How to

Onduidelijkheid over cookies: dit zijn de 3 meestgestelde vragen

0

Veel websites voldoen niet aan de cookiewetgeving. Maar die wet is op veel punten onduidelijk, en de veranderlijkheid van een website maakt het nog ingewikkelder. Wat zijn de meestgestelde vragen over cookies? En nog belangrijker: wat zijn de antwoorden?

Uit onderzoek van de NOS blijkt dat honderden websites de cookiewetgeving schenden. De Autoriteit Persoonsgegevens (AP) gaf hierin aan op korte termijn zelf een onderzoek te beginnen naar de naleving van privacyregels door websites. Als branchevereniging voor data en marketing (DDMA) zien we dat de meeste bedrijven zich inzetten om aan de regels te voldoen, maar in de praktijk blijkt dit niet altijd even gemakkelijk.

Onduidelijke cookiewetgeving

Dit komt deels voort uit de wetgeving die op veel punten onduidelijk is. In Nederland mag je alleen ná toestemming advertentiecookies plaatsen. Ook vóór de AVG was al duidelijk dat de bezoeker eerst geïnformeerd moet worden over de cookies die geplaatst worden, en dat er een keuzemogelijkheid moet zijn. Maar hoe die toestemming er precies uit moet zien is niet duidelijk. De twee toezichthouders, de Autoriteit Consument en Markt en AP, zijn niet eenduidig over de uitleg van de wetgeving. Zolang de toezichthouders geen concrete voorbeelden geven of handhaven, blijft wat kan en mag onduidelijk.

Veranderlijke websites

Daarnaast is niets zo veranderlijk als een website waarop dagelijks veel nieuwe content, functionaliteit en advertenties worden toegevoegd. Bij al die toevoegingen kunnen scripts en cookies worden meegeladen. Dat betekent dat je de toestemming en bijbehorende informatievoorziening continu moet bijwerken. Daarom moeten marketeers en IT’ers signaleren welke verandering impact heeft op de juridische situatie. Als je dat niet doen bestaat het risico dat er cookies vóór de toestemmings-knop geplaatst worden, in plaats van erachter.

Als branchevereniging voor data en marketing helpen wij organisaties om de regels te begrijpen. Daarom schreven wij een praktische handleiding over de huidige én komende cookiewetgeving. In dit artikel duik ik alvast in de drie meestgestelde vragen.

Mag een cookiewall nog?

Sinds de invoering van de AVG lees je regelmatig dat een cookiewall niet meer is toegestaan. Toestemming moet namelijk ‘vrij’ gegeven zijn. Dit betekent onder andere dat toestemming weigeren geen negatieve gevolgen voor de websitebezoeker mag hebben. Maar is toestemming nog vrij als je geen toegang kunt krijgen tot de website als je de cookies niet accepteert?

Publieke organen vs. andere websites

Op dit moment is het zeker dat geen cookiewalls zijn toegestaan op websites van publieke organen (zoals de overheid of de NPO). Voor andere soorten websites zal er per situatie beoordeeld worden hoe groot de negatieve gevolgen zijn voor de bezoekers. De EDPB, het orgaan van alle Europese privacy-toezichthouders, stelt dat het nadeel te groot is wanneer er geen goed alternatief is zonder cookiewall. Hierbij kun je denken aan een gelijksoortige (betaalde) website of aanbieder waar een bezoeker naar kan uitwijken. De Autoriteit Persoonsgegevens (AP) zegt daarnaast dat een cookiewall in ieder geval niet zou mogen wanneer je verplicht bent om tracking cookies te accepteren. Op dit moment doet de AP onderzoek naar de rechtmatigheid van het gebruik van cookiemuren van verschillende nieuwssites.

Sinds het ontstaan van het internet is de gebruiker gewend om diensten te ontvangen zonder daarvoor te moeten betalen. Dit wordt in vrijwel alle gevallen mogelijk gemaakt door verdienmodellen die gebaseerd zijn op advertenties. De Europese Raad heeft in een voorstel voor de ePrivacy Verordening ook opgenomen dat er geen toestemming gevraagd hoeft te worden voor cookies op websites die afhankelijk zijn van advertenties als verdienmodel. Dit voorstel staat lijnrecht tegenover het eerdere voorstel, die een cookiewall volledig verbood. Wat er uiteindelijk definitief in de wettekst komt te staan is voor nu dus nog onduidelijk.

Mag je de hokjes in je cookiebanner vooraf aanvinken?

De AVG introduceerde Privacy by Default als nieuwe wettelijke verplichting. Deze verplichting houdt in dat aanbieders van een product of dienst privacy-vriendelijke standaardinstellingen moeten hanteren. Veel websites hebben een cookiebanner waarin de bezoeker zelf kan aangeven welke type cookies hij of zij wil accepteren. Zou Privacy by Default dan betekenen dat je de categorieën cookies niet vooraf mag aanvinken? Op dit moment weet niemand zeker hoe we de AVG op dit punt moeten interpreteren. Het is lastig te beargumenteren dat hokjes aangevinkt laten een privacy-vriendelijke standaardinstelling is. Maar marketeers ondervinden dagelijks dat websitebezoekers geen keuze willen maken en de standaardinstelling accepteren. Wanneer deze niet aangevinkt zijn, zal dit een enorm verlies van waardevolle cookiedata betekenen. In de praktische handleiding laten wij verschillende cookiebanners zien die voldoen aan de AVG-vereisten, zonder dat je een groot gedeelte van de conversie verliest.

Hoe moet je cookie-toestemming kunnen intrekken?

In de AVG is bepaald dat een consument de gegeven toestemming moet kunnen intrekken, en dat dit even gemakkelijk moet zijn als het geven ervan. Als het over cookies gaat zorgt dit voor een vreemde situatie. Cookies staan in de meeste gevallen opgeslagen in de browser, die men zelf kan legen. Dit geldt niet voor cookies die zonder browser-opslag werken. Hoe zorg je er als organisatie dan voor dat een bezoeker deze toestemming kan intrekken? Dit zijn vragen waar vooralsnog geen duidelijk antwoord op bestaat. Daarom verwachten wij dat veel organisaties zullen wachten tot de toezichthouders meer duidelijkheid geven. In de tussentijd faciliteert DDMA een platform om met organisaties over deze (en andere) vragen kennis en inzichten uit te wisselen, om uiteindelijk tot passende oplossingen te komen.

Headerfoto: Josh Sorenson via Pexels.