Organisaties gebruiken cookies en vergelijkbare technieken op hun website zodat zij inzicht kunnen krijgen in bijvoorbeeld wat voor soort bezoekers de website bezoeken en via welke andere websites de internetgebruikers hebben doorgeklikt om op de huidige website terecht te komen. Er zijn verschillende soorten cookies. Zo zorgen functionele cookies ervoor dat een website werkt en er sprake is van minimaal gebruikersgemak (zoals het onthouden van de inhoud van het winkelmandje). Daarnaast zijn er analytische cookies die bepaalde informatie verzamelen. Deze informatie wordt vervolgens ingezet om een website verder te kunnen ontwikkelen en te verbeteren. Maar sommige cookies hebben ook een groot commercieel voordeel, ze bieden bijvoorbeeld de mogelijkheid om de bezoeker van een website gepersonaliseerde advertenties voor te schotelen. We spreken dan van zogenaamde tracking- of marketingcookies. Voor het gebruik van dit soort cookies en alle andere niet-functionele cookies of niet-privacyvriendelijke analytische cookies, is expliciete toestemming nodig en dient de bezoeker van de website te worden geïnformeerd over het gebruik van deze cookies.
Wetgeving
Er wordt vaak gesproken van de ‘cookiewet’, maar die bestaat eigenlijk niet. Het gebruik van cookies – maar ook vergelijkbare technieken zoals de inzet van trackingpixels – is in Nederland wettelijk geregeld in artikel 11.7a van de Telecommunicatiewet. Voor het gebruik van cookies (en vergelijkbare technieken) ter verkrijging van analytische inzichten is volgens de wet toestemming vereist. Voor functionele of analytische cookies die geen of geringe inbreuk op de privacy maken is geen toestemming vereist. Op het gebruik van trackingcookies is ook de AVG van toepassing; de Telecommunicatiewet verwijst naar de AVG voor het toestemmingsbegrip. Bij het plaatsen en uitlezen van trackingcookies worden altijd gegevens verzameld, zoals cookie ID’s, IP-adressen en persoonsgegevens over eerder bezochte websites. Daarom dient dit met inachtneming van het gegevensbeschermingsrecht plaats te vinden en te gebeuren op basis van toestemming.
Verbod op de ‘cookiewall’
In maart 2019 legde de Nederlandse Autoriteit Persoonsgegevens (AP) uit dat een beeldvullende pop-up op een website met de toestemmingsvraag om het gebruik van cookies (cookiewall) naar haar mening niet is toegestaan. Deze toestemmingsvraag moet namelijk voldoen aan een aantal eisen die worden gesteld in de AVG. De AP oordeelde dat de cookiewall niet aan deze eisen voldoet, gezien de toestemming niet vrijelijk wordt gegeven, maar min of meer wordt afgedwongen op deze manier en daarom niet toegestaan is.
Een jaar nadat de AP deze normuitleg publiceerde, kwam de European Data Protection Board (EDPB) – het onafhankelijk Europees orgaan dat erop toeziet dat de verschillende gegevensbeschermingsautoriteiten uit de EU goed met elkaar samenwerken – met richtsnoeren waarin de toestemming onder de AVG werd herzien. Ook de EDPB heeft het gebruik van cookiewalls afgekeurd, omdat de toestemming die wordt gegeven niet kan worden aangemerkt als vrijelijk gegeven toestemming. Praktisch gezien komt dit erop neer dat cookiewalls verboden zijn, ook al is dit niet expliciet in de wet vastgelegd.
Toestemming
Hoewel de cookiewall niet is toegestaan, zijn er voldoende mogelijkheden om alsnog cookies te mogen plaatsen bij de websitebezoeker. Dit dient te gebeuren op basis van toestemming. Toestemming kan alleen geldig worden gegeven als aan de volgende eisen is voldaan:
- Vrijelijk gegeven: er mag geen druk worden uitgeoefend bij het geven van de toestemming en de bezoeker mag niet worden benadeeld als hij zou weigeren om toestemming te geven.
- Ondubbelzinnig: er moet een duidelijke actieve handeling plaatsvinden.
- Geïnformeerd: voordat men toestemming geeft moet men weten waar precies toestemming voor wordt gegeven.
- Specifiek: de toestemming moet worden gegeven voor een specifiek en afgebakend doel.
Naast een toestemmingsvraag dient de eigenaar van de website de websitebezoeker te informeren over het gebruik van cookies. Deze informatie kan worden opgenomen in een uitgebreide (privacy- en) cookieverklaring en de cookiebanner van de website. De cookiebanner dient de volgende informatie te bevatten:
- Welke categorieën partijen gebruikmaken van de cookies.
- Welke soorten cookies worden geplaatst (analytisch, marketing, etc.).
- Voor welke doeleinden de cookies worden gebruikt.
- Een link naar de (privacy- en) cookieverklaring voor meer informatie.
Daarnaast dient de cookiebanner ook duidelijke mogelijkheden te geven om cookies te kunnen weigeren en mogen vakjes niet vooraf aangevinkt staan (behalve de vinkjes voor de functionele cookies en privacyvriendelijke analytische cookies).
Recente ontwikkelingen
Er lijkt een ontwikkeling gaande te zijn waarbij het voortbestaan van marketingcookies in de toekomst onzeker is. Met name door de discussies rondom privacy, de weerstand van internetgebruikers tegen cookies en tracking en de wens naar meer inzichtelijkheid in wat er met alle gegevens wordt gedaan, lijkt deze marketingtechniek niet heel veel langer meer houdbaar. Techbedrijven spelen hier al rustig op in. Nu al lijkt het een verdienmodel en een afzetting tegen de concurrent te zijn, door als techbedrijf te stellen dat je de privacy van je gebruikers respecteert en technische maatregelen treft om deze privacy tot op zekere hoogte te waarborgen (bijvoorbeeld privacyvriendelijke browsers).
Dit alles wil niet zeggen dat er niet nog volop gebruik wordt gemaakt van cookies voor commerciële doeleinden. Voor nu wordt er een balans gezocht tussen privacy van de internetgebruiker en de marketingbelangen van bedrijven. Zo heeft Google bijvoorbeeld en nieuwe API ontwikkeld: Google Consent Mode. Door gebruik te maken van Google Consent Mode kunnen websites gemakkelijk conversies en verkeer in Google Ads en Google Analytics meten en zegt het daarmee te kunnen voldoen aan de AVG. Met de toestemmingsmodus van Google kan de website nog steeds gegevens ontvangen van advertentiecampagnes, conversies toeschrijven en websitebezoek meten, ook al weigeren gebruikers het gebruik van cookies op de website. De gegevens over de conversie worden nog steeds ontvangen, maar op geaggregeerd niveau. Op die manier kan de website het aantal conversies wel bijhouden.