Hoe stel ik mijn website in orde met Europese privacywetgeving (GDPR) bij het gebruik cookies? Een korte wegwijs!

Hoe is het gesteld met het cookiegedrag van website-eigenaars 1 jaar na de inwerkingtreding van de GDPR? We namen een kijkje en stelden vast dat vele websites nog steeds “stiekem” cookies verslinden. Dat kan beter. Veel beter! Deze blog maakt je kort wegwijs hoe je je jouw website in regel kan stellen met de Europese privacywetgeving, en meer in het bijzonder wat betreft het gebruik van cookies.

Cookies, euh watte?

First things first! Het internet bulkt van cookies. Zowat elke moderne website maakt er vandaag gebruik van. Cookies zijn kleine tekstbestandjes met informatie die de browser opslaat op onze computer, tablet of smartphone telkens we een website bezoeken. We onderscheiden:

 

  • Noodzakelijke cookies: deze zijn essentieel voor het normaal functioneren van je website. Denk bijvoorbeeld aan cookies die toegang geven tot beveiligde pagina’s of cookies die de aankopen bijhouden in een online winkelmandje. Zonder deze cookies kan je de website de diensten die je bezoekers willen gebruiken niet uitvoeren.
  • Functionele cookies: deze zijn niet strikt noodzakelijk, maar verhogen de gebruikerservaring op je website. Het gaat dan bijvoorbeeld over cookies die de taalvoorkeur van je bezoekers bijhouden.
  • Niet-noodzakelijke cookies: hiermee analyseer je bijvoorbeeld het online gedrag van je websitebezoekers of leg je een link met sociale media kanalen. Deze analysecookies of “social media” cookies vereisen een afzonderlijke behandeling onder de privacywet. Zo heb je onder meer toestemming van je gebruikers nodig.
Wist je dat?

Analysecookies kunnen een pak persoonlijke informatie over je bezoekers prijsgeven, zeker wanneer je ze met andere data gaat combineren. Google Analytics is veruit het bekendste voorbeeld van zo’n analysecookie.

GDPR legt cookies aan banden

Omdat cookies heel wat informatie bijhouden over het surfgedrag van je websitebezoekers greep de wetgever in. Jouw verplichtingen verschillen naargelang het type cookies dat je gebruikt:

  • Noodzakelijke of functionele cookies: voor deze categorie is geen voorafgaandelijke toestemming vereist van de gebruiker. Het volstaat deze hierover eenvoudig te informeren via een cookiebanner en een cookiebeleid.
  • Niet-noodzakelijke cookies: deze cookies mag je enkel plaatsen wanneer je hiervoor de expliciete, uitdrukkelijke en voorafgaandelijke toestemming hebt verkregen van de gebruiker.

Tot zover de theorie. De GDPR mag dan wel duidelijk de juridische lijnen uitstippelen. In de praktijk loopt het nog vaak grondig mis. Vooral op “kleinere” websites van vzw’s, kmo’s of vrije beroepers. Deze zien er dan wel soms visueel aantrekkelijk uit, vaak zijn ze in een handomdraai in elkaar gestoken zonder veel technische of juridische achtergrondkennis. Met een gebruiksvriendelijk CMS-systeem (zoals Wix, WordPress of Joomla) kan je vandaag immers gemakkelijk zelf aan de slag. De voornaamste drijfveer ligt voor de hand: kosten drukken.

Wat je zelf doet, doe je (niet) altijd beter

DIY websites ogen dus doorgaans wel mooi, maar vertonen bijna altijd allerlei gebreken, zowel technisch (vb. qua performantie) als juridisch. Zo wordt bijna altijd een hele reeks cookies – zowel noodzakelijke als niet-noodzakelijke – zonder medeweten of toestemming van de gebruiker geplaatst. Er is geen cookie- of privacybeleid te vinden, een cookiebanner evenmin. Of men plaatst wel een banner, maar enkel en alleen om het gebruik van cookies bekend te maken. Indien je website slechts gebruik maakt van noodzakelijke cookies is dat voldoende, maar in de praktijk is dat quasi nooit het geval.

Hoe moet het niet?

Een eenvoudige cookiebanner die enkel meldt “Door het gebruiken van deze website gaat u akkoord met ons cookiebeleid.” of “Deze website maakt gebruik van cookies.” is onvoldoende. De verwerkingsverantwoordelijke (doorgaans de eigenaar van de website) is in dat geval zelfs strafbaar wegens een inbreuk op de privacywetgeving.

Hoe moet je dan wel met cookies omgaan?

De privacywetgeving bepaalt dat je gebruikers vooraf informeert over het gebruik van niet-noodzakelijke cookies. Dat doe je zowel via een cookiebanner en een uitgebreider cookiebeleid. Daarnaast moet je de gebruiker ook expliciet om toestemming vragen alvorens deze cookies te plaatsen. Het woordje “expliciet” is hierbij erg belangrijk. Die krijg je immers niet door het enkel en alleen plaatsen van een banner die standaard alle type cookies aanvinkt die je website gebruikt (ook niet-noodzakelijke). Je gebruikers zijn in dat geval misschien wel geïnformeerd, ze maken geen expliciete keuze. Daarvoor is vereist dat zij een actieve handeling stellen (bijvoorbeeld via een muisklik).

In 4 stappen naar een correct cookiebeleid

  1. Ga na welke cookies jouw website gebruikt. Welke zijn noodzakelijk en welke niet? Online vind je heel wat tools die je hierbij verder kunnen helpen. Voorbeelden zijn de websites van Cookiebot of Cookielawinfo.
  2. Stel een cookiebeleid (en afzonderlijk privacybeleid) op. Hierin geef je een overzicht van alle cookies die je gebruikt, om welk type cookie het gaat, wat het doeleinde ervan is en wat de bewaartermijn van de cookie is.
  3. Maak een cookiebanner. Geef je gebruikers, de eerste maal dat zij je website bezoeken, de keuze voor het plaatsen van niet-noodzakelijke cookies door het aanvinken van een vakje. Alleen zo krijg je een juridisch correcte toestemming.
  4. Voorzie in een “opt-out”. Geef je gebruikers de mogelijkheid om hun cookievoorkeuren op elk moment te herzien. Dat kan bijvoorbeeld in het cookiebeleid.

Ook professionele webdesigners zondigen vaak

Het zijn heus niet alleen “amateur”-webdesigners die zondigen tegen de cookiewetgeving. Ook heel wat professionele webdesigners missen vaak de noodzakelijke juridische kennis. Je kan hen dat niet noodzakelijk ten kwade duiden. Zij zijn in de eerste plaats opgeleid als webdesiger, niet als jurist. Dit zorgt er soms wel voor dat webdesigners blindelings vertrouwen op het “correct” functioneren van een “cookiebanner”-plugin of module uit het CMS waarmee ze werken. Zo’n plugins bieden echter louter de functionaliteit aan van een banner, maar verhinderen niet noodzakelijk het plaatsen van cookies, zonder toestemming. Dat laatste is iets waarvoor je als ontwikkelaar doorgaans zelf zal moeten instaan.

TIP - Doe de test!

Test als webdesigner steeds of de cookiebanner op jouw website functioneert zoals verwacht. Worden niet-noodzakelijke cookies pas geplaatst wanneer de gebruiker daarvoor zijn expliciete toestemming heeft gegeven? Top! You’re good to go!

 

Wordt vervolgd…

In een toekomstige blogpost wil ik kort ingaan op wat je als gewone eindgebruiker zoal kan doen om je privacy te beschermen tegen mogelijk privacyondermijnende technologieën zoals cookies. Of met andere woorden: wat kan je zelf als eindgebruiker doen tegen privacy-onvriendelijke cookiepraktijken, bijvoorbeeld wanneer een website je cookievoorkeuren (en dus je privacy) niet respecteert, zoals nochtans door de wetgever opgelegd?

Deze website maakt uitsluitend gebruik van strikt noodzakelijke cookies om uw privacy optimaal te beschermen. Meer informatie

Wij stellen uw privacy hoog op prijs! Deze website beperkt daarom het gebruik van cookies tot het absolute minimum. Momenteel wordt er voor bezoekers enkel een strikt noodzakelijke cookie geplaatst om aan te geven dat u de cookiebanner heeft gezien en aldus kennis heeft genomen van ons gebruik van cookies. Meer bepaald gaat het om de cookie met de naam "euCookie" die een levensduur van 30 dagen heeft. Doordat we bewust geen gebruik maken van andere, meer privacy-ondermijnende cookies (zoals bijvoorbeeld analyse-cookies van Google Analytics) kunnen we uw privacy optimaal garanderen. Meer informatie vindt u in onze <a href="https://www.xcited.gent/privacyverklaring">privacyverklaring</a> en ons <a href="https://www.xcited.gent/cookie-policy">cookiebeleid</a> terug.

Sluiten