AVG

Zes vuistregels waaraan jouw cookiebanner moet voldoen

Zes vuistregels waaraan jouw cookiebanner moet voldoen 853 650 Ekelmans Advocaten
Kopie van Blog afbeelding (500 x 400 px) (5)
Leestijd: 6 minuten
Lesedauer: 6 Minuten
Reading time: 6 minutes
Expertise:

De Autoriteit Persoonsgegevens (AP) is dit jaar gestart met een meerjarenproject dat het ongeoorloofd online volgen van mensen aanpakt. Kruidvat kreeg onlangs als een van de eerste bedrijven een boete van €600.000 voor het onrechtmatig verzamelen van gegevens via tracking cookies. Wil jij weten aan welke eisen jouw cookiebanner moet voldoen om boetes te voorkomen? Lees dan de blogpost van advocaat Sjoerd Aelen.

Wat zijn cookies?

Cookies zijn kleine stukjes code die op je apparaat worden geplaatst bij het bezoeken van een website. Met behulp van cookies kan je de gebruikservaring van je website verbeteren door bijvoorbeeld inloggegevens of de producten in een winkelmandje te onthouden. Ook kan je door middel van cookies een gebruikersprofiel opstellen, en daarmee gerichter advertenties tonen. Met name deze zogeheten ‘tracking cookies’ zijn aantrekkelijk.

Verwerken van persoonsgegevens

Bedrijven en organisaties verwerken met cookies vaak ook persoonsgegevens van de websitebezoeker. Het is daarom belangrijk dat websitebezoekers goed worden geïnformeerd over het cookiebeleid. Dat gebeurt over het algemeen via een cookiebanner. Voor het gebruik van tracking cookies moet je expliciet en ondubbelzinnig toestemming vragen van de websitebezoeker. Dit is verplicht op grond van de Telecommunicatiewet (ook wel: Cookiewet) en de Algemene Verordening Gegevensbescherming (AVG).

Welke soorten cookies zijn er?

Er bestaan verschillende soorten cookies, die elk in verschillende mate inbreuk maken op de privacy van de websitebezoeker. Globaal kunnen we drie soorten onderscheiden: functionele cookies, analytische cookies en tracking cookies.

Soort Doel Voorbeeld Toestemming
Functionele cookies Deze cookies zijn essentieel voor de basisfunctionaliteiten van een website. Ze zorgen ervoor dat een gebruiker toegang heeft tot de beveiligde delen van een website en dat de website goed functioneert. Onthouden van inloggegevens, producten in een winkelmandje bewaren, voorkeuren zoals taalinstellingen en lettergrootte. Omdat functionele cookies noodzakelijk zijn voor de werking van een website, is er geen expliciete toestemming van de gebruiker vereist. Wel moet de gebruiker geïnformeerd worden over het gebruik van deze cookies.
Analytische cookies Analytische cookies verzamelen gegevens over hoe bezoekers de website gebruiken. Dit omvat informatie zoals welke pagina’s het meest worden bezocht en hoe lang gebruikers op de site blijven. Deze gegevens helpen de website-eigenaar om de prestaties van de site te verbeteren en de gebruikerservaring te optimaliseren. Deze cookies helpen bijvoorbeeld om te begrijpen welke inhoud populair is, hoe gebruikers door de site navigeren en waar eventuele knelpunten in de gebruikerservaring zitten. Voorbeelden zijn Google Analytics, Hotjar en  Matomo. Voor analytische cookies die weinig impact hebben op de privacy, zoals geanonimiseerde gegevensverzameling, is geen expliciete toestemming nodig. Echter, als deze gegevens worden gebruikt voor tracking of door derde partijen worden verwerkt, is toestemming wel vereist.
Tracking cookies Tracking cookies worden gebruikt om een gedetailleerd profiel van de gebruiker op te stellen. Ze volgen het surfgedrag over meerdere websites en verzamelen informatie voor gerichte advertentiedoeleinden, wat kan leiden tot gepersonaliseerde advertenties. Cookies van advertentienetwerken zoals Google Ads, Facebook Pixel en andere retargeting-tools. Voor tracking cookies is altijd expliciete toestemming vereist van de gebruiker, aangezien ze diepgaande informatie over persoonlijke voorkeuren en gedrag verzamelen.

Aan welke vereisten moet een cookiebanner voldoen?

Een cookiebanner moet volgens de wet in ieder geval aan de volgende vereisten voldoen:

  1. Duidelijke en specifieke informatie: vertel welke cookies worden gebruikt en welk doel deze cookies hebben. Gebruik geen vage of sturende bewoordingen. Wij adviseren om in de cookiebanner te linken naar het privacy statement (en andersom).
  2. Vrije en ondubbelzinnige toestemming: de gebruiker moet actief toestemming geven voor het gebruik van tracking cookies. Dit betekent dat vooraf aangevinkte vakjes niet zijn toegestaan. Zet de knoppen voor weigeren / accepteren gelijkwaardig op één laag.
  3. Toestemming voor verschillende soorten cookies: bied gebruikers de mogelijkheid geven om per type cookie toestemming te geven.
  4. Eenvoudige mogelijkheid om toestemming in te trekken: maak het gemakkelijk voor de gebruiker om een gegeven weer in te trekken. Zorg er ook voor dat de documentatie van cookies na intrekking van de toestemming stopt.
  5. Documentatie en bewijsvoering: zorg dat je kunt aantonen dat je geldig toestemming hebt verkregen voor het plaatsen van cookies. Dit kan door het bijhouden van een logbestand waarin wordt geregistreerd welke keuzes gebruikers hebben gemaakt en wanneer.
  6. Niet-nadelige ervaring: het weigeren van cookies mag de toegang tot de website of diens functionaliteiten niet onredelijk beperken. Gebruikers moeten de site kunnen blijven gebruiken, zelfs als ze bepaalde cookies weigeren.

Door aan deze vereisten te voldoen kan je handhaving van de AP voorkomen. Ook ontloop je hierdoor een mogelijk forse boete. Wil je de vereisten van de AP zelf nalezen? Bekijk hier de vuistregels voor cookiebanners

Wat zijn de mogelijke gevolgen als een cookiebanner niet voldoet aan de vereisten?

Het niet naleven van de wettelijke vereisten voor cookiebanners kan ernstige gevolgen hebben. Dit kan variëren van reputatieschade tot een bestuurlijke boete van de AP.

Boete van €600.000 euro voor tracking cookies op Kruidvat.nl

Drogisterijketen Kruidvat (specifiek: moederbedrijf A.S. Watson) is beboet voor het zonder toestemming plaatsen van tracking cookies op de apparaten van websitegebruikers. In de cookiebanner van Kruidvat.nl waren de vakjes om akkoord te gaan met het plaatsen van tracking cookies standaard aangevinkt. Bezoekers die de cookies alsnog wilden weigeren, moesten veel stappen doorlopen om dit voor elkaar te krijgen. Er was dus geen sprake van een vrije, specifieke, geïnformeerde en ondubbelzinnig wilsuiting. Dit is in strijd met de AVG.

De AP spreekt van gevoelige informatie door het specifieke karakter van drogisterijproducten zoals zwangerschapstesten en medicatie. Door het koppelen van deze informatie aan de locatie van de unieke bezoeker, kan een zeer specifiek en invasief profiel worden geschetst van mensen die Kruidvat.nl bezoeken.

De AP heeft niet direct een boete opgelegd aan Kruidvat, maar heeft het bedrijf eerst per brief in 2019 gewaarschuwd. Nadat in 2020 bleek dat Kruidvat haar cookiebanner niet had aangepast, heeft de AP (met een flinke vertraging) in 2024 een boete opgelegd.

De boete is in lijn met de aankondiging van de AP in haar jaarplan voor het jaar 2024. Hierin heeft zij aangekondigd dat zij een meerjarenproject zal starten dat het ongeoorloofd volgen van mensen, bijvoorbeeld met online cookies, op verschillende fronten aanpakt.

Kruidvat is in beroep gegaan tegen het boetebesluit. Daarom is de boete nog niet definitief. Het is aannemelijk dat de AP een voorbeeld wil stellen met dit boetebesluit en rekent op een afschrikwekkende werking voor andere bedrijven en organisaties. Wil je het boetebesluit nalezen? Dat kan hier.

Rechtbank Amsterdam tikt Criteo op de vingers in verband met tracing cookies

Criteo, een bedrijf dat gespecialiseerd is in advertentietechnologie en onder meer cookies ontwikkeld, is in 2023 door de rechtbank Amsterdam in kort geding veroordeeld voor het onrechtmatig plaatsen van tracking cookies zonder toestemming van gebruikers. Criteo maakte gebruik van deze cookies om uitgebreide gebruikersprofielen op te bouwen en gerichte advertenties te tonen. De cookiebanner die op de websites van Criteo’s partners werd gebruikt, voldeed echter niet aan de vereisten van de AVG en de Cookiewet.

Criteo heeft zich in het kort geding verweerd met de stelling dat de betreffende websites worden beheerd door partners van Criteo en dat het daarom de verantwoordelijkheid is van deze partners om toestemming te verkrijgen. Criteo zou hen hiertoe contractueel hebben verplicht. De rechtbank Amsterdam is echter van oordeel dat Criteo zich niet kan verschuilen achter haar partners. Criteo blijft namelijk ook bij het contractueel vastleggen van verplichtingen met partners zelf een verwerkingsverantwoordelijke partij in de zin van de AVG. De rechtbank Amsterdam heeft daarom in kort geding beslist dat Criteo deze praktijk moet stoppen op last van een dwangsom.

Vervolgens is Criteo tegen deze uitspraak  beroep gegaan. In het hoger beroep stelde Criteo onder meer dat gebruikers in hun browser nieuw te plaatsen cookies kunnen weigeren. Het hof Amsterdam ging hier niet in mee, omdat in de AVG is gekozen voor een opt-in en niet voor een opt-out systeem.

Conclusie: informeer bezoekers, vraag expliciete toestemming en zorg dat je cookiebanner in lijn is met de wet

Het is belangrijk dat jouw bedrijf of organisatie cookies gebruikt in overeenstemming met de AVG en de Cookiewet. Informeer de websitebezoeker over het gebruik van cookies en zorg dat je toestemming krijgt voor het plaatsen van tracking cookies. Volg hiervoor de vuistregels voor cookiebanners van de AP. Zo voorkom je vervelende verrassingen.

Vragen?

Onze Data & Cybersecurity Desk helpt je om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van je klanten te waarborgen. Heb je vragen over de manier waarop jouw organisatie de verplichtingen van de AVG heeft geregeld? Neemt dan contact op met Sjoerd Aelen.

Meer weten over privacy?

Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. Je moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit de branche.

Auteur

Sjoerd Aelen maakt sinds 2022 deel uit van het team Corporate. Hij houdt zich als advocaat bezig met alle aspecten van het ondernemingsrecht. Hij is praktisch ingesteld en gaat graag nieuwe uitdagingen aan. Sjoerd is in maart 2023 gestart met de beroepsopleiding advocatuur.

Websitebezoekers volgen via tracking cookies – geoorloofd?

Websitebezoekers volgen via tracking cookies – geoorloofd? 525 400 Ekelmans Advocaten
Blog cookies (500 x 400 px) (25)
Leestijd: 3 minuten
Lesedauer: 3 Minuten
Reading time: 3 minutes
Expertise:

Tracking cookies staan meer en meer in de belangstelling van de overheid, de Autoriteit Persoonsgegevens en de rechter. De Autoriteit Persoonsgegevens (AP) krijgt vanaf 2024 extra budget om meer toezicht te houden op cookies en online tracking. Dat heeft het kabinet besloten. Lees in deze blog van Anne-Mieke Dumoulin-Siemens meer over deze ontwikkeling en waar je op moet letten, indien je tracking cookies gebruikt.

Tracking cookies kunnen nuttig zijn

Organisaties plaatsen tracking cookies om het surfgedrag van bezoekers van hun websites te kunnen volgen. Van de hierdoor verzamelde gegevens wordt een profiel van de betreffende persoon opgesteld. Dat heet profiling. Via profiling verzamelen organisaties een schat aan informatie over voorkeuren en persoonlijke interesses. Het profiel wordt gebruikt om de bezoeker advertenties op maat voor te schotelen.

Toestemming is vereist

Profiling is in beginsel verboden door de AVG. Tracking cookies mogen pas worden geplaatst nadat de bezoeker van de website daarvoor expliciet toestemming heeft gegeven. Desondanks gaan organisaties flexibel om met de eisen voor het plaatsen van tracking cookies. Het komt regelmatig voor dat een bezoeker van een website wordt verleid om op de ‘alle cookies accepteren’ knop te klikken, dan wel ontdekt dat alle categorieën cookies al zijn aangevinkt of door verder te scrollen hij impliciet akkoord gaat met het plaatsen van tracking cookies. De bezoeker van de website moet ‘vrij’ zijn toestemming te kunnen geven. Deze overduidelijke schending van de AVG heeft –tot voor kort– geen aanleiding gegeven tot noemenswaardige handhaving door de bevoegde autoriteiten.

Actieve handhaving in 2024

De overheid heeft aangekondigd vanaf volgend jaar budget vrij te maken voor aanvullend toezicht op cookies en online tracking door de Autoriteit Persoonsgegevens. Ook de rechter haalt de teugels op het gebruik van tracking cookies aan.

De rechtbank Amsterdam in kort geding verbood recent (onder oplegging van een dwangsom) een technologiebedrijf tracking cookies te plaatsen op de computer van een websitebezoeker zonder diens toestemming, omdat dit in strijd is met de grondrechten en de AVG.  Het technologiebedrijf moet volgens de rechtbank waarborgen dat toestemming van de websitebezoeker wordt verkregen vóórdat de tracking cookies worden geplaatst en de persoonsgegevens worden verwerkt. Het feit dat de websitebezoeker ongewenste cookies zelf kan verwijderen of een opt-out voor cookies kan instellen, is hierbij niet van belang. De rechtbank gaat ook voorbij aan het argument van het technologiebedrijf dat het plaatsen van tracking cookies de kern is van haar business model en dat dit belang prefaleert boven de belangen van de websitebezoeker.

Tips voor het gebruik van cookies

Indien je tracking cookies gebruikt, let er dan op dat je:

  • geldige toestemming verkrijgt van de websitebezoeker vóórdat je de tracking cookies plaatst;
  • de verkregen toestemming administreert zodat je altijd kan aantonen dat toestemming is verkregen;
  • ervoor zorgt dat de websitebezoeker een gegeven toestemming even zo gemakkelijk weer kan intrekken;
  • de plaatsing van tracking cookies daadwerkelijk stopzet wanneer de websitebezoeker de gegeven toestemming intrekt.

Vragen?

Onze Privacy Desk helpt je om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van je klanten te waarborgen. Heb je vragen over de manier waarop jouw organisatie de verplichtingen van de AVG heeft geregeld? Neemt dan contact op met Anne-Mieke Dumoulin-Siemens.

Meer weten over privacyrecht?

Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. Je moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit de branche.

Auteur

Anne-Mieke Dumoulin-Siemens is specialist ondernemingsrecht en privacyrecht. Zij is een kundige gesprekspartner voor (internationale) commerciële ondernemingen en non-profit organisaties. Cliënten waarderen haar juridische adviezen vanwege de praktische en commerciële uitvoerbaarheid ervan.

AVG: boetes voor bedrijven alleen bij verwijtbaar gedrag

AVG: boetes voor bedrijven alleen bij verwijtbaar gedrag 525 400 Ekelmans Advocaten
Blog afbeelding (500 x 400 px) (24)
Leestijd: 3 minuten
Lesedauer: 3 Minuten
Reading time: 3 minutes
Expertise:

Het Hof van Justitie heeft in een recente uitspraak duidelijk gemaakt onder welke voorwaarden de Autoriteit Persoonsgegevens (AP) een administratieve geldboete kan opleggen wegens schending van de algemene verordening gegevensbescherming (AVG). Advocaat Anne-Mieke Dumoulin-Siemens bespreekt in deze blog waar je als organisatie op moet letten om zo’n boete te voorkomen.

HvJ EU 5 december 2023: ECLI:EU:C:2023:950 (Deutsche Wohnen)ECLI:EU:C:2023:949 (Nacionalinis visuomenės sveikatos centras)

Boete alleen bij verwijtbaar gedrag

Wanneer jouw organisatie als verwerkingsverantwoordelijke persoonsgegevens verwerkt en daarmee de regels van de AVG schendt, kan de AP een administratieve boete opleggen. Het Europees Hof van Justitie (Hof) heeft in een recente uitspraak duidelijk gemaakt onder welke voorwaarden de AP een dergelijke boete kan opleggen. Dat kan alleen als sprake is van verwijtbaar gedrag. Dat wil zeggen wanneer jouw organisatie de overtreding opzettelijk of uit nalatigheid heeft begaan. Dat is het geval, aldus het Hof, wanneer jouw organisatie niet onwetend kon zijn van het inbreukmakende karakter van zijn gedrag, ongeacht of zij zich al dan niet bewust was van de inbreuk.

Het gaat om verwijtbaar gedrag van:

1. de rechtspersoon

Het niet noodzakelijk dat de inbreuk door het bestuur is gepleegd. Evenmin is het noodzakelijk dat het bestuur van de inbreuk op de hoogte was. Integendeel, jouw organisatie is aansprakelijk voor zowel inbreuken die zijn gepleegd door het bestuur, als voor inbreuken gepleegd door ‘gewone’ werknemers die handelen in het kader van de bedrijfsactiviteiten van jouw organisatie en namens jouw organisatie.

2. de door jou ingeschakelde verwerker

Bovendien kan de AP jouw organisatie een geldboete opleggen voor handelingen verricht door een verwerker, voor zover deze handelingen aan jouw organisatie kunnen worden toegerekend.

Samenvattend – waar moet je op letten?

De geldboete kan dus –kort gezegd– worden opgelegd als jouw organisatie behoorde te weten dat de betreffende handeling inbreuk maakt op de regels van de AVG. Dat is al snel het geval, omdat je in het algemeen geacht wordt de regels van de wet te kennen.

Jouw organisatie is verantwoordelijk voor handelingen die een verwerker in jouw opdracht uitvoert. Je dient het onderwerp, de duur, de aard en het doel van de verwerking in een verwerkersovereenkomst af te spreken. Dat is een eis van de AVG (artikel 28). Gezien de uitspraak van het Hof is het belangrijk om de opdracht aan de verwerker nauwkeurig te omschrijven. Daarmee leg je de reikwijdte van jouw verantwoordelijkheid voor het handelen van de verwerker vast. De verwerker is zelf verantwoordelijk voor handelingen die buiten de opdrachtomschrijving vallen.

Vragen?

Onze Privacy Desk helpt je om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van je klanten te waarborgen. Heb je vragen over de manier waarop jouw organisatie de verplichtingen van de AVG heeft geregeld? Neemt dan contact op met Anne-Mieke Dumoulin-Siemens.

Meer weten over privacyrecht?

Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. Je moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit de branche.

Auteur

Anne-Mieke Dumoulin-Siemens is specialist ondernemingsrecht en privacyrecht. Zij is een kundige gesprekspartner voor (internationale) commerciële ondernemingen en non-profit organisaties. Cliënten waarderen haar juridische adviezen vanwege de praktische en commerciële uitvoerbaarheid ervan.

Ekelmans Advocaten N.V. gebruikt noodzakelijke en analytische cookies om ervoor te zorgen dat onze website zo goed mogelijk functioneert en om het gebruik van onze website te analyseren en te verbeteren. Wij gebruiken geen cookies voor marketingdoeleinden. Lees hier meer over in onze privacyverklaring en cookieverklaring