Tracking cookies

Aan de AVG voldoen met tracking cookies

Verwerkt u met tracking cookies persoonsgegevens van de bezoekers aan uw website? Dan moet u aan de regels van de Algemene verordening gegevensbescherming (AVG) voldoen.

De belangrijkste vereisten zijn dat u:

• een grondslag heeft voor de gegevensverwerking;
• bezoekers op tijd en goed informeert over de verwerking van persoonsgegevens en het doel van de verwerking;
• de (persoons)gegevens goed beveiligt.

Om rechtsgeldige toestemming te krijgen voor het plaatsen van tracking cookies, moet u uw websitebezoekers informeren over:

• de (soorten) persoonsgegevens die u via de cookies verzamelt en verwerkt;
• de doeleinden van de gegevensverwerking;
• de ontvangers en hoeveel ontvangers dit zijn (of de categorieën van ontvangers) waaraan u de gegevens verstrekt;
• het intrekken van toestemming;
• alle andere informatie die nodig is om uw bezoekers een eerlijk beeld te geven van de gegevensverwerking.

Tip: Wilt u uw website controleren? De European Data Protection Board (EDPB) heeft een gratis programma voor website-audits. Dit programma laat bijvoorbeeld zien welke cookies uw website gebruikt, of gegevens van bezoekers worden doorgestuurd en of uw website een beveiligde verbinding gebruikt. Het programma is beschikbaar in het Engels.

Verzameling en verwerking van persoonsgegevens

Geef informatie over de soorten persoonsgegevens die u verzamelt en verwerkt met tracking cookies. Denk daarbij in ieder geval aan:

• bezochte webpagina's;
• IP-adressen;
• cookie-inhoud;
• referrer-URL;
• eventuele overige gegevens die u verzamelt, zoals gegevens over de gebruikte randapparatuur en instellingen van de software op het apparaat.

Doeleinden gegevensverwerking

Laat uw bezoekers weten waarvoor u hun persoonsgegevens verzamelt en verwerkt. Bijvoorbeeld:

• het (laten) tonen van gerichte advertenties;
• het gebruik van social media, websitestatistieken;
• het opstellen van interesseprofielen;
• het tonen van aanbevelingen, marktanalyse, doelgroepanalyse;
• verbetering van de navigatie op uw website.

Let op: Een algemeen doeleinde als 'verbeteren van de dienstverlening' is niet specifiek genoeg.

Hoeveel ontvangers (of categorieën van ontvangers)

Informeer over het aantal en soorten ontvangers waaraan u de persoonsgegevens verstrekt. Noem advertentienetwerken, eventuele social media en andere partijen die via uw website tracking cookies plaatsen bij naam. Geef ook de namen van de cookies en informatie over het doeleinde van de verwerking.

Intrekken toestemming

Laat uw bezoekers weten hoe zij hun toestemming weer kunnen intrekken. Doe dat voordat diegene de keuze maakt om wel of geen tracking cookies te accepteren.

Alle andere informatie die nodig is

Informeer bezoekers per cookie over de bewaartermijn. Controleer de levensduur van de tracking cookies die via uw website worden geplaatst. Beoordeel vervolgens of de bewaartermijn noodzakelijk is voor het doeleinde.

Een bewaartermijn van een half jaar of langer is snel te lang. Dat komt ook doordat de termijn elke keer met een half jaar wordt verlengd bij bezoek aan uw website of een andere website die deze cookie plaatst.

Social media-buttons en video’s

Wilt u op uw website alleen een paar social media-buttons opnemen, zodat uw bezoekers artikelen kunnen delen? En gebruikt u geen andere tracking cookies? Dan kunt u bijvoorbeeld werken met niet-actieve social media-knoppen.

Bezoekers moeten dan bewust op deze ‘grijze’ knoppen klikken om toestemming te geven. Door te klikken bepalen de gebruikers of zij de functionaliteit van de knop willen activeren. En daarmee dus of zij gebruik willen maken van de social media plug-in cookies. Ook in dit geval moet u de bezoekers informeren waar zij toestemming voor geven.

Ook het embedden (insluiten) van video’s is vaak mogelijk zonder dat de videospeler cookies plaatst bij bezoekers van uw website. Sommige videoplatforms bieden de optie om een privacyvriendelijke versie van de video in te voegen.

Grondslag: toestemming

Er zijn in de AVG meerdere grondslagen mogelijk voor de verwerking van persoonsgegevens. Verwerkt u met tracking cookies persoonsgegevens? Dan moet u zich kunnen beroepen op een specifieke grondslag, namelijk ondubbelzinnige toestemming.

Toestemming vragen

Dit betekent dat u uw websitebezoekers om toestemming moet vragen om tracking cookies te plaatsen. En dat de bezoeker een duidelijke keuze moet hebben om toestemming te geven, of te weigeren.

Volgens de AVG is toestemming alleen geldig als deze vrij, specifiek, geïnformeerd en ondubbelzinnig is gegeven.

Dat betekent dat:

• de bezoekers van uw website ook toestemming moeten kunnen weigeren (anders is het geen vrije keuze);
• het duidelijk moet zijn waarvoor u precies toestemming vraagt;
• uw bezoekers voldoende informatie moeten krijgen over welke persoonsgegevens er worden verwerkt en wat er met hun persoonsgegevens gebeurt als zij toestemming geven;
• uw bezoekers daadwerkelijk en met een actieve handeling toestemming moeten geven.
• uw bezoekers worden geïnformeerd over hoe zij hun toestemming kunnen intrekken.

U mag geen cookies plaatsen voordat de bezoeker toestemming heeft gegeven of nadat de bezoeker toestemming heeft geweigerd.

Wij hebben vuistregels opgesteld voor het maken van een heldere cookiebanner.

Geen geldige toestemming

In de volgende voorbeelden is er geen sprake van geldige toestemming:

• Een cookiewall waarbij uw bezoekers, als zij cookies weigeren, geen toegang krijgen tot uw website, of de website niet normaal kunnen gebruiken.
• Het nalaten van een handeling door uw bezoekers. Hieruit kunt u geen toestemming afleiden. Bijvoorbeeld als bezoekers niet via hun browser hebben gekozen om tracking cookies te weigeren. Ook als u alleen verwijst naar uw privacybeleid, is dit onvoldoende.
• Uitgaan van de toestemming van uw bezoekers als zij doorgaan met het gebruik van uw site - door verder scrollen of swipen - nadat een informatiebalk in beeld is verschenen ("Door verder gebruik te maken van deze website gaat u akkoord met het plaatsen van tracking cookies"). Dit zijn geen actieve handelingen waaruit ondubbelzinnige toestemming blijkt.
• Standaardinstellingen waarbij alle categorieën cookies al zijn aangevinkt op een diepere laag van de cookiebanner.

Let op: U moet kunnen aantonen dat bezoekers daadwerkelijk toestemming hebben gegeven voor het plaatsen van cookies.

Anonimiseren van tracking cookies

Ook al heeft u zelf geen naam en adres van uw websitebezoekers, u verwerkt doorgaans toch hun persoonsgegevens met tracking cookies. Bij het plaatsen en uitlezen van tracking cookies worden namelijk altijd andere gegevens verzameld, zoals IP-adressen, gegevens over eerder bezochte websites en soms gegevens waarmee de randapparatuur van de websitebezoeker uniek kan worden herkend op internet.

Indirect herleidbaar

Deze gegevens zijn persoonsgegevens, los of in combinatie met elkaar. Ook als u als website-eigenaar er zelf geen naam of adres aan vast kunt plakken. Bij de definitie van persoonsgegevens gaat het namelijk niet alleen om gegevens die u zelf kunt gebruiken om iemand te identificeren, maar ook om gegevens die een ander kan gebruiken om iemand te identificeren. Dat noemen we indirecte herleidbaarheid.

Los daarvan is het doeleinde van tracking cookies juist om het gedrag van een specifieke persoon op internet te volgen. En op basis van dit internetgedrag anders te kunnen behandelen.

Dat u (of het advertentienetwerk dat via uw website tracking cookies plaatst) de naam van de websitebezoeker niet kent, doet niets af aan het feit dat u (of het advertentienetwerk) informatie kan combineren over het surfgedrag van één specifieke persoon. En die persoon ook gericht kan benaderen via advertenties.

Nog steeds persoonsgegevens

Het anonimiseren van persoonsgegevens is een verwerking van persoonsgegevens. Ook als u de gegevens meteen anonimiseert, moet u dus bij het verzamelen nog toestemming vragen op basis van adequate informatie die u de bezoeker geeft.

Daadwerkelijk onomkeerbaar anonimiseren is overigens niet eenvoudig. In de praktijk is vaak sprake van pseudonimisering. Dat kan een goede maatregel zijn om bijvoorbeeld beveiligingsrisico's te verkleinen. Maar ook pseudoniemen (versleutelde gegevens) blijven persoonsgegevens, omdat deze nog steeds herleidbaar zijn tot personen.

Zie voor meer informatie: opinie van de Europese Artikel 29-werkgroep over anonimisering.

Cookiewall

Op grond van de AVG is een cookiewall (cookiemuur) meestal niet toegestaan. Dat komt omdat u met een cookiewall zonder redelijk alternatief geen geldige toestemming kunt krijgen van uw bezoekers of gebruikers voor het plaatsen van tracking cookies.

Geen echte keuze

Met een cookiewall krijgen mensen die een website willen bezoeken of app willen gebruiken, de vraag om (tracking-)cookies te accepteren voordat zij toegang krijgen tot de website. Geven zij geen toestemming, dan krijgen zij geen toegang. Als u geen redelijk alternatief biedt op de eerste laag van de website, hebben bezoekers dus geen echte of vrije keuze.

Weliswaar kunnen ze tracking cookies weigeren, maar dat kan niet zonder nadelige gevolgen. Want tracking cookies weigeren, betekent dat ze geen toegang kunnen krijgen tot de website. Daarom zijn dit soort cookiewalls onder de AVG verboden.

Let op: Deze uitleg over cookiewalls gaat niet alleen over het plaatsen van cookies. Niet alleen cookies vallen onder deze beschrijving, maar ook daarmee vergelijkbare technieken waarvoor eveneens toestemming gevraagd moet worden. Dit zijn technieken zoals Javascripts, Flash cookies, fingerprinting, HTML5-local storage en/of web beacons (tracking pixels).