Het is u vast niet ontgaan dat de cookiewet van kracht is. Maar weet u al of u zelf voldoet? Wij werden de afgelopen dagen platgebeld en gemaild over hoe de wet na te leven. En ook zelf bleken we niet alle puntjes van de wet 100% na te leven. Oeps. Gelukkig gaat de OPTA niet metéén boetes opleggen. Maar het is wel zaak na te gaan hoe u de cookiewet naleeft. In deze blog een stappenplan met hoe u zo goed mogelijk de cookiewet kunt naleven.
Stap 1. Bepaal welke cookies uw site plaatst
Meten is weten, ook bij de cookiewet. De eerste stap is dan ook nagaan welke cookies uw site plaatst. Dit kan door simpelweg uw browsercache leeg te maken en uw site te bezoeken zoals “normale” bezoekers dat ook zouden doen. Installeer eventueel een cookie plugin die het overzicht vergemakkelijkt, zoals Cookie Monster voor Firefox of Edit This Cookie voor Chrome.
Neem elk cookie op in een overzicht, bijvoorbeeld een simpele Excel-tabel. Doe dit voor een aantal pagina’s, bijvoorbeeld naast de homepage ook een contactformulier, bestelpagina of webshop-onderdeel van uw site.
Stap 2. Bepaal waarom deze cookies worden geplaatst
Nu u weet welke cookies uw site plaatst, is de volgende stap na te gaan waarom. Documenteer dit per cookie in dat overzicht. Een mooi voorbeeld hoe dit eruit zou kunnen zien is de Privacy Notice van de Engelse OPTA.
Sommige cookies zijn van uw eigen site afkomstig, anderen komen van widgets, plugins of geëmbedde content van derden. Dat maakt niet uit; u blijft er zelf verantwoordelijk voor.
Stap 3. Beslis welke cookies eventueel niet meer geplaatst hoeven te worden
U kunt natuurlijk voor elk cookie uit uw overzicht aan de slag gaan, maar van sommige cookies kunt u zich afvragen waarom u ze eigenlijk gebruikt. Zo zetten veel sites en blogs standaard een sessiecookie, voor het geval u wellicht ooit iets met sessies zou willen doen. Doet u dat niet? Dan kan dat sessiecookie eruit. Scheelt weer in het overzicht.
Stap 4. Bepaal of toestemming nodig is voor uw cookies
De cookiewet bepaalt dat elk cookie toestemming nodig heeft, tenzij het valt onder de uitzondering voor functionele cookies. En die uitzondering is beperkt: de door u geleverde dienst moet als zodanig niet meer werken wanneer u de bijbehorende cookies zou weghalen.
Een winkelwagentje of een loginscherm dat cookies gebruikt, valt onder de uitzondering. Een tracking cookie niet – en Google Analytics ook niet. Ook cookies voor uw affiliatesites of social media knoppen vallen gewoon onder de toestemmingseis.
Stap 5. Regel een manier om toestemming te vragen
Toegegeven, dat is eenvoudiger gezegd dan gedaan. Maar toestemming vragen is verplicht voor alle cookies die u bij stap 4 heeft uitgezocht.
Als uw site een registratiemogelijkheid heeft, dan zou u de toestemming voor de cookies kunnen koppelen aan die registratie. Dit kan op dezelfde manier als waarop veel sites akkoord vragen voor algemene voorwaarden of huisregels, gewoon met een verplicht aan te vinken vakje dus. En u mag mensen weigeren die weigeren dat vinkje te zetten, zolang maar duidelijk is dat dat de consequentie is.
De meeste sites zullen een aparte toestemmingsmogelijkheid moeten invoeren. Wij gebruiken hiervoor Cookie Control van CivicUK maar ook de Cookie Consent oplossing van Silk is een goede.
Bekijk anders eens mijn webinar over toestemming vragen voor inspiratie van diverse grote sites die om toestemming vragen (en om te zien hoe het niet moet).
Let er op dat er ook geen cookies worden gezet totdat die toestemming is verkregen! Als u werkt met third-party plugins, dan moet uw toestemmingsmodule deze pas inladen nadat de toestemming is verkregen.
Stap 6. Leg vast dat uw site toestemming vraagt voor cookies
U moet bewijzen dat u toestemmingsplichtige cookies ook echt alleen met toestemming plaatst. Formeel moet u dus per cookie vastleggen dat er op akkoord is geklikt én dat vijf jaar bewaren. Dat gaat in de praktijk dus niet werken.
Een praktisch alternatief is vastleggen dát u toestemming vraagt en dat het vragen van toestemming onvermijdelijk is. Dit kan bijvoorbeeld door een screencast of serie screenshots te maken waarmee u een bezoek aan uw site vastlegt. Hiermee documenteert u dat er allereerst géén cookies gezet worden maar u wel een vraag krijgt om toestemming, dat bij die vraag wordt toegelicht waar het om gaat, en dat u na het vragen van de toestemming pas cookies krijgt.
Maak de screencast opnieuw wanneer uw site opnieuw ontworpen wordt.Bewaar de screencasts op een medium zoals DVD of een externe site, zodat de beschuldiging van achteraf snel gemaakt hebben te weerleggen is.
Dit is geen bewijs dat een cookie voor een specifieke bezoeker is gezet, maar als vastligt dat uw site op die manier werkt en dus eigenlijk alleen mét toestemming cookies had kunnen zetten, dan zien wij niet hoe dat specifieke cookie nog zonder toestemming gezet had kunnen worden.
Stap 7. Voeg een cookieverklaring toe
Naast toestemming is het ook verplicht om te informeren welke cookies u zet en waarom. De hierboven verzamelde informatie is een goede basis. Verder kunt u onze standaardteksten gebruiken om de cookieverklaring samen te stellen.
Neem in de cookieverklaring ook uitleg op over de functionele cookies. Hoewel dat strikt gesproken niet hoeft, is het wel verstandig. Zo krijgen mensen alle uitleg over alle cookies in één keer, en kan niemand denken dat u bepaalde cookies probeert weg te moffelen.
Wie nog aanvullingen heeft: wij horen het graag!
Meer weten over privacywetgeving?
ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.
