Tracking cookies: risico's, tips en aansprakelijkheid

Wat betekenen deze cookies voor u als websitebezoeker (betrokkene), websitehouder (verwerkings­verantwoordelijke) en marketeer/webdeveloper (verwerker). Wat zijn deze trackingrisico's, waar vind je ze en hoe ga je er juist mee om?

Gisteren publiceerde de Privacywaakhond een toelichtingsartikel waarin zij stellen dat websites toegankelijk moeten blijven bij het weigeren van Trackingcookies. De Autoriteit Persoonsgegevens komt met deze toelichting in navolging van recente onderzoeken, waaruit bleek dat veel partijen onterecht en onjuist trackingcookies plaatsen.

Wat zijn trackingcookies?

Eerst nog even wat achtergrondinformatie: wat zijn nou trackingcookies? Een cookie is een klein tekstbestandje, dat vanuit een website wordt geplaatst op je computer, tablet of telefoon wanneer je deze bezoekt. Onschuldige (technische) cookies helpen de website bijvoorbeeld te onthouden welke taal je hebt aangeklikt, of om ingelogd te blijven. Maar er zijn ook andere cookies, trackingcookies. Hier is de laatste tijd veel over te doen geweest.

Een trackingcookie wordt niet alleen gebruikt op één website die je bezoekt, maar wordt na plaatsing gebruikt om je bezoeken over verschillende websites te volgen. Bijvoorbeeld; je bezoekt eerst bol.com, daarna nu.nl en daarna wehkamp.nl. Allen hebben trackingcookies van Facebook en Google.

Facebook en Google kunnen aan de hand van de geplaatste cookies uitlezen waar jij geïnteresseerd naar hebt gekeken, en hier een profiel over jou mee samenstellen. Ze zullen met deze verzamelde informatie ook gericht reclame aan je kunnen tonen.

Omdat bij het opstellen en inzetten van deze profielen persoonsgegevens gemoeid gaan (bijvoorbeeld IP-adressen en klikgedrag), is de AVG hierop van toepassing. De enige manier dat u trackingcookies mag plaatsen is bij toestemming van de bezoeker.

Waarom worden Trackingcookies aangepakt?

“Het digitaal volgen en vastleggen van surfgedrag op internet via volgsoftware of andere digitale methodes is een van de grootste verwerkingen van persoonsgegevens, omdat vrijwel iedereen op internet actief is. Ter bescherming van de privacy is het daarom van belang dat partijen aan websitebezoekers op een goede manier toestemming vragen”, aldus Aleid Wolfsen, voorzitter van de AP.

Hoe weet ik wat voor cookies er zijn geplaatst op een website?

Een goede website informeert je in een cookiemelding, cookiestatement en privacy­verklaring over het gebruik van cookies. Maar wil je verifiëren of dit klopt, of cookiegebruik nagaan voor je eigen website? Dan zijn er verschillende manieren:

  • Er bestaan verschillende websites waarbij je de url van de website kan invoeren, waarna je een rapport krijgt toegestuurd met aanwezige cookies.
  • Je kunt het ook zonder deze websites nagaan, bijvoorbeeld in Chrome, door naast de domeinbalk te klikken op cookies. Zorg voor "schone" testresultaten dat je een incognitoscherm opent voordat je dit test.


Trackingcookie en de Verwerkings­verantwoordelijke

Ben jij de eigenaar van een website of een webshop? Dan is er een aanzienlijke kans dat jij aan marketing doet en/of statistieken op je website meet.

Jij, als eigenaar van de website, bent verantwoordelijk onder de AVG om op de goede manier met persoonsgegevens om te gaan. De toezichthouder stelt dat onder de AVG, trackingcookies persoonsgegevens bevatten. Houd jij je niet aan de AVG, dan ben jij verantwoordelijk voor eventuele boetes, claims en dwangsommen die kunnen worden uitgedeeld door de Toezichthouder.

Daarnaast moet je je kunnen verantwoorden over het gebruik, de doeleinden en de verkregen toestemming van de geplaatste cookies.

In de praktijk merken we echter vaak dat cookies een ver-van-mijn-bed-show is voor eigenaren van websites en webshops. Maar neem dit niet te licht op, cookiegebruik is gemakkelijk meetbaar voor externen en kan een duidelijk signaal uitzenden dat het niet goed goed zit qua privacy in je website/webshop. Het is dus zeer belangrijk hier actief bij stil te staan! Jij zult namelijk aansprakelijk zijn als dit niet AVG-proof is geïmplementeerd.

Wat moet je doen?

  • Check welke cookies je gebruikt.
  • Ga na of je ze wilt blijven gebruiken. Wist je bijvoorbeeld dat je Google Analytics en YouTube ook privacy­vriendelijk kan inladen?
  • Vraag aan je bezoekers toestemming voor het plaatsen van de trackingcookies. Dit moet expliciet en ondubbelzinnig. Dat houdt in per typecookie toestemming vragen en deze ook niet eerder plaatsen dan dat die toestemming is verkregen. Houd er ook rekening mee dat verleende toestemming altijd moet kunnen worden ingetrokken! Let op, dit mag niet via een Cookiewall, zo lazen we gisteren bij de toezichthouder.
  • Neem uitleg van je cookiegebruik op in een cookie/privacy­verklaring. Geen cookies? Ook dit moet worden vermeld!

Trackingcookies als Verwerker

Marketeers, social media specialisten en webdevelopers moeten zich bewust zijn van de risico's van trackingcookies, indien zij besluiten deze in te zetten voor hun klanten. Verwerkers hebben een rol om hun verwerkings­verantwoordelijken goed te informeren over de impact op privacy van deze trackingscookies en de juiste manieren van verwerking helpen aan te dragen en implementeren.

Op de juiste manier cookies vragen, dat heeft uiteraard gevolgen voor de marketing. Campagnes kunnen minder goed worden gevolgd, remarketing wordt lastiger en veel data zal verloren gaan, omdat bezoekers geen toestemming verlenen voor het plaatsen van de cookies.

Ook voor webdevelopers levert het technische hoofdbrekers op. Trackingcookies mogen niet worden geplaatst op een website zonder toestemming. En een website mag ook niet worden geblokkeerd voordat toestemming is verkregen.

Cookies plaatsen

  • Een websitebezoeker moet de website kunnen bezoeken, zonder dat dit privacy-impact heeft.
  • Niet alleen cookies, maar ook voor daarmee vergelijkbare technieken zal toestemming gevraagd moet worden. Dit zijn technieken zoals Javascripts, Flash cookies, HTML5-local storage en/of web beacons.
  • Cookiewalls mogen niet worden gebruikt om die toestemming te verkrijgen.
  • Toestemming moet expliciet zijn, wanneer bezoekers doorklikken op een website, mag er niet worden verondersteld dat dit toestemming is.
  • Toestemming moet kunnen worden verleend per type cookie.
  • Er moet kunnen worden aangetoond dat toestemming daadwerkelijk is verleend.
    • Zowel in de techniek, bijvoorbeeld door logging of versiebeheer van de cookiemelding.
    • De bijbehorende informatie waarop de bezoeker toestemming heeft verleend, moet ook bewaard blijven.

Waarschuwing voor Verwerkers

Let ook heel goed op als verwerker, dat je niet zelfstandig besluit cookies te gaan plaatsen op de websites van je klanten. Wanneer jij dit namelijk doet zonder medeweten van de verwerkings­verantwoordelijke, dan ben jij hier zelf verantwoordelijk voor. Zowel binnen de AVG, als ook middels verwerkers­overeenkomsten.

Let extra op wanneer je verwerkers­overeenkomsten hebt ondertekend waarbij boetes en flinke aansprakelijkheidsclausules zijn opgenomen, indien je je er niet aan houdt.

Trackingcookies als Betrokkene

Wil jij niet dat trackingcookies je volgen op het internet? Er zijn verschillende manieren om grip te houden op cookies:

  • Ken je rechten. Wordt er geen of niet op de juiste wijze toestemming gevraagd voor plaatsen van trackingcookies, dan mag je dit aankaarten bij de websitehouder. Geven zij geen gehoor, dan kun je tevens direct een klacht indienen bij de Autoriteit Persoonsgegevens.
  • Weiger cookies vanuit je browser: https://www.consumentenbond.nl/internet-privacy/cookies-verwijderen
  • Blokkeer specifieke cookies: via dezelfde methode waarop je cookies kan checken, kun je deze ook direct blokkeren. Bij elke website die je daarna bezoekt, wordt dit cookie automatisch geweigerd in te laden.

AVG Cloud Register

Wij helpen je graag met cookie-vraagstukken en implementaties. Wil je hulp? Vraag vrijblijvend een AVG-scan aan van je website. Ook biedt ons platform privacy en security extperts, zowel op technisch als juridisch vlak, die je graag willen helpen bij je AVG-vraagstukken.

Daarnaast biedt AVG Cloud Register een online platform om snel en duidelijk je AVG op orde te brengen. Denk hierbij aan verwerkings­registers, datalekkenregistratie en DPIA's.

AVG-scan mijn website Meer informatie over cookies