LinkedInMastodonYouTubeTwitterInstagram

Hoe zit het met cookies op je WordPress website en de AVG privacywet?

Hoe zit het met cookies op je WordPress website en de AVG privacywet?

AKA Mijn struggles om een cookieloze website te serveren. Inclusief stappenplan!

Je hebt ze misschien al gezien, die ellenlange cookiedisclaimers die nu op alle websites verschijnen en die je vertellen wat een cookie is. Ik vind ze vervelend en ben ervan overtuigd dat het merendeel van de cookies niet nodig is om een goede website neer te zetten.

Daarom heb ik besloten mijn eigen sites, en zoveel mogelijk websites van mijn klanten, cookievrij te maken. Zo voorkomen ik die irritante cookie pop-ups en maak ik het mezelf makkelijker om te voldoen aan de nieuwe AVG wet.

Lees op de website van de Consumentenbond wat cookies zijn

Twee wetten over cookies

Er zijn twee redenen waarom je op cookies moet letten. Ten eerste is er sinds 2012 de Telecommunicatiewet (cookiewet), gebaseerd op Europese wetgeving die je verplicht om bezoekers te informeren en toestemming te vragen over het plaatsen van cookies. Dat vragen mocht voor 2018 nog heel impliciet, met bijvoorbeeld een tekstje onderaan je website zonder dat een bezoeker ergens actief mee akkoord moet gaan. Dat mag straks niet meer en de Autoriteit Consument en Markt (ACM) ziet hierop toe, zie ook hun handige veelgestelde vragen.

Cookies vallen ook onder de nieuwe AVG privacywet!

Daarnaast gaat op 25 mei 2018 de nieuwe Algemene Verordening Gegevensbescherming (AVG) wet in, die de Wet Bescherming Persoonsgegevens (WBP) vervangt. Deze wet gaat over het beschermen van de privacy van Europeanen en het verzamelen van persoonsgegevens. Je mag volgens deze wet namelijk niet zonder goede reden persoonsgegevens verzamelen, en je hebt toestemming nodig van de betreffende persoon wanneer je dit wel doet. Voor sommige cookies die persoonsgegevens verzamelen geldt de AVG ook.

Meer weten over de AVG? Lees mijn blog Voldoe jij aan de nieuwe privacywetgeving met je website?

Het ene koekje is het andere koekje niet

Er zijn een paar soorten cookies: functionele cookies, voorkeurscookies, analytics cookies, en marketing cookies. Cookies die nodig zijn voor het functioneren van de website, of cookies die bezoekers analyseren om een website te verbeteren (zonder impact op de privacy) – de zogenaamde functionele en analytics cookies – zijn onschuldig.

Ook voorkeurscookies die bijvoorbeeld nodig zijn om je de juiste taal of regio aan te bieden op een website zijn cookies die nodig zijn voor het goed werken van een website. Je mag ze op je website gebruiken zonder dat je daarvoor toestemming nodig hebt of een cookiebanner hoeft te plaatsen.

Voor informatieplicht en het toestemmingsvereiste

Ongezonde koekjes die je blijven achtervolgen

Maar er zijn ook (third-party) tracking of marketing cookies. Dit zijn cookies die je overal op het internet blijven volgen. Ze houden bijvoorbeeld bij dat je vorige week op bol.com naar onderbroeken hebt gekeken en vervolgens zie je in de weken daarna op andere websites overal advertenties voor onderbroeken. Dit is een vorm van het verzamelen van persoonsgegevens waar de Autoriteit Persoonsgegevens niet zo blij van wordt, en hiervoor is eerst expliciet toestemming nodig.

De meeste cookies van Facebook en Google zijn invasieve tracking cookies

Voor deze tracking cookies (die meestal door social mediasites zoals Facebook en YouTube gebruikt worden met bijvoorbeeld voor marketing) kun je niet zeggen dat ze nodig zijn voor het functioneren van de site. De enige manier waarop je aan de AVG wet voldoet als je deze cookies hebt, is het vragen van expliciete toestemming van de websitebezoeker (zie ook de FAQ van de Autoriteit persoonsgegevens). In dit geval ben je dus verplicht om een cookiebanner met een “Akkoord” knop op je website te hebben, en mag je de cookies pas plaatsen nadat iemand toestemming heeft gegeven.

Test welke cookies je op je website hebt met de gratis test van Cookiebot.

3 regels over cookies

Dit zijn de 3 belangrijkste regels over cookies op de website van de ACM.

Functionele cookies mogen

Cookies die nodig zijn voor het functioneren van de website, zoals het onthouden van een taalkeuze, winkelwagen of logingegevens mag je zonder cookiebanner op een website zetten.

Analytics cookies mogen beperkt

Cookies die je gebruikt om bezoekers te tellen, zoals Analytics cookies, mogen alleen als ze geen of weinig gevolgen hebben voor de privacy van bezoekers. Zie hier een handleiding van de ACM over hoe je Google Analytics privacy-vriendelijk instelt.

Alle andere cookies mogen alleen als je vooraf toestemming hebt van bezoekers

Zijn cookies niet nodig voor een goede werking van de site? Of leveren ze risico op voor de privacy van bezoekers? Dan moet u de bezoekers toestemming vragen voordat je zulke cookies plaatst.

Meer weten? Lees de veelgestelde vragen van de ACM. De ACM zal je overigens niet achterna gaan zitten omdat je een cookie op je persoonlijke blog hebt staan. De enige boete die ze volgens mij daadwerkelijk hebben uitgedeeld is aan de NPO. Meestal waarschuwt de autoriteit dus alleen, maar met de AVG zal dit waarschijnlijk wel gaan veranderen.

“Ik heb toch geen cookies op mijn site?”

Ik wilde weten hoe het nu eigenlijk zat met de cookies op mijn eigen website en ben met de developer (F12) tool van Chrome door mijn website gelopen. Op deze handmatige manier kwam de volgende cookies tegen:

Welke cookies kwam ik tegen op mijn eigen websites?

_ga en _gid van Google Analytics. Deze worden gebruikt om gebruikers uit elkaar te houden (analytics cookies). _utma houdt bij of je de website al eerder hebt gezien en een terugkerende bezoeker bent. Deze cookies vind je ook op de ACM website. Dit zijn cookies waarvoor je net als de ACM zelf geen toestemming hoeft te vragen (ik neem aan dat ze het zelf wel goed doen). De _utmz cookie verzamelt waar je vandaan komt, welke zoekmachine je hebt gebruikt om op de site te komen en welke termen je hebt ingevuld.

__cfduid is een cookie van CloudFlare dat zorgt dat websites sneller laden; duidelijk een functionele cookie. Op de website van Cloudflare zeggen ze zelf over deze cookie “Used for security and threat detection purposes” en “is strictly necessary for Cloudflare’s security features”.

Na deze analyse heb ik Google Analytics meteen verwijderd omdat ik dat niet echt nodig heb (en te invasief vind voor mijn bezoekers). Voor zover ik wist had ik geen cookies meer op mijn website waarvoor ik een irritante cookiebanner nodig had. Maar helaas, dat klopte niet helemaal. Ik liet mijn website scannen met de gratis test van Cookiebot en tot mijn verbazing had ik tracking cookies van YouTube op mijn site. Dat wist ik niet! Op een websitepagina had ik een filmpje ge-embed van YouTube. En daarmee kreeg ik meteen een hele lading cookies over me heen. Hier moet ik eigenlijk toestemming voor vragen voor ik ze mag plaatsen.

Ga ervanuit dat wanneer je social media integratie op je website hebt, je ook cookies serveert!

Ook was ik vergeten dat ik zo’n handige social media sharing widget onderaan mijn artikelen had staan, waarmee je snel een artikel kan delen. Maar die makkelijke like-, tweet- en andere sharing buttons en codes zijn vaak ook trackers. Wanneer een bezoeker is ingelogd bij Facebook, Twitter of Google+, houden deze bij dat hij of zij je pagina heeft bezocht. En dat gebeurt (meestal) ook als je bezoeker niet op die button klikt.

Ik testte het uit en deelde mijn eigen artikel op Twitter, en meteen doken er 15 cookies mijn computer in. Die deelfunctionaliteit heb ik dus meteen van mijn site afgehaald. Mensen kunnen zelf ook wel een URL kopiëren en plakken als ze echt iets van mijn site willen delen op social media vind ik. En uit onderzoek blijkt dat bijna niemand deze knoppen gebruikt. Weggooien die hap! Als ze voor jouw site echt nodig zijn, dan kun je overigens voorkomen dat deze sharing buttons cookies plaatsen met een technische oplossing (Shariff code).

Eet je liever koekjes dan dat je ze gaat zoeken op je website?

Er zijn een aantal slimme bedrijven die het je gemakkelijk maken om aan de cookiewet te voldoen met hun cookie service: Met tools zoals de gratis test van Cookiebot controleer je of je cookies op je website hebt staan. Cookieinfo helpt je met het plaatsen van de juiste banners en scripts om cookies op de goede manier te serveren. En met Iubenda kun je handmatig invullen welke cookies je gebruikt, en zij maken dan de juiste disclaimers en privacyverklaringen voor je.

Heb ik een cookiebanner of toestemming nodig?

Vanaf het invoeren van de AVG wet mag je niet meer ergens onderaan je site hebben staan: “Als je op deze site bent, dan ben je akkoord met het plaatsen van cookies.“ Dat is niet expliciet en duidelijk genoeg. Vind jij invasieve analytics en marketing cookies wel nodig op je site, dan moet je je bezoekers hierover informeren en toestemming vragen:

Een bezoeker moet voordat je een cookie plaatst expliciet toestemming geven dat je zijn persoonsgegevens (zoals IP-adres en online voorkeuren) gaat verzamelen. Zij moeten dan actief op een knopje drukken om toestemming te geven. Het moet ook net zo makkelijk zijn om de toestemming voor cookies weer in te kunnen trekken, bij voorkeur via dezelfde pagina of dezelfde knop.

Je moet daarnaast kunnen aantonen dat iemand daadwerkelijk toestemming heeft gegeven voor het plaatsen van een cookie. Deze toestemming moet je dus, van elke gebruiker, ergens opslaan – en kunnen laten zien mocht de ACM je ernaar vragen.

Je komt niet meer weg met vage informatie op je website

Vertel je bezoekers zo transparant mogelijk en in normale taal vertellen welke gegevens je verzamelt, wat het doel is, aan wie je ze verstrekt (Google of Facebook wellicht?) en ook de bewaartermijn. Dat doe je in een cookiestatement en/of privacyverklaring die je op je website plaatst. Lees meer over de AVG en privacyverklaring op mijn blog Voldoe jij aan de nieuwe privacywetgeving met je website?

Voorbeeld van een duidelijke cookiebanner van Cookieinfo:

Stappenplan voor een gezonde website zonder cookies

1 Check of je website cookies serveert

Check het handmatig (elke pagina) via de Inspect Element (F12 knop) van Chrome of Firefox > Application > Storage > Cookies. Of via browser extensies zoals Ghostery en cookiechecker.nl. Denk aan cookies via buttons en plugins van Facebook, Google (YouTube), Jetpack, comment plugins zoals Disqus, Instagram, LinkedIn, Vimeo, SlideShare, SoundCloud, doubleclick.net, en Surveys. Vergeet niet je sharing buttons te controleren, net als winkelmandjes, analytics software, chats plugins, advertentiebanners, en nieuwsbrief pop-ups.

Tools voor jouw (WordPress website)

Laat het automatisch checken door online tools zoals Cookieinfo, Iubenda of de gratis test van Cookiebot. Dit heeft de voorkeur, omdat je anders handmatig elke pagina door moet lopen en net als ik belangrijke cookies mist.

 

2 Ga na of je cookies serveert die niet nodig zijn voor je website

Denk aan tracking cookies van Google die IP-adressen verzamelen en cookies van social media bedrijven die een impact hebben op de privacy. Bedenk of je ook zonder marketingcookies kunt, en delete wanneer mogelijk de ergste indringers van privacy van derde partijen, zoals Facebook Pixel en Heatmaps (Hotjar). Een privacybeschermende plugin voor bezoekersanalyse op WordPress is bijvoorbeeld Statify, een goed alternatief voor Google Analytics. Het verwijderen van alle tracking cookies is de makkelijkste manier om te voldoen aan de cookiewet.

3 Informeer je bezoekers met een cookieverklaring op je website

Serveer je cookies die een impact hebben op de privacy van je bezoekers? Dan moet je bezoekers informeren en toestemming vragen hiervoor.

Plaats een cookiebanner prominent op je site met daarin toegang tot alle informatie en plaats ook een link naar je cookieverklaring op een makkelijk te vinden plaats zoals onderaan in je footer.

Wat moet er in een cookieverklaring staan?

  • Wat zijn cookies?
  • Welke soort cookies plaatst je en waarom?
    • Functionele of noodzakelijke cookies
    • Voorkeurscookies
    • Analytische
    • Advertentie of marketingcookies
  • Hoe zijn cookies te verwijderen?
  • Lijst van de specifieke cookies die je gebruikt met daarbij welke informatie de cookie verzamelt, of je het direct naar Google doorstuurt, het type cookie en hoe lang je ze bewaart.
  • (Optie om de niet noodzakelijke cookies niet te accepteren).

Zie bijvoorbeeld de cookieverklaring van 9292.nl of de lijst met cookieverklaringen van bedrijven onderaan deze pagina ter inspiratie.

Let wel op dat cookies aan je website kunnen worden toegevoegd zonder dat jij het weet, door plugins en social media integratie. Controleer dit regelmatig, we weten allemaal dat Facebook geen lieverdje is op het gebied van privacy.

Hier vind je een handige tool van Iubenda om een automatische Terms and Conditions pagina aan te maken: https://www.iubenda.com/en/terms-and-conditions-generator

3 Vraag toestemming aan je bezoekers

Nadat je de bezoeker precies hebt verteld wat je wilt gaan doen moet je ze om toestemming vragen. Toestemming vraag je meestal in je cookiebanner. De keuzevakjes voor toestemming moeten actief worden aangevinkt en cookies mogen pas worden geplaatst nadat de bezoeker toestemming heeft gegeven. Deze toestemming moet je voor elke bezoeker per cookie aan kunnen tonen, tot 5 jaar terug in de tijd. En de toestemming moet net zo gemakkelijk weer in te trekken zijn.

Dit kun je automatisch laten doen door (soms betaalde) tools als CookieConsent, Cookieinfo, Iubenda, Cookiebot of Civicuk. Met sommige tools kan de bezoeker zelf aanvinken welke cookies hij/zij wel en niet wilt laten plaatsen. Complianz.io heeft ook een volledig pakket om met je WordPress site overal aan te voldoen.

Voorbeeld van de ICTrecht cookiebanner waarin je als bezoeker een transparante keuze hebt:

3 Publiceer een privacyverklaring op je website

Bijna elke website heeft een privacyverklaring nodig. Deze verklaring pas je aan aan de nieuwe AVG wet en hierin neem je ook de informatie over cookies op en verwijs naar de cookieverklaring. Hierin moeten je bedrijfsnaam en contactgegevens staan en het doel van het verwerken van persoonsgegevens. Maar je moet ook uitleggen wat cookies doen en welke jij verzamelt, vermelden dat de bezoeker recht hebben op inzage, aanpassing en verwijdering van hun gegevens, en toelichten welke beveiligingsmaatregelen je hebt getroffen.

Mijn eigen privacyverklaring komt van Juridox, een beetje op maat gemaakt voor mijn website en maar 45 euro. Meer weten over de privacyverklaring en de AVG? Lees mijn blog Voldoe jij aan de nieuwe privacywetgeving met je website?.

Blijf checken of er door plugins of andere partijen geen nieuwe cookies bijkomen en pas je verklaringen hierop aan. Zie ook de praktische handleiding van Cookieinfo.net.

Iubenda heeft een goede tool om een Terms and Conditions pagina te genereren. Er is ook een tool om een Privacy en Cookie Policy te publiceren.

Hopelijk heb ik je een beetje op weg geholpen met de cookiewet. Ik kan je helaas niet helpen om aan de AVG en cookiewet te voldoen. Ben ik iets vergeten in dit artikel? Laat het me weten, dan pas ik dit artikel aan.

Oh ja, koekjes zijn in het echte leven ook niet zo gezond, en ik zou ook altijd even vragen of iemand wel echt een koekje wilt voordat je ze voorschotelt. Meer weten over gezondheid? Check ons boek Eet als een Expert! 😉

Epiloog…

Hoe doen de privacy instanties het zelf?

Ik had verwacht dat al die privacy instanties zelf geen cookies zouden serveren en geen persoonsgegevens zouden verzamelen op hun websites. Dat doen ze dus allemaal wel. Ze verzamelen IP-adressen voor het analyseren van hun website en gebruiken Google, YouTube, LinkedIn en andere social media die third-party cookies plaatsen. Zie hieronder een aantal cookieverklaringen van de grootste instanties:

Wellicht ben ik dus roomser dan de paus met mijn wens voor een cookievrije website. Het is natuurlijk prima om er zelf wel voor te kiezen om cookies te plaatsen, maar zorg er dan voor dat je het volgens de regels doet.

Handige artikelen over de cookiewet

Let op: dit is geen juridisch advies en ik ben geen advocaat. Deze blog is ontstaan omdat ik mijn eigen klanten wilde informeren over deze wet. Hiervoor heb ik heb zelf juridisch advies gevraagd, het handboek over de AVG gelezen en zelf privacy documenten opgesteld, maar ik kan absoluut geen advies uitbrengen over wat jij met je bedrijf moet doen om te voldoen aan de nieuwe eisen.

Wil je een professioneel ontworpen eigen website? Neem dan contact met me op!

Voor zelfstandigen en kleine bedrijven is de Website-in-1-dag optie het meest voordelig. Reserveer op tijd een plekje, op het moment is er een wachtlijst.

Lees dan eerst het handboek voor een nieuwe website door en stuur me jouw huiswerk vragenlijst!

Wil je zelf leren ontwerpen? Boek een workshop wetenschapscommunicatie en design voor jullie afdeling!

Liesbeth Smit

Liesbeth Smit achter bureau

Meer tips & tricks voor je website:

Geïnteresseerd in een website, infographic, animatie of workshop?

E-mail me op info@liesbethsmit.com

Ben je wetenschapper of werk je bij een universiteit? Kijk dan eens bij The Online Scientist. Samen met Stephan van Duin help ik promovendi, hoogleraren en andere wetenschappers hun resultaten beter te presenteren voor meer impact!

Met onze workshops wetenschapscommunicatie leren we je hoe je zelf impact te maken met je boodschap, teksten, (poster) presentaties, graphical abstracts, infographics, sociale media en websites.

www.theonlinescientist.com

Liesbeth Smit met designs

Over Liesbeth Smit, MSc

Liesbeth Smit maakt wetenschap sexy!

Ze is (web)designer, wetenschapscommunicator, geregistreerd voedingswetenschapper, spreker over voeding & misinformatie, en co-auteur van boeken over gezonde voeding (Eet als een expert) en presentatiedesign (Cause an Effect).

  • Op LinkedIn support ik wetenschappers & ondernemers die mooie dingen doen en deel ik voorbeelden van mijn werk.

  • Op Mastodon deel ik inspirerende verhalen, vecht ik tegen misleiding, en toot ik mijn frustraties over saaie wetenschapscommunicatie.

  • Op Instagram ben ik iets te eerlijk, en maak ik creatieve posts met tips voor beter design.

  • Op Twitter @Liesbeth_Smit tweet ik (vooralsnog) over mijn werk.

Making science sexy

Partner in science: Stephan van Duin | Oprichter van The Online Scientist | Headshots: LOOR.fotografie | Privacy & Cookies | Algemene Voorwaarden | Prijzen