De AVG Fabeltjeskrant - Deel 6: cookies

Cookies: soms smaken ze lekker, maar af en toe geven ze een vervelende bijsmaak. Cookies kunnen namelijk technisch ingewikkeld en uitdagend zijn om juridisch correct in te regelen. Ik heb het natuurlijk over het laatste soort cookies. Dat het ingewikkeld en uitdagend was, heeft ook één van onze opdrachtgevers ervaren, die er niet uit kwam met de cookiebanner en cookieverklaring voor op zijn nieuwe website. Hij wilde het graag goed doen, maar had weinig kaas (of koekjes ;)) gegeten van dit onderwerp.

AVG-fabeltje van vandaag: cookies verwerken geen persoonsgegevens, dus er is geen toestemming nodig.

Terecht heeft hij daarom zijn cookieleveranciers aangeschreven om hem te adviseren of hij nu wél of géén toestemming behoefte voor de specifieke cookies die zij aan hem leveren. Van hen begreep hij dat toestemming niet nodig was, want zij beweerden dat de cookies die zij leveren geen commerciële doelen hebben en zelfs geen persoonsgegevens verwerken. “Dat scheelt, dan hoef ik ook geen cookiebanner te gebruiken.”, concludeerde hij. Totdat er een vervelende klacht op zijn (digitale) deurmat viel: ‘Jij overtreedt de Cookiewetgeving, pas de werkwijze aan of ik dien een klacht in bij de toezichthouder!’

Misschien was de indiener van deze klacht geïnspireerd door recente acties van de privacyvoorvechter Max Schrems in diens strijd tegen misleidende cookiebanners? Hij heeft in ieder geval voldoende teweeggebracht. Deze opdrachtgever heeft toch maar advies gevraagd aan een privacyjurist bij Cuccibu. Dat is natuurlijk altijd verstandig wanneer het juridische (en tegelijk technische) aangelegenheden betreft. Cuccibu consultants zijn namelijk op beide vlakken gespecialiseerd. Maar, hoe zit het nu eigenlijk met die cookies en waarom kon onze opdrachtgever niet zomaar uitgaan van wat de leverancier hem vertelde?

Smaken en soorten cookies

Cookies zijn er in allerlei smaken en soorten en het is niet altijd duidelijk welke regels precies van toepassing zijn op welke cookies. Het is belangrijk om het cookie juist te categoriseren, omdat dat invloed heeft op de juridische gevolgen van het gebruik van het cookie. Er zijn verschillende categorieën cookies te onderscheiden.

• Functionele & technische cookies: cookies die een website naar behoren laten werken en de technische aspecten van de website mogelijk maken. Voorbeelden hiervan zijn: cookies die de lettertypen inladen, bezoekers verdelen over servers of inloggegevens kunnen onthouden. Voor dit soort cookies is geen toestemming vereist.
• Analytische cookies: cookies die ertoe dienen om het gebruik van een website te analyseren en in kaart te brengen, zodat de kwaliteit en/of de effectiviteit van de website kan worden verbeterd. Hiertoe wordt meestal informatie over hoe vaak en op welke plaatsen de website wordt bekeken, geregistreerd. Deze cookies kunnen zowel op geaggregeerd niveau (dus x aantal mensen) als op persoonlijk niveau (welke pagina’s bekeek persoon x) functioneren. Voor dit soort cookies is toestemming nodig, met als uitzondering binnen Nederland een privacyvriendelijk ingesteld cookie van Google Analytics, mits voldaan aan bepaalde vereisten.
• Marketing cookies: cookies die ertoe dienen om (gericht) te kunnen adverteren. Hiermee wordt meestal informatie over websitegedrag, herkomst en interesses verzameld en geanalyseerd om vervolgens op basis van die analyses bepaalde (groepen) websitebezoekers te ‘targeten’ (lees: gericht benaderen). In de meeste gevallen is er dan sprake van trackingcookies; cookies waarbij de websitebezoeker van het ene domein naar het andere wordt ‘gevolgd’, zodat de bezoeker niet alleen op de bezochte website maar ook op de websites die hij daarna bezoekt, gericht advertenties kan ontvangen. Voor dit soort cookies is altijd toestemming vereist.

Hoe pas je dit toe?

Het is duidelijk dat er verschillende soorten cookies bestaan. De verschillen tussen de drie hoofdcategorieën lijken ook helder. Toch blijkt het ingewikkeld om cookies juist te categoriseren en te bepalen of er nu toestemming voor nodig is. Of cookies persoonsgegevens verwerken is een interessante vraag, die vaak bevestigend moet worden beantwoord. Een IP-adres is namelijk al een persoonsgegeven. Ook jouw klikgedrag als websitebezoeker in combinatie met andere gegevens, zoals informatie over welke website jij daarvoor hebt bezocht, kunnen persoonsgegevens zijn.

Het gaat dan ook niet zozeer om de vraag of er persoonsgegevens worden verwerkt, maar om de vraag wat het doel is van het cookie. Alleen zo kun je het cookie namelijk juist categoriseren. Er zijn allerlei tools beschikbaar die dit werk van jou kunnen overnemen; handig natuurlijk. Let hierbij echter wel goed op: de robotjes die hier achter zitten, kunnen niet altijd alle cookies in de juiste categorie plaatsen, waardoor je ondanks het gebruik van een tool, nog steeds niet voldoet aan de vereisten uit de toepasselijke wet- en regelgeving.

Heb je vragen naar aanleiding van dit artikel, of advies nodig over cookies en/of privacy op jouw website? De consultants van Cuccibu staan graag voor jou(w organisatie) klaar!

Hulp nodig?

De auteur Linde Mensink is Privacy & Legal consulent bij Cuccibu. Informatie is van onschatbare waarde. Voor organisaties, consumenten, werknemers, voor iedereen. Veiligheid van informatie is geen vanzelfsprekendheid en op allerlei vlakken liggen bedreigingen op de loer. Cuccibu helpt organisaties die bedreigingen, die risico’s, op een verantwoorde manier te behandelen (Reduce Risk) zonder het doel van de organisatie uit het oog te verliezen (Create Value). Onze missie: Reduce Risk, Create Value!

Heb je vragen over dit onderwerp of wil je verder praten? Of twijfel je erover of veilige authenticatie van medewerkers of collega’s op dit moment wel goed is geregeld? Neem dan gerust contact met mij op of met een van onze betrouwbare professionals via: info@cuccibu.nl of +31 (0) 85 3030 2984.

Reduce Risk, Create Value!

Contact