Aandachtspunten bij het opstellen
en analyseren van ICT-contracten

Mr. Lynn Pype en mr. Liesa Boghaert (Timelex)

Webinar op donderdag 16 mei 2024


Buitencontractuele aansprakelijkheid:
het nieuwe boek 6 is een feit

Prof. dr. Ignace Claeys en prof. dr. Thijs Tanghe (Eubelius)

Webinar op dinsdag 5 maart 2024

Het gebruik van cookies: een overzicht (Mr. Franklin)

Auteur: Leonore Tistaert (Mr. Franklin)

De Gegevensbeschermingsautoriteit heeft vorige maand een checklist gepubliceerd om het correcte gebruik van cookies te bevorderen. Hierin worden de do’s en don’ts over het gebruik van cookies en cookiebanners opgesomd. Met deze checklist maakt de Gegevensbeschermingsautoriteit duidelijk dat het de naleving van het correct gebruik van cookies een belangrijk punt vindt. Het is dus essentieel dat uw site in orde is met de cookiereglementering. Wij vatten deze checklist kort voor u samen.

Toestemming staat centraal

Dé basis voor het plaatsen van cookies blijft toestemming. Deze moet voorafgaand, vrij, specifiek, geïnformeerd en ondubbelzinnig zijn.

1) Voorafgaand: de checklist benadrukt het belang van voorafgaande toestemming bij het plaatsen van niet strikt noodzakelijke cookies. Cookies mogen dus niet geplaatst worden voordat hiervoor geldige toestemming is verkregen.

2) Vrij:

  • Bezoekers van uw website moeten vrij hun toestemming kunnen geven. Dit betekent dat u geen gebruik mag maken van ‘cookie walls’. Dat wil zeggen dat u bezoekers geen toegang tot de website mag ontzeggen als zij de cookies niet willen accepteren.
  • Daarnaast moeten bezoekers makkelijk kunnen aanvinken dat ze de cookies willen weigeren. U moet dus in uw banner zowel een knop hebben om de cookies te accepteren, als om ze te weigeren. Het is verboden om het bezoekers moeilijker te maken om cookies te weigeren door ze te laten doorklikken via een knop ‘instellingen’, om ze daarna pas te kunnen weigeren. Een knop ‘instellingen beheren’ volstaat dus niet naast een knop ‘alles aanvaarden’.
  • Het is eveneens verboden om te werken met ‘deceptive design’ technieken om op die manier bezoekers toch alle cookies te laten aanvaarden. Dit is bijvoorbeeld wanneer bezoekers onbewust overtuigd worden om de cookies te aanvaarden door het kleurgebruik van de banner (de ‘alles accepteren’ knop staat bijvoorbeeld in een feller kleur).

3) Specifiek:

  • Bezoekers moeten de mogelijkheid hebben om makkelijk door te klikken om zo voor elk specifiek doeleinde afzonderlijk (al dan niet) toestemming te geven.
  • Hierbij moeten de verschillende categorieën van cookies zo duidelijk en nauw mogelijk afgebakend zijn. Verder moet het gebruik van eenzelfde cookie voor verschillende doeleinden zoveel mogelijk vermeden worden.
  • Daarnaast moet er ook de mogelijkheid bestaan dat de bezoeker per partner (bijvoorbeeld de gezamenlijke verwerkingsverantwoordelijke) het gebruik van cookies (al dan niet) kan aanvaarden.

4) Geïnformeerd:

  • De bezoeker moet makkelijk op een duidelijke en beknopte wijze de verschillende doeleinden waarvoor toestemming wordt gevraagd kunnen zien.
  • Er moet een duidelijke lijst aanwezig zijn met alle gebruikte cookies, per categorie opgedeeld, met daarin vermeld hun doeleinde, duurtijd en ontvangers van de cookies.

5) Ondubbelzinnig en actief:

  • Het verder surfen op de site voordat de cookies geaccepteerd/geweigerd zijn mag niet gezien worden als het geven van toestemming. Hetzelfde geldt voor het sluiten van de banner: het feit dat de bezoeker de cookiebanner sluit, kan niet worden gezien als toestemming.
  • De vakjes om toestemming te geven mogen niet vooraf aangevinkt zijn.
  • Uit de toestemming van de cookies mag niet afgeleid worden dat er wordt toegestemd met de algemene voorwaarden of het privacybeleid.
  • Verder mag de toestemming van de bezoeker ook niet afgeleid worden uit zijn/haar browserinstellingen.
Toestemming intrekken?

Het kan zijn dat een bezoeker zijn/haar toestemming voor de cookies wil intrekken. Ook dan moet het mogelijk zijn dat deze persoon dit op een simpele manier kan doen. De GBA vereist hierbij dat de toestemming even makkelijk kan worden ingetrokken als die kan worden gegeven. De bezoeker moet dus op een eenvoudige wijze de cookiebanner terug kunnen oproepen om zo de verschillende opties te beheren.

Daarbij is het belangrijk dat de intrekking van de toestemming ervoor zorgt dat het gebruik van de cookie meteen stopt, en niet enkel voor de toekomst gevolgen heeft. De cookie moet dus effectief meteen verwijderd kunnen worden.

Verantwoordingsplicht voor de GBA

Het kan zijn dat de GBA een onderzoek instelt over het gebruik van cookies op uw site. Het is dan ook altijd van groot belang dat u voldoende informatie bijhoudt over het cookiegebruik.

Zo moet u kunnen aantonen dat de cookies die u bijhoudt voor het onthouden van de cookievoorkeuren van de bezoekers slechts voor een beperkte tijd bewaard blijven. De GBA raadt hier zelf een maximumtermijn van 6 maanden aan. Het is dus aangeraden om deze termijn te volgen en deze cookies niet langer dan nodig bij te houden.

Verder is het belangrijk dat u de informatie bijhoudt die laat zien hoe het toestemmingsmechanisme (zoals bijvoorbeeld de cookiebanner) werd aangepast doorheen de tijd. Ook oudere versies van het cookiebeleid worden dus best bijgehouden.

Geen toestemming vereist?

Voor strikt noodzakelijke technische cookies is het niet vereist dat u toestemming krijgt. Deze cookies heeft u nodig voor het goed laten functioneren van uw website. Hetzelfde geldt voor het gebruik van strikt noodzakelijke functionele cookies (deze bestaan bijvoorbeeld uit het onthouden van de taalvoorkeuren, de cookievoorkeuren of de inhoud van het winkelmandje). Dit zijn dus enkel cookies die strikt noodzakelijk zijn om een door de bezoeker uitdrukkelijk gevraagde dienst te leveren.

Het is belangrijk om te checken dat bij het plaatsen van deze strikt noodzakelijke cookies geen andere cookies worden geplaatst waar u wel toestemming door de bezoeker nodig hebt.

Conclusie

Met deze checklist maakt de GBA duidelijk dat het gebruik van cookies goed opgevolgd moet worden en dat er bepaalde regels in het licht van de GDPR moeten worden nageleefd. Als u deze checklist evenwel volgt, bent u in principe in orde met de regels omtrent cookiegebruik.

In de praktijk blijkt eveneens dat de GBA het cookiebeleid van websites nauw opvolgt. Zo hebben de VRT, RTBF, L’Avenir, La Libre, dhnet en De Tijd eind november en begin december al schikkingen moeten treffen omdat ze cookies foutief gebruikten op hun websites.

Bron: Mr. Franklin

» Bekijk alle artikels: Privacy & Gegevensbescherming