Cookies
Op deze pagina vind je antwoorden op de belangrijkste vragen rondom cookies.
Staat jouw vraag hier niet bij? Neem dan contact met ons op via redactie@thuiswinkel.org, zodat we samen tot een antwoord kunnen komen.
-
-
De nieuwe cookieregels gaan over het plaatsen van cookies (en andere gegevens) op de apparatuur van de consument en/of het uitlezen van gegevens daarvan. De hoofdregel is dat je als ondernemer informatie geeft en toestemming vraagt voor het plaatsen en uitlezen van cookies. Hierop gelden enkele uitzonderingen (zoals functionele cookies). Sinds maart 2015 hoeft ook geen toestemming meer gevraagd te worden voor cookies die ’informatie geven over de kwaliteit en/of effectiviteit van een geleverde dienst’, waaronder analytische cookies en affiliate cookies. De uitzondering geldt alleen als deze cookies geen of geringe gevolgen hebben voor de persoonlijke levenssfeer van de bezoeker. Het is essentieel dat voor cookies die wél gevolgen hebben voor de persoonlijke levenssfeer (dus bij het verzamelen van persoonsgegevens, het surfgedrag van de internetgebruiker of bij het maken van profielen) informatie wordt gegeven en toestemming wordt gevraagd aan de internetgebruiker.
-
Volgens een nieuwe uitzondering hoef je voor het plaatsen en uitlezen van analytische cookies geen toestemming meer te vragen aan je klant en hem hierover ook niet meer te informeren. Deze uitzondering geldt alléén wanneer de analytische cookies géén of maar weinig gevolgen hebben voor de privacy van de klant. Het gebruik van Google Analytics wordt door de toezichthouder Autoriteit Persoonsgegevens niet zomaar privacyvriendelijk gevonden.
Dus, let op: alleen na het volgen van het beschreven stappenplan hoef je géén toestemming aan je klant te vragen voor het gebruik van Google Analytics.
Stap 1: Sluit een bewerkersovereenkomst af met Google
Dit doe je door het ‘Amendement gegevensverwerking’ te accepteren via de instellingen in je account.
Stap 2: Voorkom dat Google volledige IP-adressen verwerkt (Anonymize ID)
Voeg een regel tekst toe aan het Javascript van Google op je webserver. Daarmee verwijder je het laatste octet van een IP-adres. (Het IP-adres bestaat normaal gesproken uit vier octetten van drie cijfers). Het CBP raadt daarbij aan om het gebruik van SSL te forceren voor de Google Analytic-cookies.
Stap 3: Zet het delen van gegevens met Google uit
Vink alle vier de opties onder ‘Instellingen voor gegevens delen’ uit in je account.
Stap 4: Informeer de bezoekers over Google Analytics
Informeer je klant in je cookie- of privacy statement dat je gebruik maakt van Google Analytics. Vermeld daarnaast dat je een bewerkersovereenkomst met Google hebt gesloten, de IP-adressen anonimiseert en geen gegevens met Google deelt.
-
De hoofdregels voor het plaatsen van cookies staan in de Telecommunicatiewet (Tw). Op grond van artikel 11.7a van de Tw moet je de bezoekers van je website informeren over het plaatsen en/of uitlezen van cookies op hun apparaat (zoals hun computer, laptop of smartphone). Vervolgens moet je de bezoekers daarvoor in veel gevallen om toestemming vragen.
Functionele cookies
Er zijn uitzonderingen op het toestemmingsvereiste. Bijvoorbeeld als de cookies technisch noodzakelijk zijn om de website goed te laten werken. Denk hierbij aan het gebruik van een cookie om de inhoud van een winkelwagentje te onthouden. Dit noemen we functionele cookies.
Analytische cookies
Ook is er een uitzondering voor bepaalde analytische cookies. Je hebt geen toestemming nodig voor het plaatsen van analytische cookies, mits je die cookies alleen gebruikt om bezoekers te tellen. Met analytische cookies krijg je beter inzicht in het functioneren van je website.
Kun je de analytische cookies niet gebruiken om mensen anders te behandelen? Dan hebben ze nauwelijks gevolgen voor de privacy van de bezoekers van je website en hoef je er geen toestemming voor te vragen. Maar let op: je moet je websitebezoekers nog steeds informeren over het plaatsen van deze cookies.
Meer informatie
- De Autoriteit Consument en Markt (ACM) geeft meer informatie over de regels en uitzonderingen voor cookies uit de Tw.
- Zie ook: Hoe kan ik bij Google Analytics de privacy van mijn websitebezoekers beschermen?
Bron: ACM
-
Jawel. Ook al heb je zelf geen naam en adres van je websitebezoekers, je verwerkt doorgaans toch hun persoonsgegevens met tracking cookies. Bij het plaatsen en uitlezen van tracking cookies worden namelijk altijd andere gegevens verzameld, zoals IP-adressen, gegevens over eerder bezochte websites en soms gegevens waarmee de randapparatuur uniek kan worden herkend op internet.
Indirect herleidbaar
Deze gegevens zijn persoonsgegevens, los of in combinatie met elkaar. Ook als je als websitehouder er zelf geen naam of adres aan vast kunt plakken. Bij de definitie van persoonsgegevens gaat het namelijk niet alleen om gegevens die je zelf kunt gebruiken om iemand te identificeren, maar ook om gegevens die een ander kan gebruiken om iemand te identificeren (indirecte herleidbaarheid).
Los daarvan is het doeleinde van tracking cookies juist om het gedrag van een specifieke persoon op internet te volgen en diegene op basis van de informatie over zijn of haar internetgedrag anders te kunnen behandelen.
Het feit dat je, of het advertentienetwerk dat via jouw website tracking cookies plaatst, de naam van de websitebezoeker niet kent, laat onverlet dat je (en het advertentienetwerk) informatie kunt combineren over het surfgedrag van één specifieke persoon en die persoon (via advertenties) ook gericht kunt benaderen.
Anonimiseren
Het anonimiseren van persoonsgegevens is een verwerking van persoonsgegevens. Ook als je de gegevens meteen anonimiseert, moet je dus bij het verzamelen nog toestemming vragen op basis van adequate informatie.
Daadwerkelijk onomkeerbaar anonimiseren is overigens niet eenvoudig. In veel gevallen is in de praktijk sprake van pseudonimisering. Dat kan een goede maatregel zijn om bijvoorbeeld beveiligingsrisico's te verkleinen. Maar ook pseudoniemen (versleutelde gegevens) blijven doorgaans persoonsgegevens, onder meer omdat deze nog steeds herleidbaar zijn tot personen.
Zie voor meer informatie de opinie van de Artikel 29-werkgroep over anonimisering.
Bron: ACM
-