De Autoriteit Persoonsgegevens benadrukte vorige week dat zogenoemde cookiewalls niet zijn toegestaan volgens hun interpretatie. Toevallig of niet ook onze eerdere interpretatie. Maar cookiewalls zijn niet de enige foutieve implementaties voor het verkrijgen van toestemming voor tracking cookies. Veel websites die geen dwingende cookiewall gebruiken, doen het alsnog fout. Hieronder vind je een overzicht van foute en goede cookiewalls, banners, pop-ups, meldingen, of hoe je ze ook noemt. Zo kun je eenvoudig checken of de basis voor het verkrijgen van geldige toestemming voor tracking cookies voldoende is.

Voor het gebruik van zogenaamde tracking cookies moeten bezoekers toestemming geven voordat deze gebruikt mogen worden.

Toestemming moet een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting zijn waarmee iemand door middel van een verklaring of een duidelijke actieve handeling de verwerking van persoonsgegevens aanvaardt.

Verkeerde cookie oplossingen

Geen toestemming vragen

De basis is dat je geen tracking cookies plaatst voordat een bezoeker actief toestemming geeft. Er zijn veel sites die dit niet goed doen.

KPMG bijvoorbeeld, vraagt om toestemming maar plaatst al diverse tracking cookies zonder je toestemming gegeven hebt.

Onjuist toestemming vragen

Dat je toestemming vraagt voordat je tracking cookies gebruikt, wil nog niet zeggen dat je ook op de juiste manier toestemming vraagt.

In de volgende veelvoorkomende toepassingen voor het verkrijgen van toestemming voor het gebruik van tracking cookies op websites wordt geen geldige toestemming verkregen. Er is geen sprake van vrije toestemming. De Autoriteit Persoonsgegevens geeft deze voorbeelden ook op de website.

Onjuist: Cookiewall

Een bezoeker kan de website alleen gebruiken als tracking cookies geaccepteerd worden.

Bezoekers kunnen alleen de website gebruiken als ze tracking cookies accepteren.

Deze vorm van toestemming verkrijgen is onjuist omdat er geen sprake is van een vrije keuze. Bezoekers worden gedwongen tracking cookies te accepteren.

Je ziet een voorbeeld van een dergelijke niet toegestane cookiewall op onder andere de websites telegraaf.nl en rtlnieuws.nl.

Onjuist: Opt-out standaardinstellingen

Toestemming voor het gebruik van tracking cookies is als instelling reeds aangevinkt. De bezoeker geeft geen toestemming door een actieve handeling; tracking cookies worden gebruikt als de bezoeker niets onderneemt.

Standaard worden tracking cookies gebruikt.

De cookiemelding op de website van Deloitte is een voorbeeld van een dergelijke standaardinstelling. ‘Doelgroepgerichte cookies’ onder instellingen staan standaard op ‘actief’. Ook de websites van uitgever Sanoma (o.a. nu.nl) hebben de toestemming voor tracking cookies direct / standaard ‘aan’ staan.

Onjuist: Implied consent

De bezoeker wordt geacht akkoord te gaan met het gebruik van tracking cookies als hij de website verder gebruikt, door bijvoorbeeld naar een andere pagina te navigeren.

De website kan niet gebruikt worden zonder plaatsing van tracking cookies.

Marktplaats.nl is hiervan een voorbeeld. Marktplaats vermeldt dat je met klikken op “Ja, ik ga akkoord”, op een item of een andere link op marktplaats.nl, je akkoord met het gebruik van (functionele, analytische en tracking) cookies en andere vergelijkbare technieken. Klik je niet op “Ja, ik ga akkoord”, maar klik je link op de website aan, dan worden er vele tracking cookies geplaatst en gebruikt.

Deze vorm van ongeldige toestemming verkrijgen komt redelijk veel voor doordat juristen deze vorm nog wel eens, ten onrechte, adviseerden om AVG compliant te zijn.

Juiste toestemming voor tracking cookies

Echte keuze tussen accepteren of niet accepteren

Met de keuze tussen wel of niet accepteren van tracking cookies te geven verkrijg je in princpe wel geldige toestemming. Een vrije keuze gebruikt pas tracking cookies als je op ‘ja’ of ‘akkoord’ klikt. Niets doen, verder klikken op de website, het venster sluiten en ‘nee’ of ‘geen akkoord’ geven zorgt dat er geen tracking cookies gebruikt worden.

Weigeren is eenvoudig mogelijk

Hierin zijn nogal wat variaties mogelijk. Zo kun je er voor kiezen om iedereen je website gewoon te laten gebruiken met ergens een klein verzoek om tracking cookies te accepteren. Of je probeert zoveel mogelijk mensen te lokken tracking cookies te accepteren door designverschillen.

Weigeren is mogelijk..

In dit laatste geval kan er natuurlijk altijd discussie ontstaan over de duidelijkheid en kies je bewust om je bezoekers een bepaalde kant op te duwen. Om dergelijke ‘dark patterns’ zijn veel klachten tegen bijvoorbeeld Facebook.

Betaling als alternatief voor tracking cookies

Betaling lijkt op dit moment ook een alternatief om de website zonder tracking cookies beschikbaar te maken. Vooral voor websites die afhankelijk zijn van reclame-inkomsten kan dit interessant zijn.

De bezoeker heeft dan de keuze te betalen voor content met persoonlijke data (accepteren van tracking cookies) of met geld, waarna er geen gebruik van tracking cookies gemaakt wordt.

Er wordt een keuze geboden, de bezoeker kan de website zonder acceptatie van tracking cookies gebruiken én je kunt verwachten dat de acceptatie van tracking cookies redelijk hoog is.

Bezoekers kunnen kiezen of ze betalen met data of geld.

Let op: voldoet je cookie consent volgens dit artikel? Dan kun je alsnog niet conform de AVG handelen. Buiten ‘vrije’ toestemming moet toestemming óók specifiek, geïnfomeeerd en ondubbelzinnig zijn.