Nieuwe cookie-regels: wat moet je weten?
De AVG en cookies
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (WBP) geldt niet meer. Meer algemene informatie over de AVG vind je o.a. op de website van de Autoriteit Persoonsgegevens.
In die AVG is ook opgenomen hoe je met cookies op je website moet omgaan. Want met cookies verzamel je tenslotte persoonsgegevens en over de regels daaromtrent is het nu juist te doen.
Wat zijn cookies ook alweer?
Er zijn meerdere soorten cookies. Als eigenaar van een website kun je ervoor kiezen om één type cookie of om meer soorten cookies te gebruiken. Makkelijk gezegd zijn er drie soorten.
- Functionele cookies. Zonder deze cookies kan de website niet functioneren. Denk hierbij aan de cookies die ‘onthouden’ wat een klant in zijn winkelmandje heeft geplaatst.
- Analytische cookies. Deze cookies registeren hoe vaak een website bezocht wordt. Webmasters kunnen deze cookies zelf ontwikkelen, maar Google Analytics is een programma dat hiervoor veel gebruikt wordt.
- Tracking cookies. Deze cookies volgen het surfgedrag van een bezoeker op internet. Een voorbeeld is het zoeken naar een vakantie op de ene website, waarbij je vervolgens op andere sites de vakantie in advertenties tegenkomt.
Cookies hebben een looptijd. Sommige cookies worden verwijderd als de bezoeker de website sluit. Andere cookies zijn verbonden met de inlog op een site en kunnen daardoor jaren actief blijven.
Cookies en voormalige wetgeving
Op het plaatsen van tracking cookies was de Wet bescherming persoonsgegevens (WBP) en de Telecommunicatiewet (TW) van toepassing. Zoals gezegd is de WBP per 25 mei 2018 vervallen en is deze vervangen door de Europese Algemene Verordening Gegevensbescherming (AVG).
Je mag vanaf 25 mei 2018 alléén cookies gebruiken als de betrokken persoon voorzien is van duidelijke en volledige informatie over de cookies én daarvoor toestemming heeft gegeven.
Wat verandert er door de AVG?
Toestemming geven. De AVG vereist expliciete, ondubbelzinnige en actieve toestemming voor het gebruiken van cookies. De toestemming moet gegeven worden door een duidelijke, actieve handeling van de betrokken persoon, waaruit blijkt dat hij of zij vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn of haar persoonsgegevens instemt.
Zoso-tip. Een zogenaamde ‘opt-out’ waarbij geen toestemming gevraagd wordt, maar men op een makkelijke manier aan kan geven niet akkoord te gaan is per 25 mei niet voldoende. Een ‘opt-in’ is daarentegen wél voldoende.
Toestemming via ‘opt-in’. Met een ‘opt-in’ vraag je aan de websitebezoeker middels een actieve handeling toestemming cookies te mogen gebruiken. Zolang de websitebezoeker niet expliciet op een actieve wijze toestemming heeft gegeven, mag de cookie niet geplaatst worden.
Toestemming voor élk type cookie. Voor ieder cookie en ieder doel moet apart expliciete, actieve toestemming gegeven worden door de websitebezoeker. Dat geldt voor ieder type cookie én voor een type cookie dat voor meerdere doeleinden gebruikt wordt.
Toestemming intrekken. Vervolgens geldt dat de gegeven toestemming te allen tijde ingetrokken moet kunnen worden. Dit moet mogelijk zijn op dezelfde makkelijke manier als de wijze waarop de betrokkene de toestemming heeft verleend: verwijzen naar browserinstellingen is niet genoeg!
Vrijelijke toestemming. Toestemming geven moet vrijelijk gebeuren. Het niet geven van toestemming door de betrokkene mag geen gevolgen hebben voor het bezoeken van de website. Het kan echter zo zijn dat de website, zeker bij functionele cookies, niet (helemaal) werkt zoals deze werkt met cookies. Deze beperkingen zijn wel toegestaan.
Zoso-tip. Je mag straks geen zogenaamde cookiewall meer gebruiken zodat de website niet te bezoeken is als de bezoeker cookies niet toestaat. Beperkingen van de website omdat functionele cookies niet worden geaccepteerd, is wel toegestaan.
Informatieplicht. Je bent onder de AVG verplicht met betrekking tot cookies de volgende informatie te verstrekken:
- je moet uitleggen waarom cookies gebruikt (moeten) worden;
- of hiertoe een verplichting bestaat; en
- wat de consequentie is als de betrokkene besluit zijn toestemming niet te verlenen.
De informatie moet beknopt, transparant en begrijpelijk en in een makkelijk toegankelijke vorm worden toegepast. De taal moet duidelijk en eenvoudig zijn.
Dus: aan de slag?
Voldoet uw cookiebeleid aan de huidige WBP en TW? De informatieplicht die voortvloeit uit deze twee wetten sluit vrijwel geheel aan bij de AVG. Het grootste verschil zit hem enkel in de toestemmingshandeling. Gebruikt u momenteel alleen een opt-out-optie voor cookies of de enkele mededeling dat uw website cookies verzamelt? Dat is vanaf 25 mei aanstaande niet meer genoeg: de toestemming van de betrokken persoon moet actief verkregen worden.
Zoso-tip.
Zoso-website. Wij hebben alle Zoso klanten reeds gecontacteerd om eventuele aanpassingen door te voeren. Heeft u nog vragen? Neem dan snel contact op.
MijnRetail. Alle MijnRetail websites zijn AVG proof; daarover hoeft u zich geen zorgen te maken.
Wordpress-website. Lees dit artikel.