Het uiterlijk van cookiebanners is de laatste tijd op veel websites veranderd. In het verleden kreeg u alleen een klein pop-up venster met een beknopte mededeling dat sommige niet nader gespecificeerde "cookies" op de website worden geplaatst. Tegenwoordig krijgt u vaak een lijst van de afzonderlijke cookies en de keuze via selectievakjes welke ervan worden geaccepteerd of niet. Waarom is dit het geval - en wat is nu juist?
Dit artikel zal wat licht werpen op cookiebanners en uitleggen hoe u de cookiemelding op uw website correct ontwerpt. Voor we echter tot de details komen, moeten we begrijpen wanneer en waarom u een cookiebanner nodig hebt.
Waarom heb je eigenlijk een cookie banner nodig?
Cookies zijn informatie die wordt opgeslagen op het eindapparaat van de websitebezoeker (pc, smartphone, enz.). Enerzijds zijn deze noodzakelijk om een website correct weer te geven ("technisch noodzakelijke cookies"). Anderzijds worden ze ook voor andere doeleinden ingesteld, bijvoorbeeld om het gedrag van websitebezoekers te analyseren, voor reclamedoeleinden of bij de integratie van sociale Plugins. (Opmerking: In het navolgende verwijst de term "cookies" ook naar vergelijkbare technologieën, zoals het tellen van pixels, etc.).
Laten we eerst de huidige juridische situatie bekijken. In dit verband is sinds de inwerkingtreding van AVG (Verordening (EU) 2016/679) op 25.05.2018 geldt het volgende:
Indien de opslag van cookies op het eindapparaat van de websitebezoeker niet plaatsvindt om de legitieme belangen van de websitebeheerder of een derde te beschermen, is hiervoor de toestemming van de websitebezoeker vereist overeenkomstig Art. 6 Para. 1 AVG .
Aangezien de legitieme belangen van de websitebeheerder of van derden moeten worden afgewogen tegen de belangen of fundamentele rechten en vrijheden van de websitebezoeker, is het in individuele gevallen vaak niet duidelijk welke belangen zwaarder wegen dan de andere.
Een gerechtvaardigd belang bij de werking van een website is natuurlijk altijd dat de website correct wordt weergegeven. Cookies die hiervoor nodig zijn, vallen daarom altijd onder het legitieme belang van de websitebeheerder.
Moeilijker wordt het wanneer cookies worden ingesteld om het gedrag van websitebezoekers te analyseren of voor reclamedoeleinden. Hier kan vaak niet worden uitgesloten dat de belangen van de bezoekers van de website in geval van een geschil door de toezichthoudende autoriteiten voor gegevensbescherming en/of de rechter zwaarder wegen.
Afgezien van de technisch noodzakelijke cookies, dient het plaatsen van cookies daarom altijd gebaseerd te zijn op de toestemming van de websitebezoeker. Deze toestemming wordt klassiek verkregen via een selectievakje.
Men mag niet verhelen dat deze juridische situatie zou kunnen veranderen met de inwerkingtreding van de E-privacyverordening. Maar omdat de E-Privacy Verordening momenteel nog in politieke discussie is, blijft de toepassing van AVG voorlopig van kracht met betrekking tot cookies & co. - en dus met het uit voorzorg verkrijgen van toestemming door middel van een checkbox. Je kunt de details lezen in mijn artikel "De E-Privacy Verordening: wat staat je te wachten?"artikel.
Hoe moet je je cookie-banner ontwerpen?
Het correct ontwerpen van een cookiebanner is niet zo moeilijk. Het is alleen belangrijk om een paar dingen in gedachten te houden, die ik je hieronder voorleg.
#1 Het juiste moment
Het is belangrijk dat de cookiebanner onmiddellijk verschijnt wanneer de website wordt opgeroepen en dat er aanvankelijk geen cookies worden geplaatst en geen gegevens aan derden mogen worden doorgegeven (bijvoorbeeld via een sociale website Plugin).
#2 De juiste plaats
Voorts moet erop worden toegezien dat geen andere essentiële inhoud aan bod komt: De cookiebanner wordt vaak in de footer geplaatst - en bedekt de link naar het impressum en/of het privacybeleid.
#3 Vrijwilligheid
Het is ook belangrijk dat het verdere bezoek aan de website niet afhankelijk wordt gemaakt van de toestemming van de websitebezoeker voor het plaatsen van alle cookies. Ook als alleen toestemming wordt gegeven voor het plaatsen van technisch noodzakelijke cookies, moet het mogelijk zijn de website te bezoeken. Natuurlijk is het duidelijk dat sommige functies van de website niet goed kunnen functioneren als er geen toestemming is.
#4 Volledige opsomming van alle cookies
De cookie banner dient de individuele cookies te vermelden of – als er te veel zijn – ten minste de individuele contexten (technisch noodzakelijke cookies, analysecookies, cookies voor reclamedoeleinden, enz.); als alleen contexten worden vermeld, dienen deze meer in detail te worden toegelicht door er in een ander venster op te klikken en de individuele cookies dienen daar te worden gespecificeerd.
#5 Selectievakjes met opt-in
Toestemming op websites wordt verstandig verkregen door middel van selectievakjes.
Dit betekent dat er per cookie – of per cookiecontext – een apart selectievakje is in de cookiebanner.
Het is belangrijk dat alleen het selectievakje voor de technisch noodzakelijke cookies al mag zijn aangevinkt - de selectievakjes voor alle andere cookies moeten leeg zijn. Door de resterende selectievakjes aan te vinken, kan de bezoeker van de website nu zelf beslissen welke cookies of contexten hij al dan niet aanvaardt.
De juridische achtergrond hiervan is als volgt:
Indien de toestemming wordt verkregen door middel van een selectievakje, zijn er in principe twee mogelijkheden: Opt-in of Opt-out. Het verschil is dat bij opt-in het selectievakje aanvankelijk leeg is en de websitebezoeker actief zijn toestemming moet geven door op het vakje te klikken of het vinkje te zetten. Bij opt-out is het vinkje standaard al gezet - de toestemming is dus al gegeven - en moet de websitebezoeker het vinkje actief weghalen door op het vinkje te klikken.
Veel websitebeheerder maken standaard gebruik van de opt-out. Waarschijnlijk omdat ze weten dat de meeste van hun bezoekers snel op de website willen komen en daarom op de OK-knop van de cookie-banner willen klikken - zonder de tekst van de banner te lezen of na te denken over waar ze mee akkoord gaan.
Waarom de opt-out niet voldoende is
Hoewel deze benadering wijdverbreid is, is zij juridisch niet correct. Toestemming vereist een actieve handeling van de websitebezoeker. Daarom is alleen de opt-in, d.w.z. dat de websitebezoeker actief zijn toestemming geeft - bijvoorbeeld voor het gebruik van een analyse-instrument zoals Google Analytics - door het vakje aan te vinken, juridisch onaanvechtbaar.
Men zou kunnen aanvoeren dat bij de opt-out-optie de werkelijke toestemming ligt in het klikken op de OK-knop van de cookiebanner. Maar dit is betreden op dun ijs. Volgens overweging 32 van AVG geldt met betrekking tot toestemming het volgende (nadruk door mij):
"Toestemming moet worden gegeven door een ondubbelzinnig bevestigend besluit per geval vrijwillig, op geïnformeerde en ondubbelzinnige wijze, dat de betrokkene instemt met de verwerking van hem betreffende persoonsgegevens, zoals een schriftelijke verklaring, die ook langs elektronische weg kan worden afgelegd, of een mondelinge verklaring.
Dit zou kunnen worden gedaan door een vakje aan te vinken wanneer u een internetpagina bezoektdoor het selecteren van technische instellingen voor diensten van de informatiemaatschappij of door elke andere verklaring of gedraging waarmee de betrokkene ondubbelzinnig te kennen geeft in te stemmen met de voorgenomen verwerking van zijn persoonsgegevens in de desbetreffende context.
Stilte, vakjes al aangevinkt of inactiviteit van de betrokkene mag daarom niet als toestemming worden beschouwd. De toestemming moet betrekking hebben op alle verwerkingen die voor hetzelfde doel of dezelfde doelen worden verricht. Wanneer de verwerking verschillende doeleinden dient, moet voor al die verwerkingsdoeleinden toestemming worden gegeven. Wanneer de betrokkene langs elektronische weg om toestemming wordt verzocht, moet dit verzoek duidelijk en beknopt worden gedaan en zonder onnodige onderbreking van de dienst waarvoor toestemming wordt gegeven."
#6 Aanpassing van het privacybeleid
Bij het ontwerpen van je cookiebanner moet je niet vergeten je privacybeleid aan te passen. Dit betekent dat de details van de individuele cookies die worden geplaatst ook moeten worden uitgelegd in het privacybeleid.
#7 Speciaal Probleem Sociale Plugins
Er is een speciaal probleem met de integratie van sociale Plugins, aangezien deze niet alleen cookies plaatsen, maar ook automatisch persoonlijke gegevens van uw websitebezoekers naar het overeenkomstige sociale netwerk sturen, enz.
Volgens een recente arrest van het HvJ van 29 juli 2019 de persoonsgegevens van de bezoeker van de website mogen pas aan het sociale netwerk enz. worden doorgegeven nadat daarvoor toestemming is gegeven. Daarom moet ervoor worden gezorgd dat de sociale website Plugin alleen actief wordt als de websitebezoeker daarvoor vooraf zijn toestemming heeft gegeven door het desbetreffende vakje aan te vinken. (In deze uitspraak wordt nog steeds verwezen naar de "gegevensbeschermingsrichtlijn", d.w.z. de voorloper van de verordening AVG; het resultaat geldt echter ook voor AVG).
Conclusie
Een cookiebanner correct ontwerpen, d.w.z. in overeenstemming met de wet, is geen hekserij. En het is ook geen nadeel voor de beheerder van de website. Bezoekers van een website moeten immers ook eerlijk behandeld worden. En daarbij hoort ook het verstrekken van transparante informatie over wat er gebeurt als de website wordt bezocht. Alleen dan zijn websitebezoekers in staat een weloverwogen beslissing te nemen over de vraag of, en zo ja, welke gegevens ze willen vrijgeven. Net zoals veel ontwikkelaars en beheerders van websites huiverig zijn om bespioneerd te worden door derden, zouden ze ook de bezoekers van hun eigen website de kans moeten geven om zelf te beslissen welke gegevens ze wel of niet willen vrijgeven.
Bijgedragen afbeelding: Emily Wilson | Unsplash
Meer beelden: Rawpixel | pexels, Raidboxes
