Vergroot contrast

Cookies

Cookies zijn kleine bestanden die de aanbieder van een website op de apparatuur van een bezoeker plaatst. Bijvoorbeeld op een computer, telefoon of tablet. Met cookies kan informatie worden verzameld of opgeslagen over het websitebezoek of over (het apparaat van) de gebruiker.

Tracking cookies

Als de cookies ook bij bezoek aan een andere website kunnen worden uitgelezen, noemen we dit tracking cookies. Met deze cookies kunnen organisaties het internetgedrag van mensen door de tijd heen volgen.

Uit de informatie over bezochte websites kunnen persoonlijke interesses worden afgeleid. Daarmee kunnen organisaties hun websitebezoekers bijvoorbeeld gerichte advertenties tonen.

Tracking cookies maken het mogelijk om profielen van mensen op te stellen (profiling) en hen anders te behandelen. Met tracking cookies worden doorgaans persoonsgegevens verwerkt.

Wettelijke regels voor cookies

Voor het gebruik van cookies gelden wettelijke regels. Dat zijn in de eerste plaats regels uit de Telecommunicatiewet (Tw).

Maar op tracking cookies (in combinatie met overige gegevens die over het websitebezoek worden verzameld) is ook de Algemene verordening gegevensbescherming (AVG) van toepassing.

Aanbevelingen Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) heeft een aantal onderzoeken gedaan naar de toepassing van tracking cookies. Op grond hiervan doet de AP aanbevelingen aan websitehouders hoe zij aan de AVG kunnen voldoen als zij tracking cookies willen plaatsen en uitlezen via hun website. Zie hiervoor Vragen van organisaties over cookies.

Let op: deze aanbevelingen gaan alleen over tracking cookies. Uitleg over de wettelijke eisen aan andere soorten cookies is te vinden op de website van de Autoriteit Consument en Markt (ACM).

Nieuws

Alle nieuwsberichten over het onderwerp 'Cookies'

Alle antwoorden op mijn vragenVragen van organisaties over cookies

  • Wat zijn de belangrijkste regels voor het plaatsen van cookies?

    De hoofdregels voor het plaatsen van cookies staan in de Telecommunicatiewet (Tw). Op grond van artikel 11.7a van de Tw moet u de bezoekers van uw website informeren over het plaatsen en/of uitlezen van cookies op hun apparaat (zoals hun computer, laptop of smartphone). Vervolgens moet u de bezoekers daarvoor in veel gevallen om toestemming vragen.

    Functionele cookies

    Er zijn uitzonderingen op het toestemmingsvereiste. Bijvoorbeeld als de cookies technisch noodzakelijk zijn om de website goed te laten werken. Denk hierbij aan het gebruik van een cookie om de inhoud van een winkelwagentje te onthouden. Dit noemen we functionele cookies.

    Analytische cookies

    Ook is er een uitzondering voor bepaalde analytische cookies. U heeft geen toestemming nodig voor het plaatsen van analytische cookies, mits u die cookies alleen gebruikt om bezoekers te tellen. Met analytische cookies krijgt u beter inzicht in het functioneren van uw website.

    Kunt u de analytische cookies niet gebruiken om mensen anders te behandelen? Dan hebben ze nauwelijks gevolgen voor de privacy van de bezoekers van uw website. En hoeft u er geen toestemming voor te vragen. Maar let op: u moet uw websitebezoekers nog steeds informeren over het plaatsen van deze cookies.

    Meer informatie

  • Hoe kan ik aan de regels van de AVG voldoen als ik tracking cookies wil gebruiken?

    Verwerkt u met tracking cookies persoonsgegevens van de bezoekers aan uw website? Dan moet u (ook) aan de regels van de Algemene verordening gegevensbescherming (AVG) voldoen.

    De belangrijkste vereisten zijn dat u:

  • Welke grondslag uit de AVG komt in aanmerking voor het gebruik van tracking cookies?

    Als u tracking cookies gebruikt, moet u zich kunnen beroepen op een grondslag in de Algemene verordening gegevensbescherming (AVG). Er zijn in de AVG meerdere grondslagen mogelijk voor de verwerking van persoonsgegevens.

    Grondslag: ondubbelzinnige toestemming

    Bij tracking cookies gaat het echter om gegevens van gevoelige aard over het internetgedrag van mensen. Deze gegevens kunnen worden gebruikt om mensen anders te behandelen.

    Daarom is de enige mogelijke grondslag voor het gebruik van tracking cookies ondubbelzinnige toestemming van de websitebezoeker (artikel 6, lid 1, onder a, van de AVG).

    Toestemming vragen

    Dit betekent dat u uw websitebezoekers om toestemming moet vragen om tracking cookies te plaatsen. En dat de bezoeker een duidelijke keuze moet hebben om toestemming te geven of te weigeren.

    Uit het nalaten van een handeling kunt u geen toestemming afleiden. Bijvoorbeeld als een bezoeker niet via zijn browser heeft gekozen om tracking cookies te weigeren. Ook als u verwijst naar uw privacybeleid, is dit onvoldoende.

    Als u uw bezoekers een informatiebalk aanbiedt met een duidelijke keuze tussen ‘ja’ en ‘nee’, voldoet u in ieder geval aan het keuzevereiste voor ondubbelzinnige toestemming. Mits u uiteraard geen cookies plaatst voordat de bezoeker een keuze heeft gemaakt.

    Maar u moet ook kunnen aantonen dat bezoekers daadwerkelijk toestemming hebben gegeven voor het plaatsen van cookies.

  • Welke informatie moet ik mijn bezoekers precies geven over tracking cookies?

    Om rechtsgeldige toestemming te krijgen voor het plaatsen van tracking cookies, moet u uw websitebezoekers eerst informeren over:

    • de soorten persoonsgegevens die u via de cookies verzamelt en verwerkt;
    • de doeleinden van de gegevensverwerking;
    • de categorieën bedrijven waaraan u de gegevens verstrekt;
    • de bewaartermijn;
    • zo veel nadere informatie als nodig is om uw bezoekers een eerlijk beeld te geven van de gegevensverwerking.

    Soorten persoonsgegevens

    Geef informatie over de soorten persoonsgegevens die u verzamelt en verwerkt met tracking cookies. Denk daarbij in ieder geval aan:

    • bezochte webpagina's;
    • IP-adressen;
    • cookie-inhoud;
    • referrer-URL;
    • eventuele overige gegevens die u verzamelt, zoals gegevens over de gebruikte randapparatuur en instellingen van de software op het apparaat.

    Doeleinden

    Laat uw bezoekers weten waarvoor u hun persoonsgegevens verzamelt en verwerkt. Doet u dit bijvoorbeeld voor het (laten) tonen van gerichte advertenties, het gebruik van social media, websitestatistieken, het opstellen van interesseprofielen, het tonen van aanbevelingen, marktanalyse, doelgroepanalyse en/of verbetering van de navigatie op uw website?

    Let op: een algemeen doeleinde als 'verbeteren van de dienstverlening' is onvoldoende specifiek.

    Verstrekken van persoonsgegevens

    Informeer over de soorten derde partijen waaraan u de persoonsgegevens verstrekt. Noem advertentienetwerken, eventuele social media en andere partijen die via uw website tracking cookies plaatsen bij naam. Geef ook de namen van de cookies en informatie over het doeleinde van de verwerking.

    Bewaartermijn

    Informeer bezoekers per cookie over de bewaartermijn. Controleer de levensduur van de tracking cookies die via uw website worden geplaatst. Beoordeel vervolgens of de bewaartermijn noodzakelijk is voor het doeleinde.

    Een bewaartermijn van een half jaar of langer is snel bovenmatig. Dat komt ook doordat de termijn elke keer met een half jaar wordt verlengd bij bezoek aan deze of een andere website die dit cookie plaatst.

    Alleen social media

    Wilt u op uw website alleen een paar social media-buttons opnemen, zodat uw bezoekers artikelen kunnen delen? En gebruikt u geen andere tracking cookies? Dan is er een goede technische oplossing om bezoekers voor deze cookies afzonderlijk toestemming te laten geven. Dit is de 'Shariff eenkliks'-oplossing.

    U stelt uw bezoekers hiermee in staat om zelf te bepalen of zij tracking cookies voor social media willen accepteren. De buttons (en daarmee de tracking cookies) worden pas geactiveerd op het moment dat een bezoeker actief op een dergelijke button klikt.

  • Mijn tracking cookies zijn anoniem, dan verwerk ik toch geen persoonsgegevens?

    Nee, dat klopt niet. Ook al heeft u zelf geen naam en adres van uw websitebezoekers, u verwerkt doorgaans toch hun persoonsgegevens met tracking cookies. Bij het plaatsen en uitlezen van tracking cookies worden namelijk altijd andere gegevens verzameld, zoals IP-adressen, gegevens over eerder bezochte websites en soms gegevens waarmee de randapparatuur uniek kan worden herkend op internet.

    Indirect herleidbaar

    Deze gegevens zijn persoonsgegevens, los of in combinatie met elkaar. Ook als u als websitehouder er zelf geen naam of adres aan vast kunt plakken. Bij de definitie van persoonsgegevens gaat het namelijk niet alleen om gegevens die u zelf kunt gebruiken om iemand te identificeren, maar ook om gegevens die een ander kan gebruiken om iemand te identificeren (indirecte herleidbaarheid).

    Los daarvan is het doeleinde van tracking cookies juist om het gedrag van een specifieke persoon op internet te volgen en diegene op basis van de informatie over zijn of haar internetgedrag anders te kunnen behandelen.

    Het feit dat u, of het advertentienetwerk dat via uw website tracking cookies plaatst, de naam van de websitebezoeker niet kent, laat onverlet dat u (en het advertentienetwerk) informatie kan combineren over het surfgedrag van één specifieke persoon en die persoon (via advertenties) ook gericht kan benaderen.

    Anonimiseren

    Het anonimiseren van persoonsgegevens is een verwerking van persoonsgegevens. Ook als u de gegevens meteen anonimiseert, moet u dus bij het verzamelen nog toestemming vragen op basis van adequate informatie.

    Daadwerkelijk onomkeerbaar anonimiseren is overigens niet eenvoudig. In veel gevallen is in de praktijk sprake van pseudonimisering. Dat kan een goede maatregel zijn om bijvoorbeeld beveiligingsrisico's te verkleinen. Maar ook pseudoniemen (versleutelde gegevens) blijven doorgaans persoonsgegevens, onder meer omdat deze nog steeds herleidbaar zijn tot personen.

    Zie voor meer informatie de opinie van de Artikel 29-werkgroep over anonimisering.

  • Hoe kan ik bij Google Analytics de privacy van mijn websitebezoekers beschermen?

    Gebruikt u Google Analytics, dan verwerkt u met de analytische cookies persoonsgegevens van uw websitebezoekers. Dat heeft dus gevolgen voor hun privacy. U moet hierbij in principe zowel voldoen aan de Telecommunicatiewet (uw bezoekers informeren en om toestemming vragen) als aan de Algemene verordening geggevensbescherming (AVG).

    Google Analytics privacyvriendelijk instellen

    Maar zorgt u ervoor dat de cookies geen of geringe gevolgen hebben voor de privacy van uw websitebezoekers? Dan hoeft u geen toestemming meer te vragen voor de cookies. U kunt hiervoor de Handleiding privacyvriendelijk instellen Google Analytics van de Autoriteit Persoonsgegevens (AP) gebruiken. In 6 stappen leert u hoe u Google Analytics zo instelt dat u de privacy van uw bezoekers zo goed mogelijk beschermt.

    Andere analytics-programma’s & privacy

    De AP gaat hier specifiek in op Google Analytics, omdat dit de meest gebruikte analytics-dienst is op websites in Nederland. De AP wil hiermee geen oordeel geven over andere marktpartijen.

    Er bestaat ook software die websitehouders op hun eigen webserver kunnen installeren, waarbij de privacyrisico's veel geringer zijn.

    Analytics en profiling

    Er zijn ook marktpartijen die analytics-diensten combineren met profiling van websitebezoekers, bijvoorbeeld onder de noemer audience measurement.

    Wordt met deze cookies informatie verzameld over het surfgedrag van individuele bezoekers aan meerdere websites gedurende een langere periode? En kunnen deze cookies worden gebruikt om mensen individueel te benaderen? Dan zijn het tracking cookies.

    U moet dan voorafgaande toestemming aan uw bezoekers vragen.

    Toestemming vragen

    Op grond van artikel 11.7a van de Telecommunicatiewet (Tw) bent u verplicht om toestemming te vragen aan uw websitebezoekers voor het plaatsen van tracking cookies en cookies voor remarketing.

    U heeft op grond van de Tw geen toestemming nodig voor het plaatsen van analytische cookies, mits u die cookies alleen gebruikt om bezoekers te tellen en u de gegevens niet (ook) kan gebruiken om mensen anders te behandelen.

    U verwerkt met dit soort 'onschuldige' analytische cookies nog steeds persoonsgegevens. Maar de verwerking is dan mogelijk met een beroep op de grondslag van de noodzaak ter behartiging van uw gerechtvaardigd belang (artikel 6, lid 1, onder f van de AVG). Dit houdt in dat u ook op grond van de AVG geen toestemming hoeft te vragen.

    Uitzondering: wél toestemming vragen

    Let op: toont u op uw website ook advertenties met Google DoubleClick- en/of AdWords en/of AdSense-diensten? Dan combineert Google de gegevens van de analytic-cookies met de advertentiegegevens. De cookies worden op dat moment tracking cookies.

    Voor deze gegevensverwerking moet u wél toestemming vragen aan uw websitebezoekers. Het doorlopen van de 6 stappen om Google Analytics privacyvriendelijk in te stellen is dan niet voldoende om in overeenstemming te handelen met de AVG.

Alle antwoorden op mijn vragenVragen van internetgebruikers over cookies

  • Mogen organisaties tracking cookies plaatsen op mijn computer?

    Dat mag alleen als u daarover bent geïnformeerd en u er toestemming voor heeft gegeven. Pas dan mogen organisaties tracking cookies plaatsen op uw apparatuur, zoals uw computer, laptop of smartphone.

    Tracking cookies worden bijvoorbeeld geplaatst door webwinkels, reisorganisaties, online videokanalen, zoekmachines of advertentienetwerken. Maar ook social media-cookies kunnen worden gebruikt om uw gedrag op internet te volgen.

    Informatie over tracking cookies

    De organisatie die tracking cookies wil plaatsen, moet vooraf informatie geven over:

    • welke cookies gebruikt worden;
    • welke persoonsgegevens van u worden verwerkt;
    • wat daarmee gebeurt;
    • hoe lang die cookies worden bewaard of op uw apparaat blijven staan.

    De informatie over cookies moet in beeld komen vóórdat u toestemming geeft of weigert om cookies te laten plaatsen. Dit kan bijvoorbeeld met een informatiebalk en knoppen waarmee u kunt aangeven of u de tracking cookies accepteert of weigert.

    Het is niet genoeg als de organisatie u alleen maar verwijst naar bijvoorbeeld de algemene voorwaarden of een privacyverklaring.

  • Welke gevolgen hebben tracking cookies voor mijn privacy?

    Als organisaties tracking cookies op uw apparatuur (zoals uw computer, laptop of smartphone) plaatsen, kunnen zij bijhouden welke internetpagina’s u bezoekt.

    Uit de informatie over uw bezoeken aan websites van verschillende bedrijven gedurende een bepaalde tijd kunnen zij afleiden wat uw voorkeuren en interesses zijn. Op basis daarvan kunnen zij u persoonlijke aanbiedingen doen.

    Aan de ene websitebezoeker wordt andere informatie getoond dan aan de andere bezoeker. Dit gebeurt op basis van profielen waar u zelf geen toegang toe heeft. Dit brengt privacyrisico’s met zich mee. Bijvoorbeeld dat u anders wordt behandeld.

  • Hoe kan ik tracking cookies weigeren?

    Elke website die tracking cookies gebruikt, moet u vooraf om toestemming vragen om tracking cookies op uw apparaat (zoals uw laptop of telefoon) te plaatsen. Weigert u toestemming te geven, dan mag de website geen tracking cookies plaatsen.

    Geen geldige toestemming

    Volgens de Algemene verordening gegevensbescherming (AVG) is toestemming alleen geldig als deze ‘vrij’, ‘specifiek’, ‘geïnformeerd’ en ‘ondubbelzinnig’ is gegeven.

    In de volgende voorbeelden is er daarom géén sprake van geldige toestemming:

    • Websites die vermelden dat zij uitgaan van uw toestemming als u doorgaat met het gebruik van de site nadat een informatiebalk in beeld is verschenen. 
    • Standaard-instellingen waarbij alle categorieën cookies al zijn aangevinkt. 
    • Websites die u alleen kunt bezoeken als u toestemming geeft voor het plaatsen van tracking cookies.

    Toestemming aantonen

    De houder (eigenaar) van een website moet kunnen aantonen dat iedereen bij wie tracking cookes zijn geplaatst, ook daadwerkelijk toestemming hiervoor heeft gegeven.

    Overheidswebsites

    Overheidsorganisaties moeten u altijd toegang geven tot hun website. Ook als u de tracking cookies weigert. Daarom moeten deze websites u altijd een duidelijke mogelijkheid bieden om te weigeren.

    Noodzakelijke cookies

    Tracking cookies zijn niet noodzakelijk om een website goed te laten werken. Sommige andere soorten cookies zijn dat wel. Voor het plaatsen van die cookies hoeft een website geen toestemming te vragen.

  • Waar kan ik terecht als ik een vraag of klacht heb over cookies?

    Neem in eerste instantie contact op met de houder (eigenaar) van de website die u bezocht toen de cookies geplaatst werden. Worden via deze website cookies geplaatst door een derde partij? Dan kunt u ook die derde partij benaderen. De websitehouder en de derde partij zijn allebei verplicht u hierover informatie te verstrekken.

    Voor algemene informatie en/of klachten over cookies kunt u terecht bij de Autoriteit Consument en Markt (ACM).

    Heeft u een klacht over tracking cookies en het gebruik dat via die cookies wordt gemaakt van uw persoonsgegevens? En reageert de houder van de website niet of bent u niet tevreden met de reactie? Dan kunt u een klacht indienen bij de Autoriteit Persoonsgegevens.

Publicaties