Zal de GDPR uw cookies opeten? (De Groote De Man)

Auteur: Ingrid De Poorter (De Groote De Man), in samenwerking met Elke Horrix (The House Of Marketing)

Publicatiedatum: november 2017

Naast de Wet betreffende de Elektronische Communicatie, is er binnenkort de EPV (e-privacy verordening om de e-privacyrichtlijn van 2002 bij te werken) en bovendien ook de GDPR. Het is dus vrij gemakkelijk om te verdwalen in al deze voorschriften wat er mag of niet mag inzake cookies.

We beginnen bij het begin:

Zijn cookies persoonlijke gegevens?

Ja, cookies kunnen worden beschouwd als persoonlijke gegevens onder de GDPR. Dat staat geschreven in de volgende passage van de verordening:

“Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.”

Let op het woord ‘kunnen’ in de tekst. We moeten in feite onderscheid maken tussen het soort cookies waarmee we te maken hebben. Laten we beginnen met de gemakkelijkste: functionele cookies. Dit zijn altijd zogenaamde ‘first party’ cookies (cookies die worden ingevoegd door een website die op dat moment door de gebruiker wordt bezocht) en zorgen ervoor dat de website goed functioneert (bijvoorbeeld voor login- of registratiedoeleinden, taalvoorkeuren, winkelmanden, etc.) . Deze cookies worden niet gebruikt om de gebruiker van uw website te identificeren.

Dan zijn er niet-functionele cookies (tracking cookies). Dit zijn zowel first party als zogenaamde third party cookies (er bestaat niet zoiets als 2e partij cookies … er zijn gegevens van 2de partij, maar laten we ons focussen op de cookies, want dat is al ingewikkeld genoeg). Niet-functionele cookies zijn cookies die kunnen worden ingevoegd voor statistische, sociale, doelgerichte of commerciële doeleinden. Ze hebben niets te maken met de puur technische ondersteuning van de website.

Deze cookies maken duidelijk deel uit van het begrip persoonlijke gegevens onder GDPR, wat betekent dat u voor hen vanaf 25 mei 2018 toestemming moet vragen.

Toestemming: onuitgesproken of impliciet?

Ik hoor u denken, hebben we het over onuitgesproken of impliciete toestemming?

De meeste Belgische websites passen sinds de inwerkingtreding van de Wet Elektronische Communicatie van 2005 het principe van impliciete toestemming toe. Deze wet is echter zeer vaag over de vraag welke toestemming nodig is voor niet-functionele cookies. Veel websites gebruiken dan ook in België impliciete toestemming voor wat hun cookies betreft (die vervelende banners die verschijnen en je weg moet klikken).

U kunt nog steeds profiteren van deze impliciete toestemming als u de GDPR toepast. Een belangrijk begrip is echter toegevoegd, namelijk dat een gebruiker de mogelijkheid moet hebben om deze toestemming op elk moment in te trekken of om te kiezen welke cookies hij accepteert. Bovendien is de nodige transparantie vereist. Je moet onder meer helder en in begrijpelijke taal aangeven welke cookies worden gebruikt en waarom, alsook welke de rechten zijn van de gebruikers. Dus nu zien we al pop-ups met lange lijsten met cookies die je één voor één kunt accepteren of weigeren. Nogmaals, dit is best vervelend, niet echt transparant en zeker niet klantgericht. Zo blijft het cookievraagstuk een onontwarbaar kluwen voor gebruikers en marketeers!

Geen paniek, de EPV is onderweg …

Gelukkig houdt het verhaal daar niet op. Binnenkort zal er nog een ander stuk wetgeving komen dat de manier waarop we omgaan met cookies zal veranderen. De nieuwe E-Privacy Verordening (EPV), die waarschijnlijk tegen het einde van 2018 door het Europees Parlement zal worden goedgekeurd, heeft een heel andere aanpak.

In de conceptversie wordt gesuggereerd dat deze verordening de situatie eens en voor altijd zou kunnen verduidelijken. De voorgestelde regel bepaalt dat er geen toestemming nodig is voor niet-privacy verstorende cookies die de internetervaring verbeteren. Bovendien hebben cookies die door een bezochte website zijn ingesteld om het aantal bezoekers te tellen, geen toestemming meer nodig. De nieuwe regel stelt ook voor om toestemming van gebruikers in software, zoals internetbrowsers, te centraliseren en gebruikers te vragen hun privacy-instellingen over de hele linie te kiezen – maar met het extra idee dat om de 6 tot 12 maanden zal worden gevraagd om deze toestemming te vernieuwen .

De EPV is nog niet definitief door het Europees Parlement goedgekeurd, dus we moeten ons voorbereiden om voorlopig aan de GDPR te voldoen.

Wat doen we vandaag? Morgen? Vanaf 25 mei 2018?

U kunt het concept van impliciete toestemming blijven gebruiken tot 25 mei 2018 (hoewel de Belgische privacy commissie nog geen standpunt over deze kwestie heeft ingenomen). Vanaf 25 mei moet u specifiek weten welke cookies u opslaat en waarom, en gebruikers de mogelijkheid bieden om de toestemming één voor één in te trekken (deel van uw privacyverklaring of cookiebeleid). Zodra de EPV in werking treedt, zal de toestemming voor cookies waarschijnlijk deel uitmaken van de browsertoepassing van uw gebruikers.

En hoe zit het met de cookies die ik gebruik voor Google Analytics?

Strikt genomen gebruikt Google Analytics (GA) analytische cookies. Dit zijn niet-functionele cookies en vereisen dus toestemming, maar u kunt de instellingen van het Google Analytics-account van uw bedrijf aanpassen om te voldoen aan de GDPR.

Het idee achter deze wijzigingen is dat uw Google Analytics-cookies in de strikte betekenis third party cookies zijn en dat Google deze gegevens vandaag gebruikt op een pseudonieme – maar niet geanonimiseerde – manier.

Zorg er eerst voor dat u akkoord gaat met een contractwijziging in uw instellingen voor Google om op te treden als gegevensverwerker. Het is geen standaard aangevinkt kader … dus zoek het op en controleer het. Klik vervolgens, zodra u zich in de instellingen van uw Google GA-account bevindt, het vinkje weg voor het delen van uw gegevens met Google. Laat ten slotte Google het volledige IP-adres niet verwerken. Dit is een script dat u kunt toevoegen aan Google JavaScript op uw webserver (eenvoudig online te vinden).

Nog een laatste tip: laat uw cookies niet door de GDPR opeten. Neem vandaag nog contact op met ons. Wij kunnen u adviseren inzake de vereisten voor cookies. En we kijken ineens ook uw privacyverklaring en andere belangrijke documenten en processen na, afhankelijk van de noden van uw bedrijf!

Lees hier het originele artikel