Cookie-banner - maar dan goed! Op deze 7 dingen moet je letten

Mario Steinberg Bijgewerkt op 21.10.2020
6 Min.
cookiebanner dsgvo eprivacy

Het uiterlijk van de cookie-banners is de laatste tijd op veel websites veranderd. In het verleden zou een klein pop-up venster u eenvoudigweg informeren dat er een aantal niet-gespecificeerde "cookies" op de website werden geplaatst. Tegenwoordig krijgt u vaak een opsomming van de individuele cookies en de keuze welke cookies al dan niet worden geaccepteerd via selectievakjes. Waarom is dit zo - en wat is er nu?

Dit artikel werpt een licht op de cookie-banners en legt uit hoe u de cookie-melding op uw website correct kunt ontwerpen. Voordat we in detail treden, is het echter noodzakelijk om te begrijpen wanneer en waarom u überhaupt een cookiebanner nodig heeft.

Cookies zijn informatie die wordt opgeslagen in het eindapparaat van de bezoeker van de website (PC, smartphone etc.). Enerzijds zijn ze nodig om een website überhaupt correct weer te geven ("technisch noodzakelijke cookies"). Anderzijds worden ze ook voor andere doeleinden gebruikt, bijvoorbeeld om het gedrag van de websitebezoeker te analyseren, voor reclamedoeleinden of voor de integratie van sociale Pluginsmedia. (Opmerking: In het onderstaande verwijst de term "cookies" ook naar vergelijkbare technologieën zoals het tellen van pixels, enz.) 

Laten we eerst eens kijken naar de huidige juridische situatie. In dit verband is sinds de inwerkingtreding van de AVG (Verordening (EU) 2016/679) op 25 mei 2018 het volgende:

Indien de cookies niet worden opgeslagen op de eindapparatuur van de websitebezoeker om de legitieme belangen van de websitebeheerder of een derde partij te beschermen, is de toestemming van de websitebezoeker vereist in overeenstemming met art. 6 lid 1AVG .

cookiebanner dsgvo

Aangezien de legitieme belangen van de exploitant van de website of van derden moeten worden afgewogen tegen de belangen of fundamentele rechten en vrijheden van de websitebezoeker, is het in individuele gevallen vaak niet duidelijk welke belangen zwaarder wegen dan de andere.

Een legitiem belang bij de exploitatie van een website is natuurlijk altijd dat de website correct wordt weergegeven. Cookies die hiervoor nodig zijn, zijn daarom altijd opgenomen in het legitieme belang van de websitebeheerder. 

Het wordt moeilijker wanneer cookies worden ingesteld om het gedrag van de websitebezoeker te analyseren of voor reclamedoeleinden. In dit geval kan vaak niet worden uitgesloten dat de belangen van de bezoekers van de website een hogere prioriteit krijgen door de gegevensbeschermingsautoriteiten en/of de rechtbanken in geval van een geschil.

Naast de technisch noodzakelijke cookies dient het plaatsen van cookies daarom altijd gebaseerd te zijn op de toestemming van de websitebezoeker. Deze toestemming wordt traditioneel verkregen via een selectievakje.

Het mag niet verhuld worden dat deze juridische situatie kan veranderen met de inwerkingtreding van de e-Privacy-Verordening. Aangezien de E-Privacy Verordening op dit moment echter nog in politieke discussie is, zal de toepassing van de AVG - en dus het uit voorzorg verkrijgen van toestemming door middel van een selectievakje - tot nader order van toepassing blijven op Cookies & Co. U kunt de details lezen in mijn OutOfTheBox-artikel De e-privacy-regeling: wat staat u te wachten? nalezen.

Het is niet zo moeilijk om een cookie-banner correct te ontwerpen. Het enige belangrijke is om aandacht te besteden aan een paar kleine dingen die ik u in het volgende zal voorstellen.

#1 De juiste tijd

Het is belangrijk dat de cookie-banner onmiddellijk verschijnt wanneer de website wordt opgeroepen en dat er in eerste instantie geen cookies worden geplaatst en dat er geen gegevens aan derden mogen worden doorgegeven (bijvoorbeeld via een social Plugin).

#2 De juiste plaats

Er moet ook voor worden gezorgd dat er geen andere essentiële inhoud wordt gedekt: De cookie-banner wordt bijvoorbeeld vaak in de voettekst geplaatst - en dekt daar de link naar het impressum en/of het privacybeleid.

#3 Vrijwillig

Het is ook belangrijk dat verdere bezoeken aan de website niet afhankelijk worden gemaakt van het feit of de websitebezoeker akkoord gaat met het instellen van alle cookies. Zelfs als alleen toestemming wordt gegeven voor het plaatsen van de technisch noodzakelijke cookies, moet het nog steeds mogelijk zijn om de website te bezoeken. Natuurlijk is het duidelijk dat sommige functies van de website dan niet goed functioneren als er geen toestemming wordt gegeven.  

#4 Volledige lijst van alle cookies

De cookiebanner moet de individuele cookies vermelden of - als er te veel zijn - ten minste de individuele contexten (technisch noodzakelijke cookies, analysecookies, cookies voor reclamedoeleinden, etc.); als er alleen contexten worden vermeld, moeten deze nader worden toegelicht door er in een ander venster op te klikken en moeten de individuele cookies daar worden gespecificeerd.    

#5 Checkboxen met opt-in

Toestemmingen op websites worden op verstandige wijze verkregen door middel van selectievakjes.

Dit betekent dat er in de cookie-banner voor elke cookie - of per cookie-context - een apart selectievakje zit. 

Het is belangrijk dat alleen het selectievakje voor de technisch noodzakelijke cookies al is aangevinkt - voor alle andere moeten de selectievakjes leeg zijn. Door op de andere selectievakjes te klikken, kan de bezoeker van de website nu zelf bepalen welke cookies of contexten hij wel of niet accepteert.

De juridische achtergrond is als volgt:

Als toestemming wordt verkregen door middel van een selectievakje, zijn er in principe twee mogelijkheden: Opt-in of Opt-out. Het verschil is dat het selectievakje voor opt-in in eerste instantie leeg is en dat de websitebezoeker actief zijn toestemming moet geven door op het vakje te klikken of het selectievakje aan te vinken. Bij de opt-out is het selectievakje standaard al ingesteld - dat wil zeggen dat er al toestemming is gegeven - en moet de websitebezoeker het selectievakje actief verwijderen door er op te klikken.

Veel website-exploitanten maken standaard gebruik van de opt-out. Waarschijnlijk omdat ze weten dat de meeste van hun bezoekers snel op de website willen komen en daarom op de OK-knop van de cookie-banner willen klikken - zonder de tekst van de banner te lezen of na te denken over waar ze mee akkoord gaan.

Waarom de opt-out niet genoeg is

Hoewel deze procedure wijdverbreid is, is zij juridisch gezien niet correct. Toestemming vereist een actieve handeling van de websitebezoeker. Het enige dat juridisch correct is, is dus opt-in, dat wil zeggen dat de websitebezoeker actief toestemming geeft - bijvoorbeeld om een analysetool als Google Analytics te gebruiken - door het vakje aan te vinken.

Men zou kunnen stellen dat de feitelijke toestemming in het geval van opt-out ligt in het aanklikken van de OK-knop van de cookie-banner. Maar dat zou zijn om op dun ijs te gaan. Want volgens overweging 32 over AVG toestemming geldt het volgende (Highlights door mij):

lijninfobox

"Toestemming moet worden verkregen door duidelijke bevestiging die een vrijwillige, specifieke, geïnformeerde en ondubbelzinnige aanwijzing geeft dat de betrokkene instemt met de verwerking van zijn of haar persoonsgegevens, bijvoorbeeld in de vorm van een schriftelijke verklaring, die ook elektronisch kan worden verstrekt, of een mondelinge verklaring.

Dit zou kunnen inhouden door een vakje aan te vinken bij het bezoeken van een websiteDe betrokkene wordt geacht toestemming te hebben gegeven voor de verwerking van zijn persoonsgegevens op grond van de keuze van de technische keuzes die met betrekking tot de diensten van de informatiemaatschappij zijn gemaakt, of op grond van enige andere uitleg of praktijk waarin in de context van het specifieke geval duidelijk wordt aangegeven dat hij instemt met de verwerking van zijn persoonsgegevens zoals die wordt beoogd.

Stilte, De vakjes zijn al aangekruist of inactiviteit van de betrokkene mag daarom niet worden beschouwd als toestemming. De toestemming moet betrekking hebben op alle verwerkingen die voor hetzelfde doel of voor dezelfde doeleinden worden uitgevoerd. Als de verwerking voor verschillende doeleinden is, moet toestemming worden gegeven voor al deze verwerkingen. Wanneer de betrokkene wordt verzocht om langs elektronische weg toestemming te geven, moet dit verzoek duidelijk en beknopt worden gedaan, zonder onnodige onderbreking van de dienst waarvoor toestemming wordt gegeven".

lijninfobox

#6 Aanpassing van het privacybeleid

Bij het ontwerpen van uw cookie-banner moet u niet vergeten uw privacybeleid aan te passen. Dit betekent dat de details van de individuele cookies ook in het privacybeleid moeten worden uitgelegd. 

#7 Speciaal probleem Sociaal Plugins

Er is een speciaal probleem met de integratie van socialPlugins, omdat niet alleen cookies worden geplaatst, maar ook persoonlijke gegevens van uw websitebezoekers automatisch worden doorgestuurd naar het bijbehorende social netwerk etc.

Na een stroom Arrest van het Hof van Justitie van 29 juli 2019 de persoonlijke gegevens van de bezoeker van de website mogen alleen worden doorgegeven aan het sociale netwerk etc. nadat de juiste toestemming is gegeven. Daarom moet ervoor worden gezorgd dat het sociale Plugin netwerk alleen actief is als de bezoeker van de website zijn of haar voorafgaande toestemming heeft gegeven door het betreffende selectievakje aan te vinken. (Hoewel in dit arrest nog steeds wordt verwezen naar de "Gegevensbeschermingsrichtlijn", d.w.z. de voorafgaande verordening van AVG; het resultaat is ook van toepassing op de AVG.) 

Het correct ontwerpen van een cookiebanner, d.w.z. in overeenstemming met de wet, is geen hekserij. En het is ook geen nadeel voor de websitebeheerder. Want ook de bezoekers van zijn website moeten eerlijk worden behandeld. En dit houdt ook in dat er eerst en vooral transparante informatie moet worden verstrekt over wat er gebeurt als de website wordt opgeroepen. Pas dan zijn de bezoekers van de website in staat om met kennis van zaken te beslissen of en zo ja, welke gegevens zij willen vrijgeven. Net zoals veel website-ontwikkelaars en -exploitanten zich niet graag door derden laten bespioneren, moeten ze ook de bezoekers van hun eigen website de mogelijkheid geven om zelf te beslissen welke gegevens ze al dan niet willen bekendmaken.

Eigenschap foto: Emily Wilson | Unsplash
Meer foto's: Rawpixel | pexels, RAIDBOXES

Gerelateerde artikelen

Commentaar op dit artikel

Schrijf een opmerking

Je e-mail adres wordt niet gepubliceerd. Verplichte velden zijn met * gemarkeerd.