cookies laten voldoen AVG

Vooronderzoek AP: massale overtreding Cookiewet

De Autoriteit Persoonsgegevens (AP) heeft een controle uitgevoerd bij circa 175 websites van onder meer webshops, gemeenten en media of zij voldoen aan de eisen die aan het plaatsen van tracking cookies worden gesteld. Bijna de helft van de websites die gebruik maken van tracking cookies voldoet niet aan de toestemmingsvereisten. Nagenoeg alle gecontroleerde webshops voldoen hier niet aan. Daarmee overtreden zij de cookiewet. De organisaties achter deze websites hebben van de AP een brief ontvangen, waarin zij worden opgeroepen hun werkwijze, indien nodig, aan te passen. Op korte termijn start de AP een onderzoek naar de vraag of er op rechtmatige wijze gebruik wordt gemaakt van cookies. We leggen je in 6 stappen uit hoe je de cookies op jouw website wel kan laten voldoen aan de AVG: 

1. Verkrijg toestemming voordat cookies worden geplaatst

Het verkrijgen van toestemming vóórdat de cookies geplaatst worden (voorafgaande toestemming). De cookies mogen niet worden geplaatst voordat de bezoeker deze heeft geaccepteerd. Er zijn aanpassingen in de code of applicatie nodig om ervoor te zorgen dat de cookies niet automatisch worden geplaatst. Je kan ook gebruik maken van de 'automatische cookie blokkering', zodat je niet meer elk cookie hoeft te voorzien van een script/tag. 

2. Zorg ervoor dat keuzevakjes niet zijn aangevinkt

De “keuzevakjes” voor soorten cookies mogen niet vooraf aangevinkt zijn.

Vooraf aangevinkte keuzevakjes vallen niet onder een uitdrukkelijke en expliciete toestemming. Er kan hoogstens aangegeven worden dat een bezoeker geen bezwaar heeft tegen het plaatsen van cookies. Maar dat is echt iets anders dan een expliciete toestemming.

Op dinsdag 1 oktober 2019 is daar een uitspraak van het Hof van Justitie van de Europese Unie bovenop gekomen die dit nogmaals bevestigd:

Een vooraf aangevinkt selectievakje staat niet gelijk aan het geven van toestemming voor het plaatsen van cookies.

De uitspraak werd gedaan naar aanleiding van een zaak tussen het Duitse Planet49 en een Duitse consumentenorganisatie. Planet49 had in 2013 een loterij op de website geplaatst waarbij een selectievakje al vooraf was aangevinkt. Hiermee gaven deelnemers volgens het bedrijf toestemming aan de loterij voor het plaatsen van cookies.

De Duitse consumentenorganisatie vroeg zich af of een vooraf aangevinkt vakje volstaat als een geldige manier van toestemming. Dit omdat gebruikers volgens Europese wetgeving goed geïnformeerd, vrij en expliciet toestemming moeten kunnen geven voor het plaatsen van cookies.

Het Europese Hof van Justitie heeft de consumentenorganisatie hierin gelijk gegeven. Door het moeten uitvinken van het selectievakje moet de gebruiker een handeling uitvoeren om het plaatsen van cookies tegen te gaan, en dit is niet toegestaan.

Onze custom banner zonder voorafgeplaatste vinkjes

Een correct ingestelde cookie consent banner. De gebruiker dient zelf de selectievakjes aan te vinken

3. Laat je website website toegankelijk zijn gedurende de consent keuze (geen cookiewall)

Naar het oordeel van de Autoriteit Persoonsgegevens (AP) zijn op grond van de AVG cookiewalls niet meer toegestaan. Dit houdt verband met de wijze waarop toestemming wordt gevraagd en verkregen.(Bron: normuitleg over cookiewalls van de AP)

Het is voor aanbieders van websites mogelijk om bij het vragen van toestemming een onderscheid te maken tussen functionele en/of niet-privacygevoelige analytische cookies en tracking cookies en aldus de websitebezoeker alsnog de mogelijkheid te geven de website te raadplegen zonder in te stemmen met tracking cookies. Daarmee kan de bezoeker die niet ‘getracked’ wil worden, toch de site raadplegen.

Een cookiewall betekent dat je een website niet kunt bezoeken zonder dat er cookies geplaatst worden. Je hebt de keuze: of de website niet bezoeken of akkoord gaan met alle cookies.

Er zijn meerdere bedrijven die een cookiewall gebruiken. Dit is de cookiewall van de Volkskrant (oktober 2019)

Er zijn meerdere bedrijven die een cookiewall gebruiken. Dit is de cookiewall van de Volkskrant (oktober 2019)

4. Zorg ervoor dat cookie toestemming net zo makkelijk aangepast of ingetrokken kan worden als dat deze gegeven is.

De mogelijkheid voor gebruikers om van gedachten te veranderen en hun toestemming in te trekken, is een belangrijk onderdeel van de AVG. Het zou net zo makkelijk moeten zijn om toestemming in te trekken als dat het was om te geven. Met andere woorden, als je op een banner klikt om toestemming te geven, moet je ook op een banner kunnen klikken om je toestemming in te trekken.

Op de CookieInfo website kun je door één druk op de knop je toestemming wijzigen of intrekken.

Op de CookieInfo website kun je door één druk op de knop je toestemming wijzigen of intrekken.

5. Registreer de cookie toestemming

Sinds de AVG moet je kunnen aantonen dat alle gebruikers, die gevolgd en geprofileerd worden, hiermee hebben ingestemd. Websitehouders mogen volgens de EDPB (European Data Protection Board - Het overkoepelend orgaan van alle Europese privacy-toezichthouders) zelf manieren bedenken hoe ze dit willen vastleggen (loggen).

Je moet alle toestemmingen registreren en bijhouden, zodat je toegang hebt tot een bewijs van toestemming in het geval van een audit. Log in ieder geval het volgende:

    • Wie? Door bijvoorbeeld het IP-adres te loggen.
    • Wanneer? Door het tijdstip en datum te registreren.
    • Wat? Voor welke cookie-categorieën werd toestemming verleend.
Het log systeem van Cookiebot mét de mogelijkheid het log te downloaden.

Het log systeem van Cookiebot mét de mogelijkheid het toestemmings-log te downloaden.

6. Informeer je bezoekers over de details van de in gebruik zijnde cookies

Een cookieverklaring is verplicht als je met cookies op je website werkt. In een cookieverklaring of statement neem je op dat je cookies op je website gebruikt én welke dat zijn.

Maak een onderscheid in de soorten cookies (noodzakelijk, voorkeuren, statistieken en marketing)  en geef hier een omschrijving bij. Geef vervolgens per categorie aan welke cookies er gebruikt worden.

Tot slot moet je per cookie de volgende gegevens aan geven: naam, aanbieder, doel, vervaldatum en type. Bijvoorbeeld zoals onderstaand:

Naam, aanbieder, doel, vervaltermijn en type. In onze cookieverklaring is dit opgenomen

Naam, aanbieder, doel, vervaltermijn en type. In onze cookieverklaring is dit opgenomen

Wist je dat 30% van de cookies maandelijks verandert? Elke maand zou je dus de cookies op je website moeten controleren op alle pagina's van je website. Als er een wijziging heeft plaatsgevonden in een cookie, dan moet je dit in jouw cookieverklaring aanpassen. Het kan ook zijn dat er cookies bijgekomen zijn of dat er cookies verwijderd zijn. Dit moet je dan natuurlijk ook aanpassen in je cookieverklaring op je website

Laat de cookies op jouw website ook voldoen aan de AVG

Pak jouw website erbij en check aan de hand van bovenstaand lijstje hoe je in 6 stappen cookies kan laten voldoen aan de AVG en zonder de cookiewet te overtreden. Is het in orde? Dan hoef je verder niets meer te doen. Voldoen de cookies op jouw website nog niet aan de eisen van de AVG? Wellicht wil je dan beginnen met de '30 dagen gratis proefperiode' om te zien wat de oplossing voor jouw website kan betekenen. 

Delen