Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Standaardtekst voor uw privacyverklaring als u tracking cookies inzet

Juridisch Product

Voor alle webwinkels en websites die gebruikmaken van cookies is het belangrijk om de privacyverklaring up-to-date te hebben en om een cookieverklaring te formuleren. Wij kunnen als onderdeel van onze dienst cookiecare identificeren welk soort cookies u gebruikt, hoe en of u toestemming moet vragen.

De cookiewet is erdoor. Per 1 juli is het verplicht om bezoekers van uw website om toestemming te vragen wanneer u cookies inzet om hun bezoekgedrag in kaart te brengen, bijvoorbeeld om passende advertenties te kunnen tonen. Dergelijk gebruik van cookies valt onder de Wet bescherming persoonsgegevens (“de privacywet”). Om aan deze wet te voldoen, is niet alleen toestemming nodig maar ook een duidelijke toelichting over wat u doet met die cookies en welke rechten bezoekers daarbij hebben. Bij deze enkele standaardteksten waar u een heel eind mee moet komen.

Allereerst moet u toestemming vragen, hoe dat precies moet is voor een andere blog. De cookiewet eist naast toestemming van u dat u “duidelijke en volledige informatie” verstrekt over welke persoonsgegevens u verzamelt en met welk doel. Ook moet u toelichten welke rechten bezoekers hebben ten aanzien van hun persoonsgegevens (lees: wat zij bij u mogen vragen over die cookies van u).

Allereerst moet u uitleggen dat u cookies gebruikt en wat dat zijn:

Wij maken op deze website gebruik van cookies. Een cookie is een eenvoudig klein bestandje dat met pagina’s van deze website [en/of Flash-applicaties] wordt meegestuurd en door uw browser op uw harde schrijf van uw computer wordt opgeslagen.

Waarschijnlijk heeft u al een dergelijke tekst, omdat ook onder de oude wetgeving het verplicht was om toe te lichten wat u doet met cookies. U noemde in die tekst dan waarschijnlijk ook iets over wat u met die cookies deed. Zo niet, dan komt u hiermee een heel eind:

Wij gebruiken cookies om [het gebruik van onze webwinkel te faciliteren/ het inloggen op onze website te vergemakkelijken/ uw instellingen en voorkeuren te onthouden]. U kunt deze cookies uitzetten via uw browser [of via uw profielpagina] maar dit kan het functioneren van onze website negatief aantasten.

Mogelijk staat er ook iets over “uw voorkeuren registreren” of “u passende advertenties bieden” of iets dergelijks. Dit mag u dan schrappen, want dit moet echt helemaal anders onder de nieuwe wet. Als u géén profielen opbouwt maar alleen cookies gebruikt om te zorgen dat mensen niet steeds dezelfde advertenties krijgen, dan is een zin als deze genoeg:

Wij plaatsen verder cookies op uw computer om te voorkomen dat u een bepaalde advertentie te vaak te zien krijgt [en om het aantal keren dat een advertentie wordt weergegeven te registreren]. Deze cookies zijn niet verbonden aan een profiel over u.

Maakt u wel degelijk profielen van gebruikers, dan heeft u iets meer tekst nodig:

Met uw toestemming plaatsen wij “tracking cookies” op uw computer. Deze cookies gebruiken wij om bij te houden welke pagina’s u bezoekt, om zo een profiel op te bouwen van uw online gedrag. Dit profiel is niet gekoppeld aan uw naam, adres, e-mailadres en dergelijke, maar alleen om advertenties af te stemmen op uw profiel zodat deze zo veel mogelijk relevant voor u zijn.

Werkt u met advertentienetwerken die profielen opbouwen, dan moet die tekst iets anders:

Met uw toestemming plaatsen onze adverteerders “tracking cookies” op uw computer. Deze cookies gebruiken zij om bij te houden welke pagina’s u bezoekt, om zo een profiel op te bouwen van uw online gedrag. Dit profiel wordt mede opgebouwd op basis van vergelijkbare informatie die zij van uw bezoek aan andere websites krijgen waarop zij adverteren. Dit profiel wordt niet gekoppeld aan uw naam, adres, e-mailadres en dergelijke zoals bij ons bekend, maar alleen om advertenties af te stemmen op uw profiel zodat deze zo veel mogelijk relevant voor u zijn.

En daarna is het ook nodig om mensen te wijzen op hun recht van inzage en correctie op grond van de privacywet:

U heeft het recht om te vragen om inzage in en correctie of verwijdering van uw gegevens. Zie hiervoor onze contactpagina. Om misbruik te voorkomen kunnen wij u vragen om u adequaat te identificeren. Wanneer het gaat om inzage in persoonsgegevens gekoppeld aan een cookie, dient u een kopie van het cookie in kwestie mee te sturen.

Cookies kunt u alleen zelf verwijderen, aangezien deze op uw computer opgeslagen zijn. Raadpleeg hiervoor de handleiding van uw browser.

Plaatst u advertenties van netwerken die aangesloten zijn bij “Your online choices”, dan kunt u het beste mensen wijzen op de via dit netwerk geboden mogelijkheid van opt-out:

Sommige tracking cookies worden geplaatst door derden die onder meer via onze website advertenties vertonen aan u. Deze cookies kunt u centraal verwijderen via Your Online Choices zodat ze niet bij een website van een derde teruggeplaatst worden.

Let op dat het verwijzen naar Your Online Choices géén vervanging is voor toestemming!

Gebruikt u verder Google Analytics, dan kunt u twee dingen doen:

  1. Uw Analytics-instellingen aanpassen zodat Google bezoekersgegevens anonimiseert. Daarmee blijft de privacywet buiten toepassing.
  2. Toestemming vragen aan uw bezoekers voor het zich laten volgen door Google Analytics.

Kiest u voor optie 1, dan moet er wel nog een clausule bij over de cookies die Analytics plaatst:

Via onze website wordt een cookie geplaatst van het Amerikaanse bedrijf Google, als deel van de “Analytics”-dienst. Wij gebruiken deze dienst om bij te houden en rapportages te krijgen over hoe bezoekers de website gebruiken. Google kan deze informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover derden de informatie namens Google verwerken. Wij hebben hier geen invloed op.

De informatie die Google verzamelt wordt zo veel mogelijk geanonimiseerd. Uw IP-adres wordt nadrukkelijk niet meegegeven. De informatie wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten.

Graag horen wij uw suggesties voor verbetering of andere situaties waarin u een clausule nodig heeft hieronder!

Meer weten over onze privacyadviezen & -diensten?

 

Juridische documenten nodig?

Met de juridische generatoren van ICTRecht op JuriDox.nl kunt u snel en tegen een gunstig tarief zelf uw privacyverklaring en andere juridische documenten opstellen.

Arnoud Engelfriet

Algemeen directeur / Opleidingsdirecteur

Arnoud Engelfriet is algemeen directeur en opleidingsdirecteur bij ICTRecht. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.

 

 


Er zijn 37 reacties

  1. Denk dat veel bedrijven dusdanig veel standaard-oplossingen gebruiken voor hun websites dat ze niet eens weten of ze nu wel of geen cookies gebruiken, en dus ook niet weten of de disclaimer nou wel of niet nodig is.

  2. Hoe zit het met 1st party cookies die gebruikt worden om een profiel van terugkerende bezoekers op de eigen website (in een eigen profiel database) vast te leggen.
    Of geldt dit alleen voor 3d party cookies?

  3. De wet geldt zowel voor 1st party als voor 3rd party cookies. Als je ze gebruikt om een profiel op te bouwen van bezoekers dan moet je daar toestemming voor vragen en in je privacypolicy uitleggen wat je doet en waarom.

  4. Waarom zou het ‘anonimiseren’ van de Google aanroep de cookie wet buiten spel zetten? De cookie wordt dan nog steeds gebruikt om een profiel van je bezoek op te bouwen. Het enige verschil is dat de informatie niet meer exact naar je eigen IP te herleiden is. Maar Google kan je op basis van de cookie altijd nog ‘persoonlijk’ identificeren.

  5. @Eric: Goeie, maar volgens Google is het profiel niet persoonsgebonden meer. Als je daarop wilt vertrouwen dan is er dus geen sprake meer van verwerking van persoonsgegevens.

    Ben je kritisch over hoe Google “persoonsgebonden” interpreteert (en dat is zeer terecht) dan kun je dus geen Analytics inzetten zonder aparte toestemming van je bezoekers.

  6. De privacyverklaring moet prominent genoemd worden op de site, zodat deze met één of twee kliks op te vragen is. Een goede plek is in de voettekst van elke pagina als hyperlink vanaf het woord “Privacyverklaring”. Zie helemaal onderaan deze pagina voor een voorbeeld.

  7. Goed artikel. Ik neem aan dat social sharing via Addtoany of ShareThis onder de noemer ‘advertentienetwerken die profielen opbouwen’ thuishoren?

  8. ” De informatie wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten.”

    Google heeft zeer veel servers buiten de VS, o.a. in Groningen. Het is achterhaald dat alles naar de VS gaat.

    1. Het klopt dat het óók naar andere landen gaat, maar data gaat in ieder geval naar de VS. En omdat de VS een sterk afwijkend privacyregime heeft, moet je waarschuwen als data naar de VS gaat.

  9. Wat mij nog niet helemaal duidelijk is, is welke websites nu onder dit nieuwe regime vallen: alle websites van nederlandse bedrijven/organisaties, websites die gericht zijn op een nederlands publiek (ook die met hoofdzetel in het buitenland), elke website die bezocht wordt door iemand met de nederlandse nationaliteit, … ?

    1. De vraag is of de site zich richt op Nederland. Het maakt niet uit of de organisatie zelf Nederlands is en of het een .nl domeinnaam is. Maar omgekeerd is het ook weer niet genoeg dat er toevallig een Nederlander langsfietst op de site. Je moet naar het totaalplaatje kijken. Hyves is Nederlands, ondanks dat ze een Engelse Ltd zijn en misschien een datacenter in Duitsland gebruiken. Heise.de is een Duits magazine, ondanks dat je ze in Nederland kunt lezen en er misschien wel Nederlandstalige advertenties verschijnen.

  10. Als je de tekst leest wordt er gesuggereerd dat het hier alleen gaat om cookies die domein overschrijdend werken?

    overwegende, dat het, gelet op artikel 5, derde lid, van de Bijzondere privacyrichtlijn, zoals herzien door de Richtlijn Burgerrechten 136/2009/EG, noodzakelijk is om, wanneer men door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker, daarvoor toestemming te verkrijgen,

    en

    overwegende, dat voor zover het gaat om tracking cookies die gebruikt worden om surfgedrag over meerdere websites in kaart te brengen, er vermoedelijk sprake is van een verwerking van persoonsgegevens waarvoor ondubbelzinnige toestemming is vereist,

    1. Dat is mooi gevonden. Inderdaad, die overweging gaat over third-party cookies. Maar de wet is breder geformuleerd en treft óók first-party cookies als die leiden tot interesseprofielopbouw of iets dergelijks.

      Je zou met deze overweging in de hand kunnen zeggen dat het “vermoeden” uit de wet alleen geldt bij third party cookies. Daarmee komt de bewijslast bij de OPTA te liggen als zij zeggen dat jouw first-party cookie een privacyschending is.

  11. Ingewikkeld wordt het wanneer jouw site aan een CDN (Content Delivery Network) hangt. Om je site (het netwerk) te beveiligen plaatst het een cookie en volgt het IP-adressen. Zonder deze cookie: geen website…

    Is hier ook een clausule voor?

    1. Kun je toelichten hoe een cookie voor beveiliging zorgt? Het is een nummer, hoe is dat veilig? Stel ik wis of ik manipuleer dat cookie, wat voor veiligheidsimplicaties heeft dat dan?

      Een functioneel cookie vereist geen toestemming. Maar eerlijk gezegd twijfel ik of hier echt sprake is van functionaliteit.

  12. Hieronder hun uitleg/verklaring over het gebruik van hun cookie. Zou je deze cookie moeten categoriseren in ‘tracking cookie’?

    The __cfduid cookie is used to override any security restrictions based on the IP address the visitor is coming from. For example, if the visitor is in a coffee shop where there are a bunch of infected machines, but the visitor’s machine is known trusted, then the cookie can override the security setting. It does not correspond to any user id in the web application, nor does the cookie store any personally identifiable information.
    This cookie is strictly necessary for site security operations, and may be defined as such. See also: https://www.cloudflare.com/security-policy.html

  13. Ik heb moeite dit een “strictly necessary” cookie te noemen. De dienst werkt prima als je dit cookie weggooit of blokkeert. Als je een winkelwagentjecookie weggooit, dan werkt de webshop niet meer. Dát is wat “necessary” betekent.

    Het cookie is niet persoonsgebonden, dat is goed. Maar toestemming blijft vereist. Zie ook Toestemming versus privacy.

  14. Hi Arnoud, goed stuk, complimenten.

    Ik zie dat je zelf de tool gebruik (links onderin beeld) zoals aangedragen in het adviesdocument van de DDMA, in combinatie met je zelf voorgestelde oplossing om in Google Analytics het IP-adres geanonimiseerd op te slaan.

    Is het noodzakelijk beide te doen, of kun je één van beide kiezen? dit omdat ik in de broncode van ICTrecht.nl zie dat de Google Analytics code wel degelijk wordt geladen alvorens ik expliciet toestemming geef dit te doen middels de knop links onderin, zij het met de anonymizeIP toevoeging in de GA-code.

    Dank!

    1. Dat de GA code wordt geladen is een bug: de CC plugin linksonder controleert op zich of GA geladen wordt, maar we hebben een SEO plugin van Joost de Valk die apárt GA blijkt te laden, botweg buiten CC om. Dit wordt as we speak gerepareerd maar dit soort compliance items zullen we nog wel langer tegenkomen.

      De Cookie Control plugin bepaalt óf GA een cookie mag zetten. Dat staat los van of GA persoonsgegevens mag verwerken. De cookiewet is een tweetrapsraket: eerst vragen of cookies uberhaupt mogen, daarna vragen of tracking mag. (Natuurlijk kun je een samengestelde vraag stellen, mits die duidelijk genoeg is. Maar het zijn formeel twee vragen.) Maar omdat wij weinig behoefte hebben aan tracking, heb ik de anoymizeIP optie aangezet. Dan is er geen sprake meer van verwerking van persoonsgegevens en dus hoef ik alléén maar de eerste trap te nemen van die raket. En dat doet Cookie Control dus (als de bug gefixt is).

  15. Stel ik heb een Engelstalige website voor een ledenorganisatie met vertegenwoordiging uit meerdere landen (US,EU,Azië). De organisatie zelf is geregistreerd in Nederland. Aangezien heel wat landen de EU directive op een andere manier in lokale wetgeving hebben omgezet vroeg ik me af welke manier van implementatie de organisatie moet respecteren.

  16. Wat ik begrepen heb dient de website-eigenaar ook te bewijzen dat er toestemming verleend is voor het plaatsen van een cookie.
    Het zou niet volstaan door te zeggen uw heeft mijn site bezocht en als er een cookie op uw pc is geplaatst heeft u hiervoor toestemming verleend.
    Hoe toon je aan dat er toestemming is verleend. Zorgt de Cookie Control plugin hiervoor?

    1. De Cookie Control plugin logt niets, voor zover ik kan zien. Dus je krijgt er geen bewijs mee. Wij zouden meoten terugvallen op “wij gebruiken CC en dús kan het niet anders dan dat het cookie met toestemming is gezet”. En dan maar hopen dat dat de OPTA overtuigt.

  17. @Edwin

    Vanuit Traffic Builders werken we momenteel aan een oplossing die waarschijnlijk ook in dit aspect van de cookiebepaling voorziet.

    Deze oplossing is gebaseeerd op ‘tag management’; een op business rules gebaseerde “super container tag” waarmee vanuit een eenvoudige beheerinterface controle wordt verkregen over welke scripts/cookies op welke plaats in de website uitgevoerd mogen worden. Een business rule gerelateerd aan de opt-in op cookieplaatsing zou dan als “über business rule” wordt gecontroleerd voordat cookies worden geplaatst/scripts worden uitgevoerd.

    M.b.t. het vastleggen van de verkregen toestemming: wat je idealiter wil kunnen aantonen is op welk moment (datum/tijd) welke bezoeker toestemming heeft verkregen. Dit is eenvoudig vast te leggen in een database uiteraard, maar de huidige plugin zoals ook op ICTrecht.nl gebruikt voorziet hier inderdaad niet in. Heb ook nog geen andere oplossingen gezien die dat wel doen.

  18. @Wolter

    Klinkt veel belovend. Is er al bekend op welke termijn en in welke vorm dit door Traffic Builders aangeboden gaat worden?

    Overigens ben ik wel een oplossing tegen gekomen die pretendeert dit te doen. Cookiemonsters. Alleen is de informatie die men geeft vrij summier.

  19. @Edwin

    De tag management oplossing als zodanig werken we al geruime tijd mee en dat kunnen we dus ook aan aanbieden, met native support voor o.a. Google Analytics, Sitecatalyst, e.d. webanalysepakketten, maar in de breedste zin ondersteuning voor alle type externe en interne scripts.

    De aanvullende functionaliteit m.b.t. de cookiebepaking wordt as we speak getest en naar verwachting kan dat komende week worden uitgerold. Hou bij interesse ons eigen blog even in de gaten op http://www.traffic-builders.com, of mail me even zodat we dit offline kunnen oppakken met je.

    Dank voor je interesse in elk geval!

  20. Op onze site hebben we een poll en om te voorkomen dat iemand twee keer stemt gebruiken we coockies. mag dat nu gezien worden als functioneel coockie of rek ik dan de definitie te veel op?

  21. In de zin “…en door uw browser op uw harde schrijf van uw computer wordt opgeslagen” is het ‘harde schijf’, niet ‘schRijf’

  22. Ja, want voor tracking cookies veranderde er niets op 11 maart. Alleen pure 1st party analytics cookies zijn sindsdien buiten de cookiewet geplaatst. Voor tracking is en blijft toestemming en informeren nodig.

    1. Voor Google Analytics heb je gelijk: maar voor tracking cookies in het algemeen blijft deze tekst actueel en juist. De aangepaste cookiewet staat alleen het plaatsen van first party analytics toe zonder cookietoestemming.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie