Back

Een perfecte cookiebanner maak je zo

door Rianne Marchand en Bart Verswijvel, 21 oktober 2020 5 min.
In het kort

Eigenlijk is het simpel wat cookies betreft. 
Heb je geen uitdrukkelijke toestemming van je bezoeker, dan mag je geen cookies plaatsen (via bijvoorbeeld Google Analytics, Google Tag Manager, Facebook …) 
Geen toestemming, niets doen dus. 


Gewoon eerst even toestemming vragen. Simpel toch? 

Even weinig tijd? De info om alles correct te implementeren lees je onderaan deze blog

Wat zijn cookies?

Laten we even een stapje terug nemen, voor we cookies beginnen plaatsen. Want wat zijn cookies nu eigenlijk? Cookies zijn kleine bestandjes die een website op je computer of mobiel apparaat achterlaat. Sommige cookies zorgen ervoor dat webpagina’s kunnen functioneren (bv zodat je artikel in een winkelwagentje blijft totdat je hebt afgerekend), en dat is maar goed ook! 

Visuals Cookies | Duo

Andere cookies zijn niet noodzakelijk voor de technische werking van je website en kunnen een waaier aan data bijhouden. Genoeg data om een persoonlijk profiel van je op te bouwen: zo zet Facebook een “facebook pixel ID” als cookie, houdt Google Analytics een unieke ID bij en trackt YouTube (ook in een embedded video) wie je bent. Genoeg alarmbellen voor The European Council om hier een wettelijk kader rond te voorzien. En zo: cookie compliance meets GDPR. 

Cookie beleid en de GDPR

De GDPR of General Data Protection Regulation is zowat hét taboe woord van 2018 geworden en blijft ook nu nog steeds nazinderen. GDPR en cookie beleid worden in de praktijk bovendien vaak (onterecht) in één adem genoemd. Want - wat vaak gemist wordt - de GDPR heeft niet zo veel te zeggen over cookies. 

Visual GDPR

De wetteksten van de GDPR vormen namelijk énkel het algemeen wettelijk kader voor de bescherming van persoonsgegevens. Deze wet definieert nergens dat websites een cookie melding moeten tonen, laat staan hoe deze eruit zou moeten zien. In de 88 pagina’s tekst komt het woord ‘cookie’ slechts 1 keer voor(!). 

 

Uit de verordening 2016/679 van het Europees Parlement en de Raad. Bron

 

Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.

Omdat er bij veel cookies dus ook (persoons)gegevens worden verzameld waarmee een persoonlijk profiel kan worden opgebouwd, komt de GDPR in the picture. Het is dus erg belangrijk om te onthouden dat de GDPR en de cookie regelgeving in principe twee op zichzelf staande zaken zijn. Het feit dat het echter overlappende materie betreft, en het één invloed op het ander heeft, maakt het natuurlijk niet minder verwarrend ;-).

Oké: GDPR ≠ cookie regelgeving. Waar zorgt de GDPR wetgeving dan wel precies voor?
visual | judge

Gezien de wettelijke basis van cookies dus niet in GDPR-land ligt, waar is de regelgeving van cookies dan op gebaseerd? Die bevindt zich in een ietwat verdoken (en verouderde) ‘ePrivacy Directive’. En zelfs deze Europese richtlijn is met momenten niet concreet genoeg. Gelukkig brengen de volgende 2 juridische uitspraken de nodige verheldering. 

  • De Court of Justice of the EU (ofwel het Hof van Justitie van de Europese Unie) stelt in de zaak tegen Planet 49 dat het er niet toe doet of een cookie al dan niet persoonlijke data opslaat. Er is sowieso ondubbelzinnige toestemming nodig. 

     
  • Artikel 129 van de Electronic Communications Act (Article 129 L.E.C. van 2012) stelt in België heel duidelijk dat “Het plaatsen van gegevens of het extraheren van gegevens uit een apparaat is verboden, tenzij vooraf opt-in is verkregen, met uitzondering van gegevens die strikt noodzakelijk zijn om een door de gebruiker gevraagde dienst aan te bieden".


Elke website die dus cookies gebruikt die niet strikt noodzakelijk zijn vanuit technisch standpunt, moet eerst toestemming aan de bezoeker vragen. Ook al bevatten de cookies zelfs geen persoonsgegevens. En die toestemming vragen doe je dus via een cookie consent banner. 

Ja, ook voor Google Analytics cookies moet je éérst toestemming vragen.

visual

Cookie consent banner

Deze banner zorgt ervoor dat gebruikers op een eenvoudige, duidelijke én correcte manier toestemming kunnen geven voor het plaatsen van niet-noodzakelijke cookies (zoals Google Analytics cookies). Maar hoe ziet een wettelijk correcte cookie consent banner er dan precies uit? Door rekening te houden met de volgende 4 pijlers, zit je safe! Hier gaan we.

Correcte implementatie van een cookie melding

visual personal settings
  1. Een gebruiker moet altijd toestemming geven vóór je cookies zet.
    • En dus bewust “opt-innen”, door de gebruiker dit zélf aan te laten duiden. Een vinkje op voorhand aanzetten mag dus niet.
    • O en, Google Analytics cookies alvast op de achtergrond zetten zonder dat een bezoeker hier toestemming voor heeft gegeven, mag dus ook niet.
       
  2. Een gebruiker moet een vrije keuze kunnen maken.
    • Een gebruiker mag kiezen wanneer hij deze keuze maakt; je mag hem de toegang tot je website dus niet ontzeggen als hij zijn keuze uitstelt.
      • Een cookiewall is dus verboden.
    • Een gebruiker mag zijn keuze aanpassen en zijn toestemming intrekken; de cookie instellingen moeten dus gemakkelijk opnieuw geopend kunnen worden. 
    • Een gebruiker mag niet geduwd worden richting een bepaalde keuze.
      • De keuzeknoppen moeten dezelfde lay-out hebben.
         
  3. Een gebruiker moet actieve toestemming geven.
    • Er mag geen geïmpliceerde toestemming worden verkregen, door meldingen zoals "Bij het verder gaan ga je automatisch akkoord met ...". Bezoekers moeten echt actief een keuze maken!
    • Ook hier: géén pre-checked boxes! Bij manage choices moeten bezoekers altijd zelf de categorieën aanvinken waarvoor ze toestemming willen geven. Deze mogen dus nooit by default op 'ja' staan (uitzondering: technisch strikt noodzakelijke cookies).
       
  4. Een gebruiker moet een geïnformeerde keuze kunnen maken.
    • De cookie melding moet beschikbaar zijn in de taal van de gebruiker, en moet ook in begrijpelijke taal geschreven zijn.
    • Je moet een link voorzien naar de cookie policy (of privacy policy, als het cookiebeleid daarin is opgenomen).
    • De melding moet transparant zijn en voldoende informatie geven om een keuze te kunnen maken.
    • Werk met verschillende categorieën om de cookies in te delen.
make it fly - Rianne Marchand

Geen enkele cookie banner passeert Rianne zonder conform te zijn. Na een intense opleiding kan ze perfect de juiste adviezen geven.

Rianne Marchand
Account manager | Management assistant

Twijfels over wat wel /niet mag? Of hoe je best aan de slag kan?

Geef ons zeker een seintje