je website. Heeft je website een mededeling of instellingen menu dat de bezoeker cookies automatisch accepteert bij gebruik van je website? Dan is dat niet meer voldoende vanaf 25 mei 2018.
Cookies en de AVG/GDPR
Hoe voldoe je aan de AVG/GDPR als je (marketing) cookies wilt (blijven) gebruiken?
Bij de AVG/GDPR draait alles om het beter beschermen van de privacy van personen. Websites dragen voor meer dan 50% bij aan het delen van privacy gevoelige informatie. Dit komt mede door het gebruik van cookies en andere tracking technologieën, waardoor het direct of indirect mogelijk is om een persoon te identificeren. En daarmee hebben cookies te maken met de AVG/GDPR.
Helaas lezen we in veel (marketing) blogs dat straks de ePrivacy verordening van toepassing is op het gebruik van cookies (lees ook de update over bevindingen consumentenbond) niets is minder waar. Deze verordening laat nog op zich wachten, zoals verderop te lezen valt, maar cookies vallen wel degelijk onder de AVG.
Privacy en cookies en de AVG
Om privacy van website bezoekers beter te beschermen, verandert het verkrijgen van toestemming. De manier van informeren van je website bezoeker verandert dus ook met de komst van de AVG/GDPR.
De veranderingen die de grootste invloed hebben, voor website eigenaren en marketeers, zit hem in “het kunnen voorzien van een kloppend opt-in en opt-out mechanisme én het vastleggen van de toestemming (consent)” van de website bezoeker.
Jouw website bezoeker heeft toestemming gegeven voor het gebruik van cookies, maar verandert van gedachten. Dan zal je de bezoeker op dezelfde manier in staat moeten stellen om de keuze te veranderen. Gebruikers moeten namelijk toestemmingen net zo makkelijk kunnen intrekken of aanpassen als dat ze het gegeven hebben.
Maar de AVG/GDPR gaat nog een stapje verder. In deze tabel zie je een overzicht van AVG/GDPR vereisten en waar je website aan moet voldoen, als je cookies gebruikt. Dit is van toepassing op alle cookies, behalve functionele cookies die het mogelijk maken dat een website functioneert.

Waarom is dit ten opzichte van “cookie walls” of “cookie pop-ups” dan anders?
De verschillen ten opzichte van cookie walls en cookie pop-ups lijken op het eerste gezicht niet groot. Als je ze tegen de AVG/GDPR aanhoudt, zie je dat het verschil zit in de manier van informeren en het verkrijgen van toestemming. Het klikken op een “opt-in” box of “OK” knop, of het kiezen van “instellingen” in een menu volstaan niet meer:

Een website moet toegankelijk blijven en geen cookies plaatsen, totdat de gebruiker zijn voorkeuren en toestemming heeft aangegeven.
Bovenstaande oplossingen voldoen dus niet, omdat ze verhinderen dat je de website bezoekt of omdat ze niet volledig informeren over de details van de in gebruik zijnde cookies en andere tracking technologieën. Een veelgehoorde reactie is: “Maar we verwijzen daar toch naar in onze privacy policy of cookieverklaring. Welke dit zijn en hoe je ze kunt verwijderen?”
Dit is hoe het in combinatie met bovenstaande soort cookie walls en pop-ups inderdaad door veel websites is ingericht. Je zal in het licht van de AVG/GDPR transparanter moeten zijn in het verstrekken van informatie, eenvoud en registratie van toestemming (consent) en het intrekken daarvan.
“Je zult vooraf beknopt, transparant, begrijpelijk, in een gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal moeten informeren over de cookies en details ervan die je op je website inzet. Daarnaast dient toestemming net zo makkelijk aangepast of verwijdert te kunnen worden als dat je het hebt gegeven (opt-in/opt-out).”
Het is niet meer voldoende om in je privacy verklaring of cookie verklaring aan te geven welke soorten trackers je gebruikt en vertelt hoe een gebruiker cookies verwijdert in de browser. Dit heeft namelijk alles te maken met de eerder aangehaalde opt-out vereisten van de AVG / GDPR. Als je de toestemming namelijk net zo makkelijk moet kunnen verwijderen of aanpassen als dat je het gegeven hebt, dan zal dezelfde cookie banner hierin moeten voorzien. Een cookie wall voorziet hier niet in aldus het oordeel van de Autoriteit Persoonsgegevens.
Registratie van toestemming (consent)
De verkregen toestemming/wijziging/verwijdering moet je volgens de AVG/GDPR registreren. In een log registreer je anoniem de gegeven toestemming of aanpassingen. Het log bestand stelt je in staat om te informeren hoe je aan de toestemming bent gekomen. Dit is ook een vereiste van de AVG/GDPR. Meer over opt-out in het kopje toestemming hieronder.
De komende e-Privacy regelgeving gaat hier toch straks over?
Ja en nee. De ePricacy regelgeving is er nog niet. Het idee was om deze samen met de AVG/GDPR op 25 mei 2018 in werking te laten treden. Er is een voorstel, maar dit moet nog door alle landen in de EU worden goedgekeurd. Het lijkt er op dat de ePrivacy regelgeving nog wel even op zich laat wachten. De ePrivacy regelgeving grijpt overigens terug op artikel 7 (“Voorwaarden voor toestemming”) van de AVG. Het is dus een aanvulling op de AVG/GDPR wetgeving.
In de komende ePrivacy regelgeving zijn er voorstellen om de privacy door middel van browser instellingen te kunnen regelen. Maar dat zal moeilijk te realiseren zijn aangezien er voor browser fabrikanten geen incentive is en de huidige, maar volgens mij ook toekomstige browser technologie hierin niet kan voorzien.
Toestemming gebruik van cookies
Onder de AVG/GDPR zal toestemming dus expliciet moeten worden gegeven door middel van een duidelijke actieve handeling. (artikel 7.1 van de AVG). Hieruit moet blijken dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn (persoons)gegevens instemt.
Dit betekent dat een “opt-out” optie (bijvoorbeeld een al ingevuld vinkje in een check box) geen geldige manier zal zijn om toestemming te verkrijgen. Een “opt-in” is daarom nodig, ook voor cookies. Zolang de bezoeker van de website niet expliciet middels een actieve handeling toestemming heeft gegeven, mogen cookies niet worden geplaatst. Als verschillende cookies of cookies voor meerdere doeleinden worden gebruikt, moet voor iedere cookie/doeleinde apart toestemming worden gegeven.
Opt-in en opt-out.
In Jip en Janneke taal betekent dit dat vooraf ingestelde “vinkjes” of een “check-box” niet voldoen. De website gebruiker zal zelf de vinkjes moeten aanvinken: opt-in (zie 1).

Bovendien geldt dat de toestemming te allen tijde ook aangepast of ingetrokken moet kunnen worden (opt-out).
Het verwijzen naar de browserinstellingen, zoals eerder aangegeven, is niet voldoende. Het intrekken van toestemming moet net zo gemakkelijk zijn als het geven ervan. Dit betekent dat er een “opt-out” knop toegevoegd moet worden op de pagina’s van je website. (Of in Jip en Janneke taal een “verwijder/pas mijn cookies aan” knop.)
Website moet toegankelijk blijven
Om ervoor te zorgen dat de toestemming vrijelijk kan worden gegeven, mag het niet geven van toestemming geen gevolgen hebben voor de betrokkene. Dit betekent dat website bezoekers alsnog gebruik moeten kunnen maken van de website (weliswaar met beperkingen), ook al hebben zij geen toestemming gegeven voor het gebruik van cookies.
Marketing kansen – betere kwaliteit van opt-in’s
Door de nieuwe regels hebben online marketeers er een grote uitdaging bij als het aankomt op het gebruik van marketing cookies. Er zal een mechanisme moeten zijn dat aan alle vereisten van de AVG/GDPR voldoet zoals beschreven in dit blog. Het creëert echter ook kansen. Cookies mogen ook onder de AVG/GDPR gebruikt worden als je maar voldoet aan de spelregels.
Het lijkt een grotere uitdaging dan het is, mits je over de juiste technologie beschikt. Door geheel transparant te zijn in het gebruik van cookies naar je website bezoeker, creëer je ook vertrouwen. Hierdoor zal de website bezoeker de marketing cookies accepteren (opt-in). Daarnaast denk ik dat je beter gekwalificeerde website bezoekers krijgt doordat je expliciet toestemming verkrijgt voor het plaatsen van cookies. Je weet dan dat je te maken hebt met website bezoekers die geïnteresseerd zijn in jouw product of diensten, waardoor de kwaliteit van retargetting verbeterd. Met behulp van video’s op je landing page, kun je overigens de opt-in op marketing cookies verbeteren.
Cookies veranderen maandelijks
30% van alle cookies en tracking technologieën verandert elke maand. Daarmee heb je als website eigenaar een hoop werk om je website bezoekers te informeren over de aanwezige cookies op je website. En dat moet je elke maand controleren en indien nodig aanpassen, ook op pagina met een privacy verklaring. Aangezien de AVG/GDPR verlangt dat je transparant bent in het verstrekken van informatie, wil je kunnen terugvallen op een geautomatiseerde oplossing die je cookies maandelijks scant. Op onze CookieInfo website hebben we een bonte verzameling van in gebruik zijnde cookies. Hiervoor vragen toestemming om deze te mogen plaatsen.

Maar we zien bijvoorbeeld ook websites met 50, 100 en soms wel meer dan 250 cookies. Het in kaart brengen en bijhouden van alle soorten cookies, trackers, beacons, etc. en de bijbehorende cookie verklaring is zeer tijdsintensief. Het is ook iets wat je kunt ondervangen met een goede technische oplossing. Daarnaast kan je ook automatisch een cookie verklaring opstellen.
Samenvattend
De impact van de AVG/GDPR op het gebruik van cookies op je website is groter dan je in eerste instantie zou denken. Je dient bezoekers van je website te voorzien in gedetailleerde informatie over de soorten cookies, de details van de cookies, de juiste opt-in en opt-out functionaliteit en de registratie van de gegeven toestemming (consent). Daarnaast verandert 30% van de cookies maandelijks en zul je deze moeten identificeren en aanpassen in je cookie verklaring. Wanneer je cookies op een transparante manier aanbiedt op je website, zullen website bezoekers eerder geneigd zijn tot een opt-in. En de opt-ins die je verkrijgt zijn daarmee van betere kwaliteit.
Wil je weten hoe je website voldoet aan de AVG en hoe je de kwaliteit van je opt-ins verhoogt? Probeer dan CookieInfo met behulp van de 14 dagen gratis proefperiode.
Probeer nu 14 dagen gratis Cookiebot
Cookie scanner, cookie banner, cookieverklaring en cookie toestemming in één.
- Cookies op je website gebruiken volgens AVG, ePrivacy en cookie wetgeving
- Cookiebeheer volledig geautomatiseerd
- Cookie banner op basis van jouw huisstijl
- Automatisch opgestelde cookieverklaring, altijd up to date
De Cookiebot oplossing draait op 1.4 miljoen Websites, beheert 5.2 miljard maandelijkse User Consents en Ondersteunt 47+ talen.