Menu
De Groote – De Man
cookies gdpr

Eet de GDPR uw cookies op?

GDPR
12 december 2017

Er bestond al wetgeving over cookies en met de komst van de GDPR en de EPR wordt het er niet makkelijker op. Wij maakten een overzicht.

Naast de Wet betreffende de Elektronische Communicatie, is er binnenkort de EPV (e-privacy verordening om de e-privacyrichtlijn van 2002 bij te werken) en intussen ook de GDPR. Het is dus vrij gemakkelijk om te verdwalen in al deze voorschriften wat er mag of niet mag inzake cookies.

We beginnen bij het begin:

Zijn cookies persoonlijke gegevens?

Ja, cookies kunnen worden beschouwd als persoonlijke gegevens onder de GDPR. Dat staat geschreven in de volgende passage van de verordening:

“Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.”

Let op het woord ‘kunnen’ in de tekst. We moeten in feite onderscheid maken tussen het soort cookies waarmee we te maken hebben. Laten we beginnen met de gemakkelijkste: functionele cookies. Dit zijn altijd zogenaamde ‘first party’ cookies (cookies die worden ingevoegd door een website die op dat moment door de gebruiker wordt bezocht) en zorgen ervoor dat de website goed functioneert (bijvoorbeeld voor login- of registratiedoeleinden, taalvoorkeuren, winkelmanden, etc.) . Deze cookies worden niet gebruikt om de gebruiker van uw website te identificeren.

Dan zijn er niet-functionele cookies (tracking cookies). Dit zijn zowel first party als zogenaamde third party cookies (er bestaat niet zoiets als 2e partij cookies … er zijn gegevens van 2de partij, maar laten we ons focussen op de cookies, want dat is al ingewikkeld genoeg). Niet-functionele cookies zijn cookies die kunnen worden ingevoegd voor statistische, sociale, doelgerichte of commerciële doeleinden. Ze hebben niets te maken met de puur technische ondersteuning van de website.

Deze cookies maken duidelijk deel uit van het begrip persoonlijke gegevens onder GDPR, wat betekent dat u voor hen sinds 25 mei 2018 toestemming moet vragen.

Toestemming: onuitgesproken of impliciet?

Ik hoor u denken, hebben we het over onuitgesproken of impliciete toestemming?

De meeste Belgische websites passen sinds de inwerkingtreding van de Wet Elektronische Communicatie van 2005 het principe van impliciete toestemming toe. Deze wet is echter zeer vaag over de vraag welke toestemming nodig is voor niet-functionele cookies. Veel websites gebruiken dan ook in België impliciete toestemming voor wat hun cookies betreft (die vervelende banners die verschijnen en je weg moet klikken).

U kunt nog steeds profiteren van deze impliciete toestemming als u de GDPR toepast. Een belangrijk begrip is echter toegevoegd, namelijk dat een gebruiker de mogelijkheid moet hebben om deze toestemming op elk moment in te trekken of om te kiezen welke cookies hij accepteert. Bovendien is de nodige transparantie vereist. Je moet onder meer helder en in begrijpelijke taal aangeven welke cookies worden gebruikt en waarom, alsook welke de rechten zijn van de gebruikers. Dus nu zien we al pop-ups met lange lijsten met cookies die je één voor één kunt accepteren of weigeren. Nogmaals, dit is best vervelend, niet echt transparant en zeker niet klantgericht. Zo blijft het cookievraagstuk een onontwarbaar kluwen voor gebruikers en marketeers!

Geen paniek, de EPV is onderweg …

Gelukkig houdt het verhaal daar niet op. Binnenkort zal er nog een ander stuk wetgeving komen dat de manier waarop we omgaan met cookies zal veranderen. De nieuwe E-Privacy Verordening (EPV) heeft een heel andere aanpak.

In de conceptversie wordt gesuggereerd dat deze verordening de situatie eens en voor altijd zou kunnen verduidelijken. De voorgestelde regel bepaalt dat er geen toestemming nodig is voor niet-privacy verstorende cookies die de internetervaring verbeteren. Bovendien hebben cookies die door een bezochte website zijn ingesteld om het aantal bezoekers te tellen, geen toestemming meer nodig. De nieuwe regel stelt ook voor om toestemming van gebruikers in software, zoals internetbrowsers, te centraliseren en gebruikers te vragen hun privacy-instellingen over de hele linie te kiezen – maar met het extra idee dat om de 6 tot 12 maanden zal worden gevraagd om deze toestemming te vernieuwen .

De EPV is nog niet definitief door het Europees Parlement goedgekeurd, dus we moeten voorlopig alvast aan de GDPR voldoen.

Wat doen we vandaag?

Sinds 25 mei 2018 moet u specifiek weten welke cookies u opslaat en waarom, en gebruikers de mogelijkheid bieden om de toestemming één voor één in te trekken (deel van uw privacyverklaring of cookiebeleid). Zodra de EPV in werking treedt, zal de toestemming voor cookies waarschijnlijk deel uitmaken van de browsertoepassing van uw gebruikers.

En hoe zit het met de cookies die ik gebruik voor Google Analytics?

Strikt genomen gebruikt Google Analytics (GA) analytische cookies. Dit zijn niet-functionele cookies en vereisen dus toestemming, maar u kunt de instellingen van het Google Analytics-account van uw bedrijf aanpassen om te voldoen aan de GDPR.

Het idee achter deze wijzigingen is dat uw Google Analytics-cookies in de strikte betekenis third party cookies zijn en dat Google deze gegevens vandaag gebruikt op een pseudonieme – maar niet geanonimiseerde – manier.

Zorg er eerst voor dat u akkoord gaat met een contractwijziging in uw instellingen voor Google om op te treden als gegevensverwerker. Het is geen standaard aangevinkt kader … dus zoek het op en controleer het. Klik vervolgens, zodra u zich in de instellingen van uw Google GA-account bevindt, het vinkje weg voor het delen van uw gegevens met Google. Laat ten slotte Google het volledige IP-adres niet verwerken. Dit is een script dat u kunt toevoegen aan Google JavaScript op uw webserver (eenvoudig online te vinden).

Laat je cookies niet opeten door de GDPR! Wij kunnen helpen

Heb je hulp nodig met je cookies, privacystatement of andere specifieke issues ivm GDPR? Wij helpen je graag verder met ons advies op maat!

Heb je nog vragen of worstel je met een ander GDPR issue?

Laat ons zeker weten waarover je meer informatie of advies wenst:

Contact

Ook interessant

Meer weten over wat er gebeurd sinds de GDPR op 25 mei 2018 van kracht ging?

 

 

 

In samenwerking met Elke Horrix van The House Of Marketing

Geschreven door

Ingrid De Poorter

Ingrid De Poorter is Managing Partner en heeft de leiding over de afdelingen Data, Tech & Entertainment en Ondernemingsrecht.