Hoe het echt zit met Cookies en de AVG

Inmiddels is de AVG al een tijdje van kracht. Toch blijft er nog veel onduidelijkheid omheen. Over cookies bijvoorbeeld. De ene website meldt er niets over, de andere geeft alleen een melding en weer een volgende geeft keuzes in wat je toe wil staan. Wie heeft er dan gelijk?

Voor ik die vraag kan beantwoorden, is het belangrijk om te weten wat cookies zijn en wat de AVG daarover zegt.

Cookies?

Simpel gezegd zijn cookies kleine bestandjes die een website op je computer op kan slaan. Deze kunnen voor van alles gebruikt worden. Een voorbeeld is het opslaan van je klantnummer, zodat een website de volgende keer weer weet dat jij het bent. Of een cookie waarin bijgehouden wordt welke artikelen je in je winkelwagentje hebt gezet. Cookies maken onze internetervaring over het algemeen makkelijker.

Tot zover is er niet zoveel aan de hand. Waarom moeten we er dan wat mee vanuit de AVG? Omdat in cookies ook persoonsgegevens of tot personen herleidbare gegevens kunnen worden opgeslagen. Denk hierbij bijvoorbeeld aan je IP-adres (het adres van je computer) of een ID dat gebruikt wordt om je te volgen over meerdere websites, wat vaak gebruikt wordt voor advertenties. Dan gaat het ineens over privacy.

Verschillende soorten

Misschien heb je wel eens gezien op een website dat ze het hebben over functionele, analytische en marketing cookies. Wat betekenen deze categorieën en welke heb jij op je website?

Functionele cookies

Functionele cookies zijn cookies die nodig zijn voor het goed functioneren van je website. Dit kan bijvoorbeeld zijn om bij te houden of je wel of niet ingelogd bent op de website of om je winkelwagentje bij te houden. Dit zijn vaak cookies waar je website niet of moeilijk zonder kan.

Analytische cookies

Deze cookies worden gebruikt om bijvoorbeeld het gedrag van bezoekers op je website bij te houden, bijvoorbeeld welke pagina’s ze bezoeken, hoe lang ze op je website blijven of op welke knop ze klikken. De bekendste dienst hiervoor is Google Analytics. Veel website hebben dan ook een koppeling met deze dienst.

Marketing cookies

Dit zijn cookies die gegevens bijhouden van bezoekers om bijvoorbeeld advertenties te kunnen tonen die passen bij het gedrag van de bezoekers. De diensten die dit doen, proberen je ook zoveel mogelijk te volgen op alle websites die je bezoekt. Dit doen ze door je een ID te geven en deze op alle websites waar je komt steeds weer op te slaan. Hierdoor krijg je op Facebook advertenties te zien voor schoenen, als je net naar schoenen gekeken hebt bij een webshop.

Wat de AVG erover zegt

De AVG gaat niet specifiek over cookies, dus wat heeft het met de AVG te maken? AVG gaat over gegevensverwerking van persoonlijke gegevens. Dat soort gegevens opslaan in een cookie hoort daarbij.

Volgens de AVG moet je een reden hebben om gegevens te mogen verwerken en daarvoor geven ze er zes. Voor cookies zijn er twee van belang: zwaarwegend zakelijk belang en toestemming. Het hangt af van de categorie van een cookie welke reden gebruikt kan worden.

Functionele cookies

Functionele cookies slaan vaak geen persoonlijke gegevens op en wanneer ze dat wel doen om de website goed te laten functioneren, dan valt dit meestal onder zakelijk belang. Je moet het wel melden, maar bezoekers hoeven er geen expliciete toestemming voor te geven. Er is onduidelijkheid of je hiervoor een cookiemelding moet gebruiken of dat het voldoende is om dit in je cookiebeleid of privacyverklaring te zetten. Mijn advies: Neem het risico niet en gebruik een melding.

Analytische cookies

Bij analytische cookies kom je een in een grijs gebied. Wanneer hier geen persoonsgegevens of tot personen herleidbare gegevens in staan, hoef je in de meeste Europese landen geen toestemming te vragen. Dan is een melding genoeg. Uitzondering zijn Duitsland en Oostenrijk. Richt je je op die landen, dan heb je voor analytische cookies altijd toestemming nodig.

Sla je (of slaat de dienst of plug-in) wel persoonlijke gegevens op, zoals IP-adres of tracking-ID, dan heb je sowieso toestemming nodig. Bij Google Analytics kun je die opties uitzetten en heb je dus controle.

Marketing cookies

Bij marketing cookies is het heel eenvoudig. Je hebt toestemming nodig. Gebruik je Facebook Pixel, Google Ads, Google Tags of advertenties van netwerken zoals Doubleclick? Dan gebruik je marketing cookies. Een melding alleen is hier niet genoeg en in België is er in ieder geval al een bedrijf voor beboet, omdat ze alleen een melding gaven op hun website.

Speciale gevallen

Van sommige diensten en plug-ins zou je niet meteen verwachten dat je daar toestemming voor nodig zou hebben, maar waar dat wel het geval is. Enkele veelgebruikte zijn Google Fonts en Google ReCaptcha. Deze slaan het IP-adres van je bezoeker op en sturen dat door naar Google.

Wat als je dat niet wil? Dan kun je Google Fonts op je website zetten in plaats van ze via Google te laten lopen. Dat laatste is in WordPress de standaard, dus je moet even wat moeite doen. De lettertypes op je website zetten kan wel je website iets trager maken, hoewel dat bij gebruik van caching vrijwel nihil is. Voor Google ReCaptcha zijn er veel andere alternatieven die lokaal op je website werken en nergens aan koppelen.

Vooraf toestemming

Misschien ben je er nu achter gekomen dat je eigenlijk toestemming zou moeten vragen. Wat is dan van belang?

Wat in de AVG (en GDPR) heel duidelijk staat, is dat je dan vooraf en expliciet toestemming moet hebben gekregen. Plug-ins en diensten die toestemming nodig hebben, mogen dus niet al werken voordat die toestemming gegeven is. Het is dus ook niet voldoende dat je een melding geeft dat bezoekers toestemming geven door de website te (blijven) gebruiken. Iets wat je toch veel ziet.

Kort gezegd moet elke bezoeker expliciet toestemming geven, deze ook weer in kunnen trekken en moet de website ook blijven werken als ze geen toestemming geven.

Openbaar

Wat in dit artikel beschreven staat gaat over het openbare deel van de website. Wanneer je op je website een dienst levert, waarvoor iemand zich moet aanmelden of klant moet worden en de dienst goed afgeschermd is, dan moeten ze daarvoor al expliciet akkoord gaan met je privacyverklaring en algemene voorwaarden en kun je daarin zaken afdekken. Ook daar blijft het van belang dat je handelt volgens de AVG.

WordPress plug-ins

Omdat ik werk met WordPress, wil ik ook even wat aandacht besteden aan cookie plug-ins voor WordPress. Ik hou het bij twee, omdat ik die zelf gebruik, afhankelijk van de situatie.

Cookie notice

Wanneer alleen een melding nodig is, dan gebruik ik de plug-in Cookie Notice van dFactory. Deze is eenvoudig in te stellen en doet dan precies wat nodig is. Wanneer toestemming nodig is, is deze plug-in niet voldoende.

Complianz

Is er wel toestemming nodig, dan zijn er verschillende plug-ins die dat aanbieden. Veel van die plug-ins zijn moeilijk in te stellen of blokkeren niet als er nog geen toestemming gegeven is. Sommige verstoppen een deel van de noodzakelijke functionaliteit in een betaalde versie.

De uitzondering hierop is Complianz van Really Simple Plugins. De gratis versie regelt alles wat je in ieder geval geregeld moet hebben. Het creëert zelfs een pagina voor je cookiebeleid, als je dat wil. De instellingen doe je stap voor stap met een wizard met duidelijke uitleg. Dus geen ellenlange formulieren, waarvoor je bijna een jurist moet zijn om het te kunnen snappen.

Conclusie

Er speelt veel rond cookies en er is veel onduidelijkheid, waardoor veel ondernemers het laten zitten of maar doen wat anderen ook doen. Met alle risico’s van dien. Dat is zonde, want met wat eenvoudige instellingen of de juiste plug-in is het al snel geregeld. Laat het dus niet langer liggen en ga er meteen mee aan de slag.

Heb je hier nog vragen over of zou je misschien hulp kunnen gebruiken? Neem dan gerust contact op via info@web4effect.nl of 06-44208615.

Warme groet,
Eli