• BEL ONS: 020 - 7155220
  • NL
  • ENG

BEL ONS: 020 - 7155220

Cookiewet: regels en richtlijnen

NIEUWSUPDATE

07-04-2015

Op 3 februari 2015 is de Telecommunicatiewet (ook wel de cookiewet genoemd) aangenomen door de Eerste Kamer. Het plaatsen van Google Analytics cookies is, in tegenstelling tot de eerdere versie van de wet, wel toegestaan zonder expliciete melding op de website. 

cookies.620x250.75.Lanczos3.no.cc.0.jpeg

Voorwaarde is echter dat er geen privacygevoelige informatie wordt vastgelegd. Omdat de handhaving van deze wet door Autoriteit Consument en Markt serieus ter hand genomen wordt, is het verstandig je huidige cookiebeleid nog eens goed onder de loep te nemen. Een uitleg over cookies en de gewijzigde regels.

Soorten cookies

Cookies worden voor een breed aantal doeleinden ingezet en zijn voor website eigenaren belangrijke hulpmiddelen. Ze zorgen er bijvoorbeeld voor dat een website functioneert, maar worden ook gebruikt om surfgedrag vast te leggen, om de website te verbeteren of om gepersonaliseerde informatie te vertonen, op de website zelf of elders online. Een beknopt overzicht van de meest voorkomende categorieën cookies:  

 

Functionele cookies: deze zijn nodig om een dienst of webshop te laten functioneren. Dit zijn bijvoorbeeld bestanden die bijhouden wat er in een winkelwagentje zit. Hiervoor is ook geen toestemming nodig.

Voorbeelden van dit soort cookies zijn cookies voor fraudepreventie, cookies die gebruikersinstellingen en voorkeuren onthouden, het verkeer op de server in goede banen leiden (load balancing cookies) of cookies die het goed afspelen van multimedia bestanden technisch mogelijk maakt.

 

Trackingcookies: cookies die óf binnen een domein (first-party tracking) óf over verschillende domeinen (third-party tracking) gebruikt worden om surfgedrag van bezoekers vast te leggen, zodat het mogelijk is hen op basis hiervan gerichte aanbiedingen te doen (advertenties, bijvoorbeeld via remarketing) of gepersonaliseerde content te tonen. Conversiescripts voor o.a. Google Adwords, Linkedin, Facebook en Twitter vallen hier ook onder.

 

Testing of affiliate cookies: in principe zijn deze cookies 'vergunningsvrij', maar vaak worden deze cookies ook gebruikt om bepaalde profielinformatie te verzamelen van bezoekers en is toestemming vragen dus noodzakelijk. 

 

Analytics cookies: deze hebben nauwelijks gevolgen voor de privacy mits ze niet gebruikt worden om profielinformatie van de gebruiker te verzamelen. En aangezien Google Analytics gebruikers steeds vaker standaard de ´display functionaliteit´ activeren en via Universal Analytics de User ID implementeren, is wel extra actie vereist.

 

Zodra een Analytics cookie namelijk een unieke ID bevat dat bijvoorbeeld in combinatie met het IP adres of andere informatie, herleidbaar is om individuen het herkennen of  benaderen, dan is er sprake van invloed op de privacy. Het is daarbij niet van belang of je dit daadwerkelijk doet, alleen de technische mogelijkheid om dit te kunnen is al voldoende. Er moet in dit geval altijd om toestemming gevraagd worden.

Met een aantal aanpassingen in de instellingen van bijvoorbeeld Google Analytics en je privacy voorwaarden kan ervoor worden gezorgd dat aan deze voorwaarden wel wordt voldaan zodat geen toestemming hoeft te worden gevraagd.  Let er op dat behalve de cookiewet kan ook de Wet bescherming persoonsgegevens van toepassing zijn als een cookie ook persoonsgegevens verwerkt.

Google Analytics mag zonder toestemming worden geplaatst als een organisatie deze niet gebruikt  om profielinformatie van de gebruiker te verzamelen. Met een aantal stappen kun je ervoor zorgen dat GA correct is ingesteld: 

 

Verantwoordelijkheid

De wet is duidelijk: degene die de cookie plaatst is verantwoordelijk voor het verstrekken van "duidelijke en volledige informatie". 

Netwerken die advertenties verspreiden dienen dus afspraken te maken met de aangesloten uitgevers over hoe bezoekers worden geïnformeerd en toe moeten zien op de handhaving .

Toestemming krijgt je alleen als erom wordt gevraagd. Stilzwijgend instemmen bestaat dus niet. Toestemming is daarnaast vormvrij: het maakt niet uit hoe er toestemming wordt gegeven, zolang maar duidelijk is dat er toestemming wordt gegeven en waarvoor.

Toestemming vragen kan bijvoorbeeld via een pop-up. Voordeel is dat deze niet te missen zijn. Een iets vriendelijker methode is de balk onderin het scherm. Indien een bezoeker zich moet registreren dan kun je het geven van toestemming verwerken in deze procedure.

Toestaan of weigeren van het plaatsen van een cookie mag worden vastgelegd in een cookie. Deze valt namelijk onder de uitzonderingscategorie van cookies die strikt noodzakelijk zijn voor een dienst, net als bijvoorbeeld een login-cookie.

Informatieplicht

Degene die het cookie plaatst moet de bezoeker zo compleet mogelijk informeren over het doel en de aard van het cookie dat wordt geplaatst op de computer van de gebruiker. Gelukkig hoeft alle informatie niet in één keer te worden getoond maar kan in stappen worden gemeld.    

Het meest laagdrempelige medium is de banner die bij binnenkomst altijd wordt vertoond. Hierin wordt vermeld wat voor soort cookies worden geplaatst, wat het doel is (gebruikservaring verbeteren, gericht advertenties tonen etc.). Een cookienotificatie en toestemming hoeft dus niet zo veel aandacht op te eisen als bij Nu.nl of Telegraaf.nl het geval is.

xcookies-nu.png,qq=90.pagespeed.ic.FTShj

 

xcookies-telegraaf.png,qq=90.pagespeed.i

 

xcookies-rabobank.png,qq=90.pagespeed.ic

 

Als Publisher mag je in één keer toestemming vragen voor het plaatsen van cookies via meerdere domeinen. Dit hoeft niet altijd een website van dezelfde publisher te zijn: veel websites delen plaatsen en delen cookie informatie en profielen omdat hun diensten complementair zijn, bijvoorbeeld een autoverhuurder en een reisorganisatie. Ook hier geldt dat dit duidelijk kenbaar gemaakt moet worden.

Er moet duidelijk worden verteld hoe je je instellingen kunt aanpassen en hoe je als bezoeker toestemming geeft (bijvoorbeeld door op 'ja' te klikken). Hiermee borg je dat de bezoeker snapt dat die handeling in een cookie statement de juiste manier om bezoekers te informeren over toestemming geeft aan de website eigenaar om een cookie te plaatsen.

Tot slot is een cookiestatement, net als een privacystatement, verplicht. Een passage in de privacyverklaring is niet meer genoeg.  Zo'n cookiestatement moet te lezen zijn voordat er toestemming voor cookies gegeven is.  

In de cookie  statement staat wie de eigenaar is van de website(s) en wie er verantwoordelijk is voor de geplaatste cookies (first of third party cookies), wat voor cookies er worden geplaatst, hoe lang en waarom, hoe je als bezoeker bepaalde soorten cookies kunt weigeren.

Een voorbeeldtekst voor bijvoorbeeld een sessiecookie kan er als volgt uitzien:

Met behulp van een sessie cookie kunnen wij zien welke pagina's van deze website je hebt bezocht. We kunnen onze website met deze informatie aanpassen aan je surfgedrag en je daarmee een betere online ervaring bieden. Onze cookies worden automatisch verwijderd zodra je jouw webbrowser afsluit."

Test je beleid

De ACM heeft recentelijk forse boetes uitgedeeld aan bedrijven die het niet zo nauw namen met de nieuwe cookiewet. We helpen je graag verder, ook met het correct instellen van Google Analytics zodat er geen twijfel hoeft te bestaan of de instellingen van je Analytics cookie voldoet aan de nieuwe regels.