Claeys & Engels
Zoeken

Checklist voor correct gebruik van cookies - De Gegevensbeschermingsautoriteit deelt haar verwachtingen voor een cookiebeleid

Newsflash
Gegevensbescherming en privacy

De Gegevensbeschermingsautoriteit (GBA) publiceerde haar lang verwachte standpunt omtrent het gebruik van cookies in de vorm van een checklist. Daarnaast kondigde zij ook een update aan van haar informatiepagina over cookies.

De GBA begint met te benadrukken dat de checklist geen nieuwe verplichtingen bevat. Strikt genomen klopt dit aangezien de relevante regelgeving niet is gewijzigd. Echter heeft de GBA nu wel een concreet standpunt ingenomen over een aantal punten waarover discussie bestaat in de praktijk.

Daarnaast benadrukt de GBA ook dat deze checklist niet exhaustief is. Zelfs wanneer je de hele checklist kan afvinken, kan je dus nog steeds gesanctioneerd worden.

Ze verduidelijkt dat de checklist geldt voor zowel ‘cookies’, als andere vergelijkbare technologieën (bv. tracking pixels).

Principe: toestemming vereist tenzij voor strikt noodzakelijke cookies

De GBA bevestigt het principe om voor de verwerking van cookies te beschikken over een vrije en geïnformeerde toestemming.

Dit geldt bij uitzondering niet voor de zogenaamde ‘strikt noodzakelijke cookies’. In de checklist worden enkele voorbeelden van cookies gegeven die als strikt noodzakelijk zijn te beschouwen. Enerzijds gaat het om technische cookies, bijvoorbeeld cookies die de informatie verdelen over netwerken (“load balancing”) en anderzijds om functionele cookies waaruit bijvoorbeeld de taalvoorkeur blijkt, de cookievoorkeuren of de inhoud van een winkelmandje.

Spijtig genoeg blijft de GBA vrij beperkt in haar voorbeelden over strikt noodzakelijke cookies. Het is immers niet altijd even duidelijk welke cookies precies ‘noodzakelijk’ zijn. Zo bestaat binnen de EU-onenigheid over de kwalificatie van analytische cookies.

Over cookiewalls, de plaatsing van een weigerknop en deceptive design

Vervolgens gaat de GBA in op enkele gekende praktijken die de ‘vrije’ toestemming in het gedrang brengen en bijgevolg leiden tot een ongeldige toestemming. De GBA neemt, in tegenstelling tot autoriteiten in andere Europese landen, het standpunt in dat cookiewalls (i.e. toestemming voor cookies verplichten als voorwaarde om toegang te krijgen tot diensten en functionaliteiten) verboden zijn.

De GBA vereist eveneens dat er een knop is om alle cookies te weigeren op hetzelfde niveau als de knop om alle cookies te aanvaarden. Niet alle Europese nationale gegevensbeschermingsautoriteiten zijn het hiermee eens.

Tot slot is het niet toegestaan om ‘deceptive design’ toe passen. In dit kader wordt er bijvoorbeeld gedacht aan het gebruik van kleuren om de aanvaardknop in de kijker te plaatsen of eventueel de vorm van de weigerknop aan te passen zodanig dat deze minder leesbaar is. Een goede praktijk is om zowel de knop om alle cookies te aanvaarden als de knop om alle cookies te weigeren in eenzelfde kleur en lay-out te plaatsen. De GBA doet echter geen uitspraak of dit ook zo moet zijn voor de knop om je cookievoorkeuren te kiezen.

Wees zo specifiek mogelijk

Om een specifieke toestemming te verkrijgen geeft de GBA nog enkele vereisten aan. Zo moet je ten laatste in de tweede laag van de cookiebanner de mogelijkheid voorzien om per doeleinde al dan niet toestemming te verlenen. Over de onderverdeling en de benaming van de categorieën is veel onenigheid, maar hierover brengt de GBA geen duidelijkheid.

De GBA herhaalt haar standpunt uit haar direct marketing aanbeveling dat er een afzonderlijke toestemming moet worden verkregen voor het gebruik van cookies voor eigen reclame en profilering en het gebruik door derden. Bovendien moet de toestemming per derde kunnen worden gegeven.

Cookiebanner propvol informatie

De GBA vereist dat websitebezoekers meteen in de eerste laag van de cookiebanner geïnformeerd worden over de doeleinden waarvoor toestemming wordt gevraagd.

Daarnaast moet in die eerste laag ook informatie staan over de ondernemingen die verantwoordelijk zijn voor de cookies. Voor de derde partijen die cookies plaatsen volstaat het om een aantal van deze derden te noemen met een link naar de volledige lijst. Er moet eveneens worden toegelicht hoe cookies kunnen worden geaccepteerd of geweigerd, wat de gevolgen ervan zijn, dat toestemming altijd kan worden ingetrokken en een uitleg over hoe je dit moet doen.

In een andere laag van de cookiebanner moet een volledige lijst staan van alle gebruikte cookies, opgedeeld per categorie, met vermelding van hun doeleinde, duurtijd en ontvangers. De GBA meent blijkbaar dat het niet volstaat als deze informatie enkel in een cookiebeleid is te lezen.

Toestemming moet actief worden gegeven

De GBA bevestigt dat cookiebanners met de tekst ‘door verder te surfen ga je akkoord met ons gebruik van cookies’ niet zijn toegestaan.

Daarnaast zijn ook vooraf aangevinkte vakjes niet toegelaten, mag de toestemming niet gekoppeld worden aan de aanvaarding van algemene voorwaarden, en mag deze evenmin afgeleid worden uit de browserinstellingen van de websitebezoeker.

Eenvoudig intrekken van toestemming

De onderneming moet een instelling voorzien om eenvoudig toestemming in te trekken. De intrekking van de toestemming moet even eenvoudig verlopen als het geven ervan. Dit kan via een knop of een link waarmee de cookie-instellingen kunnen worden beheerd en de websitebezoeker met 1 klik zijn toestemming kan intrekken. In een eerdere beslissing van de geschillenkamer bij de GBA werd aangegeven dat deze knop of link best bovenaan het cookiebeleid wordt geplaatst.

Verantwoord gebruik

Vervolgens geeft de GBA aan dat je de cookies voor het bijhouden van cookievoorkeuren slechts een beperkte termijn mag bewaren. In de praktijk heeft dit invloed op wanneer je opnieuw toestemming moet vragen (na toestemming) of mag vragen (na weigering). De GBA stelt dat 6 maanden daarvoor redelijk is en volgt zo eerdere standpunten van andere autoriteiten.

Ondernemingen moeten bovendien ook kunnen aantonen hoe hun banner en cookiebeleid werden aangepast doorheen de tijd en moeten hun cookiebeleid voorzien van een datum en versienummer.

Strikte richtlijnen voor het gebruik van cookies

Het mag duidelijk zijn dat de GBA zich, in vergelijking met andere autoriteiten binnen de EU, streng opstelt op het vlak van cookies en vergelijkbare technologieën. Het op punt zetten van je cookiebanner- en beleid zou daarom prioritair moeten zijn. De GBA kondigde immers ook controles ter zake aan.  

Deze vijf vuistregels kunnen helpen om je cookiebeleid op punt te stellen:

1. Minimaliseer het aantal cookies en vergelijkbare technologieën. In de praktijk merken we dat veel ondernemingen weinig doen met de data die ze uit cookies halen. Door enkel in te zetten op noodzakelijke cookies, beperk je ook de aansprakelijkheid van de organisatie.

2. Gebruik voldoende aanvinkvakjes. Er moet immers een actieve toestemming gevraagd worden.

3. Niet misleiden. Geef niet de indruk dat je bezoekers van je website probeert te misleiden door een onleesbare cookiebanner te presenteren.

4. Toon aan dat je weet welke cookies en vergelijkbare technologieën er op je website staat. Een website is het digitale uithangbord van een onderneming. Fouten zijn daarom visibel, ook voor de autoriteiten. Licht daarom iedere cookie die je op je website plaatst grondig door.

5. Let op met Amerikaanse cookies. Wanneer je gebruik maakt van Amerikaanse cookies, zoals Google Analytics, is er meestal ook sprake van een gegevensdoorgifte. Daarover schreven we eerder al in deze newsflash.