Cookies
Cookies zijn kleine bestanden die de aanbieder van een website op de apparatuur van een bezoeker plaatst. Bijvoorbeeld op een computer, telefoon of tablet. Met cookies kan informatie worden verzameld of opgeslagen over het websitebezoek of over (het apparaat van) de gebruiker.
Tracking cookies
Als de cookies ook bij bezoek aan een andere website kunnen worden uitgelezen, noemen we dit tracking cookies. Met deze cookies kunnen organisaties het internetgedrag van mensen door de tijd heen volgen.
Uit de informatie over bezochte websites kunnen persoonlijke interesses worden afgeleid. Daarmee kunnen organisaties hun websitebezoekers bijvoorbeeld gerichte advertenties tonen.
Tracking cookies maken het mogelijk om profielen van mensen op te stellen (profiling) en hen anders te behandelen. Met tracking cookies worden doorgaans persoonsgegevens verwerkt.
Wettelijke regels voor cookies
Voor het gebruik van cookies gelden wettelijke regels. Dat zijn in de eerste plaats regels uit de Telecommunicatiewet (Tw).
Maar op tracking cookies (in combinatie met overige gegevens die over het websitebezoek worden verzameld) is ook de Algemene verordening gegevensbescherming (AVG) van toepassing.
Uitleg over de wettelijke eisen aan andere soorten cookies is te vinden op de website van de Autoriteit Consument en Markt (ACM).
Cookiewalls
Op grond van de AVG zijn cookiewalls niet toegestaan. Dat komt omdat de AVG bepaalde eisen stelt aan de benodigde toestemming voor het plaatsen van tracking cookies.
Met een cookiewall (cookiemuur) kunnen websites, apps of andere diensten géén geldige toestemming krijgen van hun bezoekers of gebruikers.
Bekijk binnen het onderwerp Cookies
Nieuws
-
Persbericht / 19 november 2021Europese privacytoezichthouders willen verbod op het online volgen van mensen
-
Nieuwsbericht / 8 december 2020Privacyblog Aleid Wolfsen: Slimmer dan uw online profiel
-
Nieuwsbericht / 10 december 2019AP: veel websites vragen op onjuiste wijze toestemming voor plaatsen tracking cookies
Alle antwoorden op mijn vragenVragen van organisaties over TCF
-
Mag ik op mijn website of in mijn app TCF gebruiken?
Nee. Het Transparency and Consent Framework (TCF) voldoet in de huidige vorm niet aan de Algemene verordening gegevensbescherming (AVG). Dat heeft de Belgische privacytoezichthouder GBA aangetoond.
-
Gaat de AP het verbod op het gebruik van TCF handhaven?
Gebruik van het Transparency and Consent Framework (TCF) in de huidige vorm is een overtreding van de Algemene verordening gegevensbescherming (AVG). En bij een overtreding van de AVG kan de AP besluiten om over te gaan tot handhaven.
Handhaving kan overigens niet alleen bestaan uit een boete of een last onder dwangsom. De AP kan bijvoorbeeld ook besluiten een websitebeheerder die TCF gebruikt een berisping op te leggen.
De AP doet nooit mededelingen over mogelijke onderzoeken. Dus ook niet over onderzoeken naar het gebruik van TCF.
-
Waarom zegt de AP niet voorlopig niet te handhaven op het gebruik van TCF? IAB Europe heeft toch 2 maanden gekregen om het systeem aan te passen?
Omdat het systeem in de huidige vorm niet aan de wet voldoet. Daarom heeft de Belgische privacytoezichthouder GBA aan IAB Europe een boete van 250.000 euro opgelegd voor het gebruik van het Transparency and Consent Framework (TCF). Daarnaast legde de GBA een last onder dwangsom op aan IAB Europe.
Die last onder dwangsom houdt in dat IAB binnen 2 maanden een actieplan moet maken om TCF wél aan de Algemene verordening gegevensbescherming (AVG) te laten voldoen.
Na eventuele goedkeuring van het actieplan door de Belgische toezichthouder, moet IAB Europe binnen 6 maanden de wijzigingen uit het actieplan implementeren. Lukt dat niet binnen de gestelde termijn? Dan moet IAB Europe 5.000 euro per dag betalen.
Dat IAB Europe naast de opgelegde boete het systeem moet verbeteren, is omdat het systeem in de huidige vorm niet aan de AVG voldoet.
Bij het gebruik van TCF zijn meerdere partijen betrokken: IAB Europe, de eigenaar van de website, de maker van de cookiemelding (consent management platform) en de deelnemende verkopers van advertenties (adtech-bedrijven).
IAB Europe heeft nu sancties opgelegd gekregen van de Belgische toezichthouder. Net als bij IAB Europe, kunnen privacytoezichthouders ook handhavend optreden bij de andere partijen die met TCF persoonsgegevens verwerken.
De AP zal vanzelfsprekend de bevindingen van de Belgen op het actieplan en het verdere verbetertraject nauwlettend volgen.
-
Mag ik op mijn website of in mijn app een ander systeem dan TCF gebruiken, dat ook gebruikers volgt en dat gegevens doorverkoopt?
Alleen als dat systeem aan de Algemene verordening gegevensbescherming (AVG) voldoet. Als u dat niet zeker weet, adviseert de AP het niet te doen.
De Belgische toezichthouder heeft nu aangetoond dat de huidige versie van het Transparency and Consent Framework (TCF) niet aan de AVG voldoet. En het is maar de vraag of andere systemen die gebruikers volgen en data van bezoekers doorverkopen, wél aan de AVG voldoen. Dat zou onderzoek moeten uitwijzen.
Het veiligst is om op zoek te gaan naar een alternatief voor zulke systemen. Een systeem dus dat gebruikers niet volgt en dus ook geen gegevens van gebruikers doorverkoopt.
Alle antwoorden op mijn vragenVragen van organisaties over cookies
- Wat zijn de belangrijkste regels voor het plaatsen van cookies?
- Hoe kan ik aan de regels van de AVG voldoen als ik tracking cookies wil gebruiken?
- Welke grondslag uit de AVG komt in aanmerking voor het gebruik van tracking cookies?
- Hoe vraag ik geldige toestemming voor tracking cookies?
- Welke informatie moet ik mijn bezoekers precies geven over tracking cookies?
- Mijn tracking cookies zijn anoniem, dan verwerk ik toch geen persoonsgegevens?
-
Hoe kan ik bij Google Analytics de privacy van mijn websitebezoekers beschermen?
Gebruikt u Google Analytics, dan verwerkt u met de analytische cookies persoonsgegevens van uw websitebezoekers. Dat heeft dus gevolgen voor hun privacy. U moet hierbij in principe zowel voldoen aan de Telecommunicatiewet (uw bezoekers informeren en om toestemming vragen) als aan de Algemene verordening gegevensbescherming (AVG).
Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan
Enkele Europese privacytoezichthouders rondden in 2022 onderzoeken af naar het gebruik van Google Analytics door websites in verschillende lidstaten van de EU. De AP heeft inmiddels het onderzoek afgerond naar twee van zulke websites van Nederlandse aanbieders.
Van de bevindingen is een rapport opgemaakt. Nu moet er nog een juridische procedure worden doorlopen door de afdeling Handhaven van de AP. De AP verwacht in de loop van 2022 te kunnen zeggen of het gebruik van Google Analytics is toegestaan of niet.
Google Analytics privacyvriendelijk instellen
Maar zorgt u ervoor dat de cookies geen of geringe gevolgen hebben voor de privacy van uw websitebezoekers? Dan hoeft u geen toestemming meer te vragen voor de cookies. U kunt hiervoor de Handleiding privacyvriendelijk instellen Google Analytics van de Autoriteit Persoonsgegevens (AP) gebruiken. In 6 stappen leert u hoe u Google Analytics zo instelt dat u de privacy van uw bezoekers zo goed mogelijk beschermt.
Andere analytics-programma’s & privacy
De AP gaat hier specifiek in op Google Analytics, omdat dit de meest gebruikte analytics-dienst is op websites in Nederland. De AP wil hiermee geen oordeel geven over andere marktpartijen.
Er bestaat ook software die websitehouders op hun eigen webserver kunnen installeren, waarbij de privacyrisico's veel geringer zijn.
Analytics en profiling
Er zijn ook marktpartijen die analytics-diensten combineren met profiling van websitebezoekers, bijvoorbeeld onder de noemer audience measurement.
Wordt met deze cookies informatie verzameld over het surfgedrag van individuele bezoekers aan meerdere websites gedurende een langere periode? En kunnen deze cookies worden gebruikt om mensen individueel te benaderen? Dan zijn het tracking cookies.
U moet dan voorafgaande toestemming aan uw bezoekers vragen.
Toestemming vragen
Op grond van artikel 11.7a van de Telecommunicatiewet (Tw) bent u verplicht om toestemming te vragen aan uw websitebezoekers voor het plaatsen van tracking cookies en cookies voor remarketing.
U heeft op grond van de Tw geen toestemming nodig voor het plaatsen van analytische cookies, mits u die cookies alleen gebruikt om bezoekers te tellen en u de gegevens niet (ook) kan gebruiken om mensen anders te behandelen.
U verwerkt met dit soort 'onschuldige' analytische cookies nog steeds persoonsgegevens. Maar de verwerking is dan mogelijk met een beroep op de grondslag van de noodzaak ter behartiging van uw gerechtvaardigd belang (artikel 6, lid 1, onder f van de AVG). Dit houdt in dat u ook op grond van de AVG geen toestemming hoeft te vragen.
Uitzondering: wél toestemming vragen
Let op: toont u op uw website ook advertenties met Google DoubleClick- en/of AdWords en/of AdSense-diensten? Dan combineert Google de gegevens van de analytic-cookies met de advertentiegegevens. De cookies worden op dat moment tracking cookies.
Voor deze gegevensverwerking moet u wél toestemming vragen aan uw websitebezoekers. Het doorlopen van de 6 stappen om Google Analytics privacyvriendelijk in te stellen is dan niet voldoende om in overeenstemming te handelen met de AVG.
Alle antwoorden op mijn vragenVragen van organisaties over cookiewalls
Alle antwoorden op mijn vragenVragen van internetgebruikers over cookies
Publicaties
- Brochure / 22 april 2022DownloadenPDFHandleiding privacyvriendelijk instellen Google Analytics
- Rapport / 16 mei 2017DownloadenPDFOnderzoeksrapport Facebook