Cookies en GDPR in België

Cookies zijn kleine tekstbestanden die je computer en mobiele apparaten opslaan wanneer je een website of een webshop gebruikt. Dat kunnen essentiële cookies zijn die nodig zijn om je website te laten functioneren, maar daarnaast zijn er ook cookies die niet strikt noodzakelijk zijn.

Die laatste cookies brengen bijvoorbeeld de persoonlijke voorkeuren van bezoekers in kaart en registreren het surfgedrag, om op die manier de website te kunnen verbeteren en gerichter aan marketing te kunnen doen.

Ze hebben dus niets te maken met de technische ondersteuning van je website en kunnen gebruikers identificeren, waardoor ze in principe ook persoonsgegevens bevatten.

En als het om persoonsgegevens van Europese burgers gaat komt GDPR - de wetgeving die de privacy van Europese burgers wil beschermen - kijken. In passage 30 licht de GDPR dit dan ook kort toe:

“Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.”  

Concreet wil dat zeggen dat wanneer cookies je gebruikers zouden kunnen identificeren - bijvoorbeeld omdat ze bezoekers via een unieke code aan een toestel koppelen - dit volgens de GDPR beschouwd wordt als persoonlijke gegevens. Verwerkt je website of webshop alle gegevens anoniem en worden gebruikers dus niet expliciet geïdentificeerd? Dan behandelen ze individuen nog steeds als uniek en vallen cookies dus ook onder de noemer van persoonlijke data.

Cookies kunnen dus persoonsgegevens bevatten en in dat geval is het volgens de GDPR verplicht om ze te beschermen. Hoe?

• Door uitdrukkelijk toestemming te vragen voor het gebruik van niet-essentiële cookies en de bezoeker het recht te geven om cookies te weigeren, te wissen of uit te schakelen.
• Door een uitgewerkt cookiebeleid op je website te voorzien waarin je transparant bent over wat cookies zijn, welke cookies je verzamelt, waarom je dat doet en hoelang je ze bewaart.

1. Uitdrukkelijk om toestemming vragen

Gebruik je cookies die niet strikt noodzakelijk zijn? Dan is het niet nodig om ze ineens allemaal overboord te gooien. Je mag immers nog steeds informatie over je gebruikers verzamelen via cookies, maar wel op één voorwaarde: toestemming vragen om cookies te gebruiken. Op die manier zouden gebruikers meer controle moeten krijgen over de tekstbestanden die op hun computers worden opgeslagen.

In principe zouden gebruikers maar één keer toestemming moeten geven, tenzij ze de cookies verwijderen of als de website of webshop haar cookiebeleid wijzigt. In dat geval is het nodig om opnieuw toestemming te vragen.

Wat houdt die toestemming in?

Heel wat websites maken momenteel gebruik van impliciete toestemming, wat wil zeggen dat ze ervan uitgaan dat je automatisch toestemming geeft wanneer je de website gebruikt. Meer en meer websites proberen wel aan de cookiewetgeving te voldoen door een waarschuwing te plaatsen met een link naar hun cookiebeleid, maar eigenlijk is dit niet voldoende.

IKEA plaats bijvoorbeeld wel een balk/cookiemelding met een cookiewaarschuwing en een link naar hun cookie policy, maar voorziet nergens een mogelijkheid om te cookies ook te accepteren:

Wanneer je dus de site van IKEA gebruikt, ga je automatisch akkoord met hun cookiebeleid. Maar opgelet: zulke meldingen mogen alleen wanneer je enkel cookies gebruikt die essentieel zijn om je website te laten functioneren. Gebruik je ook niet-essentiële cookies, dan is dit eigenlijk niet voldoende en is expliciete toestemming vereist.

Volgens de Privacycommissie moet de toestemming dus expliciet worden gegeven. Dat kan door de gebruiker een bepaalde actie te laten ondernemen, zoals iets aanvinken, op ‘akkoord’ klikken enzovoort.

Meldingen als ‘door deze site te gebruiken, accepteer je onze cookies’ of vakjes die op voorhand aangevinkt zijn, zijn dus niet voldoende wanneer je ook niet-essentiële cookies gebruikt.

Hoe doet de Privacy Commissie het zelf op hun website?

Moeten mijn gebruikers ook toestemming kunnen weigeren?

Daarnaast moet het volgens de Privacycommissie ook even makkelijk zijn om toestemming te weigeren als te geven. Idealiter wil dat zeggen dat wanneer gebruikers je website bezoeken, ze niet alleen een melding moeten krijgen waarbij ze op ‘accepteren’ kunnen klikken, maar ook op ‘blokkeren’.

In principe zou je je gebruiker dus twee keuzes moeten geven. Maar omdat dat technisch niet altijd even eenvoudig is, zou je op zijn minst een link moeten voorzien naar de uitleg over hoe je je cookie-instellingen kan wijzigen. (Op onze eigen website voorzien we om technische redenen geen "weigeren" knop.)

Heeft je websitebezoeker op ‘akkoord’ geklikt? Dan moet je nog steeds de optie geven om later van gedacht te veranderen. Daarom is het nodig om duidelijk advies neer te schrijven over hoe gebruikers hun browser settings kunnen aanpassen om cookies te wissen of uit te schakelen. Dat doe je in je cookie policy, waarover we je later meer over vertellen.

Hoe moet je toestemming vragen voor cookies?

Er zijn verschillende manieren om toestemming te vragen voor het gebruik van cookies. We lijsten de twee meest voorkomende voor je op:

1. De cookiemuur

Dit is de meeste extreme vorm van een cookiemelding. De webpagina zelf wordt immers tegengehouden door een aparte pagina die je informatie geeft over cookiegebruik en je eerst toestemming vraagt. Wanneer bezoekers de cookies niet accepteren, dan kunnen ze website vaak niet gebruiken. Zulke meldingen zijn wel minder gebruiksvriendelijk en worden vooral toegepast door websites die sterk afhankelijk zijn van advertentie inkomsten en dus veel marketing cookies plaatsen (of door de privacy commissie zelf).

De website van De Telegraaf maakt bijvoorbeeld gebruik van een cookiemuur:

2. De cookiebalk met ondubbelzinnige toestemming

Dit is de meest gebruikte vorm van cookievermelding en wordt ook aangeraden door de Privacycommissie. Zoals we je hierboven verteld hebben, is het nodig om ondubbelzinning toestemming te vragen wanneer je gebruikmaakt van niet-noodzakelijke cookies. Plaats dus een balk met uitleg waarom cookies nodig zijn op je website en geef je gebruikers de mogelijkheid om op ‘oké, ‘ja’, ‘akkoord’, ‘accepteren, ‘ik geef toestemming’ enzovoort te klikken. Zorg ervoor dat die balk meteen te zien is wanneer je de website opent. Past een balk niet bij het design van je website? Dan kan je ook gebruikmaken van een pop-up venster in de hoek van je scherm.

De website van Cookiepedia maakt bijvoorbeeld gebruik van een duidelijke cookiebalk:

Ook MailChimp doet dit goed:

Cookiebot gaat zelfs een stapje verder door je de mogelijkheid te geven om per type cookie je voorkeur te bepalen:

Waarom heeft niet iedere website in België een cookiemelding?

In Nederland is de cookiemelding al veel meer ingeburgerd dan in België. De interpretatie van de cookiewetgeving is er immers een stuk strenger en bovendien vinden er ook regelmatig controles plaats. In België wordt de cookiewetgeving daarentegen amper gecontroleerd, waardoor heel wat websites en webshops het weleens aan hun laars durven lappen. Maar wil je toch geen risico’s nemen en helemaal in orde zijn? Dan plaats je toch maar beter een cookiemelding die je bezoekers expliciet om toestemming vraagt.

2. Een uitgewerkte cookie policy op je website voorzien

Naast uitdrukkelijk toestemming vragen, is het ook belangrijk dat je in je melding een link opneemt naar je cookie policy waarin je meer uitleg geeft over je gebruik van cookies. Hiervoor maak je best een aparte pagina aan, met een link naar die pagina in de footer.

Maar wat moet hier nu allemaal instaan?

Wie is verantwoordelijk voor dit cookiebeleid?

Om te beginnen zou je moeten vermelden wie jij bent en wie bijgevolg verantwoordelijk is voor het cookiebeleid en de verwerking van de cookies. Je moet gebruikers immers de mogelijkheid geven om je te kunnen contacteren voor extra informatie. Vermeld dus duidelijk de identiteit en contactgegevens van je organisatie:

• De exacte naam van de organisatie
• Het volledige adres
• Het BTW-nummer
• Het telefoonnummer en/of e-mailadres

Vermeld daarnaast ook op welke manier je de gegevens verwerkt. Vertel of je ze al dan niet binnen je eigen organisaties verwerkt, dat je dat anoniem doet en dat je maatregelen neemt om de vertrouwelijkheid te beschermen. 

Wat zijn cookies, welke soorten zijn er en waarvoor dienen ze?

Je kan wel beginnen met een uitleg over welke cookies je allemaal gebruikt, maar heel wat mensen hebben geen flauw benul van wat die cookies nu juist zijn, wat ze allemaal doen en waarom het nodig is dat ze die accepteren. Begin daarom je cookie policy met een korte en duidelijke uitleg over wat cookies nu net zijn en wat ze voor je gebruiker kunnen betekenen.

Nog beter is om vervolgens specifiek uit te leggen welke type cookies er allemaal zijn, waarbij je voor elk type cookie uitlegt wat de voordelen zijn voor de gebruiker. Zo maak je om te beginnen best een onderscheid tussen first party cookies en third party cookies:

• First party cookies worden enkel door je website zelf geplaatst en zorgen ervoor dat je website goed functioneert en dat je voorkeuren onthouden worden.
• Third party cookies worden dan weer door een derde partij met een andere domeinnaam op je website geplaatst en dienen om je gebruikservaring beter en persoonlijker te maken.

Die first en third party cookies kun je nog verder opdelen in onder andere:

• Essentiële cookies die noodzakelijk zijn om een website te laten functioneren.
• Functionele cookies die informatie over je keuzes en voorkeuren op een website bijhouden.
• Analytische cookies die informatie verzamelen over het gedrag van websitebezoekers en de prestaties van de website. Aan de hand van de resultaten kan de website verbeterd worden en krijgen bezoekers een betere gebruikservaring.
• Marketing cookies die het surfgedrag van websitebezoekers volgen en op basis daarvan een gebruikersprofiel samenstellen dat wordt gebruikt om de surfervaring persoonlijker te maken.

Welke cookies gebruik jij, welk doel hebben ze en hoe lang worden ze bewaard?

De volgende stap is dat je ook gaat vermelden welke cookies jij allemaal via je website plaatst. Idealiter plaats je een opsomming van alle soorten cookies, met daarbij telkens het type cookie en de bewaartermijn. Ook zou je per type cookie best uitleggen wat het doel is, zoals bijvoorbeeld gepersonaliseerde advertenties laten zien, om je gebruiker ingelogd te houden, om content te kunnen delen op sociale media enzovoort.

Weet je niet goed welke type cookies er via jouw website of webshop op de computers van je gebruikers worden opgeslagen? Hiervoor staan verschillende plug-ins en apps die laten zien per pagina welke cookies gebruikt worden. Vervolgens kan je nagaan via Cookiepedia en andere websites waarvoor de cookies net dienen.

Hoe verwijder ik cookies?

Volgens de Privacycommissie is het ook noodzakelijk dat je je bezoekers niet alleen informatie geeft over de cookies zelf, maar dat je ook duidelijke instructies geeft over hoe je gebruikers ze kunnen wissen, uitschakelen of hun instellingen kunnen aanpassen.

Dat kan je doen door bijvoorbeeld instructies te geven voor de verschillende types browsers. Geef zelf de uitleg mee of plaats een link naar de cookiepagina van elk type browser. Dat laatste maakt je policy iets overzichtelijker.

Geef ook mee wat de gevolgen zijn van het wissen van de cookies, zoals een website die niet meer optimaal gaat werken.

Wanneer werd de cookie policy voor het laatst gewijzigd?

Wanneer je cookies veranderen, dan moet ook je cookie policy aangepast worden. Daarom is het belangrijk dat je je gebruikers op de hoogte houdt van wanneer je het beleid voor het laatst hebt aangepast en eventueel ook welk versienummer het is.

Wijzig je je cookie policy? Vergeet dan niet om opnieuw toestemming aan je gebruikers te vragen voor het plaatsen van cookies.

Samenvatting

Wanneer je website of webshop dus niet-essentiële cookies gebruikt - en dat is in bijna alle gevallen zo - is het noodzakelijk om:

• Uitdrukkelijk toestemming te vragen voor het gebruik van cookies en de bezoeker het recht te geven om cookies te weigeren, te wissen of uit te schakelen. Toestemming kan je vragen door een balk te tonen met een melding waarbij mensen een actie moeten ondernemen om de cookies te accepteren. Ook moet je ervoor zorgen dat mensen het makkelijk kunnen weigeren, bijvoorbeeld via een link naar je cookie policy waarin je uitlegt hoe gebruikers cookies kunnen wissen of uitschakelen.

• Door een uitgewerkt cookiebeleid op je website te voorzien waarin je transparant bent over wat cookies zijn, welke soorten er bestaan en waarvoor ze dienen, welke cookies jij net verzamelt, waarom je dat doet en hoelang je ze bewaart. Ook leg je hierin uit hoe gebruikers ze kunnen wissen, uitschakelen of aanpassen en wanneer je beleid het laatst gewijzigd werd.

Door je cookie policy en toestemming in orde maken, ga je dus op een transparante manier om met de verwerking van persoonsgegevens en ben je weer een stapje verder om volledig GDPR compliant te zijn.

Dit artikel werd geschreven door Els Dupont en met toestemming overgenomen van Inventis.

Jureca kan je helpen in het voldoen aan al deze juridische regels. Door middel van onze templates en checklists, opgesteld door experts, ben je juridisch altijd in orde en loop je geen enkel risico. Dit alles krijg je aan een extreem scherpe prijs. Je overloopt simpelweg de stappen van de templates en vult de bijgevoegde documenten in, dan ben je met alles in orde.