Heldere en misleidende cookiebanners
Wanneer mensen een website bezoeken, krijgen zij vaak een cookiebanner te zien (ook wel cookiemelding of cookiepop-up genoemd). Met een cookiebanner legt een organisatie aan websitebezoekers uit hoe hun persoonsgegevens worden verzameld met cookies, en waarom.
Op deze pagina
Websitebezoekers kunnen met een cookiebanner kiezen voor welke cookies zij wel of niet toestemming willen geven. Het is belangrijk dat zij grip houden op hun persoonsgegevens. In de praktijk vragen organisaties nog vaak op een misleidende manier om toestemming. Bijvoorbeeld door opties automatisch aan te vinken. Op deze pagina vindt u daarom enkele vuistregels, voorbeelden van heldere cookiebanners en voorbeelden van hoe het niet moet.
Cookies en de AVG
Er zijn verschillende soorten cookies. Gebruikt u als organisatie tracking cookies of vergelijkbare technieken? Dan kunt u ervan uitgaan dat u persoonsgegevens verwerkt. Ook bij sommige functionele en beperkte analytische cookies verwerkt u persoonsgegevens. U moet dan voldoen aan de Algemene verordening gegevensbescherming (AVG).
Waarom is een heldere cookiebanner belangrijk?
Wat mensen op internet doen, is heel persoonlijk. Tracking cookies zorgen ervoor dat organisaties kunnen meekijken met het internetgedrag van hun websitebezoekers. Dat mag alleen als websitebezoekers daar expliciet mee akkoord gaan. Zij moeten ook de mogelijkheid hebben om zulke cookies te weigeren, zonder nadelige gevolgen.
Met heldere informatie over het gebruik van zulke cookies kan uw websitebezoeker een weloverwogen keuze maken om toestemming te geven of niet. Zorg dus voor een heldere cookiebanner, waarmee u gelijk voldoet aan de wettelijke eisen.
Daar hoort ook bij dat u moet wegblijven van misleidende manieren (‘dark patterns’ of ‘deceptive patterns’) om toestemming te krijgen voor cookies. Bijvoorbeeld door bepaalde knoppen minder goed zichtbaar te maken. Uw websitebezoeker kan dan geen goede keuze maken.
Toezicht AP op cookiebanners
Organisaties moeten goed met persoonsgegevens omgaan. De Autoriteit Persoonsgegevens (AP) houdt daar toezicht op en doet er regelmatig onderzoek naar. Als een organisatie zich niet aan de regels houdt, kan de AP ingrijpen. Ook als een organisatie met cookies persoonsgegevens verwerkt en daar niet op de juiste manier toestemming voor vraagt. Bijvoorbeeld door websitebezoekers te misleiden. Vanaf 2024 gaat de AP vaker onderzoeken hoe organisaties toestemming vragen voor cookies.
Grondslagen
Toestemming
Het verwerken van persoonsgegevens via cookies doet u normaal gesproken op basis van de grondslag toestemming. Let er daarbij op dat:
- U toestemming krijgt vóórdat u zulke cookies plaatst.
- Uw websitebezoekers actief toestemming moeten geven door iets aan te klikken. U kunt dus niet uitgaan van toestemming alleen omdat iemand uw website bezoekt.
- Het voor websitebezoekers duidelijk moet zijn dat u met de cookiebanner om hun toestemming vraagt.
- Uw websitebezoekers de toestemming op een vrije, specifieke, geïnformeerde en ondubbelzinnige manier moeten kunnen geven. Ondubbelzinnig betekent dat het heel helder is dat iemand toestemming heeft gegeven. Het ligt daarbij voor de hand dat uw websitebezoekers een neutrale keuze hebben. En dat de ene optie niet meer nadruk krijgt dan de andere.
- Uw websitebezoekers hun toestemming even gemakkelijk weer moeten kunnen intrekken. Bekijk ook de informatie bij de 'snelle antwoorden' onderaan deze pagina.
- U uw websitebezoekers goed moet informeren, onder meer over hoe u cookies gebruikt en voor welke doelen. U heeft voor ieder doel apart toestemming nodig.
Gerechtvaardigd belang
Update
Op 4 oktober 2024 heeft het Hof van Justitie van de Europese Unie uitspraak gedaan over de grondslag gerechtvaardigd belang. Daardoor is de eerder door de AP gegeven uitleg van deze grondslag niet meer actueel. Dit kan ook gevolgen hebben voor deze informatie over de grondslag voor het gebruik van cookies. De AP bekijkt momenteel of de informatie moet worden herzien.
Als u met cookies persoonsgegevens verwerkt, moet u goed kijken op welke grondslag u zich baseert. Dat is bij cookies bijna nooit de grondslag gerechtvaardigd belang. Het kán wel. Maar alleen bij functionele en beperkte analytische cookies. Bijvoorbeeld als een cookie nodig is voor beveiliging van uw website.
Hoe maakt u een heldere cookiebanner?
De AP licht 9 belangrijke aspecten van cookiebanners uit. Deze 9 vuistregels helpen u een goede cookiebanner te maken. U moet daarnaast altijd zelf controleren of u aan alle eisen in de AVG voldoet wanneer u met cookies persoonsgegevens verwerkt.
De vuistregels zijn:
- Geef informatie over het doel
- Zet vinkjes niet automatisch aan
- Gebruik duidelijke tekst
- Zet verschillende keuzes op één laag
- Verberg bepaalde keuzes niet
- Laat iemand niet extra klikken
- Gebruik geen onopvallende link in de tekst
- Wees helder over het intrekken van toestemming
- Verwar toestemming niet met gerechtvaardigd belang
Hierna vindt u uitleg en voorbeelden.
Let op: De voorbeelden en teksten in de afbeeldingen zijn fictief en bedoeld ter illustratie. De voorbeelden laten steeds een deel van een heldere cookiebanner zien. Wat er precies in uw banner moet staan, hangt af van hoe u cookies inzet en persoonsgegevens verwerkt.
Geef informatie over het doel
Geef uw websitebezoeker informatie die nodig is om een weloverwogen keuze te maken. Daarbij hoort dat u voor ieder doel vertelt waarom u cookies gebruikt, vóórdat iemand een keuze maakt.
Wees dus niet vaag of onvolledig over uw doelen. In het voorbeeld hierna wordt bijvoorbeeld wel ‘social media’ genoemd, maar is niet duidelijk hoe persoonsgegevens dan verwerkt worden en met welk(e) doel(en).
Zet vinkjes niet automatisch aan
Maakt u in uw cookiebanner gebruik van vinkjes of schuifjes? Zorg dan dat uw websitebezoeker zelf bepaalde opties aanklikt (of niet) en dus actief een keuze maakt.
Vink de keuzeboxen dus niet automatisch aan. Dat geldt niet als toestemming.
Gebruik duidelijke tekst
Het moet voor uw websitebezoeker volledig duidelijk zijn welke keuze diegene maakt. Gebruik daarom duidelijke woorden in knoppen, zoals ‘accepteren’, ‘akkoord’ of ‘weigeren’. Op die manier is het duidelijk dat iemand toestemming geeft.
Maak het voor uw websitebezoeker dus niet onnodig ingewikkeld door vage of sturende bewoordingen te gebruiken, of door tekst juist weg te laten.
Zet verschillende keuzes op één laag
Uw websitebezoekers moeten cookies net zo makkelijk kunnen weigeren als accepteren. Zet de knoppen voor weigeren en accepteren dus op dezelfde laag. Dat betekent dat iemand niet hoeft door te klikken om te weigeren, als dat voor (alles) accepteren ook niet hoeft.
Bied dus niet maar een van de opties op de eerste laag aan.
Verberg bepaalde keuzes niet
Zorg dat de knop om cookies te weigeren goed zichtbaar is.
Verstop de knop bijvoorbeeld niet door uw websitebezoeker onnodig te laten scrollen om cookies te weigeren, als dat ook niet hoeft om cookies te accepteren.
Laat iemand niet extra klikken
Het weigeren van cookies moet niet meer kliks vragen dan het accepteren.
Laat uw websitebezoeker bijvoorbeeld niet extra bevestigen dat diegene de cookies wil weigeren.
Gebruik geen onopvallende link in de tekst
De mogelijkheid om cookies te weigeren moet net zo goed zichtbaar zijn als de optie om cookies te accepteren.
Verstop deze dus bijvoorbeeld niet als link in een stuk tekst, waardoor uw websitebezoeker onnodig moet zoeken.
Wees helder over intrekken van toestemming
Maak duidelijk hoe uw websitebezoeker toestemming weer kan intrekken, vóórdat diegene een keuze maakt.
Verwar toestemming niet met gerechtvaardigd belang
Zoals u eerder heeft kunnen lezen, kan er alleen bij functionele en beperkte analytische cookies sprake zijn van de grondslag gerechtvaardigd belang om persoonsgegevens te verwerken. De grondslag toestemming is dan niet van toepassing.
U heeft bij functionele cookies en sommige analytische cookies dus geen toestemming nodig voor het plaatsen en uitlezen van die cookies. Een vinkje of schuifje in uw cookiebanner kan dan verwarring opleveren.
Let op: Ook als u geen toestemming nodig heeft, moet u wel nog steeds duidelijke informatie geven over de manier waarop u persoonsgegevens verwerkt.
In het voorbeeld hierna ziet u een schuifje in combinatie met de grondslag gerechtvaardigd belang. Maar omdat toestemming geven niet van toepassing is, is het onduidelijk wat het aan- of uitzetten van het schuifje voor effect heeft.
Snelle antwoorden
Gaan de vuistregels voor cookiebanners ook op voor vergelijkbare technieken?
Ja. De vuistregels voor cookiebanners gaan over cookies en alle andere technieken waarmee u informatie opslaat op of toegang verkrijgt tot het apparaat van de gebruiker (zoals een mobiele telefoon of computer).
Naast cookies gaat het bijvoorbeeld ook om:
- het plaatsen van niet-essentiële gegevens op het apparaat van de gebruiker, bijvoorbeeld via local storage;
- trackingpixels;
- web beacons;
- fingerprinting.
Welke informatie moet op de eerste laag van mijn cookiebanner staan?
In uw cookiebanner moet bepaalde informatie direct zichtbaar zijn. Het moet duidelijk zijn wie de persoonsgegevens verwerkt én met welk(e) doel(en). Die informatie zet u dus op de ‘eerste laag’ van uw cookiebanner. Op die manier weet uw websitebezoeker waarvoor de toestemming bedoeld is.
Overige informatie mag op een tweede (of latere) laag komen te staan. Dit neemt natuurlijk niet weg dat u alle informatie op een duidelijke manier moet aanbieden.
Hoe werkt het intrekken van toestemming bij cookiebanners?
Vraagt u met een cookiebanner toestemming om de persoonsgegevens van uw websitebezoekers te verwerken? Vergeet dan niet dat uw websitebezoekers hun toestemming ook weer moeten kunnen intrekken.
Toestemming intrekken moet op ieder moment kunnen. Het moet net zo gemakkelijk zijn als toestemming geven. U mag er geen kosten voor rekenen. Toestemming intrekken mag bovendien geen nadelige gevolgen hebben voor uw websitebezoekers.
U moet uw websitebezoekers informatie geven over hoe zij toestemming kunnen intrekken voordat zij toestemming geven. Bijvoorbeeld door in de cookiebanner een korte uitleg op te nemen, met een knop of link. Zorg ervoor dat mensen ook op een andere manier altijd gemakkelijk de plek kunnen vinden waar zij hun toestemming kunnen intrekken.
Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken.
Lees ook de normuitleg van de AP over intrekken van toestemming bij cookiebanners.