Mag ik de cookiebanner al van mijn website halen?

De gewijzigde cookiewet is afgelopen woensdag, 11 maart 2015, in werking getreden. Maar wat houdt dat nou in? Worden cookiebanners eindelijk voorgoed verbannen (haha)? Helaas is het antwoord op deze vraag: ‘dat hangt er vanaf’. En ik weet dat dat nou net het antwoord is waar iedereen een hekel aan heeft.

Voorheen moest er toestemming gevraagd worden aan de bezoeker voor het plaatsen van cookies, door middel van bijvoorbeeld een cookiebanner. Slechts functionele cookies, cookies die technisch noodzakelijk zijn om een website te laten functioneren, mochten geplaatst worden zonder toestemming van de bezoeker.

Aangezien hier veel ophef over is geweest, is er gekozen voor een wettelijk compromis: cookies mogen geplaatst worden zonder toestemming van de bezoeker, mits deze cookies de privacy van de bezoeker niet, of slechts een klein beetje schenden én je dat doet voor het doel “informatie verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij”.

Hoera! Nu kunnen dus alle analytic, A/B testing en affiliate cookies zonder toestemming geplaatst worden! Of toch niet? Nee, toch niet inderdaad. Er is namelijk wel een mits: mits deze cookies énkel worden ingezet om de kwaliteit en effectiviteit van een dienst (bijv. de website) te meten.

Het is dus niet de bedoeling dat je analytic cookies plaatst, of laat plaatsen, en deze cookies ook gebruikt voor het tracken en/of het opstellen van profielen van je bezoekers. Dan gebruik je de cookies namelijk niet enkel om de kwaliteit en effectiviteit van een dienst te meten, én moet je dus weer toestemming vragen. Dit valt namelijk buiten het doel “informatie over kwaliteit of effectiviteit”. Bovendien is dat écht meer dan geringe inbreuk op de privacy. Hetzelfde geldt voor andere analytics-achtige tools waarbij je wél IP-adres gebonden informatie logt en analyseert.

Gebruik je Google Analytics enkel voor het meten van de kwaliteit of effectiviteit van jouw website, dan mogen zelfs cookies afkomstig van Google Analytics zonder toestemming van de bezoeker geplaatst worden. Dit blijkt uit een recent gepubliceerde handreiking van het College Bescherming Persoonsgegevens over hoe je je aan de privacywet kunt houden en toch Google Analytics kunt inzetten. Dit kan door de volgende vier stappen te nemen:

  1. Accepteer het “Amendement gegevensverwerking” in je Analytics-account (‘Beheer’ > ‘Account instellingen’ en dan helemaal onderaan);
  2. Blokkeer het meezenden van volledige IP-adressen (ga(‘set’, ‘anonymizeIp’, true);) en forceer tevens SSL (ga(‘set’, ‘forceSSL’, true););
  3. Zet het delen van gegevens met Google uit (‘Beheer’ > ‘Account instellingen’ en dan vier instellingen uitvinken);
  4. Informeer je bezoekers in een cookieverklaring of privacyverklaring over je gebruik van Google Analytics.

Na het nemen van bovenstaande vier stappen is het oké om wat betreft Google Analytics te spreken van een “geringe inbreuk op de privacy”, zodat een cookiebanner of pop-up weggelaten kan worden als daarmee wordt gewerkt. Deze stappen kunnen ook worden toegepast bij andere derde partijen die analytische-, A/B testing- of affiliate cookies plaatsen. Als dit wordt gedaan dan kan beargumenteerd worden dat ook voor deze cookies geen toestemming meer gevraagd hoeft te worden middels een cookiebanner.

De informatieplicht blijft desondanks wel bestaan, omdat dit op grond van de Wet bescherming persoonsgegevens verplicht is. Er zal dus nog steeds in een privacy- en of cookieverklaring uitgelegd moeten worden welke cookies geplaatst worden en waarvoor.

De gewijzigde cookiewet heeft dus niet als gevolg dat we nu massaal cookiebanners kunnen uitschakelen. Voor alle tracking cookies zal namelijk nog steeds toestemming moeten worden gevraagd d.m.v. de cookiebanner. Hetzelfde geldt dus voor alle analytic, A/B testing en affiliate cookies die niet enkel worden gebruikt om de kwaliteit en effectiviteit van een dienst te meten, maar ook om bezoekers te volgen en/of een profiel van op te stellen.

Het is met de wijziging van de cookiewet aan de bedrijven zelf om te bepalen of er bij de geplaatste cookies gesproken kan worden van ”geen of een geringe inbreuk op de privacy” van bezoekers. Controleer daarom de huidige afspraken die er met derde partijen zijn gemaakt en de doeleinden waarvoor de cookies worden gebruikt, voordat de cookiebanner wordt uitgeschakeld.

Wil je weten hoe je nou in de praktijk op een flexibele maar toch sluitende methode kunt voldoen aan de gewijzigde cookiewet? Zie dan ook het artikel dat wij i.s.m. met Relay42 hebben opgesteld. Waar ICTRecht juridisch advies biedt, levert Relay42 SaaS-oplossingen voor het beheren van cookies, tags en data en stelt bedrijven in staat om te voldoen aan privacy regulering op een technisch veilige manier binnen het juridisch kader.

Over Lisette Meij juridisch adviseur

Juridisch adviseur gespecialiseerd in privacy en Big Data.

There are 4 comments

  1. Beste Lisette,

    Bedankt voor het artikel en advies hoe je aan de wetgeving moet voldoen. Ik heb echter nog wel 1 aanvullende vraag:
    Veel websites adverteren ook in Google AdWords. In Google Analytics maak je conversies/doelen aan en je koppelt vervolgens Google Analytics aan Google AdWords. Vervolgens kan je in Google AdWords bijhouden welke AdWords campagnes conversies opleveren etc.

    Bij stap 3 zeg je dat alle 4 de instellingen uitgevinkt moeten worden. Geldt dat echter ook voor de eerste instelling?
    “Uitsluitend bij andere Google-productenaanbevolen
    Uitgebreide advertentiefuncties inschakelen en de functionaliteit van AdWords, AdSense en andere Google-producten verbeteren door Google Analytics-gegevens van uw website te delen met andere Google-services, en betere Google-services ontwikkelen door niet-persoonlijke gegevens te delen. Alleen Google-services (geen derden) hebben toegang tot uw gegevens.”

    Zonder deze functie heb je namelijk geen inzicht meer in deze gegevens in Google AdWords.

    Alvast bedankt voor je reactie.

  2. Hoi Lisette, wij twijfelen intern over een cookie kwestie en ik ben erg benieuwd naar jullie mening. Het gaat over deelknoppen, wanneer je deze op je site hebt staan alsplaatjes (logo van Facebook, Linkedin etc), die als je er op klikt een een nieuw scherm openen (tabblad of popup). Bijvoorbeeld zoals emerce doet: http://www.emerce.nl/nieuws/acm-werkt-faq-cookies. In weze plaats je dan zelf geen cookies via je site, je plaatst enkel een url naar een site (linkedin) die vervolgens cookies plaatst, maar gezien het nieuwe venster lijkt het me dan niet meer jouw, maar linkedin’s verantwoordelijkheid. Hoe zie jij dat?

    • Hi Cristian,

      Dat klopt. Als de cookie niet via jullie website geplaatst wordt, maar enkel via de website waarnaar jullie doorlinken (bijvoorbeeld een Facebook of Twitter) dan is het de verantwoordelijkheid van die desbetreffende website om de bezoeker hierover te informeren.

      Wél raad ik aan jullie eigen bezoekers hierover te informeren in jullie cookieverklaring, door bijvoorbeeld op te nemen dat jullie cookieverklaring niet van toepassing is op websites van derden waarnaar jullie doorlinken.

      Ik hoop dat het zo iets duidelijker is!

  3. Dankjewel!

Laat een reactie achter

Your comment will be placed under the aforementioned article ICTRecht behoudt zich het recht voor om reacties te verwijderen. Alle reacties zijn te allen tijde voor verantwoordelijkheid van de inzender.