Wat moet je als ondernemer weten over cookies?

Geschreven door Enna Lujinovic

De Autoriteit Persoonsgegevens (AP) maakte in 2024 bekend strenger te gaan controleren op het gebruik van cookies. De inzet daarvan gaat in de praktijk namelijk vaak mis. Denk aan cookiebanners die ingewikkelde taal bevatten of waarbij het weigeren van toestemming verstopt zit of zelfs ontbreekt. De Telecommunicatiewet schrijft voor dat bij de inzet van cookies toestemming  vereist is. Cookies mogen namelijk alleen geplaatst worden als de bezoeker duidelijk is geïnformeerd en als deze expliciet toestemming heeft gegeven. De AP wil hierop strenger gaan toezichthouden en is al begonnen met organisaties waarschuwen voor foutieve cookiebanners. Waar moet je als ondernemer nu op letten?

Wat zijn cookies?

Cookies zijn kleine bestanden die door een website kunnen worden geplaatst op jouw apparaat wanneer je een website bezoekt. Door cookies kan jouw surfgedrag bijgehouden worden. Cookies kunnen verschillende doelen hebben, dit hangt af van de soort cookie die wordt ingezet. Er zijn drie verschillende soort cookies:

  • functionele cookies;

  • analytische cookies;

  • en tracking cookies.

Wat zegt de wetgeving?

Bij de inzet van cookies heb je te maken met zowel de Telecommunicatiewet (ook wel Cookiewet genoemd) als de Algemene Veordening Gegevensbescherming (AVG). Artikel 11.7a van de Telecommunicatiewet bepaalt dat voor het plaatsen van cookies toestemming vereist is, en er moet voldoende en duidelijke informatie worden verstrekt. De Telecommunicatiewet maakt een uitzondering voor cookies die noodzakelijk zijn voor het functioneren van de website en die geen inbreuk maken op de privacy van gebruikers. Denk bijvoorbeeld aan functionele cookies die worden ingezet om de website te verbeteren.

Maar niet alleen de Cookiewet is van toepassing. Zodra cookies worden ingezet die persoonsgegevens verwerken, heb je namelijk te maken met de AVG en de eisen die daaruit voortvloeien. Zo gelden de voorwaarden voor toestemming op basis van de AVG bij verwerking van persoonsgegevens. Dit betekent dat toestemming vrijelijk gegeven, ondubbelzinnig, geïnformeerd en specifiek moet zijn. Ook uit de AVG vloeit een informatieverplichting voort. Bezoekers van websites dienen namelijk geïnformeerd te worden over wat er met hun persoonsgegevens gebeurd.

Voor jou als ondernemer betekent dit concreet dat je bezoekers bij het openen van je website duidelijk moet informeren over het gebruik van cookies en om toestemming moet vragen om deze te plaatsen.

Dus wanneer heb je toestemming nodig?

Omdat het afhangt van het type cookie of toestemming vereist is, vind je hieronder een overzicht van welke cookies wel en geen toestemming nodig hebben:

Hoe voldoet jouw cookiebanner aan de wettelijke vereisten?

Op grond van de informatieplicht is het belangrijk om websitebezoekers duidelijk te informeren over welke cookies worden geplaatst en welke persoonsgegevens daarmee eventueel worden verwerkt. Dit begint bij een transparante en goed ingerichte cookiebanner. Wil je ook je cookiebanner op de juiste manier inrichten, neem dan in ieder geval de volgende stappen:

  • Inventariseer welke cookies je gebruikt

Om te kunnen bepalen aan welke eisen je moet voldoen, is het belangrijk dat je eerst in kaart brengt welke cookies je gebruikt. Welke cookies plaats je, zijn het alleen functionele cookies of ook analytische? Verwerken deze cookies ook persoonsgegevens?

  • Vraag om toestemming

Zodra je cookies persoonsgegevens werken, moet je bezoekers van je website om toestemming vragen om de cookies te mogen plaatsen. Biedt daarbij duidelijke keuzes zoals: “Accepteren” en “Weigeren”. Maak je gebruik van meerdere cookies? Bied dan de mogelijkheid om per type cookie toestemming te geven.

  • Zorg voor een duidelijke cookiebanner

Gebruik duidelijke tekst om bezoekers te informeren over waarvoor ze toestemming geven. Te veel tekst? Gebruik dan lagen in de cookiebanner.

  •  Leg toestemming vast

Het is noodzakelijk om toestemming ook vast te leggen in het kader van aantoonbaarheid. Dit  kan op verschillende manieren, zolang er aangetoond kan worden dat er toestemming is gegeven door de bezoeker.

  • Schrijf een privacy- en cookieverklaring

Op grond van de informatieplicht uit zowel de AVG als de Cookiewet ben je als ondernemer verplicht om websitebezoekers helder te informeren over het gebruik van cookies én over de verwerking van persoonsgegevens. Deze informatie verstrek je bij voorkeur via een goed privacy- en cookieverklaring. Je zou de cookiebanner ook kunnen linken naar de privacy- en cookieverklaring voor een uitgebreidere toelichting.

  • Check op actualiteit

Pas de cookiebanner en de privacy- en cookieverklaring aan zodra je website of het gebruik van cookies verandert. Zorg daarnaast voor versiebeheer, zodat je kunt aantonen wanneer welke versie van de verklaring van kracht was.

Twijfel je of jouw  cookiebanner of de privacy- en cookieverklaring aan de regels voldoet? Lujin Privacy Legal helpt je graag met een snelle juridische check of een praktische update van je cookiebanner. Stuur een mail naar info@lujinprivacylegal.nl of plan een afspraak in!

 

Enna Lujinovic
Volgende

AI-geletterdheid uitgelegd: wat is het en wat moet je doen?