Vergroot contrast

Cookies

Cookies zijn kleine bestanden die de aanbieder van een website op de apparatuur van een bezoeker plaatst, bijvoorbeeld op een computer, telefoon of tablet. Met cookies kan informatie worden verzameld of opgeslagen over het websitebezoek of over (het apparaat van) de gebruiker.

Als de cookies ook bij bezoek aan een andere website kunnen worden uitgelezen, zijn het zogeheten tracking cookies. Met deze cookies kunnen organisaties het surfgedrag van mensen door de tijd heen volgen.

Uit de informatie over bezochte websites kunnen persoonlijke interesses worden afgeleid. Daarmee kunnen organisaties hun websitebezoekers bijvoorbeeld gerichte advertenties tonen. Tracking cookies maken het mogelijk om profielen van mensen op te stellen en hen anders te behandelen. Met tracking cookies worden doorgaans persoonsgegevens verwerkt.

Wettelijke regels

Voor het gebruik van cookies gelden wettelijke regels. Dat zijn in de eerste plaats regels uit de Telecommunicatiewet (Tw). Maar op tracking cookies (in combinatie met overige gegevens die over het websitebezoek worden verzameld) is ook de Wet bescherming persoonsgegevens (Wbp) van toepassing.

Aanbevelingen Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens heeft een aantal onderzoeken gedaan naar de toepassing van tracking cookies. Op grond hiervan doet de Autoriteit Persoonsgegevens aanbevelingen aan websitehouders hoe zij aan de Wbp kunnen voldoen als zij tracking cookies willen plaatsen en uitlezen via hun website. Zie hiervoor Vragen over cookies van organisaties.

Let op: deze aanbevelingen gaan alleen over tracking cookies. Uitleg over de wettelijke eisen aan andere soorten cookies is te vinden op de website van de Autoriteit Consument en Markt (ACM).

Nieuws

Alle nieuwsberichten over het onderwerp 'Cookies'

Alle antwoorden op mijn vragenVragen van internetgebruikers over cookies

  • Mogen organisaties tracking cookies plaatsen op mijn computer?

    Dat mag alleen als u daarover bent geïnformeerd en u er toestemming voor heeft gegeven. Pas dan mogen organisaties tracking cookies plaatsen op uw apparatuur, zoals uw computer, laptop of smartphone.

    Tracking cookies worden bijvoorbeeld geplaatst door online winkels, reisorganisaties, online videokanalen, zoekmachines of advertentienetwerken. Maar ook sociale media-cookies kunnen worden gebruikt om uw gedrag op internet te volgen.

    Informatie over tracking cookies

    Degene die tracking cookies wil plaatsen, moet vooraf informatie geven over:

    • welke cookies gebruikt worden;
    • welke persoonsgegevens van u worden verwerkt;
    • wat daarmee gebeurt.

    De informatie over cookies moet in beeld komen vóórdat er cookies geplaatst worden. Dit kan bijvoorbeeld met een informatiebalk en knoppen waarmee u kunt aangeven of u de tracking cookies accepteert of weigert.

    Het is niet genoeg als de organisatie u alleen maar verwijst naar bijvoorbeeld de algemene voorwaarden of een privacyverklaring.

  • Welke gevolgen hebben tracking cookies voor mijn privacy?

    Als organisaties tracking cookies op uw apparatuur (zoals uw computer, laptop of smartphone) plaatsen, kunnen zij bijhouden welke internetpagina’s u bezoekt.

    Uit de informatie over uw bezoeken aan websites van verschillende bedrijven gedurende een bepaalde tijd kunnen zij afleiden wat uw voorkeuren en interesses zijn. Op basis daarvan kunnen zij u persoonlijke aanbiedingen doen.

    Aan de ene websitebezoeker wordt andere informatie getoond dan aan de andere bezoeker. Dit gebeurt op basis van profielen waar u zelf geen toegang toe heeft. Dit brengt privacyrisico’s met zich mee. Bijvoorbeeld dat u anders wordt behandeld.

  • Hoe kan ik tracking cookies weigeren?

    De ideale situatie is wanneer de websiteaanbieder u als gebruiker informeert over tracking cookies en de keuze biedt om hier ‘ja’ of ‘nee’ tegen te zeggen. In dat geval kunt u tracking cookies weigeren door op ‘nee’ te klikken.

    Sommige websites vermelden dat zij uitgaan van uw toestemming als u doorgaat met het gebruik van de site nadat een informatiebalk in beeld is verschenen. Deze vorm van toestemming vragen is alleen toegestaan als de informatie duidelijk in beeld was. En u een duidelijke keuze heeft kunnen maken om de website verder te bezoeken of naar een andere website te gaan met vergelijkbare inhoud.

    Wilt u die website toch bezoeken? Dan kunt u er ook voor kiezen om de geplaatste cookies meteen na uw bezoek aan de website te verwijderen. Dit doet u via het privacy- of instellingenmenu van uw internetbrowser. Zie Veiliginternetten.nl voor uitleg over de instellingen van de meest gebruikte browsers.

    Overheidswebsites

    Overheidsorganisaties moeten u altijd toegang geven tot hun website, ook als u de tracking cookies weigert. Daarom moeten deze websites u altijd een duidelijke weigermogelijkheid bieden.

  • Waar kan ik terecht als ik een vraag of klacht heb over cookies?

    Neem in eerste instantie contact op met de houder (eigenaar) van de website die u bezocht toen de cookies geplaatst werden. Worden via deze website cookies geplaatst door een derde partij? Dan kunt u ook die derde partij benaderen. De websitehouder en de derde partij zijn allebei verplicht u hierover informatie te verstrekken.

    Voor algemene informatie en/of klachten over cookies kunt u terecht bij de Autoriteit Consument en Markt (ACM).

    Heeft u een klacht over tracking cookies en het gebruik dat via die cookies wordt gemaakt van uw persoonsgegevens? En reageert de houder van de website niet of bent u niet tevreden met de reactie? Dan zijn er vervolgstappen die u kunt zetten.

Alle antwoorden op mijn vragenVragen van organisaties over cookies

  • Wat zijn de belangrijkste regels voor het plaatsen van cookies?

    De hoofdregels voor het plaatsen van cookies staan in de Telecommunicatiewet (Tw). Op grond van artikel 11.7a van de Tw moet u de internetgebruikers informeren over het plaatsen en/of uitlezen van cookies op hun apparaat (zoals hun computer, laptop of smartphone). Vervolgens moet u de gebruikers daarvoor in veel gevallen om toestemming vragen.

    Er zijn uitzonderingen op het toestemmingsvereiste. Bijvoorbeeld als de cookies technisch noodzakelijk zijn om de website goed te laten werken. Denk hierbij aan het gebruik van een cookie om de inhoud van een winkelwagentje te onthouden. Ook is er een uitzondering voor bepaalde analytische cookies.

    Analytische cookies

    Op 11 maart 2015 is de Telecommunicatiewet aangepast. U heeft nu ook geen toestemming meer nodig voor het plaatsen van analytische cookies, mits u die cookies alleen gebruikt om bezoekers te tellen.

    Met analytische cookies krijgt u beter inzicht in het functioneren van uw website. Kunt u de analytische cookies niet gebruiken om mensen anders te behandelen? Dan hebben ze nauwelijks gevolgen voor de privacy van de bezoekers van uw website. En hoeft u er geen toestemming meer voor te vragen.

    Meer informatie

  • Hoe kan ik aan de regels uit de Wbp voldoen als ik tracking cookies wil gebruiken?

    Verwerkt u met tracking cookies persoonsgegevens van de bezoekers aan uw website? Dan moet u (ook) aan de regels uit de Wet bescherming persoonsgegevens (Wbp) voldoen. De belangrijkste vereisten zijn dat u:

    • een zogeheten grondslag heeft voor de gegevensverwerking;
    • bezoekers tijdig en adequaat informeert over: de soorten persoonsgegevens die u verwerkt, de (gerechtvaardigde) doeleinden waarvoor u de gegevens (verder) verwerkt, de soorten bedrijven aan wie u de persoonsgegevens verstrekt en de bewaartermijn van de gegevens;
    • de gegevens goed beveiligt.

    Meer informatie over de regels uit de Wbp leest u in de Handleiding Wet bescherming persoonsgegevens.

  • Welke grondslag uit de Wbp komt in aanmerking voor het gebruik van tracking cookies?

    Als u tracking cookies gebruikt, moet u zich kunnen beroepen op een grondslag in de Wet bescherming persoonsgegevens (Wbp). Er zijn in de Wbp meerdere grondslagen mogelijk voor de verwerking van persoonsgegevens. Bij tracking cookies gaat het echter om gegevens van gevoelige aard over het surfgedrag van mensen, die kunnen worden gebruikt om mensen anders te behandelen. Daarom is de enige mogelijke grondslag voor het gebruik van tracking cookies ondubbelzinnige toestemming van de websitebezoeker (artikel 8, onder a, van de Wbp).

    Dit betekent dat de bezoeker een duidelijke keuze moet hebben om toestemming te geven of te weigeren. Uit het nalaten van een handeling (bijvoorbeeld als een gebruiker niet via zijn browser heeft gekozen om tracking cookies te weigeren) kunt u geen toestemming afleiden. Ook als u verwijst naar uw privacybeleid, is dit onvoldoende.

    Als u bezoekers een informatiebalk aanbiedt met een duidelijke keuze tussen ‘ja’ en ‘nee’, voldoet u in ieder geval aan het keuzevereiste voor ondubbelzinnige toestemming. Mits u uiteraard geen cookies plaatst voordat de bezoeker zijn keuze heeft gemaakt.

  • Welke informatie moet ik mijn bezoekers precies geven over tracking cookies?

    Om rechtsgeldige toestemming te krijgen voor het plaatsen van tracking cookies, moet u uw websitebezoekers eerst informeren over de soorten persoonsgegevens die u via de cookies verzamelt en verwerkt, over de doeleinden van de gegevensverwerking, de categorieën bedrijven aan wie u de gegevens verstrekt, de bewaartermijn en zoveel nadere informatie als nodig is om uw bezoekers een eerlijk beeld te geven van de gegevensverwerking.

    Soorten persoonsgegevens

    Geef informatie over de soorten persoonsgegevens die u verzamelt en verwerkt met tracking cookies. Denk daarbij in ieder geval aan:

    • bezochte webpagina's;
    • IP-adressen;
    • cookie-inhoud;
    • referrer-URL;
    • eventuele overige gegevens die u verzamelt, zoals gegevens over de gebruikte randapparatuur en instellingen van de software op het apparaat.

    Doeleinden

    Laat uw bezoekers weten waarvoor u hun persoonsgegevens verzamelt en verwerkt. Doet u dit bijvoorbeeld voor het (laten) tonen van gerichte advertenties, het gebruik van sociale media, websitestatistieken, het opstellen van interesseprofielen, het tonen van aanbevelingen, marktanalyse, doelgroep-analyse en/of verbetering van de navigatie op uw website?

    Let op: een algemeen doeleinde als 'verbeteren van de dienstverlening' is onvoldoende specifiek.

    Verstrekken van persoonsgegevens

    Informeer over de soorten derde partijen waaraan u de persoonsgegevens verstrekt. Noem advertentienetwerken, eventuele sociale media en andere partijen die via uw website tracking cookies plaatsen bij naam, evenals de namen van de cookies en informatie over het doeleinde van de verwerking.

    Bewaartermijn

    Informeer bezoekers per cookie over de bewaartermijn. Controleer de levensduur van de tracking cookies die via uw website worden geplaatst. Beoordeel vervolgens of de bewaartermijn noodzakelijk is voor het doeleinde.

    Een bewaartermijn van een half jaar of langer is snel bovenmatig, ook omdat de termijn elke keer met een half jaar wordt verlengd bij bezoek aan deze of een andere website die dit cookie plaatst.

    Alleen sociale media

    Wilt u op uw website alleen een paar sociale media-buttons opnemen, om bezoekers in staat te stellen artikelen te delen? En gebruikt u geen andere tracking cookies? Dan is er een goede technische oplossing om bezoekers voor deze cookies afzonderlijk toestemming te laten geven. Dit is de zogeheten 'Shariff eenkliks'-oplossing.

    U stelt uw bezoekers hiermee in staat om zelf te bepalen of zij tracking cookies voor sociale media willen accepteren. De buttons (en daarmee de tracking cookies) worden pas geactiveerd op het moment dat een bezoeker actief op een dergelijke button klikt.

  • Mijn tracking cookies zijn anoniem, dan verwerk ik toch geen persoonsgegevens?

    Sommige organisaties stellen zich op het standpunt dat zij met tracking cookies geen persoonsgegevens verwerken. Dat is doorgaans onjuist. Bij het plaatsen en uitlezen van tracking cookies worden altijd andere gegevens verzameld, zoals IP-adressen, gegevens over eerder bezochte websites en soms gegevens waarmee de randapparatuur uniek kan worden herkend op internet.

    Deze gegevens zijn persoonsgegevens, los of in combinatie met elkaar. Ook als u als websitehouder er zelf geen naam of adres aan vast kunt plakken. Bij de definitie van persoonsgegevens gaat het namelijk niet alleen om gegevens die u zelf kunt gebruiken om iemand te identificeren, maar ook om gegevens die een ander kan gebruiken om iemand te identificeren (indirecte herleidbaarheid).

    Los daarvan is het doeleinde van tracking cookies juist om het gedrag van een specifieke persoon op internet te volgen en hem op basis van de informatie over zijn internetgedrag anders te kunnen behandelen.

    Het feit dat u of het advertentienetwerk dat via uw website tracking cookies plaatst de naam van de websitebezoeker niet kent, laat onverlet dat u (en het advertentienetwerk) informatie kan combineren over het surfgedrag van één specifieke persoon en die persoon (via advertenties) ook gericht kan benaderen.

    Anonimiseren

    Het anonimiseren van persoonsgegevens is een verwerking van persoonsgegevens. Ook als u de gegevens meteen anonimiseert, moet u dus bij het verzamelen nog toestemming vragen op basis van adequate informatie.

    Daadwerkelijk onomkeerbaar anonimiseren is overigens niet eenvoudig. In veel gevallen is in de praktijk sprake van zogeheten pseudonimisering. Dat kan een goede maatregel zijn om bijvoorbeeld beveiligingsrisico's te verkleinen. Maar ook pseudoniemen (versleutelde gegevens) blijven doorgaans persoonsgegevens, onder meer omdat deze nog steeds herleidbaar zijn tot personen. Zie voor meer informatie de opinie van de Artikel 29-werkgroep over anonimisering.

  • Hoe kan ik Google Analytics privacyvriendelijk instellen?

    Gebruikt u Google Analytics, dan verwerkt u met de analytische cookies persoonsgegevens van uw websitebezoekers. U moet hierbij in principe zowel voldoen aan de Telecommunicatiewet (uw bezoekers informeren en om toestemming vragen) als aan de Wet bescherming persoonsgegevens (Wbp).

    Maar zorgt u ervoor dat de cookies geen of geringe gevolgen hebben voor de privacy van uw websitebezoekers? Dan hoeft u geen toestemming meer te vragen voor de cookies. U kunt hiervoor de Handleiding privacyvriendelijk instellen Google Aanlytics van de Autoriteit Persoonsgegevens gebruiken. In 4 stappen leert u hoe u Google Analytics privacyvriendelijk instelt.

    Andere analytics-programma’s

    De Autoriteit Persoonsgegevens gaat hier specifiek in op Google Analytics, omdat dit de meest gebruikte analytics-dienst is op websites in Nederland. De Autoriteit Persoonsgegevens wil hiermee geen oordeel geven over andere marktpartijen.

    Er bestaat ook software die websitehouders op hun eigen webserver kunnen installeren, waarbij de privacyrisico's veel geringer zijn.

    Analytics en profilering

    Er zijn ook marktpartijen die analytics-diensten combineren met profilering van websitebezoekers, bijvoorbeeld onder de noemer audience measurement. Wordt met deze cookies informatie verzameld over het surfgedrag van individuele bezoekers aan meerdere websites gedurende een langere periode? En kunnen deze cookies worden gebruikt om mensen individueel te benaderen? Dan zijn het tracking cookies. U moet dan voorafgaande toestemming aan uw bezoekers vragen.

    Toestemming vragen

    Op grond van artikel 11.7a van de Telecommunicatiewet bent u verplicht om toestemming te vragen aan uw websitebezoekers voor het plaatsen van tracking cookies en cookies voor remarketing.

    Op 11 maart 2015 is de Telecommunicatiewet aangepast. U heeft nu geen toestemming meer nodig voor het plaatsen van analytische cookies, mits u die cookies alleen gebruikt om bezoekers te tellen en u de gegevens niet (ook) kan gebruiken om mensen anders te behandelen.

    U verwerkt met dit soort 'onschuldige' analytische cookies nog steeds persoonsgegevens. Maar de verwerking is dan mogelijk met een beroep op de grondslag van de noodzaak ter behartiging van uw gerechtvaardigd belang (artikel 8, onder f, van de Wbp). Dit houdt in dat u ook op grond van de Wbp geen toestemming meer hoeft te vragen.

    Uitzondering: wel toestemming vragen

    Let op: toont u op uw website ook advertenties met Google DoubleClick- en/of AdSense-diensten (inclusief vanuit lokaal domein geplaatste gads_cookies)? Dan combineert Google de gegevens van de analytic-cookies met de DoubleClick- en/of AdSense-gegevens. Beide cookies worden op dat moment tracking cookies. Voor deze gegevensverwerking moet u wél toestemming vragen aan uw websitebezoekers. Het doorlopen van de 4 stappen om Google Analytics privacyvriendelijk in te stellen is dan niet voldoende om in overeenstemming te handelen met de Wbp.