AVG en cookies

Met de invoering van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 is er veel veranderd. Het heeft ook gevolgen voor het gebruik van cookies.

AVG gevolgen gebruik cookies

Cookies zijn kleine bestandjes die door een website op het device van de bezoeker wordt geplaatst. Veel bedrijven laten hun website door een externe partij ontwikkelen. Daarmee gebruiken zij vaak applicaties van derden op de website. Veel bedrijven hebben hierdoor geen helder beeld van de cookies die hun site direct of indirect bij bezoekers plaatst. Sinds AVG mag hierover geen onduidelijkheid meer zijn.

Verschillende cookies

Er zijn verschillende cookies die worden ingezet. Het gaat veelal om de volgende soorten cookies:

• Functionele cookies

Dit zijn cookies die nodig zijn om de site voor een consument snel en makkelijk te laten werken. Bij functionele cookies kun je denken aan een functie waarmee de klant een product in een winkelmandje kan plaatsen. Of eventueel bij een later bezoek herkenbaar is en niet opnieuw hoeft in te loggen. Deze cookies zorgen dus voor gebruikersgemak.

• Analytische cookies

Via deze cookies verkrijg je via de website inzicht in het gebruik van de site. Welke pagina’s worden bezocht. Komen bezoekers overdag of juist in de avonduren? Het gaat hierbij om cookies die alleen algemene informatie opleveren. Dus geen informatie over individuele bezoekers.

• Tracking cookies

Tracking cookies zijn bestanden die bedoeld zijn om het surfgedrag van bezoekers vast te leggen. En nu wel op individueel niveau. Deze cookies worden gebruikt om aanbiedingen gericht op de bezoeker te doen. Heeft de bezoeker bijvoorbeeld gekeken bij vakanties in Griekenland? Dan kan de reisaanbieder in de weken daarna gerichte aanbiedingen met vergelijkbare reizen in beeld brengen.

Huidige wetgeving

Voorheen viel het gebruik van cookies nog onder de Telecommunicatiewet. Voor tracking cookies gold ook de huidige Wet bescherming persoonsgegevens (Wbp). Er werd aangenomen dat functionele en analytische cookies geen persoonsgegevens verwerken. Daarom was de Wbp hierbij niet van toepassing. Bij tracking cookies dus wel.

Tracking cookies onder de AVG

Sinds AVG mogen tracking cookies alleen op grond van ‘toestemming’ worden geplaatst. Dit houdt in dat aan alle formaliteiten die deze rechtsgrond stelt, voldaan moet worden.

Deze formaliteiten zijn onder meer:

• De ‘toestemming’ moet uitdrukkelijk worden gegeven. En wel door middel van een duidelijke en actieve handeling. Opt-out is niet toegestaan. Opt-in wel.
• De toestemming moet door bezoekers ‘vrijwillig’ worden gegeven. Het is dus niet toegestaan om de site te blokkeren voor bezoekers die deze toestemming niet verlenen.
• De toestemming moet door de bezoeker ‘expliciet en specifiek’ worden gegeven. Dit wil zeggen dat bij aanwezigheid van meerdere cookies de bezoeker, op het moment dat hij deze toestemming geeft, moet weten om welke cookies het exact gaat. Dus welk doel de cookies hebben. Worden er na toestemming nieuwe cookies geplaatst? Dan mogen deze alleen worden geplaatst nadat de bezoeker uitdrukkelijk toestemming heeft gegeven.
• De toestemming moet door de bezoeker ‘helder’ worden gegeven. Dit betekent dat de bezoeker moet worden geïnformeerd over welke persoonsgegevens worden verzameld.  Je kunt hierbij denken aan:
  • Bezochte websitepagina’s
  • IP-adressen
  • Informatie over het besturingssysteem
  • Gegevens over randapparatuur en instellingen van software op het gebruikte device

Ook moeten bezoekers per cookie worden geïnformeerd over wat er met de informatie gebeurt. Met wie wordt deze informatie gedeeld? En hoe lang wordt deze informatie bewaard?

Doel van cookies

Het doel van cookies moet specifiek worden omschreven. Omschrijvingen als ‘ ter verbetering van onze dienstverlening’ is te algemeen. Het doel zal concreter omschreven moeten worden. Bijvoorbeeld:

• Tonen van de gerichte en persoonlijke advertenties
• Het opstellen van interesseprofielen
• Voor doelgroep analyse

Consequentie van de rechtsgrond ‘toestemming’ is dat consumenten op elk gewenst moment, zonder nadere motivatie, de toestemming mogen intrekken. De verworven informatie komt daarmee te vervallen. De consument moet zijn toestemming op dezelfde eenvoudige wijze kunnen intrekken als deze voorheen is gegeven. Er mogen dus geen belemmeringen worden opgeworpen om het lastig te maken de toestemming in te trekken.

Bewaartermijn

In het cookie beleid (www.cookiepolicy.nl) is het belangrijk  de bezoeker per cookie te informeren over de bewaartermijn. De bewaartermijn kan en mag niet langer zijn dan nodig voor het doel waarvoor deze cookie is geplaatst. Als richtlijn geven wij het volgende graag mee: de Autoriteit Persoonsgegevens heeft gepubliceerd dat een bewaartermijn van een half jaar of langer al snel bovenmatig is.

Wat te doen met AVG en cookies?

2xCeed adviseert de volgende stappen te nemen:

1. Neem contact op met de webbouwer en vraag schriftelijk een exact overzicht te geven van de cookies die op de website zijn geplaatst.
2. Laat deze onderverdelen in drie categorieën: functionele, analytische en tracking cookies.
3. Plaats slechts applicaties van derden (aanbieders) op jouw website waar je schriftelijke opgave hebt gehad over welke cookies, via deze applicaties, op de devices van bezoekers worden geplaatst.
4. Formuleer helder de wijze waarop je toestemming voor het plaatsen van cookies vraagt.
5. Zorg dat cookies niet langer worden bewaard dan noodzakelijk.

Contact over AVG en cookies

Mocht je naar aanleiding van de AVG en cookies vragen hebben dan kun je uiteraard contact met ons opnemen.