Het recept van een goed cookiebeleid

De website Jubel.be werd recent veroordeeld tot een boete van 15.000 euro voor een gebrekkig cookiebeleid. De gegevensbeschermingsautoriteit deelde hiermee de eerste, maar zeker niet de laatste boete uit. Welke ingrediënten zijn concreet nodig voor een goed cookiebeleid?

Wat zijn cookies? We spreken hier uiteraard niet over koekjes, maar daarentegen wel overkleine tekstbestandjes die bij het bezoeken van een website op de computer van de bezoeker kunnen worden bewaard. Deze cookies bevatten waardevolle informatie over het gedrag van de bezoeker op de geopende website. Zoals welke pagina’s heeft hij bekeken, wat is zijn taalvoorkeur, welke gegevens heeft hij ingevuld, etc. Wanneer de website opnieuw wordt bezocht, wordt de cookie vanop de computer van de gebruiker teruggestuurd naar de betrokken website. Die herkent zo de browser en herinnert de ingevulde gegevens, taalvoorkeur van de gebruiker, etc.  

Waarom worden cookies gebruikt? Er zijn verschillende redenen waarom cookies worden gebruikt.
Een eerste reden is om de website beter te laten werken. Indien de bezoeker later de website opnieuw bezoekt dan zal de website zijn browser herkennen door die cookie. De website wordt dan bijvoorbeeld automatisch weergeven in de taal van zijn eerder opgegeven taalvoorkeur.

Cookies kunnen ook gebruikt worden voor analytische doeleinden. Zo kan de website-eigenaar bijhouden hoeveel keer een bepaalde pagina wordt bekeken. Hij kan hieruit de interesses van zijn bezoekers afleiden en hiermee aan de slag gaan.

Daarnaast worden ze ingeschakeld om gericht reclame te maken. Een cookie kan bijhouden welke producten de bezoeker heeft bekeken, waardoor hij later dan suggesties krijgt van andere producten die daarop lijken.

Cookies en gegevensbescherming. Cookies hebben voordelen, maar dit betekend niet dat ze onbeperkt kunnen worden ingezet. Er moet een onderscheid worden gemaakt tussen essentiële cookies en cookies die niet strikt noodzakelijk zijn.

Essentiële cookies zijn nodig om de website te laten functioneren. Ze zorgen ervoor dat basisfuncties, zoals paginanavigatie, kunnen werken. De niet strikt noodzakelijke cookies daarentegen worden geplaatst voor statistische, sociale of commerciële doeleinden. Ze brengen de persoonlijke voorkeuren van de bezoekers in kaart en vergaren dus ook persoonsgegevens. Deze gegevens worden beschermd door de GDPR-regelgeving.

Ingrediënten van een goed cookiebeleid. Enerzijds is er nood aan een cookiebeleid dat in een duidelijke en begrijpelijke taal is opgesteld. Echter, het louter informeren van de bezoeker omtrent het bestaan van het cookiebeleid is niet voldoende.[1] Het tweede ingrediënt van een goed cookiebeleid is de uitdrukkelijke toestemming van de gebruiker.

1. Het cookiebeleid op zich

Een goed cookiebeleid bevat zeker volgende elementen:

• Wat zijn cookies.De uitleg wat cookies zijn, dient op een duidelijke manier te worden gegeven zodat een doorsnee gebruiker deze begrijpt.
• Welke cookies worden gebruikt. Een website kan gebruik maken van verschillende soorten cookies. De gebruikte soorten cookies moeten naar de gebruiker toe op een begrijpelijke manier worden uitgelegd.

 Maar welke soorten cookies bestaan er nu in de praktijk? Wij trachten de vaakst voorkomende soorten kort aan u toe te lichten.

a) Eerste partij cookies: cookies die de eigenaar van de website zelf beheert.

b) Derde partij cookies: cookies die door een derde (niet de eigenaar van de website) worden geplaatst en beheerd.

c) Sessie cookies: dit zijn tijdelijke cookies die worden verwijderd zodra de browser wordt afgesloten.

d) Permanente cookies: blijven op het toestel aanwezig tot ze vervallen of tot ze worden gewist door de gebruiker van het toestel.

e) Essentiële cookies: cookies die noodzakelijk zijn voor de werking van de website, hiervoor dient geen toestemming te worden gevraagd.

f) Marketing cookies: Dit zijn niet strikt noodzakelijke cookies waardoor het online advertentieaanbod word gepersonaliseerd.

g) Analytische cookies: dit zijn niet essentiële cookies die informatie verzamelen over het gedrag van websitebezoekers. Ze worden gebruikt om de website te verbeteren.

• De effectief gebruikte cookies. De gebruiker dient op de hoogte te worden gebracht van de cookies die effectief op de website worden geplaatst en gebruikt, de duur, het type cookie (eerste of derde partij) en het doel van het cookie.

Voorbeeld:

•  Hoe de instemming kan worden ingetrokken. Het volstaat dat hierbij wordt verwezen naar de webpagina van de browser die beschrijft hoe cookies kunnen worden verwijderd. Neem zelf wel een link op in het beleid, zo kan een gebruiker dit makkelijk terugvinden.
• De contactgegevens van verwerkingsverantwoordelijke. Er moet worden vermeld bij wie de gebruiker terecht kan met vragen of opmerkingen omtrent het cookiegebruik en de verwerking van zijn persoonsgegevens.

1. De uitdrukkelijke toestemming van de gebruiker

Indien de website gebruik maakt van cookies die niet noodzakelijk zijn, moet er uitdrukkelijk toestemming worden gevraagd aan de gebruiker. De toestemming moet voorafgaand of bij het eerste gebruik van de website worden gevraagd en gegeven. Een eenmalige toestemming volstaat, maar de gebruiker moet wel de mogelijkheid hebben om zijn toestemming in te trekken.

De toestemming moet specifiek zijn en dus per categorie van cookies (social media cookies, marketing cookies, analytische cookies, etc.) worden gegeven. Het is geenszins vereist dat de toestemming voor elke cookie binnen eenzelfde categorie afzonderlijk wordt gegeven.

De gebruiker dient een actieve handeling te stellen. Hij dient bijvoorbeeld op een “akkoord” knop te duwen, een selectievakje aan te vinken, een schuifbalkje van de uit-stand naar de aan-stand te verschuiven, etc. Het is niet toegelaten dat het selectievakje reeds aangevinkt is,  het schuifbalkje reeds op “aan” staat. De gebruiker moet zelf actief handelen om de cookies te aanvaarden en handeling om de cookies uit te schakelen is bijgevolg niet voldoende. Ook de enkele melding “door deze site te gebruiken, accepteer je onze cookies” volstaat niet.

Wat als u de cookies niet aanvaard? Het niet aanvaarden van de cookies kan niet leiden tot het weigeren van de toegang tot de website, maar heeft daarentegen wel een invloed op het soort toegang dat u als gebruiker verkrijgt. Bij het niet aanvaarden van de cookies, krijgt u als gebruiker enkel toegang tot een website die slechts gebruik maakt van de essentiële cookies.

Meer info. Refibo bv beantwoordt graag al uw vragen omtrent het cookiebeleid.

Contacteer ons gerust telefonisch op het nummer +32 (0) 9 223 31 54 of per e-mail op volgend e-mailadres: studiedienst@refibo.be.

[1]Tenzij de website enkel gebruik maakt van essentiële cookies. In dat geval volstaat het informeren van de gebruiker over het cookiebeleid.