Iedereen die het internet gebruikt kent het: je opent een website en nog voordat je een letter hebt kunnen lezen verschijnt de volgende tekst: ‘Accepteer je cookies?’
Helaas gaat het niet om de lekkere variant. Mensen klikken gedachteloos door: ‘accepteer’. Je wilt verder lezen, wie wil er onderhandelen met een banner?
Wat mensen zich niet altijd beseffen is dat er achter één simpele klik een wereld van juridische verplichtingen, datastromen en soms zelfs commercieel waardevolle profielen schuil gaat. In dit artikel leg ik je uit wát je eigenlijk accepteert als toestemming geeft voor cookies, wanneer jouw toestemming geldig is en waar je als organisatie op moet letten bij het gebruik van cookies.
Wat zijn cookies eigenlijk?
Cookies zijn kleine tekstbestanden die door een website op je computer worden opgeslagen wanneer je een site bezoekt. Ze worden ingezet om informatie op te slaan over je websitebezoek. In juridische zin zijn cookies een vorm van het verwerken van persoonsgegevens wanneer zij herleidbaar zijn tot een individu. En dat is bijna altijd het geval.
Er zijn drie hoofdtypen cookies:
- functionele cookies;
Deze cookies zijn essentieel voor het functioneren van een website, bijvoorbeeld om in te kunnen loggen en winkelmandjes te beheren. Voor het gebruik is geen toestemming van de gebruiker nodig.
- analytische cookies;
Deze cookies worden gebruikt om het gedrag op een website te analyseren, bijvoorbeeld het aantal bezoekers en de meest bezochte pagina’s. Hiervoor is toestemming vereist, afhankelijk van hoe privacyvriendelijk de gegevens zijn geconfigureerd.
- Marketing- of trackingcookies;
Dit zijn de meest vergaande cookies: zij volgen bezoekers over verschillende websites en worden gebruikt voor gepersonaliseerde advertenties. Voor deze cookies is altijd expliciete toestemming vereist.
Toestemming Cookies
De verplichting voor toestemming van cookies vloeit voort uit de Telecommunicatiewet en de Algemene verordening gegevensbescherming. In de Telecommunicatiewet is bepaald dat voor niet-functionele cookies toestemming vereist is. Door de Algemene verordening gegevensbescherming zijn er aanvullende eisen wanneer er persoonsgegevens worden verwerkt. Dit maakt dat je voor de meeste cookies specifieke, geïnformeerde en ondubbelzinnige toestemming moet geven. Voornamelijk bij marketing- of trackingcookies, omdat deze de gebruiker over verschillende websites volgt: deze cookies kunnen een gedetailleerd profiel over een gebruiker opbouwen.
Wat moeten organisaties doen om de wetgeving na te leven?
Organisaties die cookietechnologie gebruiken moeten zich houden aan strikte wetgeving: een simpele cookiebanner voldoet niet zomaar.
Het moet duidelijk zijn welke cookies gebruikt worden en wat het doel is. Daarnaast moet de gebruiker in één oogopslag kunnen zien wat het verschil is tussen de gebruikte noodzakelijke, analytische en marketingcookies.
Wat ook niet is toegestaan, is de toegang tot de website blokkeren als de gebruiker niet-noodzakelijke functies niet accepteert. Ook moet het weigeren en accepteren van de cookies eenvoudig zijn: weigering moet net zo makkelijk zijn als toestemming geven. De knoppen moeten even groot zijn en er mag geen sprake zijn van een opt-out systeem. Een opt-out systeem voor cookies houdt in dat cookies (met name niet-essentiële zoals tracking cookies) standaard actief zijn en de gebruiker zelf de actieve stap moet zetten om zich af te melden (opt-out) als hij ze niet wil.
Nadat er (rechtmatig) toestemming is verkregen door organisaties, stoppen de verplichtingen niet. Organisaties moeten kunnen aantonen dat zij geldige toestemming hebben verkregen: iedere instelling en keuze van gebruiker moet bijgehouden worden. Tot slot moet de gebruiker óók altijd de mogelijkheid hebben om zijn toestemming weer in te trekken.
Organisaties die onrechtmatig gebruikmaken van cookies lopen flinke risico’s: de Autoriteit Persoonsgegevens houdt toezicht op het gebruik van persoonsgegevens. Flinke boetes, lasten onder dwangsom en onderzoek verplichtingen liggen op de loer. Zo heeft de Kruidvat in juli 2024 een boete van € 600.000, – ontvangen wegens onrechtmatig cookiegebruik.
Conclusie
Er gaat dus veel meer schuil achter de simpele vraag ‘accepteer je cookies?’ dan mensen denken. Voor gebruikers is het belangrijk om te weten waar zij nou toestemming voor geven. Voor organisaties is het -gelet op de AVG en het toezicht van de Autoriteit Persoonsgegevens – essentieel om cookiegebruik zorgvuldig en rechtmatig in te richten.
Wil jij dat we met je meekijken naar jouw cookiebanner, cookiebeleid of AVG-inrichting? Ik help je graag om jouw website volledig conform de wetgeving in te richten.
Robin van Kuilenburg
Juridisch medewerker