Update mei 2020: Het Europees Comité voor gegevensbescherming (European Data Protection Board, of EDPB) heeft nieuwe richtsnoeren opgesteld waarin aanbevelingen worden gedaan over het verzamelen van toestemming. Je leest er hier meer over.
Wie het heeft over gegevensbescherming en privacywetgeving, denkt vaak ook meteen aan cookies. Die hebben daar immers rechtstreeks mee te maken. Er wordt vaak gedacht dat de algemene verordening gegevensbescherming (AVG) de cookiewetgeving (ePrivacy-richtlijn) heeft opgeheven, maar dat is niet juist. Het is eerder zo dat de ePrivacy-richtlijn en de AVG samen moeten worden gelezen en elkaar aanvullen.
De ePrivacy-richtlijn 2002/58/EG (ofwel de cookiewetgeving) bevat richtsnoeren voor de bescherming van elektronische privacy, met inbegrip van e-mailmarketing en het gebruik van cookies, en is nog steeds van toepassing. Zoals gezegd is de ePrivacy-richtlijn niet vervangen door de AVG, maar vult deze de AVG eerder aan.
Strikt genomen moet je als je cookies gebruikt eerst nagaan of je aan de cookiewetgeving voldoet, voordat je naar de AVG kijkt. De cookiewetgeving wordt in juridische vaktaal namelijk een “lex specialis” genoemd, wat betekent dat deze prevaleert boven de AVG.
Algemeen gesteld worden in richtlijnen bepaalde overeengekomen doelstellingen en richtsnoeren vastgelegd, waarbij de lidstaten verplicht worden deze richtlijnen in nationale wetgeving om te zetten. Verordeningen daarentegen zijn juridisch bindend voor alle lidstaten vanaf het moment dat ze in werking treden en worden in de gehele Unie volgens dezelfde regels toegepast.
💡 In onze Cookie Consent cheatsheet kun je zien hoe elk land de regels voor cookietoestemming heeft ingevuld.
De ePrivacy-richtlijn zal binnenkort worden vervangen door een ePrivacy-verordening. Deze verordening zou binnenkort klaar moeten zijn en zal dan samen met de AVG alle verplichtingen bevatten wat betreft het gebruik van cookies, elektronische communicatie en de daarmee samenhangende bescherming van gegevens en privacy.
De cookiewetgeving is niet alleen van toepassing op cookies, maar ook, in bredere zin, op alle andere technologieën die informatie op het apparaat van een gebruiker opslaan of daar toegang toe hebben (bv. pixeltags, machinevingerafdrukken, unieke identificatoren enz.). Voor het gemak worden al deze technologieën, met inbegrip van cookies, doorgaans trackers genoemd.*
De Cookiewetgeving is bovendien wat men noemt technologieneutraal. Dat betekent dat ze niet alleen van toepassing is op websites en browsers, maar ook geldt voor andere technologieën zoals apps op smartphones, tablets, smart-tv’s of andere apparaten.
*In deze gids worden de begrippen cookies en trackers door elkaar gebruikt.
De cookiewetgeving schrijft voor dat gebruikers geïnformeerde toestemming moeten geven voordat er cookies op hun apparaat mogen worden opgeslagen of gelezen.
Als je cookies gebruikt, moet je dus het volgende doen:
Praktisch betekent dit dat je aan je gebruikers een cookiebanner (ook wel een cookiemelding genoemd) moet laten zien bij hun eerste bezoek, dat je een cookiebeleid moeten hebben, en dat je gebruikers de mogelijkheid moet bieden om toestemming te geven – behalve in het onwaarschijnlijke geval dat je alleen vrijgestelde cookies gebruikt. Voordat toestemming is gegeven, mogen er – behalve vrijgestelde cookies – geen cookies worden geïnstalleerd.
Je moet gebruikers bij hun eerste bezoek een cookiebanner laten zien, een cookiebeleid hebben, en gebruikers om toestemming vragen. Voordat toestemming is gegeven, mogen er slechts vrijgestelde cookies worden geïnstalleerd.
De cookiemelding moet:
Wat hier staat, zijn minimumvereisten. Elk land kan bijkomende eisen opleggen, naar keuze van de betreffende gegevensbeschermingsautoriteit.
Je cookiebeleid moet:
Eigen cookies zijn cookies die je als eigenaar van de website of app helemaal zelf beheert. Cookies van derden worden daarentegen beheerd door externe partijen en worden gebruikt voor de diensten die zij leveren. Normaal gesproken krijg je te maken met cookies van derden wanneer je website of app gebruikmaakt van diensten van derden voor bijvoorbeeld afbeeldingen, plug-ins voor sociale media of advertenties.
In overeenstemming met de algemene beginselen van de privacywetgeving, die verwerking zonder toestemming verbiedt, staat de cookiewetgeving niet toe dat informatie op het apparaat van een gebruiker wordt geplaatst of gelezen voordat de gebruiker daarvoor toestemming heeft gegeven. In de praktijk betekent dit dat je misschien een vorm van scriptblokkering moet toepassen totdat de gebruiker toestemming geeft.
Toestemming voor cookies moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn, en moet worden gegeven door middel van een duidelijke actieve handeling (een opt-in). Als je dus selectievakjes gebruikt, mogen die niet vooraf zijn aangevinkt.
In Werkdocument 02/2013 over toestemming voor cookies stelt de Groep artikel 29:
Een mechanisme voor toestemming voor cookies dat voldoet aan de voorwaarden van alle lidstaten, moet gebaseerd zijn op elk van de vier belangrijke elementen: specifieke informatie, voorafgaande toestemming, een actieve handeling die de wensen van de gebruiker uitdrukt, en een vrije keuze.
Meerdere gegevensbeschermingsinstanties in de EU hebben richtlijnen gepubliceerd over cookies en gelijkaardige technologieën, met advies en aanbevelingen over de manieren waarop op een geldige manier toestemming kan worden verzameld.
De Italiaanse gegevensbeschermingsautoriteit heeft onlangs haar richtsnoeren over het gebruik van cookies en andere trackers gewijzigd. De richtsnoeren zijn vastgesteld in juni 2021. Je leest de samenvatting hier.
Het Europees Comité voor gegevensbescherming (EDPB) heeft nieuwe richtsnoeren omtrent toestemming: Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679. Na deze update kan er geen twijfel meer bestaan over de officiële houding ten aanzien van meerdere aspecten van het gebruik van cookies. Een van de belangrijkste conclusies van de richtsnoeren is dat zogenaamde cookie walls verboden zijn, en dat handelingen als scrollen of verder browsen volgens de EDPB geen geldige toestemming kunnen vormen.
📌Meer informatie over welke Europese cookie-toestemmingsregels per land gelden, vind je in onze Cookie Consent cheatsheet.
Wat het weigeren van toestemming of het later intrekken van gegeven toestemming betreft, bepaalt de wetgeving dat gebruikers “hun toestemming (…) te allen tijde (kunnen) intrekken“. In het eerder aangehaalde werkdocument gaat de Groep artikel 29 daar verder op in door aan te geven dat je, wat het weigeren of intrekken van toestemming betreft:
De manieren of mechanismes om dat te doen, hoef je echter niet noodzakelijk zelf te beheren. In bepaalde lidstaten worden browser-instellingen geacht een voldoende methode te zijn om de toestemming weer in te trekken.
Welke mechanismen je kunt gebruiken om geldig toestemming te verzamelen, verschilt per lidstaat
Algemeen gesproken bepaalt de richtlijn niet dat alle cookies apart moeten worden vermeld. In plaats daarvan wordt expliciet voorgeschreven dat je duidelijk vermeldt om welk type cookies het gaat en wat hun doel is. Als het gaat om cookies van een externe partij, moet je deze identificeren en een link plaatsen naar het betreffende privacy- en cookiebeleid van die externe partij.
Deze regel is er waarschijnlijk voor bedoeld dat individuele eigenaars van apps en websites niet elke cookie een voor een moeten vermelden en continu moeten nagaan en vermelden wat externe partijen precies doen met de cookies op hun website of in hun app. Dat zou niet alleen onredelijk en inefficiënt zijn, maar ook weinig nuttig voor de gebruikers.
In de Cookiegids van de Britse gegevensbeschermingsautoriteit ICO wordt het als volgt verwoord:
Er kan voor worden gekozen om een lange lijst met alle gebruikte cookies op te geven, maar de meeste gebruikers hebben baat bij een meer algemene uitleg over de manier waarop cookies werken en over de categorieën cookies die worden gebruikt. Om aan de voorwaarden te voldoen, is een beschrijving van waar analytische cookies voor worden gebruikt waarschijnlijk nuttiger dan een opsomming van alle cookies die je gebruikt en hun functie.
Ook de Italiaanse autoriteit (de Garante Privacy) stelt zich op dat standpunt:
Het lijkt om meerdere redenen onmogelijk om van een uitgever te vereisen dat hij informatie verstrekt over en toestemming verkrijgt voor het plaatsen van cookies op zijn eigen website die door “derden” worden geplaatst.
Om te beginnen zou de uitgever dan altijd over de instrumenten en de juridische en zakelijke vaardigheden moeten beschikken om de verplichtingen van derden op zich te nemen. De uitgever zou dus van tijd tot tijd moeten nagaan of hetgeen door de derden wordt aangegeven, overeenkomt met de doeleinden die zij daadwerkelijk met hun cookies beogen. Dit is des te lastiger omdat een uitgever vaak niet direct in contact staat met alle externe partijen die via zijn website cookies installeren, en niet weet welke logica aan de respectieve verwerking ten grondslag ligt.
Bovendien komt het niet zelden voor dat tussen een uitgever en deze derden licentienemers komen te staan, wat het voor de uitgever zeer moeilijk maakt om zicht te krijgen op de activiteiten van alle betrokkenen.
Ten tweede kunnen de cookies van derde partijen steeds door deze derden worden gewijzigd. Het kan niet van uitgevers worden verwacht dat zij ook deze latere wijzigingen bijhouden.
Voorts moet men bedenken dat uitgevers – waaronder veel natuurlijke personen en kleine ondernemingen – in dit kader vaak de “zwakkere” partij zijn. Derden daarentegen zijn meestal grote bedrijven met een aanzienlijke economische activiteit die in de regel met verscheidene uitgevers samenwerken. Een uitgever krijgt zodoende vaak met een aanzienlijk aantal derden te maken.
Om al deze redenen is de gegevensbeschermingsautoriteit van mening dat uitgevers niet verplicht kunnen worden om op de startpagina van hun website ook de cookies te vermelden die door derden via de website van de uitgevers worden geplaatst.
Je leest er hier meer over.
De wetgeving voorziet dat de verzamelde toestemming alleen geldig is als die vrijelijk wordt gegeven door de gebruiker. Als blijkt dat deze toestemming is afgedwongen, kan dat de verzamelde toestemming ongeldig maken. De wetgeving houdt echter (in redelijke mate) rekening met situaties waar de mogelijkheid om bepaalde diensten te leveren op een website, direct afhankelijk is van de gegeven of geweigerde toestemming.
In het werkdocument van de Groep artikel 29 staat te lezen:
Websites mogen de “algemene toegang” tot de site niet afhankelijk maken van het aanvaarden van alle cookies, maar mogen alleen bepaalde inhoud beperken indien de gebruiker geen toestemming geeft voor cookies.
Hoewel bepaalde inhoud (om legitieme redenen) kan worden beperkt op basis van de cookievoorkeuren, mag je gebruikers niet de toegang in het algemeen weigeren of die afhankelijk maken van hun toestemming.
In dit verband mag niet uit het oog worden verloren dat de EDPB en verschillende gegevensbeschermingsautoriteiten van de lidstaten in hun richtsnoeren en aanbevelingen het gebruik van zogenaamde “cookie walls” uitdrukkelijk hebben verboden. Dat zijn systemen met een “take it or leave it”-aanpak, waarbij gebruikers verplicht toestemming moeten geven om toegang te krijgen tot de inhoud van een onlinedienst. Cookie walls worden als ongeldig beschouwd, omdat de gebruiker in dat geval geen echte keuze heeft.
Update De Italiaanse gegevensbeschermingsautoriteit (Garante Privacy) heeft in haar recentste richtsnoeren over cookies en andere trackingtools aangegeven dat zij op het moment het gebruik van cookiemuren verbiedt, tenzij de gebruiker op de website een gelijkwaardig alternatief wordt geboden om toegang te krijgen tot de content of diensten, zonder toestemming te geven voor cookies of andere volgmechanismen, en dat deze oplossingen per geval moeten worden beoordeeld.
We volgen de ontwikkelingen op dit gebied sinds de publicatie van een persbericht door de Garante waarin de gegevensbeschermingsautoriteit aangeeft de oplossing te analyseren die geïmplementeerd is door enkele Italiaanse uitgevers.
Zoals altijd blijft iubenda deze zich ontwikkelende zaak volgen. We houden je op de hoogte van nieuwe besluiten.
The cookiewetgeving voorziet twee uitzonderingen op de toestemmingsverplichting:
Voorbeeld: een load balancing cookie om het netwerkverkeer over verschillende servers te verdelen. Het enige doel van de cookie is de identificatie van een van de servers (d.w.z. een communicatie-eindpunt). De cookie valt dus onder de communicatie-uitzondering.
Voorbeeld: een sessiecookie op je e-commercesite waarmee gebruikers items in hun winkelwagentje kunnen opslaan terwijl ze de site gebruiken, of voor de duur van een sessie. In dit scenario is de cookie noodzakelijk voor het functioneren van een dienst (iets aankopen) waar gebruikers uitdrukkelijk om hebben verzocht toen zij aangaven het artikel aan het winkelwagentje te willen toevoegen. Ook cookies die worden gebruikt om de taalvoorkeuren van een gebruiker te onthouden, kunnen onder deze uitzondering vallen.
Het is belangrijk op te merken dat zelfs wanneer deze uitzonderingen op de toestemmingsverplichting gelden, je de gebruiker nog steeds via een cookiebeleid moet informeren over je gebruik van cookies en gelijkaardige technologieën. De banner is in deze specifieke omstandigheden niet verplicht als de cookieverklaring gemakkelijk toegankelijk en zichtbaar is op elke pagina van de website.
Vallen cookies en trackers voor analyses onder een uitzondering?
Het antwoord op die vraag is niet zo eenvoudig. Verschillende Europese gegevensbeschermingsautoriteiten hebben een verschillende interpretatie hierover. Volgens de richtlijnen van het Britse ICO zijn analytische cookies niet strikt noodzakelijk en is er dus altijd toestemming voor nodig. De Belgische en Ierse autoriteiten zijn dezelfde mening toegedaan. De Franse, Duitse, Nederlandse en Italiaanse toezichthouders vinden dan weer dat de vrijstelling voor strikt noodzakelijke cookies ook kan gelden voor analytische cookies, voor zover aan specifieke voorwaarden wordt voldaan (bv. indien het gaat om eigen cookies, indien de opt-out geanonimiseerd is en indien de cookies niet worden gevolgd over meerdere sites). Samengevat moet je dus altijd zorgvuldig nagaan welke specifieke regels gelden voor analytische cookies in de landen die voor jou belangrijk zijn.
Nadat de cookiebanner bij het eerste bezoek van de gebruiker is getoond, hoeft die niet bij elk bezoek van die gebruiker opnieuw te worden gepresenteerd. Het is een goede praktijk om gebruikers de mogelijkheid te geven om de banner opnieuw te openen als ze hun voorkeuren willen wijzigen.
Als de gebruiker geen toestemming heeft gegeven of alleen toestemming heeft gegeven voor het gebruik van bepaalde cookies, wordt de banner niet opnieuw weergegeven, behalve in de volgende specifieke gevallen:
Nadat de cookiebanner bij het eerste bezoek van de gebruiker is getoond, hoeft die niet bij elk bezoek van die gebruiker opnieuw te worden gepresenteerd. Het is een goede praktijk om de banner met bepaalde tussenpozen opnieuw te tonen en gebruikers ook zelf de mogelijkheid te geven om de banner opnieuw te openen als ze hun voorkeuren willen wijzigen.
Er zijn veel redenen waarom je gebruikers de mogelijkheid moet bieden om hun toestemming in te trekken. Een aantal gegevensbeschermingsautoriteiten eisen dat gebruikers gemakkelijk toegang hebben tot het bijwerken van hun voorkeuren. De Italiaanse gegevensbeschermingsautoriteit (de Garante) stelt bijvoorbeeld voor om tijdens het navigeren altijd pictogram te laten zien dat de keuzes van de gebruiker samenvat. Meer informatie hierover en over de eisen van andere gegevensbeschermingsautoriteiten, vind je in onze AVG Cookie Consent Cheatsheet. Dit onderwerp is ook een aandachtspunt voor privacy-ngo’s zoals Noyb, die vereist dat gebruikers de mogelijkheid wordt geboden om hun toestemming in te trekken.
Geef je gebruikers dus de mogelijkheid om je cookiebanner opnieuw te openen door de privacywidget in te schakelen in je Privacy Controls and Cookie Solution.
Houd er ook rekening mee dat er een aantal redenen en omstandigheden zijn die het nodig kunnen maken dat een bezoeker opnieuw om toestemming moet worden gevraagd, en dat de banner in die gevallen dus opnieuw moet worden geplaatst.
Dat is bijvoorbeeld het geval wanneer je een nieuwe, niet-vrijgestelde cookie van een derde gebruikt. Omdat de eerder van de gebruiker verkregen toestemming alleen geldt voor de cookies van derden die je bij de oorspronkelijke vraag naar toestemming hebt vermeld, moet je in een dergelijke situatie opnieuw toestemming vragen.
Om je daarbij te helpen, bieden we je de mogelijkheid om bij elke update van je cookiebeleid opnieuw toestemming te verkrijgen.
Sommige Europese gegevensbeschermingsautoriteiten hebben regels vastgesteld over hoelang de toestemming voor cookies redelijkerwijze geldig kan zijn. In Frankrijk is dat bijvoorbeeld 6 maanden. In onze Privacy Controls and Cookie Solution kun je gemakkelijk een dergelijke periode instellen. Meer informatie over de geldigheidsduur in verschillende landen vind je in onze Cookie Consent cheatsheet.
De cookiewetgeving schrijft niet expliciet voor dat de toestemming moet worden gedocumenteerd. Met cookies worden echter vaak persoonsgegevens verwerkt, waardoor de registratievereisten van de AVG ook van toepassing kunnen zijn. Veel gegevensbeschermingsautoriteiten in de EU hebben daarom hun regels inzake cookies en trackers in overeenstemming gebracht met de vereisten van de AVG.
Logbestanden voor cookie- en toestemmingsvoorkeuren zijn nu beschikbaar in onze Privacy Controls and Cookie Solution. Door deze functie te integreren (dat kan gewoon met één klik), kun je moeiteloos en AVG-conform het bewijs van de toestemmingen van je gebruikers bewaren en beheren.
Onze uitgebreide Privacy Controls and Cookie Solution maakt het je gemakkelijk om aan de voorschriften van de Europese cookiewetgeving te voldoen. Onze Privacy Controls and Cookie Solution is een door de IAB geverifieerd Consent Management Platform (CMP) waarmee je aan de sectornormen kunt voldoen en toestemmingsvoorkeuren op een gepaste wijze aan adverteerders kunt communiceren.
Hiermee kun je:
Onze Privacy Controls and Cookie Solution informeert gebruikers op afdoende wijze over:
Met onze oplossing kan actieve toestemming worden verkregen via:
Verder heb je de volgende mogelijkheden: