Nieuwe cookiewet: wat moet je aan je website veranderen?

Met de aanstaande nieuwe privacywet AVG (GDPR) is het verstandig om gelijk de privacy rond je cookies door te lichten en aan te passen. Want ook de huidige cookiewet wijzigt dit jaar. Als de EU opschiet, tenminste. Wat moet je aan je website veranderen als de nieuwe e-privacy verordening er is?

Cookies: zodra je ronddoolt op het internet verzamel je er heel wat. Op vrijwel iedere website kom je er – bewust of onbewust – mee in aanraking als bezoeker. Het maakt niet op of je met een pc, laptop, tablet of telefoon aan het internetten bent.

Wat moet je met de nieuwe cookiewet als websitebeheerder?

Wat zijn cookies?

Cookies zijn kleine tekstbestanden die door websitetechnologie op je apparaat worden geplaatst. Met een cookie kan een website je herkennen. Daardoor kun je gepersonaliseerd aanbod krijgen op de website. Dit is waardevol, maar het raakt ook je privacy. Daarom is er wet- en regelgeving.

Wat doen cookies?

Cookies bestaan om een websitebezoek gebruiksvriendelijker te maken. De meest gebruikte cookies doen dit:

• Een wachtwoord onthouden (zodat je dat niet elke keer opnieuw moet invoeren)
• De inhoud van een winkelwagentje bewaren
• De website personaliseren op basis van jouw klikgedrag
• Suggesties doen in webwinkels, ook op basis van jouw eerdere gedrag
• Registreren wat je op een website doet voor statistische doeleinden
• Op een andere manier gedrag tracken: bijv. een YouTube-filmpje die bijhoudt hoe vaak een filmpje wordt bekeken

 

Welke cookies zijn er?

Over welke cookies hebben we het eigenlijk? Er zijn 3 soorten cookies:

• Functionele cookies
  Functionele cookies zijn nodig om je website goed te laten functioneren. Deze cookies worden standaard geplaatst en niet verwijderd als een bezoeker de cookies niet accepteert. De genoemde inlog- en webwinkelcookies zijn voorbeelden van functionele cookies.Voor functionele cookies is geen cookiemelding op je website nodig.

   

• Analytische cookies
  Iedere webmaster of webredacteur wil weten hoeveel mensen op je website komen, en wat ze doen. Dit kan met analytische cookies, die statistieken over je website verzamelen. Meestal mogen ze zonder toestemming worden geplaatst, maar alleen als de gebruikersgegevens niet verzameld worden en anoniem blijft. Mocht je wat verder gaan en A/B-testen doen, dan gebruik je ook analytische cookies Je moet dan wel je statistieken zo instellen dat bezoekers anoniem blijven. Verzamel je wel privegegevens, bijvoorbeeld in Google Analytics, dan moet je wel een cookiemelding tonen. De Autoriteit Persoonsgegevens heeft overigens een handleiding om Google Analytics privacyvriendelijk in te stellen.Als je geen demografische gegevens verzamelt (leeftijd, regio, geslacht) dan hoef je geen cookiemelding te tonen voor analytische cookies.

   

• Marketing cookies
  Dan zijn er nog tracking cookies voor marketingdoelen. Deze cookies verzamelen persoonsgerelateerde informatie over bezoekersgedrag. Bijvoorbeeld op welke producten, diensten of artikelen wordt geklikt. Als je gebruikt maakt van adverteren via sociale media (Facebook, LinkedIn, Instagram) of andere advertentiediensten (Addthis, DoubleClick, Google Dynamic Remarketing, Google Adwords, Bing Ads, andere remarketingtechnieken, mailingdiensten als MailChimp) dan volg je bezoekers met het doel terugkeer naar je website of verkoopbevordering op andere plaatsen (websites, apps, sociale media).De meeste marketingcookies verzamelen privacygevoelige gegevens. Een cookiemelding is dus wel nodig.

Hoe weet je welke cookies je gebruikt?

Ga naar Cookiechecker.nl en analyseer wat je aan cookies gebruikt. Cookiechecker hanteert overigens andere benamingen.

• IDit zijn cookies die door de site zelf worden gezet en alleen door de site zelf kunnen worden gelezen. Vaak worden deze cookies gebruikt voor functionaliteit van de site. Denk bijvoorbeeld aan het winkelwagentje. Dit houdt echter niet in dat deze cookies volgens de wet mogen.
• Third-party cookies worden gezet door derden. Dit zijn vaak reclamebedrijven, statistiekenpakketten of bedrijven die aan dataverzameling doen. Deze cookies worden opnieuw uitgelezen als er een andere site wordt bezocht die zaken doet met deze bedrijven. Retargeting is hier een goed voorbeeld van.
• Third-party requests zijn aanvragen van de gebruiker naar servers toe die niet tot de site behoren. Ondanks het feit dat deze requests geen cookies hebben gezet, kan er wel degelijk informatie over de gebruiker worden verzonden door middel van parameters. Google Analytics werkt bijvoorbeeld op deze manier. (bron: cookiechecker.nl)

Je kunt ook de gratis extensie Cookie Inspector in de browser Google Chrome gebruiken.

Een cookiewet?

Wetgeving geeft weer hoe webbeheerders cookies mogen plaatsen. Daarin is opgenomen dat bezoekers een duidelijke en volledige melding moeten krijgen welke cookies worden geplaatst.

In de volksmond heet dit de cookiewet. Maar eigenlijk is er geen aparte cookiewet. De Telecommunicatiewet heeft een bepaling over cookies. Die staat in artikel 11.7A.  Dit is de letterlijke tekst van de voornaamste passage:

“Onverminderd de Wet bescherming persoonsgegevens is het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen toegestaan op voorwaarde dat de betrokken gebruiker:

• a. is voorzien van duidelijke en volledige informatie overeenkomstig de Wet bescherming persoonsgegevens, in ieder geval over de doeleinden waarvoor deze informatie wordt gebruikt, en
• b. daarvoor toestemming heeft verleend.”

In gewoon Nederlands: een gebruiker moet toestemming verlenen om gegevens over hem/haar te verzamelen.

Nieuwe Europese privacyverordening

De verwachting was dat in 2018, gelijk met de AVG, Europa nieuwe regelgeving geldig zou zijn: de zogenaamde e-Privacy verordening. Met de verordening introduceert de Europese Commissie strengere privacyregels om het (online) privéleven van mensen beter te beschermen.

Net als bij de AVG is er sprake van een verordening en niet voor een richtlijn. Het verschil? Een richtlijn moet worden omgezet in (eigen) nationale wetgeving. Een verordening is rechtstreeks van toepassing in ieder land van de EU. De wetgeving is daarmee overal in Europa hetzelfde.

De belangrijkste wijziging is dat niet per website maar per browser internetgebruikers kunnen bepalen of zij cookies die privacygevoelig zijn accepteren of weigeren.

In 2018? In 2019?

Maar volgens Thuiswinkel.org kan het wel eens 2019 worden: Op 19 oktober 2017 heeft de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE) van het Europees Parlement een geamendeerde versie van de ePrivacy Verordening aangenomen. Tijdens een hoorzitting voor deskundigen hebben Duitse regeringsfunctionarissen laten weten dat het wetgevingsproces niet voor de zomer (of zelf de herfst) van 2018 wordt afgerond. Hierdoor zal de ePrivacy Verordening niet tegelijkertijd met de AVG (mei 2018) in werking treden, en misschien niet eens in 2018. Omdat deze (Europese) wetgeving een overgangsfase van ten minste twaalf maanden kent, ziet het ernaar uit dat de verordening niet voor 2019 van kracht wordt. Dit is nog niet bevestigd vanuit officiële kanalen, maar het gelekte voortgangsverslag van het Estse voorzitterschap van de Europese Commissie over de e-privacyregelgeving laat zien dat voor de meerderheid van de onderwerpen nog steeds veel werk te verzetten valt. (bron: Thuiswinkel.org, 7 december 2017)

Wat moet er in een cookieverklaring staan?

Het is dus afhankelijk van het type cookie en hoe je de bijbehorende dienst hebt ingesteld, of een cookieverklaring nodig is. Maar wat moet er vervolgens in zo’n verklaring staan? In het kort:

• Welke cookies worden geplaatst
• Waarvoor je ze gebruikt
• Of de cookies informatie delen met derden
• Hoe cookies kunnen worden uitgeschakeld (en wat dat betekent)

Hoe zit dat er dan uit?

Dit zijn de opties:

• Cookiemuur
  Een hele rigide manier. Bezoekers moeten je cookies accepteren, anders zien ze geen website. Maak in je tekst op de cookiemuur duidelijk waarom je cookies plaatst, en waarom je wilt dat bezoekers ze moeten accepteren.
  Zoals de zakenwebsite Emerce.nl bijvoorbeeld:

 

• Cookie pop-up
  Je geeft je bezoeker een keuze: of je gaat door (maar dan kunnen onderdelen van de site niet werken), of je gaat niet door.
  Ook hier is het communicatietechnisch belangrijk dat je zorgt voor draagvlak zodat bezoekers niet afhaken.
  Zoals bij de webwinkel van Mediamarkt bijvoorbeeld:
• Een cookie strook (of cookie banner)
  Hetzij bovenaan, hetzij onderaan de website een kleine strook met je cookiemelding.
  Zoals bij voetbalclub Feyenoord:

Belangrijk is om de juiste toon te vinden om je bezoekers aan te spreken.

Voorbeeldteksten cookieverklaring

Ben je op zoek naar inspiratie om een volledige cookieverklaring te schrijven? Kijk dan eens naar deze voorbeelden:

• Cookiegebruik door de NRC
• Privacy statement Rabobank
• Webwinkel Coolblue
• Cookieverklaring Mediamarkt
• Sanoma (uitgever van vele bladen zoals NU.nl, Linda Magazine, etc.)
• Nederlandse Publieke Omroep (NPO)
• Formule1.nl

Samengevat: wat moet je doen?

1. Maak eerst een overzicht welke cookies je hebt en waarom ze worden gebruikt. Bepaal dan of je een melding moet doen, en bepaal hoe je deze toont.
2. Beoordeel of je dit voldoende vindt, of zoek naar alternatieve diensten die geen cookies plaatsen.
3. Kies je eigen cookiemelding, met een tone of voice die bij jouw organisatie past.
4. Zorg voor de technische implementatie van een cookiemelding (wij verzorgen ze voor WordPress)
5. Stel een privacyverklaring op en link er duidelijk naar toe, bijv. vanuit de footer van je website, zichtbaar op iedere pagina.