Koekje erbij?
Winnen in Google?
SEO BoekOntvang het boek

Kom je naar het IMU Event?

Leer van 11 top online marketing experts uit de praktijk!

Page content

article content

E-privacy verordening en de AVG (Cookiemeldingen)

De AVG die aanstaande vrijdag 25 mei ingaat heeft voor veel ophef gezorgd in de online marketingwereld. Zo moet je o.a. een aantal belangrijke aanpassingen maken in je privacy policy en mag je niet zomaar namen en e-mailadressen verzamelen voor je mailinglijst zonder daar expliciet toestemming voor te vragen.

Eerder plaatsten wij al een uitgebreid blog over de AVG in een notendop. Ook publiceerden wij al een blog over het anonimiseren van Google Analytics zodat je jouw bezoekers geen toestemming meer hoeft te vragen voor de Analytics cookies die je website gebruikt. In dit blog wat extra informatie over die cookiemelding.

Opsplitsen van cookies

Eén van de zaken die de ingang van de AVG ook met zich mee zou brengen was het opsplitsen van de cookie-melding op je website. Cookies zijn kleine bestandjes die worden opgeslagen in de browser van een gebruiker die je website bezoekt. Cookies kunnen o.a. gebruikt worden om een gebruiker te tracken of retargeten, een taalvoorkeur van een gebruiker op te slaan of om een gebruiker ingelogd te houden op je website.

Voor functionele cookies hoef je geen toestemming te vragen maar voor trackingcookies (die persoonsgegevens gebruiken) bijvoorbeeld wel. De huidige wetgeving hierover vind je op de website van de Autoriteit Persoonsgegevens en meer in detail op de website van de ACM.

De impact van de AVG op cookies zou zijn dat website eigenaren niet alleen moeten vermelden welke cookies zij bijhouden (bijvoorbeeld middels een cookiewall of banner), maar dat zij gebruikers ook in staat zouden moeten stellen om te kiezen welke cookies zij wel of niet zouden willen accepteren van deze website. Hiervoor zou je dus verschillende soort cookies moeten definiëren omdat een ‘alles-of-niets-keuze’ dus niet meer zou mogen.

Een grote zorg voor veel marketeers. Want het opsplitsen van die cookies is al best wel een klus (hoe doe je dat bijvoorbeeld met al je verschillende WordPress plug-ins?) en het percentage bezoekers dat vrijwillig ‘marketingcookies‘ gaat aanvinken op je website zal zeker niet dicht bij de 100% liggen…

Goed nieuws! De EU is te laat…

Don’t get me wrong: De AVG gaat in per 25 mei…

Maar: Het gedeelte over het opsplitsen van de cookies op je website en het aan of uitzetten van deze verschillende segmenten door je bezoeker is op 25 mei nog niet verplicht.

De e-privacy verordening

Dit valt namelijk niet onder de AVG maar onder de zogenaamde e-privacy verordening. Dit is een andere wet en is bedoeld als opvolger van de huidige Telecommunicatiewet (Tw). Het idee was dat deze ook per 25 mei 2018 in werking zou treden en daarom is in vrijwel alle communicatie deze stap samengevoegd met het klaarstomen voor de AVG.

De EU heeft het echter niet gehaald om de e-privacy verordening op tijd klaar te krijgen.

Volgens onze jurist ligt er op dit moment wel een concept klaar voor de verordening, maar is de verwachting dat het nog wel even zal duren voordat deze doorgevoerd zal worden. Dat zou maar zo een jaar vertraging kunnen betekenen. Dat betekent echter wel dat de huidige Telecommunicatiewet van kracht blijft.

Cookiemelding?

Een exacte datum is nog niet bekend, dus de komende periode hoef je je hier geen zorgen om te maken en is een simpele cookiemelding dus voldoende. Een voorbeeld van een hele cookiemelding zie je bijvoorbeeld bij biljart-expert.nl. Zij vragen echter niet om een akkoord maar geven enkel een ‘waarvan akte’.

AVG Proof cookiemelding

Je ziet dat er wel wordt verwezen naar een pagina met meer informatie over de cookies. Ook Deliveroo geeft bijvoorbeeld een hele minimale melding waar enkel akte gegeven wordt dat de website cookies gebruikt. Zij geven wel inzage in deze cookies middels de cookie verklaring op hun website.

Mag niet, kan wel…

Volgens de huidige Telecommunicatiewet mogen beide voorbeelden eigenlijk niet maar dit is al een stap in de goede richting. Naar onze mening (geen feit) zul je hiermee voorlopig voldoen. Het belangrijkste element van de AVG en tevens van de Telecommunicatiewet is namelijk: Transparantie naar je gebruiker toe om te laten weten wat voor data je van hen verzamelt.

De ACM zelf zegt op haar website zelf het volgende:

Een goede verstaander kan daar al uit afleiden dat jij – als kleine ondernemer of simpele blogger – je echt geen zorgen hoeft te maken als je van goede wil bent. Zeker niet wanneer jouw website geen ‘groot risico’ voor de privacy oplevert.

Cookiewall?

Marketingfacts heeft ervoor gekozen om hun volledige website te blokkeren met een uitgebreidere cookiewall. Deze voldoet beter aan de huidige Telecommunicatiewet omdat een bezoeker de cookies moet accepteren om de website te kunnen bezoeken. De website is dus niet beschikbaar zonder toestemming.

Cookies niet accepteren?

PostNL gaat nog iets verder door aan te geven dat je ook niet akkoord zou kunnen gaan met de cookies. Daarmee voldoen zij helemaal aan de Telecommunicatiewet. Een bezoeker kan namelijk ook op ‘liever niet’ klikken en vervolgens toch de website bezoeken. Er worden dan enkel functionele cookies opgeslagen en alle andere worden uitgeschakeld. Ook geeft PostNL netjes inzicht in welke cookies zij verzamelen middels hun cookieverklaring.

Next level cookies…

Frankwatching gaat nog een stap verder en gebruikt nu wel al een gesplitste variant. Volledig volgens de toekomstige e-privacy wet maken zij onderscheid in verschillende soorten cookies en bieden deze ‘uitgevinkt’ aan. Daarmee vragen zij om ondubbelzinnige toestemming en geven de bezoeker zelf de keuze welke cookies zij aan of uit willen zetten.

Heel transparant naar je gebruikers toe, maar de kans is groot dat je veel belangrijke marketingfuncties (zoals retargeting) een stuk minder goed kan gaan toepassen. Want laten we eerlijk zijn; welke bezoeker gaat hier nu vrijwillig de extra cookies aanvinken alvorens hij op ok klikt?

De vraag is dus of je dit nu al wilt gaan doen terwijl het nog niet verplicht is, omdat de e-privacy verordening dus nog niet van kracht zal zijn op 25 mei.

Zoals Louis van Gaal heel treffend zei: That’s another cook

Conclusie

Kortom: Je hoeft (nu nog) geen hele geavanceerde cookiemelding te plaatsen waarin je een bezoeker zelf verschillende soorten cookies aan- of uit laat zetten. Een duidelijke melding dat je cookies verzamelt (en natuurlijk welke je verzamelt en waarvoor ze gebruikt worden) met een mogelijkheid voor je bezoeker om hiermee akkoord te gaan is voldoende. Je website mag de cookies wel pas plaatsen na akkoord van de bezoeker. Zorg daarnaast ook voor een duidelijk privacy policy waar je vanuit je cookiemelding naartoe linkt.

Ook de uitspraken van Minister Dekker geven al reden tot wat ademruimte / minder paniek:

Bron: Nos.nl

Uiteindelijk zul je wel een meer geavanceerde cookiemelding moeten gaan plaatsen (tenzij de wet het niet haalt of aangepast wordt). We raden je echter aan om ons blog daarvoor in de gaten te houden. Wij werken namelijk aan een variant die zo ontworpen is dat je wel aan de wet voldoet maar een veel grotere kans hebt dat je bezoeker al jouw cookies bewust wil accepteren. Stay tuned 😉

Comment Section

13 reacties op “E-privacy verordening en de AVG (Cookiemeldingen)


Door Jeroen van FIT.nl op 24 mei 2018

Mooi helder verwoord! Nu afwachten wat de minimale eis gaat worden/jurisprudentie.

Hoe gaat IMU het zelf doen in de tussentijd? 🙂


Door Michiel op 24 mei 2018

Het grootste probleem is dus nu, dat je door de bomen het bos niet meer ziet. Betere privacy ben ik voor, keuze in cookies ook, maar ik zie wel dat als bepaalde cookies waar je als bedrijf afhankelijk van bent, niet worden geaccepteerd, dat je dan vrij snel de tent kunt sluiten. Vooral voor de kleine publishers/ondernemers die veel tijd en energie in hun website steken en er hun brood mee proberen te verdienen. Bezoekers zullen niet snel willen betalen voor “gratis” info. Ik ben zeer benieuwd wat de industrie daar aan kan en gaat doen. Tevens erg benieuwd naar jullie cookiescript, enig idee wanneer die zou kunnen verschijnen?


Door Allard op 24 mei 2018

Ik denk dat er weinig klopt van bovenstaande…

De AVG stelt namelijk dat:
“Voor rechtmatige verwerking van persoonsgegevens is de toestemming van de betrokkene vereist of een andere
gerechtvaardigde grondslag waarin de wet voorziet, hetzij in deze verordening, hetzij in andere Unierechtelijke of
4.5.2016 NL Publicatieblad van de Europese Unie L 119/7
lidstaatrechtelijke bepalingen als bedoeld in deze verordening, of ook dat de verwerking noodzakelijk is om te
voldoen aan wettelijke verplichting die op de verwerkingsverantwoordelijke rust of om een overeenkomst uit te voeren waarbij de betrokkene partij is of om op verzoek van de betrokkene voorafgaand aan het aangaan van een overeenkomst maatregelen te nemen. ”

Ook stelt de AVG dat:
“Indien de verwerking plaatsvindt op grond van toestemming van de betrokkene, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. Met name in de context van een schriftelijke verklaring over een andere zaak dient te worden gewaarborgd dat de betrokkene zich ervan bewust is dat hij toestemming geeft en hoever deze toestemming reikt”

De omschrijving van rechtmatige toestemming wordt in de AVG als volgt omschreven: “Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.”

Dat betekend dus wel degelijk dat er toestemming gevraagd moet worden voor cookies waarbij persoonsgegevens verwerkt worden en een cookie melding alleen is dan ook onvoldoende. Ook is activeren op scrol of het klikken naar de volgende pagina geen rechtmatige toestemming.

Indien je dus je sessie cookies direct wil activeren, moet je wel degelijk een splitsing maken tussen sessie cookies en marketing cookies.



Door Tonny Loorbach op 24 mei 2018

Dat zeggen we niet… We laten verschillende opties zien en geven onze mening. Er staat letterlijk bij wat wel mag en wat er niet mag.


Door Allard op 24 mei 2018

Er staat letterlijk in de conclusie dat “Een melding dat je ze verzamelt (en welke je verzamelt) met een mogelijkheid voor je bezoeker om hiermee akkoord te gaan is voldoende voor de huidige telecommunicatiewet.”

Elke verwerking van persoonsgegevens, met een ander doel, vereist afzonderlijke toestemming. Ook in het geval van één verwerking met verschillende doelen dien je voor elk doel op zich toestemming te krijgen. Een simpele Ok of Ja op alle cookies lijkt mij dus niet voldoende.


Door Tonny Loorbach op 24 mei 2018

Hm je hebt een oude gecachte versie van dit blog zie ik, dat is namelijk niet de tekst die we gepubliceerd hebben. Daarnaast staat er in het artikel: “Volgens de huidige Telecommunicatiewet mogen beide voorbeelden eigenlijk niet maar dit is al een stap in de goede richting. Naar onze mening (geen feit) zul je hiermee voorlopig voldoen. “


Door Allard op 24 mei 2018

Aah, zie inderdaad dat de post geüpdate is en ik denk inderdaad dat je voorlopig niet in de problemen doet. Dat je daarmee voldoet aan de huidige wetgevingen denk ik niet.


Door Jan Everts op 24 mei 2018

Sorry Tony,

Maar er staat wel degelijk in het blog:
Goed nieuws! De EU is te laat…
Don’t get me wrong: De AVG gaat in per 25 mei…

Maar: Het gedeelte over het opsplitsen van de cookies op je website en het aan of uitzetten van deze verschillende segmenten door je bezoeker is op 25 mei nog niet verplicht.

en verderop staat in jullie blog:
Kortom: Je hoeft (nu nog) geen hele geavanceerde cookiemelding te plaatsen waarin je een bezoeker zelf verschillende soorten cookies aan- of uit laat zetten. Een duidelijke melding dat je cookies verzamelt (en natuurlijk welke je verzamelt en waarvoor ze gebruikt worden) met een mogelijkheid voor je bezoeker om hiermee akkoord te gaan is voldoende. Je website mag de cookies wel pas plaatsen na akkoord van de bezoeker.

Dat geeft namelijk de bezoeker niet de keuze om zelf te bepalen om de site te bezoeken zonder bepaalde cookies.
Ik vrees dat jullie blog meer verwarring creëert dan duidelijkheid en dat is jammer.

Ben benieuwd naar jullie oplossing, wat ik al gezien heb in een video zit volgens mij echt wel op het randje dan wel over de rand van de wetgeving (nu al straks later) ..


Door Marjan op 24 mei 2018

En hoe It het dan met privacy by design en privacy by default? AVG mag dan wel technologie onafhankelijk zijn… Maar dat staat er wel.


Door Richard op 25 mei 2018

Kun je cookloos door het leven met je website?

Google werkte jaren geleden aan een alternatief voor tracking cookies.

Zelf zou ik denken dat je een lading gegeven van de bezoeker moet opvangen (zonder cookies!) en zodra diezelfde bezoeker weer op je website aanklopt kun je die herkennen (zonder cookies).

Op de achtergrond deel je die info misschien met een advertentieplatform en dat neem je op in je Privacyverklaring.

Geen cookies, wel adverteren, kloppende Privacyverklaring.

Haalbaar?

groeten,
Richard


Door Daan van WP Pro op 25 mei 2018

Natuurlijk is dat haalbaar. Vrijwel elke webserver verzameld die gegevens al standaard in de access logs. Er zijn ook tools beschikbaar om die logs te analyseren. Heb je geen Google voor nodig.


Door Pim op 31 mei 2018

Ook zonder cookies kun je een bezoeker herkennen.
Een browser stuurt een hoop eigenschappen van je systeem mee.. En bij veel mensen levert de combinatie van variablen een unieke vingerafdruk op.

Mocht Google/Facebook dat gebruiken i.p.v. cookies, dan zou er snel genoeg regelgeving komen om ook hiervoor toestemming aan de gebruiker te vragen.

Plaats een reactie