Ze zijn er toch echt al een tijdje, die tekstbestandjes die op de harde schijf van de computer, tablet of smartphone van je bezoeker worden geplaatst op het moment dat deze je website bezoekt. In de praktijk zie ik echter toch nog een heleboel geworstel ermee!
Wat ikzelf met name lastig vind, is wat en waar het onderscheid ligt tussen noodzakelijke (geen toestemming nodig) en niet-noodzakelijke cookies (wel toestemming nodig). Waar vallen de analytische cookies nu onder? Hoe zit het met de wetgeving? En wat gaat Google precies doen? Dit heb ik dus maar even uitgezocht...
Noodzakelijke cookies. Dit zijn cookies welke jouw website laten werken en het gebruik ervan kunnen meten. Zo kan de kwaliteit en/ of effectiviteit van de website worden verbeterd. Functionele cookies onthouden de inloggegevens, taalkeuze, cookie- en andere voorkeuren van de bezoeker op de website. Andere noodzakelijke cookies zijn sessie cookies. Deze onthouden welke items de klant in het winkelmandje heeft gestopt. Aan het einde van de sessie, of vlak erna, verlopen deze cookies weer. Hier zijn geen persoonsgegevens bij betrokken en er hoeft vooraf dan ook geen toestemming voor worden gevraagd.
Niet-noodzakelijk cookies. Dit zijn bv. tracking/ marketing cookies. Deze cookies lezen het bezoek van je bezoekers aan andere websites uit. Ook kunnen deze het surfgedrag door de tijd heen volgen. Handig, want zo kunnen persoonlijke interesses van jouw bezoeker worden afgeleid en kun je op jouw website gerichte advertenties tonen. Er kunnen profielen van jouw bezoekers worden opgesteld om hen anders te behandelen. Bij deze cookies moet je ook denken aan social media-knoppen, zoals die van Facebook en Twitter, vingerafdruktechnologie gekoppeld aan een apparaat en pixel trackers (of pixel gifs).(1)
Analytische cookies. Deze cookies meten hoe je website gebruikt wordt, hoeveel bezoekers je website bezoeken en welke pagina's ze bezoeken. Vallen deze nu onder noodzakelijk of niet-noodzakelijk?
Dit zijn niet-noodzakelijke cookies waar toestemming voor gevraagd moet worden, zeker als ze worden gebruikt voor marketingdoeleinden. De kans is heel groot dat met deze cookies persoonsgegevens worden verzameld. Je kunt ze echter wel privacy-vriendelijk instellen, waardoor deze weinig gevolgen voor de privacy hebben en er dus geen toestemming zou zijn vereist. Zo is er voor Google Analytics een handleiding beschikbaar, die je precies uitlegt hoe je een IP-adres van je bezoeker kunt ‘anonimiseren’. Dit gebeurt door het laten verwijderen van de laatste 3 cijfers van het IP-adres, nog voordat het door Google wordt opgeslagen.(2)
Wetgeving. De cookies worden geregeld in art. 5 van de e-Privacy Richtlijn en de uitwerking is neergelegd in de Telecommunicatiewet, welke een cookieverbod kent, met daarop een aantal wettelijke uitzonderingen, zoals hierboven omschreven. Daarnaast is uiteraard de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Momenteel is de e-Privacy Verordening in de maak. In tegenstelling tot de huidige Richtlijn, heeft de Verordening rechtstreekse werking, net als de AVG, en zal dus niet hoeven te worden omgezet in nationale wetgeving, zoals nu het geval in de Telecommunicatiewet.
Welke wijzigingen worden er zoal voor cookies voorgesteld in de nieuwe Verordening? Uitgangspunt is dat het beschermingsniveau niet lager mag zijn dan het huidige en dit betekent dat de e-Privacy Verordening kijkt naar het overnemen en nuanceren van het verbod op cookiewalls, zoals neergelegd in de AVG (3). Daarnaast zullen de uitzonderingen op het cookieverbod (zoals nu in de Telecommunicatiewet) wat worden uitgebreid. Derde partijen mogen analytische cookies plaatsen en het vereiste van 'privacy-vriendelijk' verdwijnt. Tot slot, bezoekers zouden voortaan vooraf toestemming kunnen geven voor het plaatsen van cookies via het samenstellen van goedgekeurde websites en diensten via de browserinstellingen (whitelisting).(4)
De huidige tekst is alleen nog niet duidelijk en naar verwachting zal het nog wel even duren voordat deze definitief is, ergens in 2022.
De cookies van Google. Tot slot, wat is Google nu eigenlijk van plan met z'n cookies? Google wil een cookieloze wereld, dat wil zeggen dat zij tracking- en profilingstechnieken van Chrome gaan uitfaseren. Ze stoppen met de ondersteuning van alle 3rd party cookies in Chrome. Zonder deze zogenaamde volgcookies kan er niet meer gericht worden geadverteerd. Dit hadden ze aangekondigd voor eind 2021, maar ze hebben meer tijd nodig. Nu staat het op de planning voor de tweede helft van 2023. Ondertussen wordt er wel gekeken naar alternatieven.
Cookies blijven in mijn (juridische) ogen een complex gebeuren. We moeten goed in de gaten houden wat de nieuwe e-Privacy Verordening voor cookie-wijzigingen met zich meebrengt. Daarnaast ben ik ook benieuwd met welk alternatief Google komt. Dit wordt vast een wordt vervolgd.
Heb je vragen, neem gerust vrijblijvend contact met me op.
(1) Voor meer informatie: Guidance note: Cookies and other tracking technologies, Data Protection Commission Ireland, april 2020.
(2) Handleiding privacyvriendelijk instellen van Google Analytics, website AP, 15 augustus 2018.
(3) Cookiemuren zorgen ervoor dat een bezoeker zonder toestemming geen (of slechts gedeeltelijke) toegang kunnen krijgen tot je website. Dit verbod is neergelegd in de AVG. De Telecommunicatiewet beperkt het cookiewallverbod tot publieke (overheids-)diensten.
(4) Voor meer informatie: De e-Privacy Verordening, factsheet 28 januari 2021, Legal2Practice B.V.
Foto door Taryn Elliott via Pexels
Add comment
Comments