Maak je cookiemelding AVG/GDPR-proof!

Artikel
Floris Lovink
14 mei 2018

Maakt jouw website gebruik van cookies? Dan is er een grote kans dat de cookiemelding vanaf 25 mei 2018 niet meer voldoet. Op deze dag gaat de Algemene Verordening Gegevensbescherming (AVG, GDPR in het Engels) in.

Met de wijziging van de wet komen er nieuwe regels waar websites aan moeten voldoen, zoals hoe ze om moeten gaan met bijzondere persoonsgegevens. Doen ze dit niet, dan kunnen er maatregelen worden getroffen in de vorm van een boete oplopend tot € 20.000.000,- óf 4% van de wereldwijde omzet.

Daarom is het erg belangrijk dat ook jouw website AVG-proof is. Een belangrijk onderdeel hiervan is de cookiemelding. Vanaf 25 mei is impliciete toestemming, zoals “Door onze website te gebruiken, accepteer je onze cookies”, niet meer voldoende. Voor het plaatsen van cookies moet de bezoeker expliciet toestemming geven.

Een voorbeeld van een cookiemelding van usedtruckcenter.nl

Fig. 1: de nieuwe cookiemelding van usedtruckcenter.nl


Wanneer moet je toestemming vragen voor het plaatsen van cookies?

Of toestemming verplicht is, is afhankelijk van het type cookies dat je plaatst. De wet maakt hierin onderscheid tussen drie verschillende types:

1. Functionele cookies

Functionele cookies zijn noodzakelijk om je website te laten functioneren. Deze worden bijvoorbeeld gebruikt om bij te houden welke producten een bezoeker heeft bekeken. Deze cookies mogen altijd geplaatst worden en je bent niet verplicht de bezoeker hierover te informeren in het cookiebeleid. Om het zekere voor het onzekere te nemen, is het verstandig om dit tóch te doen.

2. Analytische cookies

Analytische cookies worden gebruikt om het surfgedrag van bezoekers te analyseren. Zoals Google Analytics doet. Voor het plaatsen van deze cookies moet je bezoekers altijd inlichten, bijvoorbeeld in het cookiebeleid of in een popup. Toestemming vragen is alleen verplicht wanneer je persoonsgebonden informatie bijhoudt, zoals iemand zijn IP-adres. De vuistregel hierin is: ‘Kan ik deze data tot een persoon herleiden?’ Als dit niet het geval is, is toestemming niet verplicht.

3. Tracking cookies

Het derde en laatste type cookies zijn tracking cookies. Deze worden gebruikt voor het plaatsen van gerichte advertenties en (re-)marketing doeleinden. Voor deze cookies is altijd toestemming van de bezoeker nodig. Voorbeelden van deze cookies zijn de Facebook Pixel, LinkedIn Insights en Google Adwords.

Een voorbeeld van van een uitgebreide cookiemelding van usedtruckcenter.nl

Fig. 2: usedtruckcenter.nl is AVG-proof door onder meer een tagmanager implementatie van SWIS


De verkregen toestemming opslaan is verplicht

Naast het verkrijgen van toestemming en het informeren over de cookies die je plaatst, is het óók verplicht om de verkregen toestemming op te slaan. Dit moet omdat de wet voorschrijft dat het herleidbaar moet zijn dat een bezoeker toestemming heeft gegeven. Wat je op moet slaan is dat: IP-adres X, op tijdstip Y, vanaf domein Z, voor analytische- en/of tracking-cookies toestemming gaf. Hoe je dit opslaat mag je zelf bepalen. Als je kunt bewijzen met broncode/programmatuur dat je toestemming bijhoudt (en hoe je dat doet), voldoe je aan de nieuwe wet; AVG.

 

Weet je niet zeker of jouw website gebruik maakt van cookies of wil je meer informatie? Neem contact op.