Cookies: de regels uit de privacywet

Cookies: de regels uit de privacywet

Iedereen ziet ze weleens op het beeldscherm verschijnen: een melding over cookies. Maar wat nu als je zelf een website ontwikkelt? Wat moet je doen met cookies en privacy? Hoe zorg je dat je aan de privacywet voldoet? Dat lees je in dit artikel.

Wat zijn cookies?

Cookies zijn bestanden van klein formaat. De aanbieder van een website zet die op het apparaat van de bezoeker. Denk aan een computer, tablet of smartphone. Door cookies te plaatsen, kan je als aanbieder informatie verzamelen of opslaan. Informatie over het bezoek aan de website bijvoorbeeld, of over de bezoeker zelf. Cookies raken dus de privacy van mensen.

Met sommige cookies kan je ook het bezoek van andere websites volgen. Dit zijn tracking cookies. Je volgt dus het internetgedrag van de bezoeker door de tijd. Hierdoor weet je wat de interesses van iemand zijn. Dat is handig om gericht advertenties te laten zien.

Sommige webontwikkelaars maken profielen van hun gebruikers met de informatie uit de cookies. Een ander woord hiervoor is profiling. Hierbij gebruik je persoonsgegevens.

Er zijn regels over het gebruik van cookies. Die zijn te vinden in de Telecommunicatiewet. Op het gebruik van persoonsgegevens bij tracking cookies is de AVG van toepassing. Meer uitleg kun je vinden op de website van Autoriteit Consument en Markt.

Cookies: de regels uit de privacywet

De regels over cookies en privacy

Volg je het surfgedrag van bezoekers van je website? Let dan ten minste op de volgende drie zaken:

  1. Functionele cookies zijn toegestaan. Kortom: als je cookies hebt om de website goed te laten functioneren, mag dat. Voorbeelden zijn: inloggen, een taal kiezen en een webwinkelwagen vullen.
  2. Analytische cookies mogen deels. Verbeteren de cookies de website? Dan mag je ze gebruiken. Maar let op. De cookies mogen de privacy van bezoekers niet of nauwelijks raken.
  3. Voor overige cookies heb je toestemming van de bezoeker nodig.

Die toestemming vraag je zodra ze op jouw website belanden. Je geeft aan:

  • wat je aan informatie over de bezoeker verzamelt;
  • hoe je dat doet. Dus met cookies, scripts of beacons; en
  • wat je doet met die informatie.

Informatie geven is niet genoeg. Je moet echt akkoord krijgen. En niet met een regel in de algemene voorwaarden of een privacyverklaring, maar specifiek. Heb je geen toestemming? Dan mag je alleen functionele en analytische cookies verzamelen. De cookies maken dan geen inbreuk op de privacy van de bezoeker.

Wat als je je niet aan de regels over cookies houdt?

De ACM is de toezichthouder als het over ‘gewone’ cookies gaat. Deze controleert of websites zich aan de regels houden. Ook buitenlandse websites met Nederlandse bezoekers zijn gebonden aan de Nederlandse regels. Maak je (zonder toestemming) inbreuk op de privacy? Dan riskeer je een boete.

De regels over tracking cookies in de AVG

Niet alleen de Telecommunicatiewet, maar ook de AVG is van belang bij cookies. Dat geldt dus voor tracking cookies. Daar komt privacy in het gedrang door het verwerken van persoonsgegevens. Als je met cookies een persoon kan identificeren, dan is de AVG van toepassing. Een naam, foto, mailadres of IP-adres van een computer zijn voorbeelden van persoonsgegevens.

Wees je er dus van bewust:

  • hoe je gegevens van klanten en website-gebruikers opslaat;
  • welke cookies je gebruikt.

Wil je tracking cookies plaatsen, dan moet je aan de volgende eisen voldoen:

  • Transparant zijn in de cookieverklaring. Wees duidelijk, begrijpelijk en nauwkeurig over welke cookies je gebruikt en hoe.
  • Verantwoording geven over de dataprocessen op je website. Bij een controle moet je dat kunnen. Dat is soms minder makkelijk dan het klinkt. Zeker als je ook met cookies van derden te maken hebt.
  • Toestemming krijgen. De bezoeker moet een duidelijk akkoord geven. Dat moet je regelen vóórdat de tracking cookies zijn geplaatst. Een ‘oké-button’ is niet voldoende. Je moet de cookies echt kunnen weigeren als bezoeker. En als websitebeheerder houd je bij wie er toestemming heeft gegeven.
  • Intrekken van toestemming moet altijd kunnen. 
  • Jaarlijks nieuwe toestemming krijgen, is ook verplicht.

Checklist: ben jij AVG OK?

Voldoet je organisatie aan de AVG-wetgeving? Check het eenvoudig met onze gratis checklist.

  • 15 checks om gelijk uit te voeren
  • Kom erachter of jij aan de AVG voldoet
  • Direct inzicht in wat je nog moet regelen

Soorten tracking cookies

Er zijn vier soorten cookies. Bij alle vier heb je met de AVG te maken. Vermeld in ieder geval de duur en de oorsprong van de cookies. Zo kan de bezoeker deze goed geïnformeerd accepteren (of niet).

  1. Sessie-cookies 

Zoals de naam al zegt, zijn deze cookies zeer tijdelijk. Zodra de bezoeker weggaat van de website, verdwijnen ook de cookies. Als iemand winkelt bij een webwinkel, zie je vaak het gebruik van dit soort cookies. Als ze noodzakelijk zijn om de website te laten werken, is de AVG niet van toepassing.

  1. Permanente cookies

Permanente cookies zijn cookies die altijd in de browser van de bezoeker blijven. Dat geldt ook als ze naar een andere website gaan. Officieel mogen deze cookies maximaal een jaar actief blijven. Permanente cookies kan je zelf instellen. Ook kunnen derden permanente cookies gebruiken via jouw website.

Het doel van de permanente cookies bepaalt of de AVG geldt. Onthouden de cookies inloggegevens, klantnummers en contactinformatie, zodat de bezoeker die niet steeds hoeft in te voeren? Dan gaat het om permanente cookies met gebruiksgemak voor de bezoeker als doel. Het gaat hier vaak om persoonlijke informatie. Daarvoor is voorafgaande toestemming vereist.

  1. First-party cookies

First-party cookies plaats je vanaf je eigen website. Zo krijg je informatie over de gegevens en voorkeuren van de bezoekers. Kan je hiermee een persoon identificeren? Dan heb je voorafgaande toestemming nodig van de betrokkene.

  1. Third-party cookies

Cookies van derden zijn door andere partijen ingestelde cookies. Deze cookies gebruikt een ander op jouw website. Denk aan analyses, advertenties en het tonen van embedded content. Regelmatig verandert de derde partij. Het is dan moeilijk om te weten wat hun doel is. Ook is vaak onduidelijk waar ze vandaan komen. Net als wat ze bijeenrapen aan gegevens en waarheen ze gaan.

Als eigenaar van een website ben je wel verantwoordelijk voor de persoonsgegevens die op jouw website staan. Je moet die beschermen. Ook informeer je de bezoekers over het volgen van hun gegevens door anderen.

Gratis proefperiode

Wil je eenvoudig voldoen aan de AVG regels? AVG-Programma helpt je te doen wat nodig is.

  • toets je organisatie en neem noodzakelijke maatregelen
  • maak gebruik van alle juridische documenten
  • behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt

Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.

AVG-onderdelen

Veelgestelde vragen over cookies

Wat zijn cookies?

Een cookie is in feite een bestandje. Internetinstellingen slaan dat op. Dat doen ze zodra je een website bezoekt. Of je dat nu met de computer, je telefoon, een tablet of een ander apparaat doet. Er zijn verschillende soorten cookies. Sommige zorgen dat de website werkt. Andere volgen het internetgedrag van degene die jouw website bezoekt.

Welke soorten cookies zijn er?

Er zijn vier soorten cookies: sessie-cookies, permanente cookies, first-party cookies en third-party cookies. Elk van hen heeft eigen kenmerken. Voor sommige moet je toestemming aan de bezoeker van je website vragen. Dat geldt als de cookies noodzakelijk zijn voor een goede werking van je website. Of als je informatie ophaalt die niet persoonsgebonden zijn. De hoeveelheid bezoekers tellen bijvoorbeeld.

Voor welke cookies moet je toestemming vragen?

Je vraagt geen toestemming voor functionele cookies. Dat zijn dus cookies die je nodig hebt om de website goed te laten functioneren. Voor analytische cookies heb je toestemming nodig als ze de privacy van bezoekers raken. Ook voor overige cookies, zoals third-party cookies, is toestemming van de bezoekers vereist.

Let op: er geldt altijd een informatieplicht. Laat dus weten aan de bezoekers dat je website gebruikmaakt van cookies.

Meer nieuws

AVG voor webwinkels: privacy in de praktijk

Er gelden strenge regels voor webshops als het gaat om het verzamelen, verwerken en bewaren van persoonsgegevens. In dit artikel kijken we naar de belangrijkste eisen. Lees meer

Wat doet een Functionaris Gegevensbescherming?

Wat doet een Functionaris Gegevensbescherming eigenlijk, en waarom is het relevant voor ondernemers? In dit artikel gaan we dieper in op de rol van de FG. Lees meer

Wat zijn de plichten van de verwerker en de verwerkingsverantwoordelijke?

De verwerkersovereenkomst regelt de samenwerking tussen de verwerkingsverantwoordelijke en de verwerker. Maar wie heeft welke plichten? Lees meer