Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Mag ik de cookiebanner al van mijn website halen?

13 maart 2015 Door

De gewijzigde cookiewet is afgelopen woensdag, 11 maart 2015, in werking getreden. Maar wat houdt dat nou in? Worden cookiebanners eindelijk voorgoed verbannen (haha)? Helaas is het antwoord op deze vraag: ‘dat hangt er vanaf’. En ik weet dat dat nou net het antwoord is waar iedereen een hekel aan heeft.

Voorheen moest er toestemming gevraagd worden aan de bezoeker voor het plaatsen van cookies, door middel van bijvoorbeeld een cookiebanner. Slechts functionele cookies, cookies die technisch noodzakelijk zijn om een website te laten functioneren, mochten geplaatst worden zonder toestemming van de bezoeker.

Aangezien hier veel ophef over is geweest, is er gekozen voor een wettelijk compromis: cookies mogen geplaatst worden zonder toestemming van de bezoeker, mits deze cookies de privacy van de bezoeker niet, of slechts een klein beetje schenden én je dat doet voor het doel “informatie verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij”.

Hoera! Nu kunnen dus alle analytic, A/B testing en affiliate cookies zonder toestemming geplaatst worden! Of toch niet? Nee, toch niet inderdaad. Er is namelijk wel een mits: mits deze cookies énkel worden ingezet om de kwaliteit en effectiviteit van een dienst (bijv. de website) te meten.

Het is dus niet de bedoeling dat je analytic cookies plaatst, of laat plaatsen, en deze cookies ook gebruikt voor het tracken en/of het opstellen van profielen van je bezoekers. Dan gebruik je de cookies namelijk niet enkel om de kwaliteit en effectiviteit van een dienst te meten, én moet je dus weer toestemming vragen. Dit valt namelijk buiten het doel “informatie over kwaliteit of effectiviteit”. Bovendien is dat écht meer dan geringe inbreuk op de privacy. Hetzelfde geldt voor andere analytics-achtige tools waarbij je wél IP-adres gebonden informatie logt en analyseert.

Gebruik je Google Analytics enkel voor het meten van de kwaliteit of effectiviteit van jouw website, dan mogen zelfs cookies afkomstig van Google Analytics zonder toestemming van de bezoeker geplaatst worden. Dit blijkt uit een recent gepubliceerde handreiking van het College Bescherming Persoonsgegevens over hoe je je aan de privacywet kunt houden en toch Google Analytics kunt inzetten. Dit kan door de volgende vier stappen te nemen:

  1. Accepteer het “Amendement gegevensverwerking” in je Analytics-account (‘Beheer’ > ‘Account instellingen’ en dan helemaal onderaan);
  2. Blokkeer het meezenden van volledige IP-adressen (ga(‘set’, ‘anonymizeIp’, true);) en forceer tevens SSL (ga(‘set’, ‘forceSSL’, true););
  3. Zet het delen van gegevens met Google uit (‘Beheer’ > ‘Account instellingen’ en dan vier instellingen uitvinken);
  4. Informeer je bezoekers in een cookieverklaring of privacyverklaring over je gebruik van Google Analytics.

Na het nemen van bovenstaande vier stappen is het oké om wat betreft Google Analytics te spreken van een “geringe inbreuk op de privacy”, zodat een cookiebanner of pop-up weggelaten kan worden als daarmee wordt gewerkt. Deze stappen kunnen ook worden toegepast bij andere derde partijen die analytische-, A/B testing- of affiliate cookies plaatsen. Als dit wordt gedaan dan kan beargumenteerd worden dat ook voor deze cookies geen toestemming meer gevraagd hoeft te worden middels een cookiebanner.

De informatieplicht blijft desondanks wel bestaan, omdat dit op grond van de Wet bescherming persoonsgegevens verplicht is. Er zal dus nog steeds in een privacy- en of cookieverklaring uitgelegd moeten worden welke cookies geplaatst worden en waarvoor.

De gewijzigde cookiewet heeft dus niet als gevolg dat we nu massaal cookiebanners kunnen uitschakelen. Voor alle tracking cookies zal namelijk nog steeds toestemming moeten worden gevraagd d.m.v. de cookiebanner. Hetzelfde geldt dus voor alle analytic, A/B testing en affiliate cookies die niet enkel worden gebruikt om de kwaliteit en effectiviteit van een dienst te meten, maar ook om bezoekers te volgen en/of een profiel van op te stellen.

Het is met de wijziging van de cookiewet aan de bedrijven zelf om te bepalen of er bij de geplaatste cookies gesproken kan worden van ”geen of een geringe inbreuk op de privacy” van bezoekers. Controleer daarom de huidige afspraken die er met derde partijen zijn gemaakt en de doeleinden waarvoor de cookies worden gebruikt, voordat de cookiebanner wordt uitgeschakeld.

Wil je weten hoe je nou in de praktijk op een flexibele maar toch sluitende methode kunt voldoen aan de gewijzigde cookiewet? Zie dan ook het artikel dat wij i.s.m. met Relay42 hebben opgesteld. Waar ICTRecht juridisch advies biedt, levert Relay42 SaaS-oplossingen voor het beheren van cookies, tags en data en stelt bedrijven in staat om te voldoen aan privacy regulering op een technisch veilige manier binnen het juridisch kader.

Lisette Chew-Meij

Directeur ICTPrivacyrecht

Lisette Chew-Meij is directeur van ICTPrivacyrecht. Lisette is gespecialiseerd in de juridische aspecten van privacy en Big Data. Zij houdt zich bezig met ingewikkelde privacyvraagstukken en voert privacyaudits uit bij organisaties.

Daarnaast is zij lid van the International Association of Privacy Professionals (IAPP) en is zij Certified Information Privacy Professional/Europe, United States en Asia (CIPP/E, CIPP/US en CIPP/A), Certified Information Privacy Manager (CIPM) én Certified Information Privacy Technologist (CIPT).