Er is een hoop te doen rondom de huidige Cookiewetgeving en de eventuele wetswijziging. Als website eigenaar overtreed je namelijk al heel snel de wet. Heb je bijvoorbeeld youtube filmpjes op je website die een tracking cookie plaatsen? En vraag je hiervoor geen toestemming aan bezoekers? Dan ben je strikt gezien in overtreding.

Waarom een cookiewetgeving?

Via het plaatsen van cookies kunnen organisaties al onze acties op het Internet koppelen aan onze persoonsgegevens. Dat klinkt als spioneren en dat is eigenlijk ook wel een beetje. Omdat deze praktijken erg uit de hand liepen en bezoekers van websites totaal niet wisten dat ze werden getraceerd, is er sinds 5 juni 2012 de cookiewetgeving van kracht. Met deze wet willen overheden het traceren via cookies aan banden leggen. Je moet wanneer je nu cookies plaatst om mensen te volgen, hier toestemming voor vragen. De wet sloeg wat door waardoor nagenoeg alle websites in overtreding waren. Handhaving van de wet was daardoor lastig en het bezoeken van websites werd er niet prettiger op. Vandaar dat er een update moest komen van de wet.

Sinds februari 2015 het niet meer verplicht om bezoekers akkoord te laten gaan met het plaatsen van cookies wanneer je cookies gebruikt voor statistiek systemen zoals Google Analytics. Alleen nog voor commerciële cookies die als doel hebben mensen te traceren is het nog verplicht om een goedkeuring te vragen.

Op de hoogte blijven van Internet trends? Meld je aan voor onze nieuwsbrief

Wat kun je nu het beste doen?

Eerst nagaan wat voor soort cookies je plaatst. Dit kun op veel verschillende manieren maar een van de simpelste is om binnen je browser te kijken naar de cookies die geplaatst worden.

Animatie die laat zien hoe je de cookies kunt bekijken die een website plaatst via je browser
Zo kun je de cookies bekijken die een website plaatst via je de Chrome browser.

Meestal zie je enkel functionele cookies en cookies voor een statistiek systeem zoals Google Analytics. Als dat zo is dan moet je nog wel de instellingen nagaan in Google Analytics. Je moet bijvoorbeeld aangeven dat de statistieken niet doorgegeven mogen worden aan derden.

Je kunt ook overstappen naar een statistieken systeem dat je zelf installeert en beheert. Piwik is een open source statistiek systeem dat je gratis kunt downloaden. Het CPB gebruikt trouwens zelf ook Piwik. Wil je meer weten over Piwik? Lees dan ook: Piwik, een alternatief voor Google Analytics?

Zie je toch andere cookies van derde partijen? Bijvoorbeeld doordat je een social sharing tool gebruikt, youtube filmpje embed of adverteert op je website? Dan weet je meestal niet welke data er opgeslagen wordt van je bezoekers en moet je volgens de oude en nieuwe cookiewetgeving akkoord vragen aan de bezoekers voor het plaatsen van deze cookies.

Strikt gezien is het hierbij niet voldoende om een melding te maken dat je cookies plaatst. Er mogen geen cookies geplaatst worden voordat je deze goedkeuring krijgt van de bezoeker.

Technisch is dat nog best lastig omdat veel gebruikte website systemen zoals Joomla, Drupal en Wordpress niet in staat zijn de tracking cookies die geplaatst worden door bv. een youtube filmpje tegen te houden. Vandaar dat veel websites die tracking cookies plaatsen overgaan tot het plaatsen van een cookiewall. Je moet hierbij of akkoord gaan met het plaatsen van cookies of je kunt de website niet benaderen.

Verder is het altijd verstandig als organisatie of bedrijf om aan te geven in een privacyverklaring wat je doet met de gegevens die je van klanten ontvangt. Het beste kun je een link ik je footer opnemen richting een pagina met deze privacy verklaring.

Samenvattend:

  • Breng in kaart wat voor soort cookies jouw websites plaatst.
  • Stap eventueel over naar alternatieve systemen, technieken of diensten die geen cookies plaatsen.
  • Kun je niet zonder? Vraag dan een goedkeuring aan de bezoeker.
  • Stel een privacyverklaring op en plaats een link hier naar toe in de footer van je website.

Wanneer je gegevens van klanten of gebruikers opvraagt via je je website, via een contactformulier bijvoorbeeld, dan is het verstandig ook rekening te houden met de veiligheid van deze data. Lees ook: Hoe voorkom je als organisatie een datalek.

De toekomst?

Het is de vraag of de cookiewetgeving in zijn huidige vorm blijft bestaan. Er is veel weerstand tegen de onuitvoerbare wet die met name voor irritatie zorgt. Het is dan ook niet voor niets dat het adviesorgaan Actal in oktober 2016 Minister Kamp van Economische zaken adviseert om op Europees niveau aan te sturen op een effectievere en minder belastende oplossing.

Heb je vragen of opmerkingen over de huidige of nieuwe cookiewetgeving? Ik lees en beantwoord ze graag hieronder in het commentaar gedeelte.

Heb je een vraag of opmerking over dit artikel? Laat dan een reactie achter
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.

Reacties

Uw betoog bevat nogal wat 'verkeerde benen'. Zo valt een webshop-cookie niet onder de wet en zijn de Schotse tools die u aandraagt niet afdoende vanwege de afwijkende wetgeving daar. Onze wet is veel strenger. Ook zou ik niet teveel rekenen op het achterover leunen van de OPTA. Beter is het om een goede oplossing te bieden die uw klanten behoedt voor boetes!

Beste Bart,

Jammer dat u het zo ervaart. Het klopt dat cookies die technisch van aard zijn, denk aan een cookies die onthouden wat de bezoeker in zijn winkelmandje doet, niet gemeld hoeft te worden aan de bezoeker. Zoals ik in mijn artikel aangeef is dat er wel een verplichte melding en goedkeuring nodig is voor cookies die van aard zijn om gegevens van de bezoeker op te slaan die vervolgens voor commerciële doeleinden worden gebruikt. Bijvoorbeeld de cookie die door Google Analytics wordt geplaatst. Ik reken er niet op dat de OPTA achter over zal leunen. Sterker nog, ik geef aan dat de OPTA bezig is met het ontwikkelen van een systeem om automatisch te controleren of websites voldoen aan de cookiewetgeving en dat ze actief grotere websites waarschuwen. De "cookie control" tool is een van de meest gebruikte manieren om melding te maken van cookies en hier goedkeuring voor te vragen. In welk opzicht voldoet het niet aan de Nederlandse wet?

Profile picture for user thomasvaneldijk

De Civic cookie control ondersteunt 3 verschillende modellen, waarvan er één voldoet aan de Nederlandse wetgeving (nl. expliciet toestemming vragen). Dit maakt de tool voor kleinere 'volgers' in de internetbranche juist zo geschikt, want je kunt perfect de grote spelers volgen: starten met informatie alleen, overstappen op 'implicit' (standaard aan, maar de mogelijkheid om uit te zetten) en uiteindelijk expliciet om toestemming vragen voor je cookies plaatst. Dit 'volgen' is naar mijn mening essentieel voor kleinere spelers; zolang grotere spelers zich niet aan de wet houden en het akkoord geven voor cookies dus geen gemeengoed is onder gebruikers, zal het toestemming vragen om cookies bij juist kleinere onbekendere websites tot verlies leiden. Voor veel burgers staat zo'n cookie waarschuwing nog steeds gelijk aan de waarschuwing dat iemand er met je persoonsgegevens vandoor kan gaan. Als grote websites dat doen, gaat men het vertrouwen, zolang die slechts een infobalk tonen, is een kleine website eigenaar genoodzaakt die aanpak te volgen. Dat mis ik ook in de OPTA benadering: big sites first. Men suggereert het wel, maar het zou beleid moeten zijn.

Naar mijn mening is voor Joomla 2.5 Cookie Confirm van Twentronix (https://www.twentronix.com/extensions/cookieconfirm) een veel betere oplossing dan de Cookie Control plugin. Zie ook de reviews in de Joomla Extensions Directory.

Beste Marloes, bedankt voor de tip!

Profile picture for user thomasvaneldijk

Quote: " Dit gebeurd bij...". Oh man... Volkskrant en spelling. Het wordt (let op, met een T!) nooit wat...

Bedankt, ik heb het aangepast.

Profile picture for user thomasvaneldijk

Wat ik me afvroeg, is dat ik nog nooit gevraagd ben door google.nl of ik akkoord ga. Is google.nl geen bedrijf of zijn ze uitgesloten vavoor de cookie wet.

Ik zie dat je geen cookie melding op je website hebt, nu begin ik toch te twijfelen of ik de melding van mijn website af zal halen. Is er een tool om te checken of je website een melding moet geven of niet.. En op welke manier moet deze melding zichtbaar zijn, want niet iedereen heeft een en dezelfde layout, stijl, tekst.

Dank alvast!

hi Tomz, ik gebruik vaak http://www.cookie-checker.com/ om te kijken wat voor cookies een website installeert. Wanneer je geen commerciële / ads gerelateerde cookies plaatst en gebruik maakt van een statistieken systeem dat persoonsinformatie niet doorspeelt aan derden. Zou je geen toestemming hoeven te vragen volgens de nieuwe opzet van de cookiewetgeving. Google analytics doet dit wel dus je kunt dan beter gebruik maken van een open source statistieken systeem zoals http://piwik.org Verder zullen de meeste websites 'technische cookies' plaatsen, dit zijn cookies om bijvoorbeeld te weten of je ingelogd bent of niet en hiervoor zou geen melding meer nodig zijn in de nieuwe vorm van de wet. Naar wat ik weet zijn er geen regels over de vormgeving van de melding. Wel over de taal. Je mag bijvoorbeeld niet op een nederlandse website met een nederlands publiek de cookies melding in het engels weergeven.

Profile picture for user thomasvaneldijk

Uw artikel is inmiddels achterhaald. Google Analytics valt officieel onder de uitzonderingen en het CBP geeft zelfs instructies hoe je het op de juiste manier moet inrichten.

1. Afsluiten van een bewerkersovereenkomst met Google (standaard in Analytics).
2. ‘Anonimiseren’ van het IP-adres (door het laatste octet van het IP-adres te verwijderen; eenvoudig in te stellen in de trackingcode).
3. Gegevens delen met Google uitzetten (in de instellingen van Analytics).
4. Informeren over het gebruik van Google Analytics en bieden van een opt-out-mogelijkheid.

Beste Rolf, U had helemaal gelijk. Ik heb het artikel een update gegeven. Bedankt voor de melding en nuttige informatie.

Profile picture for user thomasvaneldijk

Cookiewet is onzin ergo uw artikel leest als overdreven geneuzel. Wat je kunt doen is gewoon de cookiewetgeving negeren en het risico afkoppen tegen een betere gebruikerservaring wat zich vertaalt in betere service. Er komt niet zo snel een internetpolitie bij u langs of juridisch gezien is de wet een grap.

Goedenmiddag,

Ik heb onlangs alle advertenties van mijn website gehaald omdat ik niet helemaal begrijp wat ik nu moet doen om aan de wetgeving te voldoen.

Ik heb een wordpress website. Is het voldoende om een melding te geven dat we cookies gebruiken? Of heb ik een plugin nodig die ook advertenties blokt tot dat iemand toestemming geeft?

Alvast bedankt

Beste Randy, als u een standaard Wordpress website gebruikt dan worden er technische cookies geïnstalleerd. (Dit geld trouwens ook voor andere cms-en zoals Joomla en Drupal.) Voor deze technische cookies hoeft u geen toestemming te vragen of een melding weer te geven. Pas wanneer u banners plaatst, youtube filmpjes plaatst of gebruik maakt van social sharing plugins zoals sharethis en addthis. Dan plaatst uw zogenaamde tracking cookies die de gegevens van uw bezoekers doorspelen aan derde partijen. Wanneer u niet zeker weet of u website cookies plaatst, dan kunt u dit testen met deze tool: http://www.cookiechecker.nl/

Profile picture for user thomasvaneldijk

Op de vraag of je Cookies accepteert is slechts één antwoord mogelijk en dat is JA.
NEE wordt niet geaccepteerd, soms een gedeeltelijke NEE.
Protesteren helpt niet want het antwoord dan dat de vraag wettelijk verplicht is.
Dus het komt erop neer dat je op de zinloze wettelijke vraag alleen bevestigend kunt antwoorden en daarmee is het geen vraag meer, m.i. zijn op een vraag minstens twee antwoorden mogelijk.
Wat is dat voor een belachelijke en bovendien volkomen nutteloze wet?
Hebben de wetgevers niets beters te doen?

Ik ben het volkomen eens met de visie van W.L. van Loon.
Mijn vrije wil en meningsuiting wordt hierdoor geblokkeerd.
Als iemand een verzoek heeft moet daar ook 'Nee' op geantwoord kunnen worden.
Belachelijk dat zoiets in een zogenaamd democratisch land als vaststaande wetmatigheid
zou kunnen gelden!
Notabene, als je er niet op ingaat dan krijg je ook geen mogelijkheid om dit verzoek te verwijderen.
Wat heet stalking?

De link naar het CPB is niet meer correct.

Hi Dirkje, bedankt voor de feedback! Ik heb het nieuwe url opgezocht en de link doet het nu weer. Gr, Thomas.

Profile picture for user thomasvaneldijk

Hallo,
Ik heb op google veel gelezen over de nieuwe wetswijziging op 25 mei. Een cookiewall mag dan niet meer gebruikt worden. Wat dienen wij te doen om aan deze wet te voldoen? Graag je invulling hier op. Grt Marjon

Hi Marjon, klopt een cookiewall mag dan niet meer. Het is de bedoeling dat de toestemming voor het plaatsen van cookies gecentraliseerd plaats gaan vinden in de browser / apparaten die we gebruiken. Dit heeft als voordeel dat je als gebruiker één keer hoeft aan te geven of je akkoord gaat met het plaatsen van bv. tracking cookies. Makers van browsers/apparaten die gebruikers toegang verlenen tot het internet hebben tot 25 augustus 2018 de tijd om hun techniek aan te passen en de gebruiker deze keuze te laten maken. 

Wat je zelf kunt doen is in ieder geval in kaart brengen wat voor soort cookies jullie website plaatst. Stel dat jullie alleen functionele en analytische cookies plaatsen? Dan houdt dat in dat je geen persoonsgegevens opslaat of aan user tracking doet. In dat geval is nu al geen melding nodig of akkoord nodig en hoeft dat ook niet na 25 mei 2018. Je moet echter wel melding maken in je privacyverklaring dat je het bezoekersgedrag meet via bv. Google Analytics.

Doe je echter aan remarketing via bv. Adwords of aan lead generation dan sla je persoonsgegevens op en doe je actief aan user tracking / user profiling. Je moet dan nu en in de toekomst akkoord vragen aan de bezoeker. Je mag vanaf 25 mei niet meer iemand de toegang weigeren ( via een cookie wall ) tot je website als deze persoon niet akkoord gaat. Niet alle user tracking tools kunnen hiermee omgaan en het kan dus zijn dat je, wil je aan de nieuwe regels voldoen, je geen gebruik kunt maken van sommige user tracking, remarketing of lead generation tools.

Gr,Thomas.

Profile picture for user thomasvaneldijk

Beste Thomas,
Om te kijken of voor mijn websites een link naar een privacyverklaring (ivm google analytics) in de footer voldoende is, heb ik www.cookiechecker.nl geraadpleegd. Ondanks dat ik wél google analytics gebruik, registreert cookiechecker.nl dit niet (de waarde is 0 bij alle drie de onderdelen op al mijn sites). Kan ik dan er vanuit gaan dat ik goed zit als ik alleen de privacystatement (op de juiste manier via google) plaats? Ik gebruik wordpress, een contactformulier, en bij sommige sites een invulveld als mensen een nieuwsbrief willen ontvangen.

Alvast bedankt voor je reactie. En het artikel, heel duidelijk :)

Hartelijke groet, Carry Maria

Hi Carry, 

De cookiechecker.nl zou wel moeten melden dat je Google Analytics gebruikt. Vermeld het in ieder geval in je privacyverklaring. En let even op je nieuwsbrief aanmeldingen. Waar gaan deze persoonsgegevens naar toe? Blijft dat in Wordpress? Mail je met bv. mailchimp? Dan is het goed om dit ook te melden in je privacyverklaring en er voor te zorgen dat de mail adressen niet onnodig of onveilig in een database blijven staan waar ze niet nodig zijn. Sla je de mail adressen bijvoorbeeld op in je externe e-marketing tool, dan zijn ze niet meer nodig in de database van Wordpress en moet je ervoor zorgen dat ze daar niet bewaard blijven. Gr, Thomas. 

Profile picture for user thomasvaneldijk

Dank je wel Thomas, ik ga er mee aan de slag!

De link 'handleiding van het CPB over het correct instellen van je Google Analytics statistieken' komt uit op een not found melding, hetgeen ik jammer vind, leek me een nuttige aanvulling op uw interessante artikel.
De Cookie checker website geeft overigens ook steeds een foutmelding nadat ik een url heb ingevoerd, "Fout: Er ging iets mis. Probeer het opnieuw", wat zou er fout gaan denkt u? ik heb al met www. en zonder geprobeerd..
Dank!

Hi Erna, ik zie dat de AP een nieuwe versie van de handleiding heeft gemaakt en deze een andere naam heeft gegeven. Ik heb de link aangepast. Je kunt de PDF bekijken via: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/h…

Wat betreft cookiechecker.nl Misschien dat de website even niet bereikbaar was of dat er een typefout in het url zat. Je zou ook de Engelse versie kunnen proberen: http://www.cookie-checker.com

Profile picture for user thomasvaneldijk

Is het zo dat bezoekers de mogelijkheid moeten hebben om per cookie-categorie (social media, advertenties, etc.) toestemming te geven, of is 'alles of niets' voldoende?
Uiteraard is uitleg per categorie noodzamelijk, maar moet mijn bezoeker kunnen kiezen welke cookies hij accepteert en welke niet?

Beste Edwin, nee deze opdeling is niet verplicht. Je kunt ook vragen of bezoekers met alle cookies akkoord willen gaan. Zolang je maar duidelijk uitlegt waarmee ze akkoord gaan en je houdt aan alle verdere richtlijnen van de AVG. Gr, Thomas.

Profile picture for user thomasvaneldijk

Dank, helder.

Beste Thomas, mijn aanstaande website, waarin deelnemers met elkaar gaan communiceren, bevat enkel functionele en analytische (privacyvriendelijk ingestelde) cookies. Dit is de bedoeling, omdat ik geen vervelende cookiemelding wil. Echter, nu heb ik een informatieve YouTube-video geplaatst en Cookiebot vindt daarop trackingcookies, ookal komen die van de nocookie-versie van YouTube. Het schijnen zgn. persistent supercookies te zijn waarvoor ook toestemming moet worden gevraagd. Enig onderzoek levert de volgende informatie:
- Het schijnt dat YouTube-nocookie.com pas cookies plaatst als men de video afspeelt, terwijl de gewone YouTube dat ook doet als de video niet wordt afgespeeld?
- Bij zo'n nocookie versie van de video kun je een melding laten zien in het videovenster, waarmee toestemming wordt gevraagd voor het afspelen en cookies plaatsen. Het lijkt erop dat dit alleen hoeft voor de 1e video die iemand op je website bekijkt.
- Ook de deelnemers kunnen in hun account YouTube-video's uploaden/plaatsen.
- Volgens de ICT-ers hoef ik geen toestemming te vragen, omdat YouTube data verzamelt, en niet ik. Wel moet ik het in de privacyverklaring zetten.
Mijn vraag is óf en zo ja hóe ik toestemming aan de deelnemers moet/kan vragen op de minst irriterende manier. Er is niet veel duidelijks te vinden over plaatsen/embedden van YouTube-video's op je website. Alvast bedankt voor je antwoord.

Hi Catharina, de opmerking van de "ict-ers" klopt niet helemaal. De AVG is o.a. juist op dit vlak een verschil met de vroegere WBP. Jij maakt de keuze voor de samenwerking met Youtube, dan moet je hier ook verantwoordelijkheid voor dragen. Wanneer zo'n derde partij echt aan user tracking, profiel opbouw doet, dan moet je hier expliciet goedkeuring voor vragen en ontvangen voordat je de cookies laat plaatsen. Ik zou dus minimaal de goedkeuring bij het eerste filmpje aanzetten en het duidelijk vermelden in je privacyverklaring. Nog mooier zou misschien zijn om te werken met een video platform dat geen cookies plaatst maar ik begrijp dat dit waarschijnlijk geen optie is. Gr, Thomas.

Profile picture for user thomasvaneldijk

Beste Thomas,

Als ik op de Cookiechecker link klik, krijg ik deze foutmelding: Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (111)

Weet jij wat dit betekent?
Groet, Peter

Hi Peter, ik zie het. We zijn inmiddels een paar dagen verder maar de website doet  het nog steeds niet. Ik heb de link verwijderd uit mijn artikel. Bedankt voor het melden! Gr, Thomas.

Profile picture for user thomasvaneldijk

De cookie's moeten gewoon in het algemeen verboden worden! Analitics, Tracking, Comercial Advertisment.... Het komt allemaal op het zelfde neer: je word gevolgd en bespioneerd en die gegevens houden ze niet bij uit sociale filantropische overwegingen, het is diefstal en het zijn rechtstreekse inbreuken op onze privacy!
Het grofste is nog dat dit meestal gedaan word zonder dat de gebruiker er van op de hoogte is, of dat men stelt dat cookies noodzakelijk zijn om een site fatsoenlijk te laten werken.
Ondertussen is deze vorm van diefstal en oplichting zo normaal geworden dat de meeste site's wel een cookie verklaring hebben en met 1 druk op de knop alles geaccepteerd word maar er veel meer voor nodig is om ze te weigeren als die optie er al is , op deze wijze hebben ze er voor gezorgd dat niemand ze meer leest want anders word een site bezoekje van 5 minuten iets van 30 tot 60 minuten om alle kleine regeltjes door te nemen en te zoeken naar hoe men dit kan weigeren.
De meeste mensen hebben niet eens door dat Email-providers(o.a. Gmail, Outlook, Yahoo enz. ) zich het recht nemen middels cookie verklaringen uw Emails te lezen,uw browser geschiedenis bij te houden, uw plaats te bepalen en nog een paar van dat soort grove privacy schendingen.

Dus als je niet met cookies werkt is het oké en dus niet verplicht als ik het goed begrijp?

hi Mich, je zal vrijwel altijd iets met cookies doen. Maar dat zijn dan technische cookies die nodig zijn voor de werking van je CMS of Webshop. Die worden door je website zelf geplaatst en daar heb je meestal geen directe invloed op.

Hetzelfde geldt voor tracking cookies waar je wel toestemming voor moet vragen. Ook daarbij ben je niet bewust bezig met het plaatsen van cookies. Je wilt gewoon een integratie met Facebook of je Google Adwords campagne opzetten. In deze voorbeelden plaatst de dienst die je gebruikt de tracking cookies voor je. Maar wel via jouw website waardoor jij verantwoordelijk bent voor de toestemming, voor wat er gebeurt met die data en dat je bezoekers duidelijk maakt dat je persoonsgegevens aan derden doorspeelt via bijvoorbeeld je privacy verklaring.

Dankjewel voor de uitleg. Dus beter op safe spelen is de boodschap. Nu nog even vinden hoe ik dat moet instellen.

Lees ook