Het uiterlijk van cookiebanners is de laatste tijd op veel websites veranderd. In het verleden informeerde een klein pop-upvenster je gewoon dat er een aantal niet nader gespecificeerde "cookies" op de website werden geplaatst. Tegenwoordig krijg je vaak een lijst met de afzonderlijke cookies en de keuze via selectievakjes welke wel of niet worden geaccepteerd. Waarom is dit het geval - en wat is nu correct?

Dit artikel werpt licht op cookiebanners en legt uit hoe je de cookiemelding op de juiste manier op je website kunt zetten. Voordat we echter in detail treden, is het noodzakelijk om te begrijpen wanneer en waarom je überhaupt een cookiebanner nodig hebt.

Waarom heb je überhaupt een cookiebanner nodig? 

Cookies zijn stukjes informatie die worden opgeslagen op het eindapparaat van de websitebezoeker (pc, smartphone, enz.). Enerzijds zijn deze nodig om een website correct weer te geven ("technisch noodzakelijke cookies"). Anderzijds worden ze ook voor andere doeleinden gebruikt, bijvoorbeeld om het gedrag van websitebezoekers te analyseren, voor advertentiedoeleinden of bij het integreren van social plugins. (Opmerking: In het navolgende verwijst de term "cookies" ook naar vergelijkbare technologieën zoals telpixels, etc.). 

Laten we eerst eens kijken naar de huidige juridische situatie. Hierbij geldt het volgende sinds AVG (Verordening (EU) 2016/679) op 25 mei 2018 in werking is getreden:

Als cookies niet worden opgeslagen op het eindapparaat van de websitebezoeker om de legitieme belangen van de websitebeheerder of een derde partij te beschermen, is toestemming van de websitebezoeker vereist in overeenstemming met art. 6 (1) AVG .

Aangezien de legitieme belangen van de websitebeheerder of derden moeten worden afgewogen tegen de belangen of fundamentele rechten en vrijheden van de websitebezoeker, is het in individuele gevallen vaak onduidelijk welke belangen prevaleren.

Een legitiem belang bij de werking van een website is natuurlijk altijd dat de website correct wordt weergegeven. Cookies die voor dit doel nodig zijn, vallen daarom altijd onder het legitieme belang van de websitebeheerder. 

Het wordt moeilijker wanneer cookies worden gebruikt om het gedrag van websitebezoekers te analyseren of voor advertentiedoeleinden. Hier is het vaak onmogelijk om uit te sluiten dat de belangen van websitebezoekers zwaarder worden gewogen door de toezichthoudende autoriteiten voor gegevensbescherming en/of de rechtbanken in geval van een geschil.

Afgezien van de technisch noodzakelijke cookies, moet het plaatsen van cookies daarom altijd gebaseerd zijn op de toestemming van de websitebezoeker. Deze toestemming wordt klassiek verkregen via een selectievakje.

We moeten niet verhullen dat deze juridische situatie kan veranderen wanneer de ePrivacy Verordening van kracht wordt. Maar omdat de ePrivacy Verordening momenteel nog onderwerp is van politieke discussie, zal de toepassing van AVG - en dus het uit voorzorg verkrijgen van toestemming door middel van een selectievakje - voorlopig van kracht blijven met betrekking tot cookies & co. Je kunt de details lezen in mijn artikel "De ePrivacy Verordening: wat staat je te wachten?".

Hoe moet je je cookiebanner ontwerpen?

Een cookiebanner op de juiste manier ontwerpen is niet zo moeilijk. Het is alleen belangrijk om een paar kleine dingen in gedachten te houden, die ik je hieronder laat zien.

#1 Het juiste moment

Het is belangrijk dat de cookiebanner onmiddellijk verschijnt wanneer de website wordt geopend en dat er in eerste instantie geen cookies worden ingesteld en dat er geen gegevens mogen worden doorgegeven aan derden (bijvoorbeeld via een sociale plugin).

#2 De juiste plaats

Er moet ook voor worden gezorgd dat andere belangrijke inhoud niet wordt bedekt: De cookiebanner wordt bijvoorbeeld vaak in de footer geplaatst - en bedekt de link naar de juridische mededeling en/of het privacybeleid.

#3 Vrijwilligheid 

Het is ook belangrijk dat verdere bezoeken aan de website niet afhankelijk worden gemaakt van de toestemming van de websitebezoeker voor het plaatsen van alle cookies. Zelfs als alleen toestemming wordt gegeven voor het plaatsen van technisch noodzakelijke cookies, moet het nog steeds mogelijk zijn om de website te bezoeken. Het is natuurlijk duidelijk dat sommige functies van de website zonder toestemming niet goed kunnen werken.  

#4 Volledige opsomming van alle cookies

De cookiebanner moet de afzonderlijke cookies of - als het er te veel zijn - ten minste de afzonderlijke contexten (technisch noodzakelijke cookies, analysecookies, cookies voor reclamedoeleinden, etc.) vermelden; als er alleen contexten worden vermeld, moeten deze gedetailleerder worden uitgelegd door erop te klikken in een ander venster en moeten de afzonderlijke cookies daar worden gespecificeerd.    

#5 Selectievakjes met opt-in

Toestemming op websites kan het beste worden verkregen door middel van selectievakjes.

Dit betekent dat er een apart selectievakje is voor elke cookie - of cookiecontext - in de cookiebanner. 

Het is belangrijk om te weten dat alleen het selectievakje voor technisch noodzakelijke cookies al aangevinkt mag zijn - alle andere selectievakjes moeten leeg zijn. Door op de andere selectievakjes te klikken, kan de websitebezoeker nu zelf beslissen welke cookies of contexten hij wel of niet accepteert.

De juridische achtergrond hiervan is als volgt: 

Als toestemming wordt verkregen door middel van een selectievakje, zijn er in principe twee opties: Opt-in of opt-out. Het verschil is dat bij opt-in het selectievakje in eerste instantie leeg is en de websitebezoeker actief toestemming moet geven door op het vakje te klikken of het vakje aan te vinken. Bij opt-out is het selectievakje standaard al aangevinkt - er is dus al toestemming gegeven - en moet de websitebezoeker het vinkje actief weghalen door op het selectievakje te klikken.

Veel websitebeheerders gebruiken de opt-out standaard. Vermoedelijk omdat ze weten dat de meeste van hun bezoekers snel naar de website willen en daarom op de OK-knop op de cookiebanner klikken - zonder de bannertekst te lezen of na te denken over waarvoor ze toestemming geven.

Waarom de opt-out niet voldoende is

Zelfs als deze procedure wijdverbreid is, is het juridisch niet correct. Toestemming vereist een actieve handeling van de websitebezoeker. Daarom is alleen de opt-in juridisch foutloos, d.w.z. dat de websitebezoeker actief toestemming geeft - bijvoorbeeld voor het gebruik van een analysetool zoals Google Analytics - door het vakje aan te vinken.

Je zou kunnen aanvoeren dat bij opt-out de daadwerkelijke toestemming wordt gegeven door op de OK-knop op de cookiebanner te klikken. Maar dit begeeft zich op glad ijs. Volgens overweging 32 van AVG geldt voor toestemming het volgende(cursivering van mij):

"Toestemming moet worden gegeven door een ondubbelzinnige bevestigende handeling waaruit vrijwillig, voor het specifieke geval, op geïnformeerde en ondubbelzinnige wijze blijkt dat de betrokkene instemt met de verwerking van hem of haar betreffende persoonsgegevens, bijvoorbeeld in de vorm van een schriftelijke verklaring, die ook elektronisch mag worden afgelegd, of een mondelinge verklaring .

Dit kan bijvoorbeeld door het aanvinken van een vakje bij het bezoeken van een website, door het selecteren van technische instellingen voor diensten van de informatiemaatschappij of door een andere verklaring of gedrag waarmee de betrokkene duidelijk aangeeft dat hij toestemming geeft voor de voorgenomen verwerking van zijn persoonsgegevens in de betreffende context.

Stilzwijgen, reeds aangevinkte vakjes of inactiviteit van de betrokkene vormen daarom geen toestemming. Toestemming moet betrekking hebben op alle verwerkingen die voor hetzelfde doel of dezelfde doelen worden uitgevoerd. Als de verwerking meerdere doelen dient, moet voor al deze verwerkingsdoelen toestemming worden gegeven. Wanneer de betrokkene wordt verzocht om langs elektronische weg toestemming te geven, moet het verzoek op een duidelijke en beknopte manier worden gedaan en zonder onnodige onderbreking van de dienst waarvoor toestemming wordt gegeven."

#6 Aanpassing van het privacybeleid

Bij het ontwerpen van je cookiebanner moet je niet vergeten je privacybeleid aan te passen. Dit betekent dat de details van de individuele cookies die worden geplaatst ook moeten worden uitgelegd in het privacybeleid. 

#7 Speciaal Probleem Sociale Plugins

Er is een speciaal probleem met de integratie van sociale plugins, omdat deze niet alleen cookies plaatsen, maar ook automatisch persoonlijke gegevens van je websitebezoekers naar het betreffende sociale netwerk sturen, enzovoort.

Volgens een recente uitspraak van het Europees Hof van Justitie op 29 juli 2019 mogen de persoonsgegevens van de websitebezoeker pas worden doorgegeven aan het sociale netwerk e.d. nadat de bijbehorende toestemming is gegeven. Het is daarom belangrijk om ervoor te zorgen dat de sociale plugin alleen actief wordt als de websitebezoeker eerder toestemming heeft gegeven door het betreffende selectievakje aan te vinken. (Deze uitspraak verwijst nog steeds naar de "Gegevensbeschermingsrichtlijn", d.w.z. de voorganger van AVG; het resultaat is echter ook van toepassing op AVG). 

Conclusie

Een cookiebanner correct ontwerpen, d.w.z. in overeenstemming met de wet, is geen raketwetenschap. En het is ook geen nadeel voor de websitebeheerder. Bezoekers van een website moeten immers ook eerlijk worden behandeld. En daar hoort bij dat er transparante informatie wordt verstrekt over wat er gebeurt als de website wordt bezocht. Alleen dan zijn websitebezoekers in staat om goed geïnformeerd te beslissen of, en zo ja welke, gegevens ze willen vrijgeven. Net zoals veel websiteontwikkelaars en -beheerders niet graag bespioneerd willen worden door derden, zouden ze ook bezoekers van hun eigen website de mogelijkheid moeten geven om zelf te beslissen welke gegevens ze wel of niet willen vrijgeven.

Uitgelichte afbeelding: Emily Wilson | Unsplash
Andere afbeeldingen: Rawpixel | pexels, Raidboxes