Pop-up met akkoord
De simpelste manier is een pop-up (cookiebanner) in beeld waarin om toestemming wordt gevraagd. Vergeet niet die toestemming te loggen. Zo’n pop-up is niet te missen, en drukken op de “Akkoord”-knop voldoet aan de vereisten voor geldige toestemming.
Vroeger kon je nog kiezen voor een mededeling dat de websitebezoeker door verder te surfen automatisch akkoord ging met de plaatsing van cookies. Dat mag niet meer, want hiermee geeft de bezoeker zijn toestemming niet op ‘ondubbelzinnige’ wijze.
Ook kun je geen cookiewall meer gebruiken. Omdat deze pop-up het hele beeldscherm vult en de website alleen verder bezocht kan worden indien de bezoeker instemt met de plaatsing van cookies, geeft diegene de toestemming niet ‘vrij’.
Niet akkoord
Om de toestemming ‘vrij’ te kunnen geven, moet er dus ook een mogelijkheid zijn voor de websitebezoeker om aan te geven dat hij of zij niet akkoord is met de plaatsing van cookies. Dit kan door naast de “Akkoord”-knop een “Niet akkoord”-knop op te nemen.
DeAutoriteit Persoonsgegevens heeft bepaalddat het gebruik van een vooraf aangevinkt vakje bij het vragen van toestemming voor niet strikt noodzakelijke cookies niet is toegestaan, omdat ook dit niet geldt als ‘vrije’ toestemming onder de AVG.
Strikt noodzakelijke cookies
Voor het plaatsen van strikt noodzakelijke cookies is volgens de wet geen toestemming nodig. Onder noodzakelijke cookies valt bijvoorbeeld de cookie om te onthouden dat een websitebezoeker al eerder toestemming heeft gegeven om cookies te plaatsen bij zijn of haar bezoek, waardoor hij of zij niet iedere keer opnieuw op de “Akkoord”-knop hoeft te drukken. Ook voor logincookies geldt dat deze noodzakelijk zijn, en is geen toestemming nodig.
Ook het analytische cookie “Google Analytics” kan zo worden ingesteld dat geen toestemming nodig is om deze te kunnen plaatsen. Door hetstappenplanvan de Autoriteit Persoonsgegevens te volgen kan het Google Analytics cookie zo worden ingesteld dat deze slechts een zeer geringe inbreuk vormt op de privacy van de bezoeker. Let op: de Autoriteit Persoonsgegevens heeft aangegeven dat het gebruik van Google Analytics mogelijk niet meer is toegestaan.
Categorieën van cookies
Je kunt de toestemming voor álle cookies ineen vragen. Dit wordt wel een complex overzicht, want je moet per categorie cookie toelichten wat je doet. Plus, mensen kunnen dan alleen ja of nee tegen álle cookies zeggen. Als iemand één cookie bezwaarlijk vindt, is er geen mogelijkheid om alleen daar bezwaar tegen maken. Diegene zal dan waarschijnlijk alles afkeuren, waardoor ook jouw gewenste cookies geen kans meer krijgen.
Je kunt de categorieën bijvoorbeeld ook opdelen in “Basis ervaring”, “Beperkte ervaring” en “Complete ervaring”. Door het gebruik van dergelijke positieve taal kun je ervoor zorgen dat meer mensen alle cookies op jouw website accepteren. Let echter wel op, zoals bovenal vermeld, dat niet de categorieën waarvoor toestemming vereist is al van tevoren zijn aangevinkt.
Bewijzen van toestemming
De cookiewet bepaalt dat het plaatsen van cookies alleen nog mag met toestemming (behalve bij puur functionele of privacyvriendelijke analytische cookies). Mocht daar discussie over komen, dan moet de site bewijzen dat die toestemming is gegeven. De Autoriteit Consument & Markt – die de cookiewet handhaaft – hoeft alleen maar te bewijzen dat de cookie is geplaatst.
De website moet bewijzen dat de websitebezoeker toestemming heeft gegeven voordat de cookie op zijn browser werd geplaatst. Om dit bewijs te kunnen leveren, kan de website loggen vanaf welk IP-adres en op welk moment er toestemming is gegeven, inclusief de inhoud van de cookie die wordt geplaatst. Ook kan het handig zijn om screenshots te maken van de procedure: welke tekst heeft de toestemmingsvraag, en wat gebeurt er na een ja of nee.
In theorie kan al dat bewijs achteraf worden vervalst, maar met een duidelijk vastgelegde procedure én een database-entry mét de cookietekst zou men in de praktijk een heel eind moeten komen.
Het bewijs van die toestemming moet je ook bewaren nadat de cookie is gewist. Men kan immers ook later nog bij je komen met een claim over een vermeend onrechtmatig geplaatste cookie. Dit bewijs moet vijf jaar bewaard moet worden, omdat dat de termijn is waarna de ACM geen boete meer mag opleggen. Voor de juristen: artikel 5:45 Awb.
Toestemming via browser?
Toestemming vragenin een internetomgeving is buitengewoon moeilijk. Popups, overlays, subtiele teksten bij registratieformulieren: echt gelukkig word je er niet van.
Veel handiger zou zijn dat je in je browser een instelling kan maken over cookie-acceptatie, waar de site automatisch naar luistert. Helaas is deze technisch haalbare optie juridisch niet genoeg, omdat de browserinstellingen op dit moment niet fijnmazig genoeg zijn.
De cookiewet eist dat mensen een specifieke en geïnformeerde keuze maken. En “specifiek” moet verder gaan dan “ik wil geen cookies”: je moet zo ongeveer per site kunnen instellen welke cookies wel en niet. Het is dus afwachten tot de browsermakers dit hebben doorgevoerd, bijvoorbeeld in het “Do not track” systeem dat nu in ontwikkeling is. En dan nog zal men altijd rekening moeten houden met oude browsers.
Wie moet toestemming vragen?
De wet legt nergens vast wie verantwoordelijk is voor het verkrijgen van de toestemming. Voor de hand ligt om deze verantwoordelijkheid te leggen bij de partij die de cookie feitelijk opstuurt, de third party dus. Dat sluit aan bij de wetstekst dat “een ieder die gegevens wil opslaan” hiervoor toestemming moet hebben. De adverteerder wil opslaan, dus hij mag de toestemming gaan regelen.
Maar even goed verdedigbaar is dat de first party (de webmaster) de plicht heeft om voor de toestemming te zorgen. Diegene is uiteindelijk verantwoordelijk voor de cookie: hij of zij neemt code van de third party op die leidt tot de plaatsing. Zonder die opname was de cookie nooit geplaatst; het is dus de keuze van de first party geweest dat de third party het cookie mocht gaan plaatsen. En daarmee is hij of zij eindverantwoordelijk.
Daar komt bij dat áls je als webmaster de cookiewet mag negeren door het via een derde te laten lopen, het wel erg makkelijk wordt om de cookiewet te omzeilen. Het is immers expliciet de bedoeling om trackingcookies te reguleren, en vrijwel alle trackingcookies zijn afkomstig van third parties. Beetje gekke wet dus als third party tracking cookies in de praktijk in 90% van de gevallen erbuiten vallen. Terwijl het doel was om met náme die enge third party tracking cookies aan te pakken.
Wij denken dan ook dat de meest logische interpretatie is dat in eerste instantie de third party voor de toestemming moet zorgen. Maar als een webmaster willens en wetens cookies laat plaatsen door derden waarvan diegene wéét dat die niet vragen om toestemming, dan zien wij hem zomaar zélf verantwoordelijk daarvoor worden.
