Cookie consent naleving checklist en best practices

Eerst een beetje achtergrond. Niet geïnteresseerd? Sla dit over en scrol omlaag naar de checklist voor cookie consent naleving.

 

De EU-cookiewet, of ePrivacy-richtlijn, is een oudere rechtshandeling, aangenomen in 2002 en bijgewerkt in 2009, die zich voornamelijk bezighoudt met cookies, het bewaren van gegevens en ongevraagde e-mailing. Het is een richtlijn, geen verordening.

 

Nu hebben we de ePrivacy-verordening, die zich bezighoudt met de privacy van gegevens die bedrijven verzamelen van EU-ingezetenen, net als de AVG. Het had in 2018 van kracht moeten zijn, maar op dit moment van schrijven is er slechts een concept voor 20210. Als het wordt aangenomen, denkt men dat het niet voor het einde van 2023 van kracht zal zijn.

 

De e-privacyverordening heeft tot doel de privacy van de elektronische communicatie-inhoud en de metagegevens van EU-ingezetenen te beschermen. Dit betekent dat het toepassingsgebied van de e-privacyverordening verder gaat dan persoonsgegevens en niet-persoonlijke gegevens kan omvatten, zoals business-to-business-communicatie (B2B).

 

Het toepassingsgebied van de AVG is daarentegen beperkt tot persoonsgegevens. Maar vergis u niet, het is niet de bedoeling dat de twee wetten inzake gegevens privacy tegen elkaar werken. In plaats daarvan is de e-privacyverordening bedoeld als aanvulling op de AVG.  Voor het gemak gebruiken we als we het over compliance hebben, ePrivacy compliant en/of AVG-compliant door elkaar.

 

Laten we verder gaan met de cookie consent naleving checklist voor naleving van de cookietoestemming en best practices. Onderstaande lijst lijkt misschien uitputtend, maar houd er rekening mee dat de ePrivacy en AVG in de praktijk multi-interpretabel zijn.

 

We raden u aan deze te volgen, maar nog belangrijker, doe dit op een manier die het beste bij uw internetgebruikers past. Duidelijk en ondubbelzinnig zijn in het instellen van uw cookietoestemming en communicatie heeft zeker een positief effect op uw imago.

 

Stel u bovendien voor dat een internetgebruiker erachter komt dat hij nog steeds wordt gevolgd, hoewel hij alle cookies heeft afgewezen. Dat wilt u niet. En uw wilt zeker geen boete krijgen. Er komen steeds meer initiatieven om de vinger aan de pols te houden. Een Bazels initiatief genaamd None of Your Business heeft als enig doel websites te rapporteren aan de autoriteiten die niet aan de regels voldoen. Ze hebben al 422 meldingen gedaan van websites die geen juiste cookie consent banner hanteren.

 

Probeer daarom toestemming voor cookies niet te zien als een set-and-forget-type initiatief. Blijf ervoor zorgen dat u aan de regels voldoet door regelmatig te controleren en te documenteren dat uw toestemming voor cookies werkt. Als u toch wordt beoordeeld, kunt u bewijzen dat u al het nodige doet om aan de regels te voldoen.

 

Checklist voor cookie consent naleving en best practices:

 

  1. Verzamel toestemming voor het gebruik van cookies op uw website door een cookie-toestemmingsbanner of pop-up te gebruiken. Gebruik geen cookiewall, wat inhoudt dat een gebruiker de website pas kan gebruiken nadat hij maar één optie heeft gehad: alle cookies accepteren. Dat is verboden onder de AVG, zie punt 39 in de richtlijnen van toestemming . Gebruik als best practice geen banner of pop-up waarmee een gebruiker alleen delen van de website kan bezoeken na interactie met de website. Dit kan aantoonbaar ook worden gezien als een vorm van ‘niet vrijelijk gegeven toestemming’.
  2. Geef gebruikers volledige controle over het accepteren, weigeren of wijzigen van cookie-instellingen op de banner. Zorg er als best practice voor dat het voor gebruikers net zo gemakkelijk is om ‘alles te weigeren’ als ‘alles te accepteren’ door deze optie op de eerste laag van de banner te presenteren.
  3. Zorg ervoor dat u de juiste toestemmingscategorieën gebruikt en zorg ervoor dat cookies onder de juiste toestemmingscategorieën worden ingedeeld. Als best practice zijn er deze vier: strikt noodzakelijke (standaard en altijd aan), prestatiecookies (om geaggregeerde websitegegevens en analyses te meten), functionele cookies en commerciële/marketing/tracking/sociale cookies.
  4. Zorg ervoor dat vooraf geen van de toestemmingscategorieën is aangevinkt, met uitzondering van strikt noodzakelijke cookies en prestatiecookies (als deze privacyvriendelijk zijn ingesteld). Een gebruiker moet zich altijd aanmelden voor deze categorieën.
  5. Volg de handleiding voor privacyvriendelijk instellen van Google Analytics en beschrijf wat je hebt gedaan in het privacybeleid. Dit geldt in de meeste gevallen ook voor andere directe analytische cookies. Geef duidelijk aan welke stappen u heeft genomen om er voor te zorgen dat alles geanonimiseerd is en niets terug is te leiden naar een persoon.
  6. Pas de banner voor desktop en mobiele apparaten aan voor toegankelijkheid.
  7. Toon een cookietabel (met naam, type, doel en duur) op de tweede laag voor volledige transparantie van cookies.
  8. Als dat geen optie is in de tool die u gebruikt, zorg er dan voor dat u een ‘cookies’-pagina toevoegt waar u de cookies beschrijft. Zorg ervoor dat je ook per cookiecategorie beschrijft welke informatie u van de gebruiker verzamelt. Probeer als best practice zo specifiek mogelijk te zijn.
  9. Houd er rekening mee dat bezoekers buiten uw AVG-locatie uw website kunnen bezoeken. Als dit zeer sporadisch is, is er geen noodzaak om actie te ondernemen. Als het bijvoorbeeld een incident is, moet u er rekening mee houden dat er andere regels gelden. Als u bijvoorbeeld in de EU actief bent, maar ook gebruikers uit de VS volgt en analyseert, zouden deze bezoekers (op basis van IP-adres) een andere cookietoestemmingsbanner moeten zien op basis van de de daar geldende richtlijnen. Dit is het zogenaamde ‘ extraterritoriale effect ‘. Net als onder de AVG zal dit effect gelden onder de ePrivacy verordening.
  10. Blokkeer automatisch cookies van derden, zodat ze niet worden geladen totdat de gebruiker toestemming geeft.
  11. Leg alle gebruikerstoestemmingen vast als bewijs van compliance.
  12. Voeg een link toe aan het voorkeurencentrum, zodat gebruikers hun toestemming op elk moment kunnen intrekken. Bij voorkeur in de footer van de website en/of in de privacy policy.
  13. Genereer een cookiebeleid met gedetailleerde openbaarmaking van cookiegebruik en koppel dit aan uw cookiebanner.
  14. Scan uw website regelmatig op cookies om uw cookielijst en cookiebeleid automatisch bij te werken.
  15. [Belangrijkste, maar vaak vergeten] Controleer regelmatig uw toestemmingsscenario’s om te zien of toestemming voor cookies nog steeds werkt en cookies alleen worden geactiveerd wanneer toestemming wordt gegeven. Deze zogenaamde ‘ accountability ‘ onder de AVG is iets wat iedere organisatie verplicht is zich aan te houden.


[Tip] Bedenk een strategie waarmee u gebruikers kunt overtuigen om meer betrokken te raken bij uw organisatie of dienst door ze zich te laten aanmelden of u hun persoonlijke gegevens te verstrekken. Zorg wel voor een duidelijke en ondubbelzinnige opt-in. Vertel expliciet waarvoor u contact met hen opneemt. Geef ze in ruil daarvoor iets waardevols voor hun vertrouwen (en opt-in).

 

Disclaimer: wij zijn geen juridische partij en onze adviezen in deze cookie consent naleving checklist en best practices zijn niet juridisch bindend. We bieden u alleen wat hulp bij het oplossen van dit probleem met toestemming voor cookies. Het is een voortdurend evoluerende zaak, dus dingen zijn ook aan verandering onderhevig.

Download deze cookie consent naleving checklist met best practices in pdf-vorm, zodat u deze gemakkelijk kunt delen met iedereen die deze moet zien.