Wat zegt de AVG over toestemming voor cookies?

Er heerst momenteel nog veel onduidelijkheid over wat de AVG precies zegt over wanneer en hoe er cookies mogen worden geplaatst op websites. Dit komt omdat de ePrivacy Verordening, de wetgeving die onder andere specifiek gaat over het plaatsen van cookies, naar verwachting is uitgesteld tot eind 2019. Ik zet daarom graag even op een rij wat er nu wel en niet mag op het gebied van cookies.

De AVG gaat strikt over de bescherming van persoonsgegevens en niet over het plaatsen van cookies. Echter, bij tracking cookies (denk bijvoorbeeld aan marketingcookies, of een Facebook Pixel of Like-button) worden vaak persoonsgegevens doorgegeven. Hierdoor is de AVG ook op deze cookies van toepassing.

Verwerken van persoonsgegevens

Het verwerken van persoonsgegevens mag alleen als hiervoor in de AVG een “geldige grondslag” te vinden is. Dit houdt in dat het noodzakelijk is om deze persoonsgegevens te verwerken, bijvoorbeeld om een overeenkomst uit te voeren. Voor het doorgeven van persoonsgegevens, voor een ander doel dan waarvoor deze verzameld zijn, moet je toestemming vragen van de betrokkene. Omdat het verwerken van deze gegevens niet noodzakelijk is om jouw website te tonen, heb je onder de huidige cookiewet toestemming van de bezoeker nodig voor het plaatsen en uitlezen van deze privacygevoelige cookies.

Het toestemmingsvereiste wordt door de AVG zelfs nog uitgebreid; je moet de gegeven toestemming namelijk vastleggen.. Het is dus niet meer voldoende om iemand te informeren en door een inactieve handeling, zoals “verder surfen”, “doorgaat met browsen”, “doorgaat met bladeren”, “verder navigeert” of “verder gebruik maakt van deze website”, toestemming te verkrijgen. Het is nu onder de AVG noodzakelijk dat de websitebezoeker een actieve handeling verricht waarvan je zeker moet kunnen zijn dat hij daarmee toestemming bedoelde te geven, oftewel: je dient expliciete toestemming te verkrijgen.

Wanneer verkrijg je dan die expliciete toestemming? Je voldoet aan deze voorwaarde door bijvoorbeeld een duidelijke “Ik ga akkoord”- of “Ik ga niet akkoord”-knop op je site op te nemen.

Transparante cookiemelding

Maar wat nou als iemand dan geen keuze maakt? Of wat als iemand nou niet op een dergelijke knop klikt, maar vervolgens wel doorgaat op mijn website? Mag ik er dan vanuit gaan dat iemand toestemming geeft? Op dit moment kan daar nog geen specifiek antwoord op worden gegeven, omdat dit in de AVG niet expliciet wordt behandeld. Naar alle waarschijnlijkheid wordt hier in de E-privacy Verordening meer duidelijkheid over gegeven. Mijn advies: zorg voor een cookiemelding die duidelijk, helder en transparant is, met een echte “Akkoord/niet akkoord”-button. Verwijs vervolgens in je cookiemelding naar je cookieverklaring, waarin je uitlegt welke cookies je met welke reden plaatst. En beschrijf de gevolgen voor degenen die geen keuze maken.

Al met al is het dus zaak dat de ePrivacy Verordening snel in werking treedt en dat er daarmee meer duidelijkheid komt op het gebied van cookies.