Hoe zit het met cookies op je WordPress website en de AVG privacywet?

AKA Mijn struggles om een cookieloze website te serveren. Inclusief stappenplan!

Je hebt ze misschien al gezien, die ellenlange cookiedisclaimers die nu op alle websites verschijnen en die je vertellen wat een cookie is. Ik vind ze vervelend en ben ervan overtuigd dat het merendeel van de cookies niet nodig is om een goede website neer te zetten.
Daarom heb ik besloten mijn eigen sites, en zoveel mogelijk websites van mijn klanten, cookievrij te maken. Zo voorkomen ik die irritante cookie pop-ups en maak ik het mezelf makkelijker om te voldoen aan de nieuwe AVG wet.

Lees op de website van de Consumentenbond wat cookies zijn

Twee wetten over cookies

Er zijn twee redenen waarom je op cookies moet letten. Ten eerste is er sinds 2012 de Telecommunicatiewet (cookiewet), gebaseerd op Europese wetgeving die je verplicht om bezoekers te informeren en toestemming te vragen over het plaatsen van cookies. Dat vragen mag nu nog heel impliciet, met bijvoorbeeld een tekstje onderaan je website zonder dat een bezoeker ergens actief mee akkoord moet gaan. Dat mag straks niet meer en de Autoriteit Consument en Markt (ACM) ziet hierop toe, zie ook hun handige veelgestelde vragen.

Cookies vallen ook onder de nieuwe AVG privacywet!

Daarnaast gaat op 25 mei de nieuwe Algemene Verordening Gegevensbescherming (AVG) wet in, die de Wet Bescherming Persoonsgegevens (WBP) vervangt. Deze wet gaat over het beschermen van de privacy van Europeanen en het verzamelen van persoonsgegevens. Je mag volgens deze wet namelijk niet zonder goede reden persoonsgegevens verzamelen, en je hebt toestemming nodig van de betreffende persoon wanneer je dit wel doet. Voor sommige cookies die persoonsgegevens verzamelen geldt de AVG ook.

Meer weten over de AVG? Lees mijn blog Voldoe jij aan de nieuwe privacywetgeving met je website?

Het ene koekje is het andere koekje niet

Er zijn een paar soorten cookies: functionele cookies, voorkeurscookies, analytics cookies, en marketing cookies. Cookies die nodig zijn voor het functioneren van de website, of cookies die bezoekers analyseren om een website te verbeteren (zonder impact op de privacy) – de zogenaamde functionele en analytics cookies – zijn onschuldig.

Ook voorkeurscookies die bijvoorbeeld nodig zijn om je de juiste taal of regio aan te bieden op een website zijn cookies die nodig zijn voor het goed werken van een website. Je mag ze op je website gebruiken zonder dat je daarvoor toestemming nodig hebt of een cookiebanner hoeft te plaatsen.

Voor informatieplicht en het toestemmingsvereiste

Ongezonde koekjes die je blijven achtervolgen

Maar er zijn ook (third-party) tracking of marketing cookies. Dit zijn cookies die je overal op het internet blijven volgen. Ze houden bijvoorbeeld bij dat je vorige week op bol.com naar onderbroeken hebt gekeken en vervolgens zie je in de weken daarna op andere websites overal advertenties voor onderbroeken. Dit is een vorm van het verzamelen van persoonsgegevens waar de Autoriteit Persoonsgegevens niet zo blij van wordt, en hiervoor is eerst expliciet toestemming nodig.

De meeste cookies van Facebook en Google zijn invasieve tracking cookies

Voor deze tracking cookies (die meestal door social mediasites zoals Facebook en YouTube gebruikt worden met bijvoorbeeld voor marketing) kun je niet zeggen dat ze nodig zijn voor het functioneren van de site. De enige manier waarop je aan de AVG wet voldoet als je deze cookies hebt, is het vragen van expliciete toestemming van de websitebezoeker (zie ook de FAQ van de Autoriteit persoonsgegevens). In dit geval ben je dus verplicht om een cookiebanner met een “Akkoord” knop op je website te hebben, en mag je de cookies pas plaatsen nadat iemand toestemming heeft gegeven.

Test welke cookies je op je website hebt met de gratis test van Cookiebot.

“Ik heb toch geen cookies op mijn site?”

Ik wilde weten hoe het nu eigenlijk zat met de cookies op mijn eigen website en ben met de developer (F12) tool van Chrome door mijn website gelopen. Op deze handmatige manier kwam de volgende cookies tegen:

Na deze analyse heb ik Google Analytics meteen verwijderd omdat ik dat niet echt nodig heb (en te invasief vind voor mijn bezoekers). Voor zover ik wist had ik geen cookies meer op mijn website waarvoor ik een irritante cookiebanner nodig had.  Maar helaas, dat klopte niet helemaal. Ik liet mijn website scannen met de gratis test van Cookiebot en tot mijn verbazing had ik tracking cookies van YouTube op mijn site. Dat wist ik niet! Op een websitepagina had ik een filmpje ge-embed van YouTube. En daarmee kreeg ik meteen een hele lading cookies over me heen. Hier moet ik eigenlijk toestemming voor vragen voor ik ze mag plaatsen.

Ga ervanuit dat wanneer je social media integratie op je website hebt, je ook cookies serveert!

Ook was ik vergeten dat ik zo’n handige social media sharing widget onderaan mijn artikelen had staan, waarmee je snel een artikel kan delen. Maar die makkelijke like-, tweet- en andere sharing buttons en codes zijn vaak ook trackers. Wanneer een bezoeker is ingelogd bij Facebook, Twitter of Google+, houden deze bij dat hij of zij je pagina heeft bezocht. En dat gebeurt (meestal) ook als je bezoeker niet op die button klikt.

Ik testte het uit en deelde mijn eigen artikel op Twitter, en meteen doken er 15 cookies mijn computer in. Die deelfunctionaliteit heb ik dus meteen van mijn site afgehaald. Mensen kunnen zelf ook wel een URL kopiëren en plakken als ze echt iets van mijn site willen delen op social media vind ik. Als ze voor jouw site echt nodig zijn, dan kun je overigens voorkomen dat deze sharing buttons cookies plaatsen met een technische oplossing (Shariff code).

Eet je liever koekjes dan dat je ze gaat zoeken op je website?

Er zijn een aantal slimme bedrijven die het je gemakkelijk maken om aan de cookiewet te voldoen met hun cookie service: Met tools zoals de gratis test van Cookiebot controleer je of je cookies op je website hebt staan. Cookieinfo helpt je met het plaatsen van de juiste banners en scripts om cookies op de goede manier te serveren. En met Iubenda kun je handmatig invullen welke cookies je gebruikt, en zij maken dan de juiste disclaimers en privacyverklaringen voor je.

Heb ik een cookiebanner of toestemming nodig?

Vanaf het invoeren van de AVG wet mag je niet meer ergens onderaan je site hebben staan: “Als je op deze site bent, dan ben je akkoord met het plaatsen van cookies.“ Dat is niet expliciet en duidelijk genoeg. Vind jij invasieve analytics en marketing cookies wel nodig op je site, dan moet je je bezoekers hierover informeren en toestemming vragen:

Een bezoeker moet voordat je een cookie plaatst expliciet toestemming geven dat je zijn persoonsgegevens (zoals IP-adres en online voorkeuren) gaat verzamelen. Zij moeten dan actief op een knopje drukken om toestemming te geven. Het moet ook net zo makkelijk zijn om de toestemming voor cookies weer in te kunnen trekken, bij voorkeur via dezelfde pagina of dezelfde knop.

Je moet daarnaast kunnen aantonen dat iemand daadwerkelijk toestemming heeft gegeven voor het plaatsen van een cookie. Deze toestemming moet je dus, van elke gebruiker, ergens opslaan – en kunnen laten zien mocht de ACM je ernaar vragen.

Je komt niet meer weg met vage informatie op je website

Vertel je bezoekers zo transparant mogelijk en in normale taal vertellen welke gegevens je verzamelt, wat het doel is, aan wie je ze verstrekt (Google of Facebook wellicht?) en ook de bewaartermijn. Dat doe je in een cookiestatement en/of privacyverklaring die je op je website plaatst. Lees meer over de AVG en privacyverklaring op mijn blog Voldoe jij aan de nieuwe privacywetgeving met je website?

Voorbeeld van een duidelijke cookiebanner van Cookieinfo:

Hopelijk heb ik je een beetje op weg geholpen met de cookiewet. Ik kan je helaas niet helpen om aan de AVG en cookiewet te voldoen. Ben ik iets vergeten in dit artikel? Laat het me weten, dan pas ik dit artikel aan.

Oh ja, koekjes zijn in het echte leven ook niet zo gezond, en ik zou ook altijd even vragen of iemand wel echt een koekje wilt voordat je het ze voorschotelt. Meer weten over gezondheid? Check ons boek Eet als een Expert! 😉


Epiloog…

Hoe doen de privacy instanties het zelf?

Ik had verwacht dat al die privacy instanties zelf geen cookies zouden serveren en geen persoonsgegevens zouden verzamelen op hun websites. Dat doen ze dus allemaal wel. Ze verzamelen IP-adressen voor het analyseren van hun website en gebruiken Google, YouTube, LinkedIn en andere social media die third-party cookies plaatsen. Zie hieronder een aantal cookieverklaringen van de grootste instanties:

Wellicht ben ik dus roomser dan de paus met mijn wens voor een cookievrije website. Het is natuurlijk prima om er zelf wel voor te kiezen om cookies te plaatsen, maar zorg er dan voor dat je het volgens de regels doet.

Handige artikelen over de cookiewet

Let op: dit is geen juridisch advies en ik ben geen advocaat. Deze blog is ontstaan omdat ik mijn eigen klanten wilde informeren over deze wet. Hiervoor heb ik heb zelf juridisch advies gevraagd, het handboek over de AVG gelezen en zelf privacy documenten opgesteld, maar ik kan absoluut geen advies uitbrengen over wat jij met je bedrijf moet doen om te voldoen aan de nieuwe eisen.