VERDIEPINGSARTIKEL

De regels rondom gebruik van cookies op de website van uw organisatie

Online organisaties maken meer en meer gebruik van technologie om inzicht te krijgen in het (koop)gedrag van consumenten. Door ‘cookies’ te plaatsen in de hardware van bezoekers van de website, kunt u veel informatie verzamelen over hun online gedrag.

Ook hier geldt: kennis is macht. Hoe beter u het gedrag van uw online bezoekers kent, hoe beter u daarop kunt inspelen. Niet alles is toegestaan; aan het gebruik van cookies op uw website zijn regels verbonden.


8 juli 2020 6 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement Online en Evelien van Diemen-Vloedbeld van Marxman Advocaten, e-mail: vandiemen@marxman.nl, marxman.nl


Waarom zou uw organisatie cookies willen gebruiken? Uw organisatie kan veel meer te weten komen over de bezoekers van uw website of webwinkel dan in de offlinewereld mogelijk is.

U kunt bijvoorbeeld inzien welke websites van andere goede doelen een bezoeker bezoekt, hoe vaak dat gebeurt, in welke categorieën van producten of diensten een bezoeker interesse heeft, enzovoorts.

Marketing aanpassen

Op die informatie kan uw organisatie de marketing aanpassen. Online kunt u zelfs zo ver gaan dat u de zogeheten klant­reis van een bezoeker afstemt op zijn voorkeuren. Zo maakt u uw webshop of het doneren aan uw organisatie wel héél aantrekkelijk.

U past uw onlinestrategie aan om bezoekers te verleiden de producten of diensten te kopen. Investeren in onlinehandel loont. U kunt online bezoekers op een legio aan mogelijkheden beïnvloeden en zo uw organisatie in een (nóg) beter daglicht stellen.

Uw organisatie mist simpelweg een goede kans door niet te investeren in een onlinehandel. De mogelijkheden lijken eindeloos. Toch zijn er ook grenzen; juridische grenzen. Het plaatsen van een cookie kan namelijk invloed hebben op de persoonlijke levenssfeer – de privacy – van een bezoeker.

Hoe kunt u cookies zo gebruiken, dat u de daaruit volgende informatie legitiem kunt gebruiken?

Cookiegebruik op uw website is geen gesneden koek

Zoals u in dit artikel kunt lezen, zijn er nogal wat randvoorwaarden aan het gebruik van cookies. Vraagt u bezoekers om toestemming en geeft u juiste en voldoende informatie, dan voldoet u in elk geval aan deze randvoorwaarden. De kans is echter groot dat u bezoekers anders gaat behandelen als u de gevraagde informatie eenmaal bezit.

In dat geval verwerkt u persoonsgegevens en zijn ook de overige vereisten uit de privacywetgeving op u van toepassing. Op dat moment moet u onder andere een doel­omschrijving hebben voor het gebruik van de persoonsgegevens en beschikken over een goede beveiliging.

Impact op persoonlijke levenssfeer

Cookies zijn er in verschillende soorten en maten; elk met een eigen impact op de persoonlijke levenssfeer van een bezoeker. Welk soort cookie u gebruikt, heeft dan ook impact op de randvoorwaarden voor het gebruik daarvan.

U kunt cookies grofweg in twee categorieën verdelen, namelijk die zonder of met een zeer geringe impact op de privacy en die met een verdergaande impact. Hieronder zijn ze kort voor u uiteen gezet.

Functionele en analytische cookies

Functionele cookies en niet-privacygevoelige analytische cookies zijn de ‘lichtste’ cookies en hebben een geringe of geen impact op de privacyrechten van een bezoeker. Bovendien kan het zijn dat gebruik van deze cookies zelfs noodzakelijk is om de website toegankelijk te maken.

Functionele cookies worden bijvoorbeeld uitsluitend functioneel toegepast en onthouden bijvoorbeeld wat er in een winkelwagen zit, terwijl een consument online verder winkelt of onderhouden voorkeursinstellingen, zoals taal.

Analytische cookies geven u ook informatie over het websitebezoek online en kunt u gebruiken om de kwaliteit en effectiviteit van de website te meten. Het maakt gegevens over onder meer het aantal bezoekers en de meest bezochte webpagina’s inzichtelijk.

Zolang de gegevens van analytische cookies geanonimiseerd zijn, is het gebruik van een analytische cookie niet privacygevoelig. Uw organisatie mag deze gegevens niet gebruiken om bijvoorbeeld een profiel van het internetgebruik op te stellen.

Verbonden aan restricties

Er zijn andere soorten cookies die verder gaan en om die reden aan (aanvullende) restricties verbonden zijn. Met behulp van tracking cookies kunt u het bezoek van de website van een individuele gebruiker volgen. Voor deze gebruiker kunt u een profiel opstellen, waarna afgestemde advertenties en geoptimaliseerde websites zullen worden getoond.

Gebruikt uw organisatie tracking cookies – en bijvoorbeeld ook Google Analytics en social plug-ins – dan moet uw organisatie als website-eigenaar aan een aantal voorschriften voldoen.

Leidraad leidt de weg

Er zijn grenzen aan in hoeverre u uw websitebezoekers online mag verleiden. Verkoopt u producten op uw website? U moet een consument dan (online en offline) beschermen tegen praktijken waardoor zij besluiten nemen over aankopen die zij anders niet hadden genomen.

De Nederlandse toezichthouder Autoriteit Consument & Markt publiceerde hierover in februari 2020 een nieuwe leidraad, getiteld ‘Leidraad bescherming van de online consument’ van 11 februari 2020. U vindt deze leidraad in de pdf.

Bezoekers goed informeren

Wilt u gebruikmaken van een cookie, dan moet u de bezoekers van uw website hierover goed informeren. Zo moet voor een bezoeker duidelijk zijn welke informatie u van hem verzamelt en hoe, wat er met deze informatie gebeurt en hoe lang uw organisatie de informatie bewaart.

En laat u niet verrassen: dit geldt dus ook voor functionele en niet-privacygevoelige cookies! Een bezoeker moet duidelijke en ook voldoende informatie krijgen zodat hij geïnformeerd is over het cookiegebruik op uw website.

Ook de manier waarop u de informatie aan bezoekers kenbaar maakt, is van belang. Als de informatie ver is weggestopt, bezoekers moeten zoeken of de informatie versnipperd over de website is verdeeld, maakt u het bezoekers wel erg moeilijk.

Bezoekers moeten ook een ‘eerlijk beeld’ krijgen. Wat dan precies een eerlijk beeld is, is afhankelijk van het soort cookie en wat u doet met de verzamelde informatie.

Toestemming is vereist

Voordat uw organisatie cookies mag gebruiken, is toestemming vereist van de bezoeker. Logisch, want op zijn randapparatuur wordt de cookie geplaatst en over deze persoon wordt vervolgens informatie uitgewisseld.

Menig organisatie vergaloppeert zich echter in het verkrijgen van toestemming, want niet elke toestemming voldoet aan de juridische randvoorwaarden. Meer hierover leest u in het kader rechtsonder op deze pagina.

Goed nieuws daarbij is dat voor het gebruik van functionele en niet-privacygevoelige analytische cookies geen toestemming vereist is.

Gebruik van andere cookies

Wilt u gebruikmaken van andere cookies, let u dan op het volgende. Een gebruiker moet toestemming geven door een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee hij het gebruik van cookies aanvaardt. Het is onder andere van belang dat een gebruiker een geïnformeerd besluit kan nemen over aanvaarding van cookies; ook hier is goede en duidelijke informatie dus belangrijk.

Verder moet er een keuze zijn tussen acceptatie en weigering van het gebruik van cookies. Gaat een bezoeker niet akkoord met het gebruik van cookies, dan moet hij daar ook de keuze toe hebben.

Cookiewall is verboden

Het gebruik van een zogeheten cookiewall is dan recentelijk ook verboden door het Europese Hof van Justitie (HvJ EU 1 oktober 2019, ECLI:EU:C:2019:801). Door een cookiewall te gebruiken op uw website maakt u het een gebruiker onmogelijk om een vrije keuze te maken.

Er is tenslotte sprake van een ‘take it or leave it’-aanbod. Accepteert een gebruiker geen cookies, dan is er ook geen toegang tot de website. Dat mag dus niet.

De manier waarop de gebruiker toestemming geeft, is ook van belang. Er moet sprake zijn van een ‘actieve handeling’ van een bezoeker. Vooraf aangevinkte vakjes, wegklikken van de toestemmingsbalk of doorscrollen op de website voldoen hier dus niet aan. Het aanklikken of aanvinken van een hokje is wel een actieve handeling.

Verder mag de website van uw organisatie geen cookies plaatsen voordat de gebruiker zijn toestemming heeft gegeven.

Toestemming niet in orde

Veel websites vragen op een verkeerde manier toestemming voor het plaatsen van tracking cookies. Autoriteit Persoonsgegevens (AP) deed onderzoek bij ongeveer 175 websites van onder andere webshops, gemeenten en media. Bijna de helft van die websites vroeg hun bezoekers niet op de juiste manier om toestemming.

Vrijwel alle gecontroleerde webshops hielden een verkeerde manier van toestemming vragen aan. De meest voorkomende fouten waren het vooraf aanvinken van hokjes voor akkoord en de mededeling dat een gebruiker die door zou klikken op de website, automatisch akkoord zou gaan met het plaatsen van tracking cookies.