Cookies en de AVG

Met het oog op eisen voor toestemming, zijn cookies op uw website/webshop eentje in de AVG om goed in de gaten te houden. Cookies zijn kleine tekstbestanden, waarmee jij en externe partijen verschillende gegevens van gebruikers kunnen achterhalen wanneer ze je website bezoeken.

Gebruikt u Cookies? 

Maakt u gebruik van bepaalde cookies, dan was het ook binnen de Wbp al verplicht hier melding van te maken middels een cookiebanner/cookiewall+cookie-policy. Dit verandert niet in de AVG. Wat wél verandert, is dat deze toestemming expliciet moet zijn. Opt-out volstaat dus niet langer vanaf mei 2018. Er moet dus actief een akkoord worden gegeven (een opt-in).

  • Opt-out
    Opt-out houdt in cookie verband in, dat er automatisch cookies worden geplaatst en deze in theorie pas opgeheven worden zodra men actief heeft aangegeven geen cookies te willen accepteren. Veelal op de volgende wijze aangeduid in een cookie-melding:
    "als u doorklikt, dan gaan we ervan uit dat je akkoord bent met plaatsen van cookies";
  • Opt-in
    De gebruiker dient expliciet akkoord te gaan met cookies. Hierbij mag men niet gedwongen worden tot toestemming, bijvoorbeeld door geen alternatief te bieden.

Toestemming Cookies en IP-adres

Tevens moet het mogelijk zijn om als gebruiker niet akkoord te gaan met het plaatsen (van bepaalde) cookies. Immers moet akkoord vrijelijk worden gegeven (zie bovenstaand/opt-in), en niet opgedragen middels een mogelijkheid tot slechts een akkoord. En let op: onder de AVG is ook een IP-adres een persoonsgegeven!

Verschillende soorten cookies

Er is echter onderscheid in cookies. Er zijn:

  • Functionele cookies – deze zijn nodig voor het gebruik van de website, bijvoorbeeld om in te loggen in een CMS. Deze cookies hebben geen toestemming nodig middels een cookie-melding.
  • Analytische/ Statistische cookies – Denk hierbij aan Google Analytics. Nou is het gelukkig niet zo dat je geen enkele webstatistieken meer kunt doormeten op je website. Anonimiseer uw GA-instellingen, dan kunnen hier geen persoonsgegevens meer uit worden afgeleid, en hoef je dus geen cookie-melding te plaatsen voor akkoord. Anonimiseer je niet, dan moet u wel toestemming vragen.
  • Tracking & Third Party cookies - Bijvoorbeeld die van YouTube, Facebook, Double Click etc. Deze cookies hebben altijd een cookiemelding nodig, en mogen dus niet geplaatst worden zonder akkoord.

Welke cookies heb ik?

Hoe achterhaalt u  nou welke cookies er zijn geplaatst op us website? Open hiervoor de browser Chrome in incognitoscherm, en klik op het slotje/info knopje naast uw domeinnaam. Hier staat vermeld “cookies, X in gebruik”. Hieronder staan alle cookies vermeld, waar ze vandaan komen en hoe lang ze bewaard blijven. Ziet u misschien Twitter of Vimeo? Dan zijn er dus Tracking/ Third Party cookies aanwezig op uw website. Overleg met uw marketing of a) deze cookies allemaal echt aanwezig moeten zijn op uw website en b) hoe u er dan het beste voor kan zorgen dat deze toestemming ontvangen. 

Let ook op dat toestemming door de gebruiker weer ingetrokken moet kunnen worden, en dat dit net zo gemakkelijk moet kunnen als het akkoord geven van die cookies.

Waar moet ik dit noteren? 

U noteert cookies  (of zelfs het gebrek aan cookies) in uw cookieverklaring (of in de cookie-afdeling in uw privacyverklaring). Daarnaast noteert u het gebruik en de doeleinde van uw cookies ook in uw verwerkingsregister. 

Organisatorische maatregelen AVG Technische maatregelen AVG Begin Verwerkingsregister