-

Cookies plaatsen, toestemming vragen? 

Cookies houden de gemoederen flink bezig. Een tijd geleden verbood de Autoriteit Persoonsgegevens de cookiewall. En recentelijk heeft het Europees Hof van Justitie bepaald dat websites met een Facebook vind-ik-leuk knop medeverantwoordelijk zijn voor de gegevensverwerking. Hoe zit het nou, mogen er zomaar cookies worden geplaatst op een website? Moet er toestemming worden gevraagd, en zo ja, hoe doe je dat dan?

Nog even: Een cookie is een klein tekstbestand dat door een website op de harde schijf van je computer, telefoon of tablet wordt gezet op het moment dat je de site bezoekt. Dit klinkt simpel, maar dat is het niet. Er bestaat een veelheid aan technieken en het toepassingsbereik van de cookiewetgeving gaat dan ook verder dan enkel het plaatsen van cookies. Niet alleen cookies vallen onder deze beschrijving, maar ook pixels, Javascripts, Flash cookies, HTML5-local storage, web beacons, device fingerprinting en alle andere technieken waarbij gegevens worden geplaatst en/of uitgelezen. Slechts indien er in het geheel geen sprake is van het opslaan van gegevens dan wel het uitlezen van gegevens op de randapparatuur van de gebruiker is de Cookiewet niet van toepassing. 

Toestemming vragen

Voor de meeste organisaties is het inmiddels duidelijk dat ze toestemming moeten vragen voor het plaatsen van bepaalde (lees: de meeste) soorten cookies. Over hoe je die toestemmingsvraag nu moet inrichten bestaat nog veel onduidelijkheid. Toestemming is volgens de AVG pas rechtsgeldig wanneer deze aan de volgende voorwaarden voldoet: 

  • de toestemming moet specifiek zijn;
  • de toestemming moet op informatie berusten;
  • de toestemming moet in vrijheid gegeven zijn;
  • de toestemming moet een actieve handeling zijn.

Pas op het moment dat de toestemming is gegeven (lees: er op een ‘akkoord’-button is geklikt) mogen er cookies worden geplaatst. Deze strenge voorwaarden worden in de praktijk meestal met een korreltje zout genomen. Op website worden verschillende inventieve constructies gebruikt, zoals: “indien u verder klikt op onze website, gaat u akkoord met het gebruik van cookies die wij of derden plaatsen, waarmee wij of derden bepaalde persoonsgegevens verwerken voor doel A, B en C”. 

Dit wordt ook wel impliciete toestemming genoemd en is niet (meer) toegestaan. Het toevoegen van in ieder geval een ‘akkoord’- en een ‘niet akkoord’ (of: ‘meer informatie’) -button die de mogelijkheid biedt om te weigeren is vereist omdat het verder klikken op de website, hoewel ook dat een actieve handeling is, slechts impliciete toestemming inhoudt. Dat is dan ook niet voldoende. 

Cookiewall 

Naast de impliciete toestemmingsvraag, wordt op websites ook met enige regelmaat toestemming afgedwongen via de zogeheten ‘cookiewall’. Ondanks het verbod op de cookiewall dat de Autoriteit Persoonsgegevens op die beruchte donderdagmiddag in mei ’19 uitsprak, wordt deze beeldvullende pop-up nog steeds door een aantal grote partijen gebruikt. Een cookiewall maakt toegang tot websites onmogelijk totdat de websitebezoeker de beeldvullende ‘wall’ weg klikt door toestemming te geven voor trackingcookies. Maar op deze manier wordt toestemming niet in vrijheid gegeven. 

Informeer je websitebezoekers 

Waar de focus tegenwoordig vooral ligt op het vragen van toestemming via de cookiebanner, is het informeren via de (privacy- en) cookieverklaring minstens zo belangrijk. De AVG geeft een aantal minimale vereisten voor de cookieverklaring. In een cookieverklaring moeten in ieder geval de volgende punten terugkomen: 

  • de doeleinden voor het gebruik van de cookies;
  • de grondslag voor het plaatsen van de cookies (toestemming);
  • de soorten persoonsgegevens die via de cookies worden verzameld en verwerkt;
  • de ontvangers van de gegevens (juridische entiteiten);
  • de passende waarborgen voor verwerkingen buiten de EER, en hoe deze kunnen worden geraadpleegd;
  • de bewaartermijnen;
  • de rechten van betrokkenen (en de wijze waarop betrokkenen deze kunnen uitoefenen);
  • zo veel nadere informatie als nodig is om websitebezoekers een eerlijk beeld te geven van de gegevensverwerking.
Goed begin is het halve werk

Moraal van het verhaal is dat niet alleen voor de meeste cookies toestemming gevraagd moet worden, maar dat je dat ook op de juiste manier doet en websitebezoekers informeert in de (privacy- en) cookieverklaring. Niets is zo vervelend als wanneer automatisch advertentie- of social media cookies worden geplaatst.

Deel dit bericht

1 Reactie

Tiddo Mooibroek

Duidelijk, maar wat doe ik (burger/consument) dan als ik op een website stuit die hier niet correct mee om gaat (ik kom een jaar na dit artikel nog steeds veel impliciete toestemmings-trucjes tegen).

Kan je melden of zelfs aangifte doen, zo ja hoe

vr gr TBM

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond