Cookies in de EU
Wanneer je gebruik wilt maken van cookies op je website, moet je rekening houden met Europese en Nederlandse wet- en regelgeving over Privacy en ePrivacy. Deze sluiten niet altijd naadloos op elkaar aan. Dit artikel zet voor je op een rijtje waar je rekening mee moet houden.
ePrivacy
De EU ePrivacy richtlijn wordt in Nederland uitgevoerd door de Telecommunicatiewet. Deze wet is eigenlijk een aanvulling op de AVG, en spreekt vooral over het doel van de cookie. Deze wetgeving schrijft voor of je toestemming moet vragen voordat je een cookie plaatst.
Het basisprincipe is dat je zonder toestemming geen enkele informatie mag opslaan op, of verzamelen vanaf het apparaat van de gebruiker.
Deze toestemming moet voldoen aan de AVG. Hierbij gelden voor websites de volgende twee uitzonderingen:
- De cookie is strikt noodzakelijk om de gevraagde dienst te leveren
- De cookie verzamelt informatie over de kwaliteit en effectiviteit van de dienst, zonder of met geringe impact op de privacy van de gebruiker.
Het is ook verplicht om het gebruik van cookies op je website toe te lichten. Je kunt hiervoor een aparte cookieverklaring opnemen op je website, of de toelichting opnemen in het privacystatement.
De Telecommunicatiewet is een Nederlandse wetgeving, en schrijft alleen voor hoe websites van Nederlandse aanbieders om moeten gaan met cookies.
AVG/GDPR
De AVG is de Nederlandse uitvoering van de GDPR. De GDPR is een EU-wetgeving. Deze geldt niet alleen voor websites van personen en organisaties binnen de EU, maar ook voor websites die diensten aanbieden aan Europese staatsburgers. Dus ook de cookies op de website van bijvoorbeeld Google moeten aan deze wetgeving voldoen.
De AVG gaat over persoonsgegevens die je op je website verzamelt. Hierbij zijn persoonsgegevens vaak een breder begrip dan wordt gedacht. Uiteraard gaat het om gegevens die direct herleidbaar zijn tot een persoon, zoals een IP-adres of een naam. Daarnaast gaat het om alle informatie die samen kan worden herleid tot een persoon.
Dit geldt ook wanneer je de verzamelde informatie kunt herleiden tot een specifieke gebruiker, zonder dat je precies weet wie die gebruiker is. Als je dus een unieke gebruiker kunt herkennen aan de hand van het profiel, dan gaat het om persoonsgegevens.
Om persoonsgegevens te mogen verzamelen en verwerken heb je een wettelijke grondslag nodig. Dat kan een van de volgende grondslagen zijn:
- Uitvoering van een overeenkomst
- Wettelijke verplichting
- Vitale belangen
- Algemeen belang of uitoefening van openbaar gezag
- Gerechtvaardigd belang
- Toestemming
Gerechtvaardigd belang
Het verzamelen en verwerken van gegevens met cookies wordt vaak geschaard onder gerechtvaardigd belang. Wanneer je via cookies informatie wilt verzamelen vanuit je gerechtvaardigd belang, is het belangrijk om rekening te houden met het volgende:
- Overheidsorganisaties mogen zich niet beroepen op het gerechtvaardigd belang.
- Je moet mensen de mogelijkheid geven om bezwaar te maken tegen de verwerking van gegevens op basis van deze grondslag.
- Als het doel van je cookie niet valt onder de uitzonderingen binnen de Telecommunicatiewet, heb je nog steeds toestemming nodig voor het plaatsen van de cookie.
- Gerechtvaardigd belang is geen een blanco toestemming om te doen met gegevens wat je wilt. Het doel van de verwerking moet in verhouding staan tot de inbreuk op de privacy van de betrokkene.
Toestemming
Als je cookie niet onder de uitzonderingen binnen de Telecommunicatiewet valt, en/of als je geen wettelijke grond hebt voor de verzameling en verwerking van persoonsgegevens, heb je toestemming nodig van de gebruiker.
Omdat de Telecommunicatiewet verwijst naar de AVG voor de voorwaarden waar de toestemming moet voldoen, is deze in alle gevallen hetzelfde:
- Je mag iemand niet dwingen om toestemming te geven. Dat betekent dat als je zonder cookie de service niet mag gebruiken (cookie muur) de toestemming niet voldoet aan de voorwaarden.
- Toestemming moet bewust worden gegeven. Iemand moet dus actief op een knop klikken om toestemming te geven. Vinkjes mogen niet automatisch aan staan. Cookies plaatsen of op andere wijze informatie verzamelen is pas toegestaan nadat de toestemming is gegeven.
- Het moet gaan om een geïnformeerde toestemming. Bij het vragen van de toestemming moet daarom worden aangegeven:
- Welke soort gegevens wordt verzameld
- Met welk doel de gegevens worden verzameld. De gegevens mogen vervolgens ook alleen voor dat doel worden verwerkt.
- Wie/welke organisatie de gegevens zal verwerken.
- De gebruiker moet worden geïnformeerd over het recht om de toestemming in te trekken.
- Als dit speelt moet er expliciet worden aangegeven dat de gegevens worden gebruikt voor automatische besluitvorming of profilering.
- Wanneer gegevens worden overgedragen aan partijen in landen waarvoor de Europese Commissie geen adequaatheidsbesluit heeft genomen, en waar geen andere passende waarborgen bestaan, moeten de gebruikers op de hoogte worden gesteld van de risico’s van deze overdracht.
- De toestemming wordt in duidelijke en eenvoudige taal gevraagd.
- De vraag is duidelijk zichtbaar.
Simpel en kort
Wanneer je niet van plan bent de grenzen op te zoeken van wat wel of niet wordt toegestaan door de wet- en regelgeving, kun je in principe een versimpelde werkwijze hanteren. Houd er wel rekening mee dat deze iets strakker is dan de daadwerkelijke wetgeving, maar eigenlijk altijd aan beide wetgevingen voldoet.
Hierbij onderscheiden we verschillende soorten cookies:
Essentiële cookies zijn technische cookies die nodig zijn om de essentiële onderdelen van de website te laten werken. De cookies worden geplaatst zodra je de website bezoekt.
Functionele cookies zijn cookies die nodig zijn om niet-essentiële onderdelen van de website te laten werken zoals deze behoren te werken. Dit kunnen bijvoorbeeld voorkeursinstellingen zijn of het tijdelijk onthouden van producten die worden toegevoegd aan een winkelwagentje. Je plaatst deze cookies op het moment dat ze nodig zijn.
Analytische cookies zijn cookies die statistische gegevens verzamelen over het gebruik van je website, met als doel de website te verbeteren. Het gaat hierbij om het verzamelen van gegevens over je website. Niet over het gedrag van een persoon op je website of andere websites.
Tracking cookies zijn cookies waarmee je informatie verzamelt over de gebruiker of over het surfgedrag van de gebruiker van je website.
Wanneer je essentiële cookies, functionele cookies of analytische cookies plaatst die voldoen aan deze beschrijving, hoef je hiervoor geen toestemming te vragen van de Telecommunicatiewet.
Ook verzamel of verwerk je waarschijnlijk geen persoonsgegevens buiten eventuele verwerking voor de uitvoering van een contract.
Voor tracking cookies vraag je toestemming. Voor essentiële cookies, functionele cookies, of analytische cookies die niet aan deze beschrijving voldoen vraag je toestemming. Als je twijfelt, is het slim om gewoon toestemming te vragen.
En tot slot: Als je op wat voor manier dan ook verschillende bezoekers op basis van verzamelde gegevens verschillend behandelt, dan heb je toestemming nodig. Ook ben je dan waarschijnlijk persoonsgegevens aan het verwerken, en heb je daar een wettelijke grondslag voor nodig.
Tracking pixels en fingerprinting
De techniek is tegenwoordig al een stuk verder dan alleen het plaatsen van cookies.
Sommige websites maken zodra je op de pagina komt al een profiel van je op basis van informatie op je apparaat waar deze toegang toe heeft. Bijvoorbeeld het gebruik van een app, je scherminstellingen, geïnstalleerde fonts en voorkeursinstellingen of de browser die je gebruikt. Je apparaat krijgt hierdoor een fingerprint. Hoe meer unieke instellingen je gebruikt, hoe beter je online gevolgd kunt worden met deze fingerprint.
Hier wordt meestal zonder toestemming informatie verzameld over een persoon. Maar omdat er geen cookie wordt geplaatst, weet je vaak niet eens dat dit gebeurt.
Voor de duidelijkheid: Deze manier van informatie verzamelen valt ook onder het basisprincipe van de Nederlandse Telecommunicatiewet en is niet toegestaan. Het profiel dat van een persoon wordt gemaakt kan worden aangemerkt als een set persoonsgegevens. Het verzamelen en het verwerken van deze informatie valt binnen de scope van de AVG, en is zonder wettelijke grondslag niet toegestaan.