Cookie-banner - maar dan goed! Op deze 7 dingen moet je letten

Mario Steinberg Laatst bijgewerkt op 10.11.2020
6 Min.
cookiebanner dsgvo eprivacy

Het uiterlijk van cookiebanners is de laatste tijd op veel websites veranderd. In het verleden kreeg u alleen een klein pop-up venster met een beknopte mededeling dat sommige niet nader gespecificeerde "cookies" op de website worden geplaatst. Tegenwoordig krijgt u vaak een lijst van de afzonderlijke cookies en de keuze via selectievakjes welke ervan worden geaccepteerd of niet. Waarom is dit het geval - en wat is nu juist?

Dit artikel zal wat licht werpen op cookiebanners en uitleggen hoe u de cookiemelding op uw website correct ontwerpt. Voor we echter tot de details komen, moeten we begrijpen wanneer en waarom u een cookiebanner nodig hebt.

Cookies zijn informatie die wordt opgeslagen op het eindapparaat van de websitebezoeker (pc, smartphone, enz.). Enerzijds zijn deze noodzakelijk om een website correct weer te geven ("technisch noodzakelijke cookies"). Anderzijds worden ze ook voor andere doeleinden ingesteld, bijvoorbeeld om het gedrag van websitebezoekers te analyseren, voor reclamedoeleinden of bij de integratie van sociale Plugins. (Opmerking: In het navolgende verwijst de term "cookies" ook naar vergelijkbare technologieën, zoals het tellen van pixels, etc.). 

Laten we eerst de huidige juridische situatie bekijken. In dit verband is sinds de inwerkingtreding van AVG (Verordening (EU) 2016/679) op 25.05.2018 geldt het volgende:

Indien de opslag van cookies op het eindapparaat van de websitebezoeker niet plaatsvindt om de legitieme belangen van de websitebeheerder of een derde te beschermen, is hiervoor de toestemming van de websitebezoeker vereist overeenkomstig Art. 6 Para. 1 AVG .

cookiebanner dsgvo

Aangezien de legitieme belangen van de websitebeheerder of van derden moeten worden afgewogen tegen de belangen of fundamentele rechten en vrijheden van de websitebezoeker, is het in individuele gevallen vaak niet duidelijk welke belangen zwaarder wegen dan de andere.

Een rechtmatig belang bij de werking van een website is natuurlijk altijd dat de website correct wordt weergegeven. Cookies die hiervoor nodig zijn, vallen daarom altijd onder het legitieme belang van de websitebeheerder. 

Het wordt moeilijker wanneer cookies worden geplaatst om het gedrag van de websitebezoeker te analyseren of voor reclamedoeleinden. Hier kan vaak niet worden uitgesloten dat de belangen van de bezoekers van de website in geval van een geschil zwaarder zouden wegen voor de toezichthoudende autoriteiten voor gegevensbescherming en/of de rechter.

Afgezien van de technisch noodzakelijke cookies, dient het plaatsen van cookies daarom altijd gebaseerd te zijn op de toestemming van de websitebezoeker. Deze toestemming wordt klassiek verkregen via een selectievakje.

Er mag niet worden verheeld dat deze juridische situatie kan veranderen met de inwerkingtreding van de e-privacyverordening. Aangezien de E-Privacy Verordening momenteel echter nog steeds politiek wordt besproken, blijft de toepassing van AVG - en dus het uit voorzorg verkrijgen van toestemming door middel van een checkbox - voorlopig van kracht met betrekking tot cookies & co. U kunt de details lezen in mijn artikel De e-privacyverordening: wat staat u te wachten?"artikel.

Het correct ontwerpen van een cookiebanner is niet zo moeilijk. Het is alleen belangrijk om een paar dingen in gedachten te houden, die ik hieronder aan u zal voorstellen.

#1 De juiste tijd

Het is belangrijk dat de cookiebanner onmiddellijk verschijnt wanneer de website wordt opgeroepen en dat er aanvankelijk geen cookies worden geplaatst en geen gegevens aan derden mogen worden doorgegeven (bijvoorbeeld via een sociale website Plugin).

#2 De juiste plaats

Voorts moet erop worden toegezien dat geen andere essentiële inhoud aan bod komt: De cookiebanner wordt vaak in de footer geplaatst - en bedekt de link naar het impressum en/of het privacybeleid.

#3 Vrijwilligheid 

Het is ook van belang dat het verdere bezoek aan de website niet afhankelijk wordt gesteld van de toestemming van de websitebezoeker voor het plaatsen van alle cookies. Ook indien alleen toestemming wordt gegeven voor het plaatsen van technisch noodzakelijke cookies, moet het nog mogelijk zijn de website te bezoeken. Het is natuurlijk duidelijk dat sommige functies van de website niet naar behoren kunnen functioneren als er geen toestemming is verleend.  

#4 Volledige opsomming van alle cookies

De cookie banner dient de individuele cookies te vermelden of - als er te veel zijn - ten minste de individuele contexten (technisch noodzakelijke cookies, analysecookies, cookies voor reclamedoeleinden, enz.); als alleen contexten worden vermeld, dienen deze meer in detail te worden toegelicht door er in een ander venster op te klikken en de individuele cookies dienen daar te worden gespecificeerd.    

#5 Keuzevakjes met opt-in

Toestemming op websites wordt op verstandige wijze verkregen door middel van selectievakjes.

Dit betekent dat er per cookie - of per cookiecontext - een apart selectievakje is in de cookiebanner. 

Het is belangrijk dat alleen het selectievakje voor de technisch noodzakelijke cookies al mag zijn aangevinkt - de selectievakjes voor alle andere cookies moeten leeg zijn. Door de resterende selectievakjes aan te vinken, kan de bezoeker van de website nu zelf beslissen welke cookies of contexten hij al dan niet aanvaardt.

De juridische achtergrond hiervan is als volgt: 

Indien de toestemming wordt verkregen door middel van een selectievakje, zijn er in principe twee mogelijkheden: Opt-in of Opt-out. Het verschil is dat bij opt-in het selectievakje aanvankelijk leeg is en de websitebezoeker actief zijn toestemming moet geven door op het vakje te klikken of het vinkje te zetten. Bij opt-out is het vinkje standaard al gezet - de toestemming is dus al gegeven - en moet de websitebezoeker het vinkje actief weghalen door op het vinkje te klikken.

Veel websitebeheerder maken standaard gebruik van de opt-out. Waarschijnlijk omdat ze weten dat de meeste van hun bezoekers snel op de website willen komen en daarom op de OK-knop van de cookie-banner willen klikken - zonder de tekst van de banner te lezen of na te denken over waar ze mee akkoord gaan.

Waarom een opt-out niet voldoende is

Hoewel deze benadering wijdverbreid is, is zij juridisch niet correct. Toestemming vereist een actieve handeling van de websitebezoeker. Daarom is alleen de opt-in, d.w.z. dat de websitebezoeker actief zijn toestemming geeft - bijvoorbeeld voor het gebruik van een analyse-instrument zoals Google Analytics - door het vakje aan te vinken, juridisch onaanvechtbaar.

Men zou kunnen aanvoeren dat bij de opt-out-optie de werkelijke toestemming ligt in het klikken op de OK-knop van de cookiebanner. Maar dit is betreden op dun ijs. Volgens overweging 32 van AVG geldt met betrekking tot toestemming het volgende (nadruk door mij):

lijninfobox

"Toestemming moet worden gegeven door een ondubbelzinnig bevestigend besluit per geval vrijwillig, op geïnformeerde en ondubbelzinnige wijze, dat de betrokkene instemt met de verwerking van hem betreffende persoonsgegevens, zoals een schriftelijke verklaring, die ook langs elektronische weg kan worden afgelegd, of een mondelinge verklaring.

Dit zou kunnen worden gedaan door een vakje aan te vinken wanneer u een internetpagina bezoektdoor het selecteren van technische instellingen voor diensten van de informatiemaatschappij of door elke andere verklaring of gedraging waarmee de betrokkene ondubbelzinnig te kennen geeft in te stemmen met de voorgenomen verwerking van zijn persoonsgegevens in de desbetreffende context.

Stilte, vakjes al aangevinkt of inactiviteit van de betrokkene mag daarom niet als toestemming worden beschouwd. De toestemming moet betrekking hebben op alle verwerkingen die voor hetzelfde doel of dezelfde doelen worden verricht. Wanneer de verwerking verschillende doeleinden dient, moet voor al die verwerkingsdoeleinden toestemming worden gegeven. Wanneer de betrokkene langs elektronische weg om toestemming wordt verzocht, moet dit verzoek duidelijk en beknopt worden gedaan en zonder onnodige onderbreking van de dienst waarvoor toestemming wordt gegeven."

lijninfobox

#6 Aanpassing van het privacybeleid

Bij het ontwerpen van uw cookiebanner mag u niet vergeten uw privacybeleid aan te passen. Dit betekent dat de details van de afzonderlijke cookies die worden geplaatst, ook in het privacybeleid moeten worden uitgelegd. 

#7 Speciaal Probleem Sociale Plugins

Er is een speciaal probleem met de integratie van sociale Plugins, aangezien deze niet alleen cookies plaatsen, maar ook automatisch persoonlijke gegevens van uw websitebezoekers naar het overeenkomstige sociale netwerk sturen, enz.

Volgens een recente arrest van het HvJ van 29 juli 2019 de persoonsgegevens van de bezoeker van de website mogen pas aan het sociale netwerk enz. worden doorgegeven nadat daarvoor toestemming is gegeven. Daarom moet ervoor worden gezorgd dat de sociale website Plugin alleen actief wordt als de websitebezoeker daarvoor vooraf zijn toestemming heeft gegeven door het desbetreffende vakje aan te vinken. (In deze uitspraak wordt nog steeds verwezen naar de "gegevensbeschermingsrichtlijn", d.w.z. de voorloper van de verordening AVG; het resultaat geldt echter ook voor AVG).

Het correct ontwerpen van een cookiebanner, d.w.z. in overeenstemming met de wet, is geen tovenarij. En het is ook geen nadeel voor de websitebeheerder. Omdat bezoekers van zijn website ook eerlijk behandeld moeten worden. Dit houdt ook in dat transparante informatie moet worden verstrekt over wat er gebeurt wanneer de website wordt geraadpleegd. Alleen dan zijn websitebezoekers in staat een weloverwogen beslissing te nemen over de vraag of en, zo ja, welke gegevens zij openbaar wensen te maken. Net zoals veel website-ontwikkelaars en -exploitanten huiverig zijn voor spionage door derden, moeten zij ook de bezoekers van hun eigen website de mogelijkheid bieden zelf te beslissen welke gegevens zij wel of niet willen vrijgeven.

Afbeelding: Emily Wilson | Unsplash
Extra beelden: Rawpixel. Pexels, RAIDBOXES

Gerelateerde artikelen

Reacties op dit artikel

Laat een opmerking achter

Jouw e-mailadres zal niet worden gepubliceerd. Verplichte velden zijn met een * gemarkeerd.