Wat zijn cookies en waar moet je rekening mee houden als website-eigenaar? Heb je je website in de lijn met de geldende wetgeving ingericht?

Wat zijn cookies?

Een cookie is een klein gegevensbestand dat activiteit van een websitebezoeker bijhoudt en opslaat op bijvoorbeeld de harde schijf van de computer of op de smartphone. Het doel van het plaatsen van de cookie is om de bezoeker te identificeren en gebruikersgemak te bieden. Maar ook om informatie over het bezoek van de website vast te leggen om de website te kunnen verbeteren. Een cookie zorgt er bijvoorbeeld voor dat gegevens uit een winkelmandje van een bezoeker wordt onthouden of de juiste taalinstelling wordt getoond en opgeslagen.

Er zijn grofweg 3 verschillende soorten cookies te onderscheiden:

• functionele of noodzakelijke (om de website goed te kunnen laten functioneren bij een bezoek aan de website en de gevraagde dienst op de website te kunnen leveren); 
• analytische (voor het verbeteren van de website om bijvoorbeeld bezoekersstatistieken bij te houden);
• tracking cookies (op basis van de daarin opgenomen data wordt een profiel van het surfgedrag van bezoekers gemaakt om bijvoorbeeld afgestemde advertenties te kunnen tonen).

Daarnaast heb je nog affiliate cookies (die informatie geven over de effectiviteit van een getoonde advertentie die al dan niet heeft geleid tot een aankoop) en a/b-testing (die informatie geeft over op welke versie -versie a of versie b- van een bepaalde pagina van een website het vaakst geklikt wordt bijvoorbeeld).

En andere technologieën?

De term cookies is niet benoemd in de wet (artikel 11.7a Telecommunicatiewet). Deze wet staat, simpel gezegd, het verzamelen of uitlezen van gegevens waar de bezoeker aan is te herkennen onder voorwaarden toe. Er zijn verschillende technologieën die het mogelijk maken om gegevens op te slaan en te versturen, waaronder via cookies. Verder zijn er onder andere technologieën zoals local storage, logbestanden op de server, tracking pixels, indexedDB en Javascript. Tot Adobe Flash Player op 1 januari 2021 is gestopt, had je ook de welbekende Flash-cookies.

Het gaat er uiteindelijk om of je met de genoemde technologieën gegevens verzamelt of uitleest op het apparaat van de bezoeker. Als website-eigenaar dien je je ervan bewust te zijn welke technologieën je toepast op je website, omdat in bepaalde gevallen daar toestemming voor is vereist.

Vereisten voor een cookiebanner

Iemand die je site bezoekt, moet geïnformeerd worden over je cookiebeleid. De meest gebruikte methode is een cookiebanner. Voor die banner gelden een paar voorwaarden:

1. In de cookiebanner mogen geen cookies (behalve de noodzakelijke) vooraf zijn aangevinkt.
2. De keuze (voor toestemming of afwijzing) van de bezoeker moet worden geregistreerd.
3. Er moet een mogelijkheid zijn om de gegeven toestemming in te trekken.
4. Je cookiebanner informeert duidelijk over het soort informatie dat wordt geplaatst.

Cookies en toestemming

Op basis van de wet is toestemming nodig voor het opslaan of uitlezen van gegevens op apparatuur (al dan niet in combinatie met andere informatie) die gevolgen hebben voor de privacy van bezoekers op je website. Het betreft toestemming zoals de Algemene Verordening Gegevensbescherming (AVG) dat voorschrijft. Om die reden moet je als website-eigenaar ervoor zorgen dat er toestemming wordt gevraagd aan de bezoeker van je website voor het plaatsen van cookies en andere technologieën conform de AVG: enkel de noodzakelijke cookies mogen direct op je website worden geplaatst en voor de overige cookies is voorafgaande, geïnformeerde toestemming nodig. Hetzelfde dat geldt voor noodzakelijke cookies, geldt ook voor affiliate cookies en a/b-testing, mits geen gegevens worden opgeslagen of uitgelezen die invloed hebben op de privacy van bezoekers op je website.

Tracking cookies

De tracking cookies kunnen zowel first party als third party cookies zijn waarmee een profiel van het surfgedrag van bezoekers op je website wordt gemaakt. First party cookies zijn cookies door jou als website-eigenaar geplaatst en third party cookies zijn cookies die derden op je website plaatsen. Met name die laatste cookies zijn momenteel in opspraak door de strengere privacywetgeving, de AVG, en komende wetgeving (de e-Privacyverordening).

Google heeft bijvoorbeeld al aangekondigd om gepersonaliseerd te adverteren zonder dat de privacy van gebruikers wordt geschonden. Hoe dat precies vorm gaat krijgen zal de toekomst moeten uitwijzen. Voor jou als website-eigenaar is het door de opmars van de aandacht en wetgeving rondom privacy belangrijk dat je het gebruik van cookies en andere technologieën op je website in lijn met de geldende regelgeving inricht. Over tracking cookies en de juiste manier van toestemming vragen hebben we een aparte blog geschreven. Meer informatie over de AVG lees je hier.

Cookiewall (muur) toegestaan?

Onder de huidige wetgeving is een cookiemuur in principe niet verboden, behalve als het websites van overheidsinstellingen zijn. De Autoriteit Persoonsgegevens vindt daarentegen dat door het gebruik van een cookiemuur geen voorafgaande vrije toestemming kan worden gegeven, of kan worden geweigerd, zonder nadelige gevolgen en verbiedt daarom het gebruik van de cookiemuur. Tot op heden zijn de meningen daarover verdeeld. Het lijkt erop dat in de komende e-Privacyverordening de cookiemuur onder voorwaarden is toegestaan, maar zekerheid daarover is nog niet te geven.

Diensten van De IT-Jurist

De IT-Jurist helpt jou of je organisatie graag te voldoen aan de regelgeving over cookies. Wij staan midden in de praktijk en volgen de laatste ontwikkelingen op de voet. Of het nu gaat om het beantwoorden van je vragen over cookies of om het daadwerkelijke opstellen of reviewen van cookieverklaringen, cookiebeleid of overeenkomsten en andere documenten, wij helpen je graag verder! Kijk op onze expertisepagina Privacy of neem direct contact met ons op.