
Met de ingang van de AVG is er wat onduidelijkheid ontstaan over het gebruik van cookies op websites. Wat mag er nu nog wel en wat niet? We hebben het even voor je uitgezocht.
Een korte uitleg voor wie nog niet zo bekend is met cookies; dit zijn tekstbestandjes met informatie van een websitebezoeker die door de desbetreffende website wordt opgeslagen. Er zijn verschillende soorten cookies:
- Functionele cookies - hierdoor kan een website/webshop goed functioneren, bijvoorbeeld door bij te houden wat er in een winkelwagentje zit of inloggegevens op te slaan;
- Analytische cookies - hiermee kunnen (bezoekers)statistieken worden bijgehouden;
- Tracking cookies - hiermee wordt het individuele internetgedrag van bezoekers bijgehouden, waardoor er bijvoorbeeld specifieke advertenties op deze bezoekers gericht kunnen worden;
- Third party cookies - ook dit zijn tracking cookies, maar deze worden door een andere website (derde partij) op de desbetreffende website geplaatst om bezoekers te kunnen tracken en zo gericht te adverteren.
De verwarring over het gebruik van cookies is ontstaan omdat de Europese Commissie sinds januari 2017 bezig is met het wetsvoorstel voor een nieuwe ePrivacy Verordening, die onder andere gaat over e-mail, cookies en telemarketing. Het was de bedoeling dat deze tegelijk met de AVG in zou gaan, maar de deadline hiervoor is niet gehaald. Hij gaat naar verwachting eind 2019 in.
Wat zijn op dit moment de regels wat betreft cookies? Om cookies te plaatsen die geen of weinig inbreuk maken op de privacy (functionele en analytische cookies) is er geen expliciete toestemming van de websitebezoeker nodig. Voor de tracking cookies geldt dat wel. De AVG gaat uiteraard niet over cookies, maar wél over bescherming van persoonsgegevens. Omdat bij tracking cookies persoonsgegevens worden doorgegeven, is op dit soort cookies de AVG van toepassing. Persoonsgegevens mogen volgens de AVG alleen verwerkt worden als hier een ‘geldige reden’ aan ten grondslag ligt (bijvoorbeeld voor het uitvoeren van een overeenkomst). Is er niet zo’n reden? Dan is er toestemming nodig van de bezoeker voor het uitwisselen van de gegevens.
Met de huidige cookiewet heb je dus toestemming nodig voor het plaatsen en uitlezen van privacygevoelige cookies. Slechts de bezoeker informeren is hierbij niet meer genoeg; de toestemming moet worden vastgelegd door middel van een actieve handeling. Hoe doe je dat? Totdat de ePrivacy Verordening ingaat, is het voorlopig het beste om een heldere, transparante “Ik ga akkoord/Ik ga niet akkoord” button bij de tekst over cookies op je website te tonen, zodra de bezoeker daar aankomt. Daarbij kun je verwijzen naar de cookieverklaring op je website, waarin meer wordt uitgelegd over de cookies en met welke reden ze geplaatst worden. Let op: deze toestemming moet je op zo’n manier opslaan dat je het duidelijk kunt laten zien, mocht dat ooit nodig zijn.
We hopen op meer duidelijkheid over cookies met de komst van de ePrivacy Verordening!
Bronnen: Thuiswinkel.org, Rijksoverheid