Onder online ondernemers bestaat er nog steeds veel onduidelijkheid over de cookiewetgeving. Moet ik wel of niet om toestemming vragen voor het plaatsen van cookies? Hoe vraag ik op de juiste manier om toestemming? En hoe zorg ik ervoor dat bezoekers ook echt toestemming geven? Wij hebben het voor u uitgezocht en de belangrijkste regels samengevat in deze blogpost.

Cookiewetgeving: alles wat u moet weten

Wat zijn dan cookies?

Cookies zijn kleine tekstbestanden die via de browser op de computer worden opgeslagen om bepaalde informatie later opnieuw te kunnen gebruiken. Webapplicaties gebruiken cookies vooral om informatie over de bezoeker vast te leggen, bijvoorbeeld:

  • wanneer de bezoeker uw website voor het laatst heeft bezocht
  • welke producten of productcategorieën de bezoeker eerder heeft bekeken
  • Of de bezoeker zijn persoonsgegevens heeft ingevoerd, bijvoorbeeld bij een opt-in.

Daarnaast zijn cookies ook verantwoordelijk voor het tonen van advertenties van producten die een bezoeker eerder op een andere website heeft bekeken. Voor veel bedrijven levert dit meer winst op, maar door bezoekers wordt het vaak als ongewenst ervaren.

Wat staat er in de cookiewetgeving?

De regels voor het plaatsen van cookies is vastgelegd in de telecommunicatiewet (artikel 11.7a). In deze wet staat dat cookies alleen mogen worden geplaatst als:

  • De bezoeker duidelijk over het plaatsen van de cookies is geïnformeerd
  • De bezoeker expliciet toestemming heeft gegeven voor het plaatsen van cookies.

Pas nadat er toestemming is gegeven mag de informatie worden uitgelezen en de cookies worden geplaatst.

Wel zijn er enkele uitzonderingen op de cookiewetgeving, bijvoorbeeld als de cookies noodzakelijk zijn voor het functioneren van de website en weinig tot geen inbreuk maken op de privacy van de bezoeker. Hierover later in deze blogpost meer.

Op dit moment is de EU nog bezig met een nieuwe wetgeving die de Nederlandse cookiewetgeving zal vervangen. Op het moment dat deze ‘ePrivacy Regulation’ wet in werking treed, zullen wij deze blogpost, waar nodig, updaten.

Waarom de cookiewetgeving?

Cookies zijn o.a. noodzakelijk voor het functioneren van een website, maar worden ook gebruikt om profielen van bezoekers op te stellen. Zo’n profiel bevat veel gedetailleerde informatie over de bezoeker, die bedrijven kunnen gebruiken om veel gerichter te adverteren.

Om bezoekers en hun privacy te beschermen is de cookiewetgeving in werking getreden. Het doel is niet alleen om gebruikers van het internet te informeren over het plaatsen van cookies, maar ook om ze de mogelijkheid te geven deze te weigeren.

Cookies en de AVG

Sinds 25 mei 2018 moeten alle bedrijven die persoonsgegevens verzamelen in Europa voldoen aan de nieuwe AVG wetgeving. Ondanks dat de AVG niet zozeer over cookies gaat, zijn er wel cookies die persoonsgegevens verwerken. Voor een groot deel van de cookies betekent dit dat ze niet alleen moeten voldoen aan cookiewet, maar ook aan de nieuwe AVG.

Dit is wat u moet weten:

  • In de AVG staat dat indien de verwerking meerdere doeleinden heeft, u voor al deze doeleinden toestemming moet vragen. Voor de cookies betekent dit dat u voor verschillende soorten cookies (bijvoorbeeld tracking cookies, social media cookies) apart toestemming moet krijgen.
  • De AVG werkt volgens een omgekeerde bewijslast. U, als organisatie, moet kunnen bewijzen dat de bezoeker ook daadwerkelijk toestemming heeft gegeven, voordat u de cookies heeft geplaatst. Als het gaat om niet privacygevoelige cookies moet de ondernemer ook kunnen aantonen dat de privacy van de bezoeker daadwerkelijk niet is geschonden.
  • De bezoeker moet op elk moment zijn toestemming kunnen intrekken. Aan u de taak om de bezoeker te informeren hoe dit in zijn werk gaat. Ook heeft de bezoeker recht op inzage als hij hierom vraagt.

Wat betekent dit voor mijn website?

(Bijna) elke website plaatst cookies. Uw website waarschijnlijk ook. Het maakt niet uit of uw website groot of klein is, winst maakt of niet. Als u cookies plaatst die niet zijn uitgezonderd van de informatie- en toestemminsgverplichting, is het belangrijk dat u uw website aanpast, zodat deze aan de wet voldoet.

Belangrijk om te weten is dat de cookiewetgeving niet alleen geldt voor het weergeven van websites op desktop computers. Ook smartphones tablets, spelcomputers en zelfs televisies vallen onder de cookiewet.

De nadelen

De cookiewet heeft een prijzenswaardig doel: de privacy van de burger beschermen. Toch zijn de gevolgen voor de website eigenaar niet zo rooskleurig.

De kans is namelijk groot dat uw bezoekers de cookies niet zullen accepteren. Waarom zou een bezoeker iets accepteren waar hij zelf geen voordeel uithaalt? Daarnaast worden cookiemeldingen vaak als vervelend ervaren, waardoor de eerste indruk van uw website al snel negatief wordt. Toch kunt u niet om de wet heen. Of wel?

Hoe pas ik mijn website aan?

De cookiewetgeving is van toepassing op verschillende cookies, waaronder tracking cookies en social media cookies. Wilt u geen cookiemelding plaatsen, dan is het dus belangrijk dat u alleen cookies plaatst die zijn uitgezonderd van de informatie- en toestemmingsverplichting. Als eerste moet u dus uitzoeken welke cookies u plaatst.

Stap 1. Soorten cookies bepalen

De cookiewet maakt een onderscheid tussen privacygevoelige en niet privacygevoelige cookies. De volgende cookies vallen onder de niet privacygevoelige cookies:

  • Functionele cookies: dit zijn (vaak) technische cookies die noodzakelijk zijn voor het functioneren van de website. Bijvoorbeeld cookies die ervoor zorgen dat de winkelwagen de producten van de klant onthoudt of de bezoeker na aanmelding ingelogd blijft.
  • Analytische cookies: deze cookies worden geplaatst door Google analytics, Clicky of andere analytics software en houden het gedrag bij van de bezoeker op de website. Alleen als de gegevens niet met derden worden gedeeld en niet zijn terug te leiden naar een individu, hoeft u geen toestemming te vragen. Wel moet u de bezoeker informeren over het plaatsen van analytische cookies.
  • Affiliate cookies: ook affiliate cookies behoren tot de uitzondering als ze geen of slechts geringe gevolgen hebben voor de privacy van de bezoeker. Voor affiliate cookies betekent dit dat de informatie alleen mag worden gebruikt voor het overmaken van beloning naar de eigenaar van de website die de affiliate links heeft geplaatst. Belangrijk is dat de ondernemer een bewerkersovereenkomst heeft afgesloten met de derde partij om de privacy van de bezoeker te waarborgen. Ondanks dat u geen toestemming nodig heeft, moet u de bezoeker nog wel informeren over het plaatsen van de cookies.

Voor deze 3 soorten cookies heeft u geen toestemming nodig van de bezoeker. Een voordeel is dat u dan ook geen cookie melding hoeft te plaatsen. Voor remarketing cookies en social media cookies heeft u wel toestemming nodig van de bezoeker.

  • Tracking cookies: deze cookies houden het gedrag van de bezoeker bij, zodat adverteerders advertenties kunnen afstemmen op het profiel van de bezoeker. Deze informatie wordt niet gekoppeld aan een naam of adres, maar maakt volgens de cookiewetgeving toch inbreuk op de privacy van de bezoeker.
  • Social media cookies: staan er social media buttons op uw website of plaatst u wel eens Youtube video’s op uw website. Dan is de kans groot dat er cookies worden geplaatst. Dit geeft sociale netwerken de mogelijkheid om de bezoeker op uw website te volgen.

Wilt u weten welke soort cookies u plaatst? Dit is eenvoudig te achterhalen op cookiechecker.nl. Of klik op het slotje naast de adresbalk als u op uw eigen website bent.

Plaatst u tracking cookies, social media cookies of andere cookies die inbreuk maken op de privacy van de bezoeker. Ga dan door naar stap 2. Plaatst u alleen niet privacygevoelige cookies, ga dan verder met stap 3.

Stap 2. Cookiemelding plaatsen

Heeft u een cookiemelding nodig omdat u tracking cookies, social media cookies of andere privacygevoelige cookies plaatst? Voor WordPress websites zijn er verschillende WordPress plugins beschikbaar die u kunt gebruiken. Om ervoor te zorgen dat u zich aan de wet houdt, is het belangrijk dat:

  • De cookies niet worden geplaatst voordat de bezoeker deze heeft geaccepteerd. Een plugin installeren is meestal niet genoeg. Er zijn aanpassingen in de code of applicatie nodig om ervoor te zorgen dat de cookies niet automatisch worden geplaatst.
  • De bezoeker expliciet toestemming geeft. Dit betekent dat de vinkjes van de cookies waarvoor toestemming vereist is, niet vooraf aangevinkt mogen zijn. Daarnaast is ook een melding, zoals “door het gebruik van onze website, geeft u toestemming voor het plaatsen van cookies” niet in lijn met de cookiewetgeving.
  • Er voor elke soort cookie apart toestemming moet worden geven. De cookiemelding moet een onderscheid maken tussen de verschillende soorten categorieën privacygevoelige cookies.

Impliciete vs. expliciete toestemming

De makkelijkste manier om de bezoeker toestemming te laten geven is door een checkbox te laten aanvinken. Toch is het ook toegestaan om cookies te plaatsen als de bezoeker impliciet toestemming heeft gegeven. Voorwaarden daarvoor zijn wel dat:

  • de bezoeker duidelijk geïnformeerd is over welke cookies zijn geplaatst
  • de bezoeker vervolgens een expliciete handeling uitvoert, door bijvoorbeeld op de content te klikken.

Één enkele scrollbeweging is echter niet voldoende als expliciete handeling. Daarnaast is het ook lastig aan te tonen dat de bezoeker de tekst echt heeft gelezen. Daarom raden wij u altijd aan om voor een cookiemelding met een checkbox of keuzeoptie te gaan.

De onderstaande cookiesmeldingen plugins hebben wij getest en kunnen wij u zeker aanraden.

Cookiebot (freemium)

Een veelgebruikte plugin voor het plaatsen van een cookiemelding is Cookiebot. De plugin wordt gebruikt op meer dan 90.000 websites en biedt naast een betaalde versie ook een gratis versie voor websites met minder dan 100 pagina’s. Cookiebot scant alle cookies op uw website en deelt ze in 5 categorieën in: noodzakelijk, voorkeuren, statistieken, marketing en niet geclassificeerd. Met een checkbox kunnen bezoekers aangeven voor welke categorieën zij toestemming willen geven.

Voordelen: 

  • Automatisch indelen van cookies
  • Voldoet aan AVG wetgeving

Nadelen:

  • Achterhaald design
  • Neemt een groot deel van het scherm in beslag

GDPR Cookie Compliance (gratis)

De GDPR Cookie Compliance plugin is in principe een complete plugin met veel aanpassingsmogelijkheden die ook nog eens helemaal gratis is. Toch zijn er enkele aanpassingen nodig om ervoor te zorgen dat uw cookie melding voldoet aan de AVG.

De plugin biedt wel de keuzemogelijkheid om toestemming per categorie te geven, maar de communicatie hierover is niet duidelijk. Door de settings link te wijzigen, kunt u de bezoeker wel duidelijk informeren dat hij de mogelijkheid heeft om niet alle cookies te accepteren. Zie hieronder een voorbeeld:

Voorbeeld cookiemelding

Voordelen:

  • Veel mogelijkheden
  • Mogelijkheid om toestemming op elke pagina te wijzigen

Nadelen:

  • Veel zelf doen
  • Beperkte categorieën (‘strictly necessary’, ‘third party’ en ‘additional’)

Consently: de ultieme oplossing?

De meeste cookiemeldingen plugins die op dit moment worden aangeboden zijn niet optimaal. Maar tijdens onze zoektocht kwamen wij ook Consently tegen. Deze plugin is nog niet beschikbaar, maar lijkt de beste uitkomst te bieden. Één duidelijke button om alle cookies te accepteren en één button om niet alle cookies tegelijk te accepteren. Wanneer de plugin live is, zullen wij deze uiteraard uitgebreid testen.

Voordelen:

  • Strak design
  • Voldoet aan de AVG en kans groter dat bezoeker cookies zullen accepteren.

Nadelen:

  • Nog niet beschikbaar

Stap 3. Privacyverklaring aanpassen of cookieverklaring schrijven

Als website eigenaar ben niet u niet alleen verplicht om toestemming te vragen voor het plaatsen van cookies, maar ook om de bezoeker hierover te informeren. Ook als het gaat om het plaatsen van niet privacygevoelige cookies. Over functionele cookies hoeft u volgens de cookiewetgeving de bezoeker niet te informeren, maar toch raden wij u aan om dit wel te doen en zo transparant mogelijk te zijn.

De beste manier om de bezoeker te informeren is met een aparte cookieverklaring als het gaat om heel veel informatie. Maar u kunt natuurlijk de cookieverklaring ook opnemen als onderdeel van de privacyverklaring, zoals wij ook hebben gedaan. In de verklaring moet staan:

  • De naam van uw website
  • Welke informatie u over de bezoeker verzamelt. Onderverdeeld in de verschillende soorten categorieën cookies (functioneel, tracking, analytics, etc.)
  • Met welk doel u deze informatie verzamelt
  • Wat u met de informatie doet
  • Hoe de gebruiker toestemming geeft voor het plaatsen van cookies
  • De impact die de cookies kunnen hebben op de privacy van de gebruiker

Een cookieverklaring schrijft u voor de bezoeker. De wet is immers bedoeld om het gebruik van cookies inzichtelijk te maken voor de bezoeker. Zorg ervoor dat de cookieverklaring, net zoals uw privacyverklaring, volledig is en in begrijpelijke taal is geschreven.

Wat als ik geen toestemming krijg?

In principe is het toegestaan om bezoekers te weigeren, die geen toestemming willen geven voor het plaatsen van cookies. In de meeste situaties zal dit onnodig zijn, omdat het vaak zal gaan om het wel of niet accepteren van tracking cookies.

Wilt u deze bezoeker, wegens een bepaalde reden, toch niet toelaten. Dan raden wij aan om deze bezoekers om te leiden naar een aparte pagina. Blijf ook op deze pagina altijd vriendelijk en leg de bezoeker uit waarom hij wordt omgeleid.

Voor overheidswebsites gelden andere regels. Voor deze websites is het niet toegestaan om bezoeker te weigeren die de cookies niet willen accepteren.

Tips om de kans op toestemming te vergroten

Bent u voor uw winst voor een (groot) deel afhankelijk van remarketing campagnes? Dan kan het erg vervelend zijn als bezoeker de cookies niet willen accepteren. Het enige wat u hier eigenlijk aan kunt doen, is de kans vergroten dat bezoekers toch toestemming geven. Bijvoorbeeld door:

  • De cookiemelding visueel aantrekkelijk te maken. Plaats bijvoorbeeld en verdrietige smiley naast de functionele cookies en een blije smiley naast alle andere cookies.
  • De bezoeker duidelijk te informeren. Vertel waarom het zo belangrijk is dat zij de cookies toch accepteren.
  • Het net iets anders te doen. Bezoekers komen op alle websites dezelfde soort cookiemelding tegen. De meesten zullen dan ook op automatische piloot de cookies weigeren. Met een originele cookiemelding is de kans groot dat bezoekers wel beter op moeten letten en de cookies dus niet automatisch weigeren.

Cookies? Liever niet!

De beste manier om de cookiemelding te vermijden is door geen privacygevoelige cookies te plaatsen. Een cookiemelding is namelijk niet alleen vervelend, maar ook geen garantie dat bezoekers toestemming geven voor het plaatsen van cookies.

Toch kan geen enkele online ondernemer om de cookiewetgeving heen. Controleer welke soorten cookies u plaatst, verwijder cookies die eigenlijk niet nodig zijn, plaats indien nodig een cookiemelding en wijzig uw privacyverklaring.

Disclaimer
Bij het verzamelen van de informatie uit deze blogpost hebben wij ons best gedaan om volledige en juiste informatie te verstrekken. Aan de informatie kunnen geen rechten worden ontleend.

Lees ook deze blogpost:

Privacyverklaring voor uw website of webshop

Privacyverklaring voor uw website of webshop