De Cookiewet: de invloed op jouw website

Whoops! This blog-article isn't available in your language. You can still read it but translating might give you incorrect information, be careful.

Ik schat de kans zo’n 100% dat je wel eens van cookies hebt gehoord en die fijne pop-ups die om toestemming vragen ook al een aantal keer bent tegengekomen. Wanneer je zelf een site hebt zul je vroeg of laat te maken krijgen met de cookiewet die voor deze pop-ups gezorgd heeft.

Het is namelijk sinds 2012 de bedoeling dat je niet meer ongevraagd cookies gebruikt, maar dat je hiervoor toestemming vraagt aan de bezoeker van de website. Dit is nu zo’n vier jaar geleden en er bestaat nog steeds verwarring over wat je als websitebeheerder nou met die cookies aan moet.

Om het nog ingewikkelder te maken is de wet ook nog eens gewijzigd in 2015. Deze wijziging had weliswaar positieve gevolgen voor de websitebeheerders, maar roept ook nieuwe vragen op.

In dit artikel wil ik je eens en voor altijd uitleggen wat de cookies zijn, wat de originele wet van 2012 inhoudt, wat de veranderingen uit 2015 zijn en wat de vage gebieden zijn waar je goed op moet letten.

 

Wat zijn cookies?

Om de cookiewet te begrijpen, moet je natuurlijk weten wat cookies precies zijn. Dat ga ik je nu dan ook even in het kort uitleggen.

Een cookie is een tekstbestand dat op de computer, tablet of smartphone wordt opgeslagen wanneer je een website bezoekt. In dit tekstbestand staat informatie, onder andere over het gebruik van de website. De informatie wordt bij een volgend bezoek aan de website weer opgehaald. Om het gemakkelijk te maken zijn er verschillende soorten cookies.

De technische cookies

Dit zijn de cookies die nodig zijn om een website goed te kunnen laten functioneren. Hierbij kun je denken aan cookies die persoonlijke voorkeuren en gebruikersinstellingen onthouden. Voorbeelden hiervan zijn het onthouden van de inhoud van een winkelwagentje in een webshop of een cookie die helpt bij het inloggen bij de bank.

Deze cookies worden ook wel noodzakelijke of functionele cookies genoemd.

De tracking cookies

Deze cookies houden het gedrag van de bezoeker op de website in de gaten. Het gaat hierbij om individueel surfgedrag en op basis hiervan worden bezoekersprofielen opgesteld. Met deze informatie is het voor bijvoorbeeld adverteerders mogelijk om erg gericht online te kunnen adverteren. Ze weten immers precies welke soort bezoeker ze waar kunnen vinden.

Het zijn deze cookies die het onder andere mogelijk maken dat je op verschillende sites dezelfde reclame voorbij ziet komen, bijvoorbeeld nadat je naar nieuwe schoenen hebt gekeken op Zalando. In dit geval zul je bijvoorbeeld op Facebook een reclame voor precies die schoenen voorbij kunnen zien komen die je net op Zalando hebt bekeken.

 

Waarom de cookiewet?

217987 P0UCWE 668 De Cookiewet: de invloed op jouw website

Nu je weet wat cookies zijn is er nog één vraag belangrijk voordat we in de wet gaan duiken: waarom is deze wet er eigenlijk gekomen?

Het antwoord op deze vraag is heel simpel: voor de privacy. Op het internet wordt door het gebruik van cookies zoals eerder gezegd je gedrag gevolgd. Op deze manier is het adverteren voor de adverteerder gemakkelijker, maar het laat ook zien dat jouw privé surfgedrag zo privé nog niet is.

Om ervoor te zorgen dat de privacy van de surfer gewaarborgd wordt, is er besloten een cookiewet aan te nemen. In 2012 werd deze ingevoerd en zou het voor website onmogelijk moeten worden om jouw gedrag zonder jouw toestemming op te slaan.

De cookiewet 2012 (wet nr. 1)

Goed, het is nu tijd voor mij om aan jou de originele, eerste cookiewet van 2012 uit te leggen. Ga er maar goed voor zitten, want vanaf nu wordt het opletten geblazen.

Deze wet is ingevoerd op 5 juni 2012 en is officieel geen cookiewet, maar een Telecommunicatiewet. Het gedeelte van deze wet dat over het cookiegebruik gaat, kun je vinden in artikel 11.7a van de Telecommunicatiewet.

Met deze wet werd het verboden om zonder toestemming van de gebruiker cookies te plaatsen op jouw website. Uitzonderingen hierop waren echter de technische cookies wanneer deze “strikt noodzakelijke voor de dienst” waren. Hiermee wordt bedoeld dat de cookie strikt noodzakelijk is om de door de gebruiker gevraagde dienst te kunnen leveren.

Toestemming vragen

greg jeanneau 145136 unsplash e1538042984720 De Cookiewet: de invloed op jouw website

Aangezien het verboden is om zonder toestemming cookies te plaatsen, maar de meesten van ons toch graag willen weten wat men zoal op hun website doet, is het tijd om die toestemming aan de gebruiker te gaan vragen.

In de wet van 2012 was het voor alle en dan ook echt álle cookies die niet technisch van aard waren nodig om toestemming te vragen. Ook als deze cookies eigenlijk geen inbreuk op de privacy van de gebruiker betekenden (je kunt je waarschijnlijk wel indenken dat tegen dit punt geprotesteerd werd).

Het vragen van toestemming moest volgens de wet expliciet gebeuren. Het was dus nodig dat de gebruiker echt op een knop klikte waarop duidelijk stond dat hij/zij akkoord ging met het gebruik van cookies op de desbetreffende website. Veel websites maakten voor het vragen van toestemming gebruik van pop-ups.

Maar wat als de gebruiker weigert? Dan heb je toch een bezoeker, maar loop je jouw informatie en de informatie voor de adverteerders op jouw site mis. Om deze reden was het bij steeds meer sites niet mogelijk om de site zonder cookies te gebruiken. Je had, wanneer je de site echt wilde gebruiken, dus eigenlijk geen andere keus dan de cookies te accepteren.

De gevolgen van deze wet in 2012

De gevolgen van deze eerste wet waren onder andere dat het gebruikersgemak van sommige websites werd verminderd. Niemand werd er immers blij van om overal maar toestemming te moeten geven en op iedere website weer een nieuwe pop-up tegen te komen.

Daarnaast moest ook voor cookies toestemming gevraagd worden die geen of geringe invloed hadden op de privacy van de gebruiker. Dit werd als oneerlijk gezien en men wilde dat er opnieuw naar de wet gekeken zou worden. Zo zou onder andere een cookie die bezoekersaantallen registreerde geen inbreuk hebben op de privacy, maar de site wel kunnen helpen met het verbeteren van het gebruikersgemak. Het moeten vragen om toestemming stond dit laatste echter in de weg.

Onder andere om deze reden zijn er in 2015 een aantal veranderingen doorgevoerd in de cookiewet.

 

De cookiewet in 2015 (wet nr. 2)

In 2015 zijn er een aantal zaken veranderd in de wet. Ik zal je eerst vertellen wat de belangrijkste veranderingen zijn en daarna nog even goed op een rijtje zetten wat er nu dus van je verwacht wordt als je cookies plaatst. Wat moet je bij welke cookies doen en hoe vraag je nu op de juiste manier toestemming?

Verandering 1: Geen toestemming meer nodig voor niet-privacygevoelige cookies

1659 De Cookiewet: de invloed op jouw website

Zoals eerder gezegd was het nogal een punt dat er ook toestemming gevraagd moest worden voor cookies die geen of slechts een geringe inbreuk hadden op de privacy. Deze cookies vielen echter niet onder de noemer functionele cookie.

In 2015 kwam er verandering in de soorten cookies waar toestemming voor gevraagd moest worden. Vandaag de dag hoef je geen toestemming te vragen voor een cookie:

  1. met uitsluitend als doel de communicatie over een elektronisch communicatienetwerk uit te voeren,
  2. die strikt noodzakelijk is om de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren of – mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker – om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij.

aldus artikel 11.7a lid 3 van de Telecommunicatiewet.

Nieuw in dit stuk is vooral het gedeelte vanaf het woord “of” in deel 2 (lid 3 sub b in de wet). Hier komt naar voren dat cookies die bijvoorbeeld bezoekersaantallen en de effectiviteit van de website bijhouden (denk hierbij aan functionaliteiten van Google Analystics) mogen, mits deze geen of geringe gevolgen hebben voor de privacy van de gebruiker.

Verandering 2: Ook impliciete toestemming is goed genoeg

Deze verandering is wat ingewikkeld. In de basis is hij simpel: je mag naast het expliciet vragen van toestemming ook impliciet van toestemming uitgaan. Van impliciet uitgaan van toestemming kan bijvoorbeeld spraken zijn wanneer iemand duidelijk de informatie over het gebruik van cookies heeft gezien, maar toch doorklikt op de site.

Waarom ik dit dan toch een vage toevoeging vind? Deze toevoeging zou het aantal banners en pop-ups met het vragen naar toestemming moeten verminderen en het gebruikersgemak moeten verhogen. De eisen voor impliciete toestemming komen echter akelig dicht in de buurt van die voor expliciete toestemming. Je moet namelijk:

  1. De gebruiker duidelijk informeren over het soort cookies dat op de website wordt gebruikt én over het feit dat hij of zij automatisch toestemming geeft voor het gebruik hiervan wanneer hij of zij doorsurft.
  2. Voor impliciete toestemming is vervolgens wel een expliciete handeling vereist. De bezoeker moet hierbij daadwerkelijk op content van de website klikken. Alleen scrollen is bijvoorbeeld niet genoeg om van impliciete toestemming te spreken.

Wat ik hierbij lastig vind, is dat je alsnog duidelijk informatie moet plaatsen waar de gebruiker niet omheen kan, en dat hij/zij alsnog moet klikken om toestemming te kunnen verkrijgen. Het is wat mij betreft een grijs gebied.

Verandering 3: Overheidsinstellingen mogen gebruikers na weigering cookies niet weren van hun site

Bij het gebruik van cookies werd sinds 2012 gebruik gemaakt van zogenaamde cookiemuren. Wanneer je de cookies niet accepteerde, had je geen toegang tot de site. Deze muren zijn nu voor (semi-)overheidswebsites verboden.

Hierover staat in de wet in artikel 11.7a lid 5 het volgende:

  • De toegang van de gebruiker tot een dienst van de informatiemaatschappij die wordt geleverd door of namens een krachtens publiekrecht ingestelde rechtspersoon wordt niet afhankelijk gemaakt van het verlenen van toestemming als bedoeld in het eerste lid.

Verandering 4: Verscherpt toezicht door Autoriteit Consument & Markt (ACM)

%name De Cookiewet: de invloed op jouw website

Er werd natuurlijk al toezicht gehouden op de wet, maar sinds 2015 gaat ACM dit actiever doen. Dit heeft als gevolg dat vooral de grotere websites beter en vaker gecontroleerd worden. Verschillende grote bedrijven hebben al een waarschuwingsbrief in de bus gehad. Een boete voor een verkeerde uitvoering van de cookiewet kan oplopen tot €450.000.

Verschillende grote namen hebben al waarschuwingsbrieven in de bus gehad, iets dat leidt tot het opnieuw ontstaan van cookiemuren. En dat had met de ingang van de wetswijzigingen juist af moeten nemen. Helaas kunnen de grote websites ook met de versoepelingen niet om de cookiemuren heen.

 

Stap voor stap naar de juiste toestemming

Ik hoop dat het duidelijk is wat de wet was en wat deze nu is. Hieronder zal ik nog één keer alles op een rijtje zetten dat van belang is voor het correct handelen naar de cookiewet.

Stap 1: Wie is er verantwoordelijk?

Het is goed om te weten dat de eigenaar van de desbetreffende website hier ook verantwoordelijk voor is, ook wat betreft de cookies.

Wanneer bijvoorbeeld een adverteerder gebruik maakt van cookies in zijn advertentie en deze advertentie op jouw pagina plaatst, dan ben jij als pagina-eigenaar verantwoordelijk.

Je zult dus goed aan mogelijke adverteerders op jouw site moeten vragen van welke cookies zij gebruik maken. Jij bent dan degene die voor het gebruik hiervan toestemming moet vragen aan de bezoeker.

Deze regel is er om te voorkomen dat bezoekers van verschillende onderdelen van de site een vraag om toestemming krijgen. Eenmalig toestemming vragen als beheerder van de site is noodzakelijk om het gebruikersgemak hoog te houden.

Stap 2: Wanneer wel en wanneer geen toestemming nodig?

370 De Cookiewet: de invloed op jouw website

Laten we van de uitzondering uitgaan (die bevestigen immers de regel). Je hoeft geen toestemming te vragen wanneer:

  • Je te maken hebt met een functionele cookie. Deze cookies zijn nodig om een dienst of webshop te kunnen laten functioneren (noodzakelijke- of technische cookies).
  • Het gaat om analytische cookies. Deze cookies worden gebruikt om bijvoorbeeld bezoekersstatistieken bij te houden. Beheerders van websites krijgen zo een beter inzicht in het functioneren van de website en kunnen deze waar nodig verbeteren. Deze cookies zijn alleen toegestaan mits er sprake is van geen of geringe inbreuk op de privacy van de gebruiker.

Voor alle overige cookies is altijd toestemming nodig.

Stap 3: Hoe vraag je correct toestemming?

Wanneer het nodig is om toestemming te vragen zou ik aanraden dit altijd expliciet te doen. Dit omdat het vragen van impliciete toestemming in de meeste gevallen wat vaag is. Mocht je wel duidelijk weten hoe de impliciete toestemming op jouw website gevraagd kan worden, dan heeft dit wel de voorkeur aangezien het de gebruiker het minst ‘lastigvalt’.

Let op: Vergeet nooit dat je bij het vragen om toestemming de bezoeker over cookies moet informeren!

De volgende elementen moeten gebruikt worden om de gebruiker correct te informeren volgens de ACM:

  • De naam van de website;
  • Het doel waarvoor de cookies worden gebruikt;
  • Categorieën van cookies die door of via de website worden geplaatst;
  • Het gebruik van andere technieken (Javascript/Web beacons);
  • Aangeven met welke actie de gebruiker toestemming geeft (bijvoorbeeld met het klikken op een ‘ik ga akkoord’-button);
  • Een link naar het cookie- en/of privacy statement;
  • De eventuele impact die de cookies kunnen hebben op de privacy van de gebruiker.

Het is nodig om tijdens het informeren en het vragen om toestemming aan alle bovengenoemde punten te voldoen. Hoe je deze informatie vormgeeft is volledig aan jou, als het voor de bezoeker maar duidelijk is dat hij/zij toestemming geeft voor het gebruik van bepaalde cookies.

Stap 4: Een no-follow cookie toevoegen

no follwo De Cookiewet: de invloed op jouw website

Wanneer gebruikers geen cookies willen, maar je ze toch wilt toestaan gebruik te maken van jouw site, dan zul je toch gebruik moeten maken van een cookie.

Hoe zit dat dan?

Om te kunnen registreren dat er geen gebruik gemaakt mag worden van cookies, zul je deze keuze op moeten slaan. Dit doe je door zogenaamde no-follow cookies. Hoe tegenstrijdig dit ook lijkt, het gebruik hiervan is toegestaan. Dit omdat het valt onder artikel 11.7a lid 3 sub b eerste volzin. Deze stelt dat cookies zonder toestemming gebruikt mogen worden wanneer deze strikt noodzakelijk zijn voor de dienst die de gebruiker vraagt.

In dit geval vraagt de gebruiker om de dienst ‘geen cookies plaatsen’ en om je hier als website aan te kunnen houden is het plaatsen van een no-follow cookie noodzakelijk. Wel zijn er regels van de ACM omtrent de goedkeuring van het gebruik hiervan:

  • De gebruiker moet eerst de keuze gehad hebben tussen het accepteren en het weigeren van cookies op de website. Er moet expliciet gekozen zijn voor weigering.
  • De website moet de gebruiker informeren over de no-follow cookie die geplaatst zal worden.
  • De no-follow cookie mag alleen geplaatst worden met het doel waar deze voor is.

 

Houd je aan deze regels en je leeft de cookiewet keurig na. Aan te raden is tot slot nog om op websites waar toestemming vragen niet nodig is, toch informatie te verschaffen over het gebruik van cookies. Deze informatievoorziening vind je, mits aanwezig, vaak terug in de footer onder de knop ‘cookies’.

Hoe ga jij om met de cookiewet?

Laat jouw tips en tricks achter in een reactie hieronder!