Cookies en toestemming: hoe zit het ook alweer?

LET OP: update 14 januari 2022 onderaan de blog

 

Cookies, we komen ze tegen op vrijwel alle websites. Toch roept dit abstracte verschijnsel bij veel mensen vragen op. Wat zijn het precies? Hoe zet je cookies in? Waar moet je rekening mee houden bij het plaatsen van cookies op je website vanuit privacyperspectief? In dit artikel leggen wij uit hoe je cookies op jouw website kan inzetten zónder daarbij inbreuk te maken op de privacy van de websitegebruikers.

Cookies

Een cookie is een klein tekstbestandje dat een website op de harde schijf van je computer zet op het moment dat je een website bezoekt. De belangrijkste functie van cookies is om websitegebruikers van elkaar te onderscheiden. Er zijn verschillende soorten cookies, deze zijn hieronder kort weergegeven.

Functionele cookies

Functionele cookies zijn cookies die technisch noodzakelijk zijn om een website goed te laten werken. Een voorbeeld hiervan is een cookie die gebruikt wordt om de inhoud van een winkelwagentje te onthouden.

Affiliate cookies

Met affiliate cookies kan bepaald worden via welk kanaal en welke advertentie een klant een bepaald product of dienst heeft gevonden. Op deze manier kunnen adverteerders beloond worden.

Analytische cookies

Analytische cookies analyseren het gebruik van de website en brengen dit in kaart. Dergelijke cookies dragen bij aan het verbeteren van de kwaliteit en/of de effectiviteit van de website. Een voorbeeld van een analytische cookie is de Google Analytics-cookie.

Google Analytics: Met behulp van Google Analytics krijg je meer inzichten in statistieken en kan je het gebruik van je website optimaliseren, met als doel het genereren van meer conversies. Google Analytics maakt voor het verzamelen van dergelijke data gebruik van analytische cookies.

Tracking cookies

Tracking cookies leggen op persoonsniveau gegevens vast en volgen soms ook het gedrag van websitegebruikers over meerdere websites.

Social media button: Social media buttons bestaan uit tracking cookies. Deze buttons zorgen ervoor dat websitegebruikers artikelen van een website kunnen delen. Door websitegebruikers in staat te stellen om zelf te bepalen of zij tracking cookies voor social media accepteren, wordt de button (en daarmee ook tracking cookies) pas geactiveerd op het moment dat een gebruiker actief op een button klikt.

Toestemming noodzakelijk

Het plaatsen van cookies kan juridische consequenties hebben, omdat ze worden gebruikt voor verschillende doeleinden. Een verkeerde toepassing van cookies kan bijvoorbeeld leiden tot een privacyinbreuk. De vraag is of bescherming van de privacy van de websitebezoekers, zonder verlies van functionaliteit én zonder toestemming van de bezoeker, mogelijk is. Het antwoord is ‘ja’. Hieronder leggen wij uit hoe dat zit.

Programma’s als Google Analytics maken gebruik van identifiers. Deze identifiers worden aangemerkt als persoonsgegeven in de zin van de Algemene Verordening Gegevensbescherming (AVG). De cookies die deze programma’s plaatsen, vallen onder de Telecommunicatiewet (Tw). De hoofdregel met betrekking tot het plaatsen van cookies is dat toestemming nodig is van de websitebezoeker. Dit is het toestemmingsvereiste. Toestemming moet op grond van de AVG vrij gegeven, specifiek en ondubbelzinnig zijn. Verder bepaalt de AVG dat toestemming gegeven moet zijn op basis van de juiste informatie (het moet dus duidelijk zijn waar precies toestemming voor gegeven wordt). Tenslotte moet het intrekken van toestemming net zo gemakkelijk zijn als het geven ervan.

Geen toestemming

Uitzonderingen op het toestemmingsvereiste zijn mogelijk. Zo kunnen analytische en statistische cookies zonder toestemming worden gebruikt, indien ze zo worden ingesteld dat data alleen wordt vastgelegd en/of verwerkt om het gebruik van de website te analyseren. Tracking cookies kunnen niet worden uitgesloten van het toestemmingsvereiste, aangezien ze altijd impact hebben op de privacy van websitebezoekers. Dit betekent het volgende:

  • Alleen cookies met betrekking tot statistische en analytische doeleinden vallen onder de uitzonderingsgrond. Cookies mogen dus niet worden gebruikt om verschillende websitebezoekers anders te behandelen.
  • De cookies mogen geen of zeer geringe gevolgen hebben voor de privacy van de websitebezoeker.

Het plaatsen van analytische en statistische cookies kan onder voorwaarden dus zonder toestemming van de websitegebruiker, maar dat betekent niet dat uw organisatie alles met de verworven data mag doen. Voor verwerking is alsnog een grondslag nodig op basis van de AVG, zoals een algemeen, vitaal of gerechtvaardigd belang. Het is verder belangrijk dat u als verwerkingsverantwoordelijke een verwerkersovereenkomst afsluit met Google, waarin is vastgelegd dat Google alleen als verwerker optreedt bij de verwerking van persoonsgegevens van uw websitebezoekers (zie hiervoor het instellingenmenu van Google Analytics).

Cookiebanner

Aangezien de toestemming voor verwerking van persoonsgegevens specifiek moet zijn, volstaat het niet om met één knop toestemming te vragen voor verschillende soorten cookies met verschillende doeleinden. Het plaatsen van een cookiebanner is een mogelijkheid om toestemming te vragen aan websitegebruikers voor de verschillende typen cookies.

Websites die alleen gebruikmaken van uitgezonderde cookies hoeven geen cookiebanner te plaatsen. In dat geval is het wel aan te raden om in bijvoorbeeld een cookie-statement te informeren over de soorten cookies die op de website worden gebruikt.

Wat moet u doen?

Organisaties worden geacht de impact op de privacy van websitegebruikers zoveel mogelijk te minimaliseren. Het vermijden van onnodige verwerking van persoonsgegevens is mogelijk zonder verlies van functionaliteit van uw website.

Persoonsgegevens in URL

Google Analytics meet standaard alle URL’s op uw website, dus ook URL’s waar persoonsgegevens in voorkomen, zoals links om in te loggen. Om privacyinbreuk te voorkomen, raden wij aan om ervoor te zorgen dat persoonsgegevens niet meer voorkomen in URL’s. Dit werkt beter dan het bouwen van een tool die zorgt dat Google Analytics geen persoonsgegevens in URL’s meet.

Niet-direct herleidbare identifiers

Verder biedt Google Analytics maatwerk, maar daarmee gaan vaak persoonsgegevens richting Google Analytics. Wees u ervan bewust dat ook niet-direct herleidbare identifiers gezien moeten worden als persoonsgegeven.

Pseudonimiseren IP-adressen

Tenslotte biedt Google de mogelijkheid om IP-adressen van websitebezoekers te pseudonimiseren. Echter, ook gepseudonimiseerde IP-adressen zijn persoonsgegevens.

Vragen?

Heeft u vragen of opmerkingen, of wilt u meer weten? Neem dan contact met ons op. Wij helpen u graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

UPDATE D.D. 14-01-2022 – Autoriteit Persoonsgegevens wijst op mogelijk verbod Google Analytics

Het gebruik van Google Analytics is mogelijk binnenkort in Nederland verboden, zo stelt de Autoriteit Persoonsgegevens (AP) naar aanleiding van de uitspraak van de Oostenrijkse privacytoezichthouder. Gisteren stelde de Datenschutzbehörde (DSB) dat het gebruik van Googles statistiekenprogramma in strijd met de AVG is. Volgens de DSB wordt erbij het gebruik van Google Analytics persoonlijke data naar Google in de Verenigde Staten verstuurd, waaronder user identifiers, ip-adressen en browserparameters

De uitspraak van de Oostenrijkse privacytoezichthouder volgde op een klacht van privacyorganisatie noyb. De organisatie, opgericht door privacyactivist Max Schrems, heeft bij privacytoezichthouders in heel de Europese Unie klachten over onder andere Google Analytics ingediend. De Nederlandse Autoriteit Persoonsgegevens heeft twee klachten over het gebruik van Google Analytics in Nederland ontvangen en is daarop een onderzoek gestart.

Op dit moment gelden er verschillende regels voor het gebruik van Googles statistiekenprogramma. “Gebruikt u Google Analytics, dan verwerkt u met de analytische cookies persoonsgegevens van uw websitebezoekers. Dat heeft dus gevolgen voor hun privacy. U moet hierbij in principe zowel voldoen aan de Telecommunicatiewet (uw bezoekers informeren en om toestemming vragen) als aan de Algemene verordening gegevensbescherming (AVG)”, zo laat de AP weten.

De onderzoeken van de Nederlandse privacytoezichthouder lopen nog en zullen begin dit jaar worden afgerond. Pas dan kan de Autoriteit Persoonsgegevens zeggen of Google Analytics is toegestaan of niet. De Nederlandse privacytoezichthouder heeft echter op de informatiepagina over cookies een waarschuwing geplaatst: “Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan.” Noyb stelde gisteren al dat de uitspraak van de DSB gevolgen voor heel veel websites in de EU zal hebben.