De (on)zin van de custom cookiemelding

We zien het regelmatig bij bedrijven voorbijkomen: een custom cookiemelding. Mooi gedesigned, maar in de praktijk doet de custom cookiemelding helemaal niets. Er staat een stukje code op de site, de gebruiker moet op akkoord klikken, en het bedrijf denkt hiermee te voldoen aan de GDPR. Niets is minder waar.

In werkelijkheid zijn deze custom cookiemeldingen niets meer dan een lege huls, en zijn ze behoorlijk onzinnig.

Waarom zijn de meeste cookiemeldingen nutteloos?

Drie redenen:

1. Ze helpen de gebruiker niet

Ze helpen de gebruiker niet. Via tools zoals EditThisCookie en Tagbird kunnen we zien welke events er worden verstuurd, en welke cookies er worden geplaatst. We zien bij het gros van de bedrijven dat er twee dingen misgaan.

1. 1. Er worden gewoon tags gevuurd nadat iemand op de website komt. Dus GA4 wordt bijvoorbeeld gewoon ingeladen, nog voordat je weet of iemand akkoord geeft op de analytische cookies.
   2. De cookiemelding geeft geen gegevens door aan het tagmanagementsysteem. Dat betekent dat als jij wel akkoord geeft over analytische cookies, maar geen akkoord geeft op marketingcookies, dat dat zou moeten worden doorgestuurd naar een tagmanagementsysteem en het vuren van de pixels moet beïnvloeden.
   3. GA4 mag wel ingeladen worden, maar Meta niet. Als je een custom cookiemelding gebruikt, dan kun je zien dat die niet gekoppeld is aan het tagmanagementsysteem. Dus het maakt niet uit of iemand akkoord geeft op cookies of niet, dezelfde cookies worden toch wel geplaatst.

2. Afweging tussen data en privacy

Als je je volledig houdt aan de wet, dan zou je pas een script mogen vuren wanneer iemand akkoord heeft gegeven op die specifieke cookies. Dat betekent dat je waarschijnlijk minder analyticsdata binnenkrijgt, omdat lang niet al je bezoekers de cookies accepteren. Waardoor je een hoop waardevolle pageviews misloopt.

Om dit te voorkomen, kun je werken met een grote pop-up, die iedereen moet accepteren voordat ze op je website mogen komen. Maar het is niet in het belang van de bezoeker om op iedere website een grote pop-up te krijgen die geaccepteerd moet worden. Ook niet voor SEO, omdat dit de gebruiksvriendelijkheid in de weg staat. Zeker omdat de meeste browsers iedere 7 dagen alle cookies verwijderen, waardoor je automatisch weer als nieuwe bezoeker wordt gezien.

De afweging tussen data en privacy is lastig te maken. We zien dat het gros van de bedrijven kiest voor meer data, waardoor de privacy van de bezoeker niet in acht wordt genomen.

3. Minder controle op dataverwerking

Dataverwerking kan steeds minder goed gecontroleerd worden. Door server-side implementaties is het onmogelijk voor buitenstaanders om te zien welke data er wordt doorgestuurd naar externe platformen zoals Meta, Google of LinkedIn. Dus je kunt dan wel een cookiemelding op de website hebben staan, maar wie zegt dat het bedrijf zich daadwerkelijk houdt aan wat jij invult in de cookiemelding?

Dus, waarom hebben we cookiemeldingen?

Om de privacy van de gebruiker te waarborgen. En daarom hebben we een aantal tips om jouw setup te bepalen.

1. Bepaal wat je nodig hebt

1. 1. Als grote, beursgenoteerde organisatie zal de afdeling Risk & Compliance waarschijnlijk een flinke vinger in de pap hebben. Hier komt risicoavers gedrag bij kijken, waarbij een analyticstool bijvoorbeeld pas getriggerd wordt wanneer iemand expliciet consent geeft.
   2. Een kleinere organisatie heeft niet de marketingbudgetten van een corporate en zal het sowieso al met minder moeten doen. In dat geval adviseren we minimaal de analyticstool in te laden, zodat je alle bezoekers kunt meten. Maar dan is het wel raadzaam om sowieso de privacyvriendelijke instellingen van bijvoorbeeld een GA4 aan te zetten.
   3. Daarnaast wordt je cookiemelding vaak weergegeven. Vaker dan je wellicht denkt. Browsers als Mozilla, Safari en Firefox verwijderen automatisch na zeven dagen je cookies. Hierdoor ben je, als je een week later weer terugkomt op een website, een nieuwe gebruiker. En krijg je dus weer de cookiemelding te zien. Als jij, buiten het bijhouden van de websitestatistieken, niets doet met de data, kun je overwegen om een privacyvriendelijk alternatief zoals Simple Analytics te kiezen voor je analysedoeleinden. Daarbij hoef je geen cookiemelding te plaatsen.

2. Integreer je cookiemelding met het tagmanagementysteem

Integreer je cookiemelding met het tagmanagementsysteem: de cookiemelding moet gekoppeld of ingeladen worden via een tagmanagementsysteem zoals Google Tag Manager. Waarom? Omdat je vervolgens custom events krijgt, en op basis van die custom events je scripts kunt triggeren. Stel dat iemand akkoord geeft op analytische cookies, maar niet op marketingcookies, dan mag je dus wel je analyticstool zoals GA4 inladen, maar niet je marketingscripts, zoals LinkedIn of Facebook. Hoe ziet dat eruit?

Dan ziet je implementatie er niet zo uit:

Maar op deze manier:

3. Maak een afweging tussen gebruikerservaring en data

Maak een afweging tussen gebruikerservaring en data: als je wel een cookiemelding moet plaatsen, kun je nog nadenken over de styling van deze melding. Over het algemeen geldt: hoe groter de cookiebar, hoe meer mensen de cookiebar accepteren. Maar, zoals eerder gezegd, wordt de cookiemelding bijzonder vaak getoond, en kan het daarmee ook de gebruikerservaring op de website schaden. Een full-screen pop-up, die je moet accepteren, zal de bezoeker vast niet leuk vinden. Zeker als er een standaard saaie tekst in staat. Denk daarom dus ook na over de styling en content van je cookiemelding en test er vooral mee.

Op deze manieren verwachten we dat we steeds meer websites krijgen die beter en bewust omgaan met de data van hun gebruikers. En hopelijk mondt dat uit in een beter en privacyvriendelijk internet.