Komt er weer een jurist zeuren over cookies en privacy.. en toch is het hartstikke belangrijk dat jij weet welke cookies jouw website plaatst en wat er wettelijk gezien wel en niet is toegestaan.
Want wist jij bijvoorbeeld, dat het gebruik van sommige cookies ertoe kan leiden dat er persoonsgegevens worden verzameld?
Ik hoor je denken: dat met die persoonsgegevens, had iets te maken met de AVG, toch? Zoals we al een aantal keer hebben besproken, brengt de AVG een hoop verplichtingen met zich mee (en mogelijk hoge boetes) wanneer er persoonsgegevens worden verwerkt en dus dien je op de hoogte te zijn van de cookies die jouw website plaatst. De volgende stap is het maken van een cookieverklaring, waarin je de websitebezoeker informatie geeft over de cookies die jouw website plaatst. Een cookieverklaring kan je zelf maken of door een jurist laten opstellen. Wees je er echter wel van bewust, dat de gemiddelde jurist zich heeft gespecialiseerd in één of meerdere rechtsgebieden, maar niet een technische achtergrond bezit waardoor hij of zij kennis heeft van cookie-technologie. Wanneer je het opstellen van jouw cookieverklaring uit handen geeft, is het dan ook aan te raden om een jurist (of advocaat) in te schakelen die wel over deze kennis beschikt.
Toestemming vragen voor cookies?
De hoofdregel is dat cookies die geen of weinig inbreuk maken op iemands privacy, zonder voorafgaande toestemming mogen worden geplaatst. Dit betekent dat ze niet uitgeschakeld hoeven te zijn of pas mogen worden geplaatst wanneer iemand op de ‘ja-knop’ van een cookiebanner klikt. Desalniettemin dien je de websitebezoeker wel te informeren over het gebruik van deze cookies.
Welke cookies maken geen of weinig inbreuk op iemands privacy? Aangenomen wordt, dat dit analytische cookies zijn – dat wil zeggen, cookies die bezoekersstatistieken bijhouden – en functionele cookies. Functionele cookies, zijn cookies die noodzakelijk zijn om een website te laten functioneren. Let op: aangenomen wordt dat je met het gebruik van Google Analytics wel onder de AVG valt, tenzij je dit programma privacyvriendelijk instelt. Cookies waarvoor altijd voorafgaande toestemming moet worden gevraagd, zijn zogenaamde tracking cookies. Tracking cookies worden vaak gebruikt om een websitebezoeker voor een periode te volgen, zodat er op basis van de verzamelde informatie gerichte advertenties kunnen worden geplaatst. Deze cookies houden aldus individueel surfgedrag bij en stellen profielen op om bijvoorbeeld gerichte advertenties mogelijk te maken. Met tracking cookies worden in de regel persoonsgegevens verwerkt, zodat je een grondslag dient te hebben voor het gebruik van deze cookies. Tevens dien je jouw websitebezoeker te informeren over zijn rechten onder de AVG en zal je de gegevens die via deze cookies worden verzameld, moeten beveiligen.
Toestemming voor tracking cookies
De grondslag voor het gebruik van tracking cookies, is de ondubbelzinnige toestemming (let op: een andere grondslag komt vanwege de aard van de te verzamelen gegevens, niet in aanmerking). Het gevolg hiervan is dat een cookiebanner een keuze mogelijk moet maken om wel of niet toestemming te geven voor het plaatsen van tracking cookies. Een simpele ‘ja’ en ‘nee’ knop kan voldoende zijn. Daarbij is het van belang dat er ook echt geen tracking cookies worden geplaatst voordat er op de ‘ja’-knop is geklikt. Als je een websitebouwer hebt ingeschakeld en je hebt zelf weinig verstand over het gebruik van cookies, is het altijd aan te raden om even navraag te doen bij de bouwer over het gebruik van cookies voor jouw website. Tot slot dien je onder de AVG altijd aan te kunnen tonen dat er daadwerkelijk toestemming is gegeven voor de verwerking van persoonsgegevens!
Hoe weet ik welke cookies worden geplaatst?
Zorg ervoor dat je weet welke cookies jouw website plaatst. Wanneer je geen idee hebt hoe je hier in hemelsnaam achter kunt komen, kan je iemand inschakelen met een technische achtergrond of eens navraag doen bij jouw websitebouwer. Wees je er bovendien van bewust, dat elke plug-in of dat fijne analytische- of marketingprogramma (denk aan Hotjar of Facebook Pixel) waarschijnlijk nieuwe cookies met zich meebrengt. Wanneer het niet echt noodzakelijk is voor jouw onderneming om tracking cookies te plaatsen, doe dit dan ook vooral niet.
Moraal van het verhaal
Het is in de meeste gevallen niet voldoende om ergens in jouw privacyverklaring op te nemen dat je gebruik maakt van Google Analytics. Je dient jouw websitebezoeker duidelijk te informeren over de cookies die jouw website plaatst en in veel gevallen moet je per cookie aangeven wat de naam hiervan is, welke informatie er via deze cookie wordt verzameld, wat voor soort cookie het is, hoe lang de cookie bewaard blijft, aan welke bedrijven de informatie wordt verstrekt, enzovoorts. Dit is best een behoorlijke klus en kan zeker lastig zijn wanneer je geen technische achtergrond hebt. Weet je niet zeker of jouw cookieverklaring aan de wettelijke eisen voldoet of heb je er nog geen? Neem dan vooral even contact met ons op of boek direct een adviesgesprek (“ask a lawyer”) om te sparren met een van onze juristen.