In het kader van de GDPR regels staan we bedrijven bij om de privacyregels goed toe te passen als het om het web gaat. Zo werd ons deze vraag gesteld. We kunnen ons voorstellen dat meerdere organisaties hiermee leven, dus doe er je voordeel mee.

Door Martijn Loonstra, online marketeer

Wanneer is een Cookie geen probleem

Met de invoering van de AVG zullen velen het zich al afgevraagd hebben; is het mogelijk om volledig cookieloos je website te draaien?

Cookieloos door het leven gaan is zeker mogelijk, maar technisch gezien erg moeilijk. De meeste moderne platforms hebben een vorm van cookies nodig om goed te kunnen functioneren. Maar niet getreurd; essentiële, technische cookies mogen zonder toestemming geplaatst worden. De voorwaarde hierbij is wel dat ze geen individuele, persoonlijke data bevatten.

Neem bijvoorbeeld het cookie-plaatsen van een load balancer waarmee het werk tussen verschillende servers wordt verdeeld. Een technisch proces, waarbij er geen persoonlijke data wordt opgeslagen. Een cookie is dan geen probleem!

Analytics

Hoewel cookieloos door het leven gaan een mooi streven is, zullen de meeste websitebeheerders direct al struikelen over een stukje vrij belangrijke functionaliteit; de statistieken van je bezoekers.

Hoewel het onder de huidige regelgeving mogelijk is om een Google Analytics cookie te plaatsen zonder hier melding van te maken (zie dit artikel van ICTrecht.nl), is dat onder de AVG vanaf 25 mei hoogstwaarschijnlijk niet meer mogelijk.

Doordat er persoonlijke informatie van je bezoekers wordt opgeslagen (namelijk het surfgedrag, in veel gevallen technische gegevens zoals het gebruikte apparaat, software versienummers, etc.) en het een cookie van een derde partij betreft, is het verplicht je bezoekers hierin een keuze te bieden. We moeten daaraan wel toevoegen dat Google zelf, overheden en de wetgever (EU) nog in conclaaf hierover zijn en dit beleid betreffende analytische cookies wellicht nog aangepast gaat worden.

Zelfs eigen-gehoste alternatieven (zoals Matomo voorheen Piwik), waarbij er geen data op een server van een derde partij komt te staan, vereisen vooralsnog een melding, omdat er persoonlijke informatie opgeslagen wordt.

YouTube en Vimeo

Wanneer er video’s van platformen als YouTube of Vimeo op je domein staan, worden er standaard cookies van deze domeinen bij je eindgebruikers geplaatst. Dit is deels omdat ze zelf graag informatie over hun video’s willen opslaan, maar ook deels omdat het voor de functionaliteit vereist is. Doordat deze cookies vanuit een derde partij worden geplaatst, is hiervoor een melding (en toestemming) vereist.

Hoewel YouTube het no-cookie domein aanbiedt, wordt hierbij toch nog een functioneel cookie geplaatst. Dus zou je echt cookieloos door het leven willen gaan, dan is de enige oplossing om je video’s zelf te hosten en met je eigen player op de website te embedden.

ReCaptcha en andere derde partijen

Wanneer je domein gebruik maakt van diensten als ReCaptcha of die van andere derde partijen (zoals bijvoorbeeld AddThis, of Disqus), zal je echt gebruik moeten maken van een cookiemelding. Veel van deze partijen gebruiken (en verkopen) de data namelijk die zij via jouw website verzamelen.

Het is in het huidige digitale landschap in veel gevallen aan te raden eigen gebouwde alternatieven voor diensten als AddThis te realiseren. Je bent er daardoor van verzekerd dat de data van jouw eindgebruikers niet in verkeerde handen valt en dat je beter aan de AVG voldoet.

Hoewel veel partijen, zoals bijvoorbeeld reCaptcha ook cookie-less alternatieven aanbieden, is het in vrijwel alle gevallen nog steeds vereist hier melding van te maken (privacy-policy-recaptcha).

Conclusie: consent mét een goede cookiemelding

We kunnen als antwoord geven dat het zeker mogelijk is om cookieloos door het leven te gaan. Echter maak je het jezelf hierbij technisch gezien erg moeilijk en zou het een beter streven zijn om cookiemeldingloos door het leven te gaan.

Wanneer je er zorg voor draagt dat er geen cookies van derde partijen worden geplaatst, en vooral, dat er geen persoonlijke data wordt verzameld in de cookies, is het mogelijk om zonder cookiemelding je website te draaien. Immers, technische en functionele cookies behoeven geen toestemming.

Of het aan te raden is om dit te doen, is een tweede. Veel diensten verzamelen op een of andere wijze toch data van je eindgebruikers en daar is een melding voor nodig.

Het is belangrijk om de juiste consent te vragen. Dat mag niet ‘impliciet’; een bezoeker moet altijd de mogelijkheid hebben gekregen om geïnformeerd te raken over je cookie-beleid en hier een keuze in te maken.

Wij adviseren dan ook om een zo goed mogelijke cookiemelding voor je functionaliteiten te tonen. Met een heldere, eerlijke melding, zullen de meeste bezoekers geen enkel probleem hebben en voldoe je zelf aan de nieuwe regels van de AVG.

Wil je eens per twee maanden onze nieuwsbrief ontvangen?
Bedankt ! Fijn dat je op de hoogte wil blijven.