Vind je cookiebanners vervelend en wil je er niets mee te maken hebben? Dan moet je hier stoppen met lezen. Want op deze pagina bespreek ik de belangrijkst ontwikkelingen in het cookiebannerlandschap.
Eerst een dikke, vette disclaimer: ik ben geen jurist. Vraag dus individueel advies aan een jurist gespecialiseerd in cookierecht. Ik ben wel een marketeer die sinds enkele jaren de ontwikkelingen binnen dit domein probeert op te volgen.
Moet ik me nu echt met cookies bezighouden?
Tijdens de kerstvakantie van 2019-2020 werd bekend dat de GBA (Gegevensbeschermingsautoriteit) een juridische website een boete van 15.000 euro gaf voor o.a. het fout gebruik van cookies. Cookies stonden plots hoog op de agenda van heel wat website-eigenaars.
Dat moest er ooit eens van komen. De beweging naar meer gevoeligheid voor privacy is niets nieuws. De GDPR is al bijna 2 jaar in voege, de ePrivacy-richtlijn is al heel wat jaren uitgevaardigd en staat op het punt om vernieuwd te worden. In 2015 al bracht de Privacycommissie een 75-pagina tellende aanbeveling uit over hoe om te gaan met cookies. Online tracking, cookies, bescherming van data, dat zijn topics die altijd meer aandacht krijgen. En dat gaat in Europa zo blijven, denk ik.
Die evolutie zie je niet alleen in België: in het Verenigd Koninkrijk bracht de ICO (de lokale GBA-tegenhanger) in 2019 zeer gedetailleerde richtlijnen uit over hoe om te gaan met cookies en ook in Frankrijk bracht de CNIL gelijkaardige instructies uit.
Zonder effectieve handhaving bleef die al die tekst eerder dode letter in België. Wanneer ik in 2017 en 2018 blogde over cookies en Analytics, voelde dat een beetje als roepen in de woestijn.
Nu de GBA in actie is geschoten, lijkt daar verandering in te komen. We hebben denk ik sowieso een weg ingeslagen die leidt naar meer bewustzijn en controle voor gebruikers. En dan gaat het niet alleen over cookies, maar ook over nieuwere technologieën als fingerprinting, cookieless tracking etc.
Als bedrijf dat wil handelen in de geest van de regelgeving moet je dus veel bewuster omgaan met privacy en tracking. Op zoek gaan naar een systeem dat het mogelijk maakt om toestemming te vragen, te verzamelen en daarmee rekening te houden, is deel van de weg die je als bedrijf moet afleggen.
Flexibiliteit is daarbij noodzakelijk. Het domein is in volle beweging, en wat er concreet van je verwacht wordt, wordt vooral duidelijk zodra instanties de regels zelf interpreteren.
Moet ik toestemming vragen voor cookies?
In Nederland kan je blijkbaar een tool die cookies plaatst als Google Analytics gebruiken zonder toestemming als je het programma privacyvriendelijk instelt, terwijl daar in andere landen geen sprake van is. In het Verenigd Koninkrijk is toestemming vereist, maar ICO stelt dat ze geen prioriteit geven aan het controleren van inbreuken op Analytics-cookies.
Of en welke toestemming vereist is, wordt dus vooral duidelijk in de interpretatie door de lokale gegevensbeschermingsautoriteit. Vaak is het antwoord genuanceerd, en wordt er rekening gehouden met verschillende types cookies (first party, third party, tracking, …).
De eerste Belgische uitspraak van de GBA volgt echter een strikte interpretatie waarbij voor veel cookies expliciet toestemming moet gevraagd worden, ook voor analysecookies.
Begin 2020 gaf de GBA extra toelichting over de Jubel-boete aan FEWEB, de sectororganisatie van webbedrijven. Dat is natuurlijk belangrijk, want zo wordt veel duidelijk. Daaruit blijkt dit:
- Je moet toestemming vragen vooraleer je cookies plaatst.
- De toestemming specifiek zijn. Per type cookie maak je een keuze. Cookies moet je dus classificeren.
- De uitleg over cookies moet duidelijk en volledig zijn.
- Je moet echt toestemming vragen, dus met een optie om ook geen toestemming te geven of een gedeeltelijke toestemming te geven. Gebruikers mogen niet geduwd worden in de ene of andere richting.
Mogelijk kunnen in de toekomst bepaalde toestemmingen via de browserinstellingen geregeld worden of komen er uitzonderingen voor bepaalde types cookies, maar dat is nu niet duidelijk. Dus ja, expliciete toestemming vragen is dus iets wat je nu moet doen.
Los van de wettelijke verplichting is toestemming vragen een kans: je maakt aan je klanten duidelijk dat je rekening houdt met de regels voor gegevensverwerking, en je toont dat je professioneel met je zaken bezig bent.
Hoe ontdek je welke cookies je website gebruikt?
Vooraleer ik enkele cookiemanagementsystemen bespreek, leg ik kort uit hoe je een cookie-audit kan uitvoeren. Want zo’n audit moet je sowieso doen.
Je moet te weten komen welke cookies of andere trackingsystemen je website gebruikt. Je moet immers sowieso bezoekers informeren over welke cookies je waarom gebruikt, hoe lang ze actief blijven etc. En vooraleer je toestemming vraagt voor cookies, moet je natuurlijk eerst weten welke cookies je gebruikt.
Hoe maak je zo’n cookie-audit? Hoe kom je te weten welke cookies door je website geplaatst worden? Je kan dat op verschillende manieren doen. Trek er sowieso genoeg tijd voor uit en combineer verschillende methodes. Zo is de kans groter dat je alle cookies en trackers detecteert.
- Contacteer je websitebouwer: hij of zij weet als geen ander welke systemen welke cookies gebruiken. Sowieso is het slim om geschreven afspraken te maken over wie verantwoordelijk is voor het verzamelen en up-to-date houden van alle informatie daarover.
- Doe een online cookiescan: verschillende aanbieders van cookiebanners bieden een gratis cookiescan aan. Vertrouw echter nooit 100% op de juistheid van de uitkomst van die scan. Sommige scans “vergeten” bepaalde pagina’s of trackers, waardoor het resultaat niet volledig waarheidsgetrouw is.
Kijk bijvoorbeeld naar de Cookie checker van Cookiebot, of de scanner van CookiePro (OneTrust). - Gebruik browserextensies om trackers te detecteren: In je browser (bijv. Chrome) kan je extensies toevoegen waarmee je kan onderzoeken welke cookies of trackers een site gebruikt.
Bekijk bijvoorbeeld EditThisCookie of Wappalyzer. Die laatste extensie geeft een overzicht van alle technologie die een pagina gebruikt. - Bekijk de cookies in de adresbalk van Chrome: klik daarvoor op het sloticoontje naast de url van de pagina die je wil onderzoeken.
Vervolgens klik je op cookies om de cookies van die pagina te bekijken. In het voorbeeld hieronder zijn er dus 3. Je moet dit dus overal op je site herhalen om een goed overzicht te krijgen. - Bekijk de cookies met de ontwikkelaarstools in Chrome. Dat doe je door naar je site te surfen, ergens op een pagina op de rechtermuisknop te klikken en vervolgens te kiezen voor “inspecteren”.
Klik vervolgens op “Application” en dan op (het pijltje naast) Cookies om de domeinen te zien die cookies op je pagina plaatsen. Klik vervolgens op een domein om de cookies zelf te zien.
Tip: wis cookies die je plaatst, maar niet nodig hebt
Je cookie-audit levert soms verrassende resultaten op: heb je een erg eenvoudige website, maar gebruik je toch tientallen cookies?
Dat kan. Doorheen de jaren heb je misschien nu en dan extra items toegevoegd aan je website. Het aantal cookies neemt zo altijd maar toe. Maar in de praktijk gebruik je misschien al die tools niet meer. Dat komt echt vaak voor.
Je kan zo heel eenvoudig je website privacyvriendelijker maken door overbodige scripts en plugins te wissen. Tijd voor een grote cookie-schoonmaak. Wat gebruik je echt? Dat moet bepalen wat mag blijven.
Gebruik je bijvoorbeeld social media plugins, maar klikken maar weinig mensen door? Dan kan je die misschien gewoon vervangen door een icoontje met link naar je social media profielen. Dat bespaart je heel wat toestemmingwerk, en zorgt ervoor dat social media niet langer data verzamelen op je site.
En zo handel je natuurlijk in de geest van de GDPR: je beperkt je datacollectie en verzamelt enkel de data die je echt nodig hebt.
Managementtool voor cookietoestemming
Je hebt beslist dat je toestemming wil vragen voor cookies, en dat je zo goed je kan alle privacyregels wil volgen. Maar hoe doe je dat?
Je kan 2 wegen volgen: ofwel ontwikkel je zelf systemen waarmee je gebruikers hun toestemming voor cookies en tracking laat beheren, ofwel gebruik je externe privacymanagement-tools op je website. Dat eerste is niet zo eenvoudig, ik beperk me daarom tot externe tools.
Zo’n cookiemanagementtool is een min of meer kant en klaar pakket waarmee je het plaatsen van cookies kan beheren. Dat dat veel verder gaat dan een eenvoudig bannertje tonen, zal hieronder blijken.
Waaraan moet zo’n tool idealiter voldoen?
- Je wil de cookies en trackingsystemen automatisch laten scannen:
Veel tools bieden een automatische cookiescan aan waarmee de cookies geïdentificeerd worden. Die scan moet performant werken. Zorg ervoor dat je dat manueel controleert, want als de tool de mist ingaat kan je alsnog in de problemen komen. Vertrouw dus nooit volledig op deze automatische cookiescan. - De informatie over een cookie wordt automatisch aangevuld:
Er bestaan databases met daarin de beschrijving van een hele hoop populaire cookies. De cookies die op jouw site staan komen immers waarschijnlijk ook voor op andere sites. Het is natuurlijk handig wanneer die cookiedefinities geïntegreerd zijn in de tool. Daarnaast moet er een mogelijkheid zijn om foute info te overschrijven. - De tool maakt een automatisch overzicht van alle cookies:
Je moet gebruikers informeren met een uitgebreide bespreking van de cookies die je gebruikt, inclusief duur van de cookies, waarom je ze gebruikt, etc. Je wint tijd wanneer je tool dit overzicht kan genereren. - De toestemming is specifiek en kan gegeven worden per type cookie: uit de Jubel-uitspraak kunnen we afleiden dat idealiter toestemming gegeven moet worden per cookie, maar dat per categorie (statistiek, marketing, functioneel, etc.) ook een optie is. Daarbij is het dan wel noodzakelijk dat de categorisering ook echt juist is. Een Google Analytics cookie met ingeschakelde advertentiefuncties (voor bijv. remarketing) is waarschijnlijk geen statistische cookie, maar wel een advertentie- of marketingcookie.
- De toestemming moet gemakkelijk in te trekken zijn: gebruikers hebben het recht om hun toestemming gemakkelijk te herzien. Die optie moet dus ergens aanwezig zijn.
- De toestemming moet vrij zijn. Dat betekent dat je de website moet kunnen gebruiken, ook als je geen toestemming geeft. Een zogenaamde cookiewall die de toegang blokkeert tot iemand toestemming geeft, lijkt dus niet toegestaan.
Daarnaast moet er naast de optie om toestemming te geven ook een optie zijn om GEEN toestemming te geven. Of een gedeeltelijke toestemming
De tool mag gebruikers ook niet in een bepaalde richting pushen om gemakkelijker toestemming te krijgen. Een heel grote ik-geef-toestemming-knop en een minuscuul klein afwijsknopje, dat zal dus niet mogen. Let om diezelfde reden op met het gebruik van kleuren.
De cookiemanagementtool moet controle geven over het uitzicht van de cookiebanner en de opties die de gebruikers te zijn krijgen om een conforme implementatie mogelijk te maken. - De toestemming moet aantoonbaar zijn: Wanneer een gebruiker betwist dat hij of zij toestemming gaf, dan moet je achteraf kunnen aantonen dat dat gebeurd is. Er moet dus een overzicht bijgehouden worden van de toestemmingen, en je moet er achteraf in kunnen zoeken.
- De gebruiker ziet informatie over cookies in de eigen taal: de cookiebanner en uitleg over cookies moet gepresenteerd worden in de taal van de waarschijnlijke gebruiker. Een site die zich richt op heel België, met artikels in het Frans en Nederlands, zal de gebruiker dus ook uitleg over cookies moeten geven in die taal.
- En tot slot: het cookiemanagementsysteem moet actueel zijn en de regelgeving opvolgen. Zoals gezegd is dit domein in volle ontwikkeling. Kies voor een systeem dat doorontwikkeld wordt en dat de regelgeving op de voet volgt. Dat zal je in de toekomst heel wat ergernis besparen…
Populaire cookiemanagementsystemen met cookiebanner
Ik plan binnenkort nog te bloggen over mijn ervaringen met 2 cookiemanagementsystemen, namelijk Cookiebot en Complianz.
Wil je echter ondertussen zelf aan de slag? Dan kan je het lijstje hieronder gebruiken.
| Cookiemanagement systeem | Link naar de aanbieder |
|---|---|
| Cookiebot | https://www.cookiebot.com/en/ |
| Complianz | https://complianz.io/ |
| Cookie Control | https://www.civicuk.com/cookie-control |
| Cookiefirst | https://cookiefirst.com/nl/ |
| Iubenda | https://www.iubenda.com/en/ |
| OneTrust | https://www.onetrust.com/products/cookies/ |
| Osano | https://www.osano.com/ |
| Borlabs Cookie | https://borlabs.io/borlabs-cookie/ |
Hoe ik met deze regels rekening houd
Ik ben nogal strikt. Dat betekent dat ik op eigen websites enkel track met Google Analytics van zodra er toestemming gegeven wordt.
Het betekent ook dat ik wanneer ik Google Adwords campagnes beheer enkel werk in Google Analytics als er een werkend cookiemanagementsysteem geïnstalleerd werd dat ook effectief cookies blokkeert.
Zorgt dat er niet voor dat ik minder data ter beschikking hebt dan iemand die alles trackt? Klopt, maar dat is een keuze die goed is voor de klanten van mijn klanten en die denk ik op lange termijn positief uitpakt.
Kan je je vinden in deze aanpak? Dan mag je me altijd eens contacteren voor je Google Ads campagne, of om een Google AdWords opleiding te volgen.
