Zo voorkom je een boete van de Autoriteit Persoonsgegevens: zes vuistregels waaraan jouw cookiebanner moet voldoen

Wat zijn cookies?

Cookies zijn kleine stukjes code die op je apparaat worden geplaatst bij het bezoeken van een website. Met behulp van cookies kan je de gebruikservaring van je website verbeteren door bijvoorbeeld inloggegevens of de producten in een winkelmandje te onthouden. Ook kan je door middel van cookies een gebruikersprofiel opstellen, en daarmee gerichter advertenties tonen. Met name deze zogeheten ‘tracking cookies’ zijn aantrekkelijk.

Verwerken van persoonsgegevens

Bedrijven en organisaties verwerken met cookies vaak ook persoonsgegevens van de websitebezoeker. Het is daarom belangrijk dat websitebezoekers goed worden geïnformeerd over het cookiebeleid. Dat gebeurt over het algemeen via een cookiebanner. Voor het gebruik van tracking cookies moet je expliciet en ondubbelzinnig toestemming vragen van de websitebezoeker. Dit is verplicht op grond van de Telecommunicatiewet (ook wel: Cookiewet) en de Algemene Verordening Gegevensbescherming (AVG).

Welke soorten cookies zijn er?

Er bestaan verschillende soorten cookies, die elk in verschillende mate inbreuk maken op de privacy van de websitebezoeker. Globaal kunnen we drie soorten onderscheiden: functionele cookies, analytische cookies en tracking cookies.

Soort	Doel	Voorbeeld	Toestemming
Functionele cookies	Deze cookies zijn essentieel voor de basisfunctionaliteiten van een website. Ze zorgen ervoor dat een gebruiker toegang heeft tot de beveiligde delen van een website en dat de website goed functioneert.	Onthouden van inloggegevens, producten in een winkelmandje bewaren, voorkeuren zoals taalinstellingen en lettergrootte.	Omdat functionele cookies noodzakelijk zijn voor de werking van een website, is er geen expliciete toestemming van de gebruiker vereist. Wel moet de gebruiker geïnformeerd worden over het gebruik van deze cookies.
Analytische cookies	Analytische cookies verzamelen gegevens over hoe bezoekers de website gebruiken. Dit omvat informatie zoals welke pagina’s het meest worden bezocht en hoe lang gebruikers op de site blijven. Deze gegevens helpen de website-eigenaar om de prestaties van de site te verbeteren en de gebruikerservaring te optimaliseren.	Deze cookies helpen bijvoorbeeld om te begrijpen welke inhoud populair is, hoe gebruikers door de site navigeren en waar eventuele knelpunten in de gebruikerservaring zitten. Voorbeelden zijn Google Analytics, Hotjar en  Matomo.	Voor analytische cookies die weinig impact hebben op de privacy, zoals geanonimiseerde gegevensverzameling, is geen expliciete toestemming nodig. Echter, als deze gegevens worden gebruikt voor tracking of door derde partijen worden verwerkt, is toestemming wel vereist.
Tracking cookies	Tracking cookies worden gebruikt om een gedetailleerd profiel van de gebruiker op te stellen. Ze volgen het surfgedrag over meerdere websites en verzamelen informatie voor gerichte advertentiedoeleinden, wat kan leiden tot gepersonaliseerde advertenties.	Cookies van advertentienetwerken zoals Google Ads, Facebook Pixel en andere retargeting-tools.	Voor tracking cookies is altijd expliciete toestemming vereist van de gebruiker, aangezien ze diepgaande informatie over persoonlijke voorkeuren en gedrag verzamelen.

Aan welke vereisten moet een cookiebanner voldoen?

Een cookiebanner moet volgens de wet in ieder geval aan de volgende vereisten voldoen:

1. Duidelijke en specifieke informatie: vertel welke cookies worden gebruikt en welk doel deze cookies hebben. Gebruik geen vage of sturende bewoordingen. Wij adviseren om in de cookiebanner te linken naar het privacy statement (en andersom).
2. Vrije en ondubbelzinnige toestemming: de gebruiker moet actief toestemming geven voor het gebruik van tracking cookies. Dit betekent dat vooraf aangevinkte vakjes niet zijn toegestaan. Zet de knoppen voor weigeren / accepteren gelijkwaardig op één laag.
3. Toestemming voor verschillende soorten cookies: bied gebruikers de mogelijkheid geven om per type cookie toestemming te geven.
4. Eenvoudige mogelijkheid om toestemming in te trekken: maak het gemakkelijk voor de gebruiker om een gegeven weer in te trekken. Zorg er ook voor dat de documentatie van cookies na intrekking van de toestemming stopt.
5. Documentatie en bewijsvoering: zorg dat je kunt aantonen dat je geldig toestemming hebt verkregen voor het plaatsen van cookies. Dit kan door het bijhouden van een logbestand waarin wordt geregistreerd welke keuzes gebruikers hebben gemaakt en wanneer.
6. Niet-nadelige ervaring: het weigeren van cookies mag de toegang tot de website of diens functionaliteiten niet onredelijk beperken. Gebruikers moeten de site kunnen blijven gebruiken, zelfs als ze bepaalde cookies weigeren.

Door aan deze vereisten te voldoen kan je handhaving van de AP voorkomen. Ook ontloop je hierdoor een mogelijk forse boete. Wil je de vereisten van de AP zelf nalezen? Bekijk hier de vuistregels voor cookiebanners. 

Wat zijn de mogelijke gevolgen als een cookiebanner niet voldoet aan de vereisten?

Het niet naleven van de wettelijke vereisten voor cookiebanners kan ernstige gevolgen hebben. Dit kan variëren van reputatieschade tot een bestuurlijke boete van de AP.

Boete van €600.000 euro voor tracking cookies op Kruidvat.nl

Drogisterijketen Kruidvat (specifiek: moederbedrijf A.S. Watson) is beboet voor het zonder toestemming plaatsen van tracking cookies op de apparaten van websitegebruikers. In de cookiebanner van Kruidvat.nl waren de vakjes om akkoord te gaan met het plaatsen van tracking cookies standaard aangevinkt. Bezoekers die de cookies alsnog wilden weigeren, moesten veel stappen doorlopen om dit voor elkaar te krijgen. Er was dus geen sprake van een vrije, specifieke, geïnformeerde en ondubbelzinnig wilsuiting. Dit is in strijd met de AVG.

De AP spreekt van gevoelige informatie door het specifieke karakter van drogisterijproducten zoals zwangerschapstesten en medicatie. Door het koppelen van deze informatie aan de locatie van de unieke bezoeker, kan een zeer specifiek en invasief profiel worden geschetst van mensen die Kruidvat.nl bezoeken.

De AP heeft niet direct een boete opgelegd aan Kruidvat, maar heeft het bedrijf eerst per brief in 2019 gewaarschuwd. Nadat in 2020 bleek dat Kruidvat haar cookiebanner niet had aangepast, heeft de AP (met een flinke vertraging) in 2024 een boete opgelegd.

De boete is in lijn met de aankondiging van de AP in haar jaarplan voor het jaar 2024. Hierin heeft zij aangekondigd dat zij een meerjarenproject zal starten dat het ongeoorloofd volgen van mensen, bijvoorbeeld met online cookies, op verschillende fronten aanpakt.

Kruidvat is in beroep gegaan tegen het boetebesluit. Daarom is de boete nog niet definitief. Het is aannemelijk dat de AP een voorbeeld wil stellen met dit boetebesluit en rekent op een afschrikwekkende werking voor andere bedrijven en organisaties. Wil je het boetebesluit nalezen? Dat kan hier.

Rechtbank Amsterdam tikt Criteo op de vingers in verband met tracing cookies

Criteo, een bedrijf dat gespecialiseerd is in advertentietechnologie en onder meer cookies ontwikkeld, is in 2023 door de rechtbank Amsterdam in kort geding veroordeeld voor het onrechtmatig plaatsen van tracking cookies zonder toestemming van gebruikers. Criteo maakte gebruik van deze cookies om uitgebreide gebruikersprofielen op te bouwen en gerichte advertenties te tonen. De cookiebanner die op de websites van Criteo’s partners werd gebruikt, voldeed echter niet aan de vereisten van de AVG en de Cookiewet.

Criteo heeft zich in het kort geding verweerd met de stelling dat de betreffende websites worden beheerd door partners van Criteo en dat het daarom de verantwoordelijkheid is van deze partners om toestemming te verkrijgen. Criteo zou hen hiertoe contractueel hebben verplicht. De rechtbank Amsterdam is echter van oordeel dat Criteo zich niet kan verschuilen achter haar partners. Criteo blijft namelijk ook bij het contractueel vastleggen van verplichtingen met partners zelf een verwerkingsverantwoordelijke partij in de zin van de AVG. De rechtbank Amsterdam heeft daarom in kort geding beslist dat Criteo deze praktijk moet stoppen op last van een dwangsom.

Vervolgens is Criteo tegen deze uitspraak  beroep gegaan. In het hoger beroep stelde Criteo onder meer dat gebruikers in hun browser nieuw te plaatsen cookies kunnen weigeren. Het hof Amsterdam ging hier niet in mee, omdat in de AVG is gekozen voor een opt-in en niet voor een opt-out systeem.

Conclusie: informeer bezoekers, vraag expliciete toestemming en zorg dat je cookiebanner in lijn is met de wet

Het is belangrijk dat jouw bedrijf of organisatie cookies gebruikt in overeenstemming met de AVG en de Cookiewet. Informeer de websitebezoeker over het gebruik van cookies en zorg dat je toestemming krijgt voor het plaatsen van tracking cookies. Volg hiervoor de vuistregels voor cookiebanners van de AP. Zo voorkom je vervelende verrassingen.

Vragen?

Onze Data & Cybersecurity Desk helpt je om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van je klanten te waarborgen. Heb je vragen over de manier waarop jouw organisatie de verplichtingen van de AVG heeft geregeld? Neemt dan contact op met Sjoerd Aelen.

Meer weten over privacy?

Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. Je moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit de branche.