Mijn website plaatst cookies: welke stappen moet ik nemen?

Komt er weer een jurist zeuren over cookies en privacy…. en toch is het hartstikke belangrijk dat jij weet welke cookies jouw website plaatst en wat er wettelijk gezien wel en niet is toegestaan. Want wist jij bijvoorbeeld, dat het gebruik van sommige cookies ertoe kan leiden dat er persoonsgegevens worden verzameld? Ik hoor je denken: dat met die persoonsgegevens, had iets te maken met de AVG, toch? Zoals we al een aantal keer hebben besproken, brengt de AVG een hoop verplichtingen met zich mee (en mogelijk hoge boetes) wanneer er persoonsgegevens worden verwerkt en dus dien je op de hoogte te zijn van de cookies die jouw website plaatst. De volgende stap is het maken van een cookieverklaring, waarin je de websitebezoeker informatie geeft over de cookies die jouw website plaatst. Een cookieverklaring kan je zelf maken of door een jurist laten opstellen. Wees je er echter wel van bewust, dat de gemiddelde jurist zich heeft gespecialiseerd in één of meerdere rechtsgebieden, maar niet een technische achtergrond bezit waardoor hij of zij kennis heeft van cookie-technologie. Wanneer je het opstellen van jouw cookieverklaring uit handen geeft, is het dan ook aan te raden om een jurist (of advocaat) in te schakelen die wel over deze kennis beschikt.

Mag mijn website cookies plaatsen?

De hoofdregel is dat cookies die geen of weinig inbreuk maken op iemands privacy, zonder voorafgaande toestemming mogen worden geplaatst. Dit betekent, dat ze niet uitgeschakeld hoeven te zijn en pas mogen worden worden geplaatst wanneer iemand op de ‘ja-knop’ van een cookiebanner klikt. Dit betekent echter niet, dat je de websitebezoeker niet dient te informeren over het gebruik van deze cookies. Welke cookies maken geen of weinig inbreuk op iemands privacy? Aangenomen wordt, dat dit analytische cookies zijn - dat wil zeggen, cookies die bezoekersstatistieken bijhouden - en functionele cookies. Functionele cookies, zijn cookies die noodzakelijk zijn om een website te laten functioneren. Let op: aangenomen wordt dat je met het gebruik van Google Analytics wel onder de AVG valt, tenzij je dit programma privacyvriendelijk instelt. Cookies waarvoor altijd voorafgaande toestemming moet worden gevraagd, zijn zogenaamde tracking cookies. Tracking cookies worden vaak gebruikt om een websitebezoeker voor een periode te volgen, zodat er op basis van de verzamelde informatie gerichte advertenties kunnen worden geplaatst. Deze cookies houden aldus individueel surfgedrag bij en stellen profielen op om bijvoorbeeld gerichte advertenties mogelijk te maken. Met tracking cookies worden in de regel persoonsgegevens verwerkt, zodat je een grondslag dient te hebben voor het gebruik van deze cookies, op jouw website de bezoeker dient te informeren over zijn rechten onder de AVG en de gegevens die via deze cookies worden verzameld goed beveiligt. De grondslag voor het gebruik van tracking cookies, is de ondubbelzinnige toestemming (let op: een andere grondslag komt vanwege de aard van de te verzamelen gegevens, niet in aanmerking). Het gevolg hiervan is dat een cookiebanner een keuze mogelijk moet maken om wel of niet toestemming te geven voor het plaatsen van tracking cookies. Een simpele ‘ja’ en ‘nee’ knop kan voldoende zijn. Daarbij is het van belang dat er ook echt geen tracking cookies worden geplaatst voordat er op de ‘ja’-knop is geklikt. Als je een websitebouwer hebt ingeschakeld en je hebt zelf weinig verstand over het gebruik van cookies, is het altijd aan te raden om even navraag te doen bij de bouwer over het gebruik van cookies voor jouw website. Tot slot dien je onder de AVG altijd aan te kunnen tonen dat er daadwerkelijk toestemming is gegeven voor de verwerking van persoonsgegevens!

Wat kan ik zelf doen?

Zorg ervoor dat je weet welke cookies jouw website plaatst! Wanneer je geen idee hebt hoe je hier in hemelsnaam achter kunt komen, kan je iemand inschakelen met een technische achtergrond of eens navraag doen bij jouw websitebouwer. Wees je er bovendien van bewust, dat elke plug-in of dat fijne analytische- of marketingprogramma (denk aan Hotjar of Facebook Pixel) waarschijnlijk nieuwe cookies met zich mee brengt. Wanneer het niet echt noodzakelijk is voor jouw onderneming om tracking cookies te plaatsen, doe dit dan ook vooral niet.

Moraal van het verhaal

Het is in de meeste gevallen niet voldoende om ergens in jouw privacyverklaring op te nemen dat je gebruik maakt van Google Analytics. Je dient jouw websitebezoeker duidelijk te informeren over de cookies die jouw website plaatst en in veel gevallen moet je per cookie aangeven wat de naam hiervan is, welke informatie er via deze cookie wordt verzameld, wat voor soort cookie het is, hoe lang de cookie bewaard blijft, aan welke bedrijven de informatie wordt verstrekt, enzovoorts. Dit kan best een behoorlijke klus zijn en zeker lastig zijn wanneer je geen technische achtergrond hebt. Weet je niet zeker of jouw cookieverklaring aan de wettelijke eisen voldoet of heb je er nog geen? Neem dan vooral contact met ons op.