De Autoriteit Persoonsgegevens gaat harder handhaven op misleidende cookies 

De Autoriteit Persoonsgegevens gaat harder handhaven op misleidende cookies 

De Autoriteit Persoonsgegevens (AP) gaat in 2024 vaker controleren of websites op de juiste manier toestemming vragen voor cookies en andere volgsoftware. In praktijk komt het namelijk regelmatig voor dat bedrijven een misleidende cookiebanner op hun website plaatsen op een manier die wettelijk verboden is. In dit artikel vertellen we u wat cookies precies zijn en welke regels de AP voor cookiebanners stelt.  

Tracking cookies 

Vrijwel altijd als u een website bezoekt, duikt er een cookiebanner op. Hierin vraagt de website of u akkoord bent dat er cookies op uw apparaat worden geplaatst. Sommige cookies zijn nodig om ervoor te zorgen dat een website technisch goed werkt of om algemeen gedrag van bezoekers in kaart te brengen. Maar er zijn ook cookies die bezoekers over het internet volgen om specifieke informatie te verzamelen, waar de bezoeker zelf geen baat bij heeft.  

Cookies die gebruikers over het internet ‘volgen’ om data te verzamelen noemen we Tracking Cookies. Deze cookies houden nauwlettend uw online activiteiten bij. Ze registreren onder andere uw zoekopdrachten, websites die u bezoekt, de duur van uw verblijf, gebruikte apparaten, uw IP-adres, locatie en meer. Deze informatie verkopen website-eigenaren vervolgens aan advertentienetwerken die persoonlijke advertenties tonen aan internetgebruikers. Jaarlijks wordt hier veel geld mee verdiend.  

‘Wat je op het internet doet is heel persoonlijk’ 

Bij het gebruik van cookies moeten organisaties zich houden aan de Algemene verordening gegevensbescherming (AVG). Voor tracking cookies moet specifiek toestemming gevraagd worden aan de bezoeker.  

Aleid Wolfsen, voorzitter van de AP: “Met volgsoftware of tracking cookies kunnen organisaties meekijken naar jouw internetgedrag. Dat mag niet zomaar, want wat je op internet doet is heel persoonlijk. Een organisatie mag dat alleen bijhouden als je er expliciet mee akkoord gaat. En je moet de mogelijkheid hebben om deze volgsoftware te weigeren, zonder dat dit nadelig voor je uitpakt.”   

Partijen zijn wettelijk verplicht om bezoekers te informeren over welke gegevens ze verzamelen met cookies. Zo kunnen bezoekers een weloverwogen keuze maken om de cookies te accepteren of niet.  

In de praktijk gaat dit nog vaak mis. De AP ziet regelmatig dat organisaties misleidende manieren bedenken om toestemming te krijgen voor het plaatsen van cookies. Denk aan vinkjes die automatisch aan staan, de weigerknop die lastig te vinden is en knoppen en URL’s om cookies af te wijzen die afwijkende kleuren krijgen. 

Om ervoor te zorgen dat organisaties de wet- en regelgeving op het gebied van cookies beter naleven, gaat de AP dit jaar vaker controleren of ze op de juiste manier om toestemming vragen voor het plaatsen van cookies. De toezichthouder kan dan besluiten om een onderzoek in te stellen en een boete te geven. Deze controles zijn mogelijk dankzij het extra budget van het ministerie van binnenlandse zaken dat is vrijgegeven om het misbruik van cookies en online misbruik tegen te gaan. Het gaat om een half miljoen euro dat de AP jaarlijks ontvangt van 2024 tot en met 2026. 

Regels voor cookiebanners 

De AP licht een aantal belangrijke aspecten van cookiebanners uit. Dit zijn een aantal vuistregels die helpen om een juiste cookiebanner in te stellen voor uw website:  

  • Geef informatie over het doel van een cookie 
    Geef uw websitebezoeker informatie die nodig is om een weloverwogen keuze te maken. Vertel in ieder geval met welk doel u cookies gebruikt, voordat iemand een keuze maakt. Wees daarbij duidelijk en volledig over uw doelen. 
  • Zet vinkjes niet automatisch aan 
    Sommige cookiebanners maken gebruik van vinkjes. Zorg ervoor dat uw websitebezoeker zelf bepaalde keuzes aanklikt (of niet) en dus bewust een keuze maakt. De keuzeboxen mogen dus bijvoorbeeld niet automatisch op ‘toestemming geven’ staan. 
  • Gebruik duidelijke tekst 
    Maak gebruik van duidelijke woorden in uw tekst, zoals: accepteren, akkoord en weigeren. Op die manier is het duidelijk dat iemand toestemming geeft of weigert. Zorg ervoor dat je geen vage of sturende bewoording gebruikt, zoals ‘ja, optimale cookies accepteren’ en ‘nee, ik wil geen optimale ervaring’. 
  • Maak weigeren net zo makkelijk als accepteren 
    Zorg ervoor dat bezoekers cookies net zo makkelijk kunnen accepteren als weigeren. Zet de knoppen voor weigeren en accepteren op dezelfde laag. Dat betekent dat iemand niet door hoeft te klikken naar een volgende pagina om cookies te weigeren, als dat voor accepteren ook niet hoeft. Daarnaast mag je niet vragen om bevestiging wanneer iemand cookies wil weigeren. 
  • Verberg keuzes niet 
    Zorg dat zowel de knop om te accepteren als om te weigeren goed zichtbaar is. Laat bezoekers bijvoorbeeld niet onnodig scrollen om cookies te weigeren, als dat ook niet hoeft om cookies te accepteren.
  • Wees helder over het intrekken van toestemming 
    Leg duidelijk uit hoe de bezoeker toestemming weer kan intrekken, voordat hij een keuze maakt.

Op de website van de AP vindt u meer uitleg en voorbeelden over de vuistregels. 

Zorg voor de juiste cookies 

Maakt uw organisatie gebruik van cookies? Dan kunt u ervan uitgaan dat u persoonsgegevens verwerkt. Ook bij sommige functionele en analytische cookies verwerkt u persoonsgegevens. Nu de AP strenger gaat handhaven op het juiste gebruik van cookiebanner is het dus extra belangrijk om ervoor te zorgen dat uw cookiebanner aan de juiste eisen voldoet. 

Bent u benieuwd of uw organisatie voldoet aan de wet- en regelgeving? Onze consultants staan altijd voor u klaar.