De nieuwe cookiewet is van kracht sinds 5 juni. De meeste e-commerce bedrijven hebben zich er ondertussen een mening over gevormd. Maar ook als je geen voorstander bent, zul je er toch aan moeten geloven. In zeven stappen op het juiste pad?
Tekst: Louise Dancet
OPTA is druk aan de slag met een cookiemonitortool en de woordvoerster van de OPTA, Cynthia Heijne, verklaarde op 13 juli tegenover Tweakers.net dat sites die ongevraagd cookies plaatsen die de gebruiker lastig kan verwijderen, gelijk een boete krijgen. Wie de boete van OPTA wil vermijden, kan het stappenplan in dit artikel volgen.
Stap 1: bepaal welke cookies uw site plaatst
Meten is weten, ook bij de cookiewet. De eerste stap is dan ook nagaan welke cookies uw site plaatst. Dit kan door simpelweg uw browsercache leeg te maken en uw site te bezoeken zoals ‘normale’ bezoekers dat ook zouden doen. Installeer eventueel een cookieplug-in die het overzicht vergemakkelijkt, zoals Cookie Monster voor Firefox of Edit This Cookie voor Chrome. Neem elke cookie op in een overzicht, bijvoorbeeld in een simpele Excel-tabel. Doe dit voor een aantal pagina’s, dus naast bijvoorbeeld de homepage ook voor een contactformulier, bestelpagina of webshop-onderdeel van uw site.
Stap 2: bepaal waarom deze cookies worden geplaatst
Nu u weet welke cookies uw site plaatst, is de volgende stap na te gaan waarom. Documenteer dit per cookie in dat overzicht. Een mooi voorbeeld hoe dit eruit zou kunnen zien is de Privacy Notice van de Engelse OPTA.Sommige cookies zijn van uw eigen site afkomstig, andere komen van widgets, plug-ins of geëmbedde content van derden. Dat maakt niet uit; u blijft er zelf verantwoordelijk voor.
Stap 3: beslis welke cookies eventueel niet meer geplaatst hoeven te worden
U kunt natuurlijk voor elke cookie uit uw overzicht aan de slag gaan, maar van sommige cookies kunt u zich afvragen waarom u ze eigenlijk gebruikt. Zo zetten veel sites en blogs standaard een sessiecookie, voor het geval u wellicht ooit iets met sessies zou willen doen. Doet u dat niet? Dan kan het eruit. Scheelt weer in het overzicht.
Stap 4: bepaal of toestemming nodig is voor uw cookies
De cookiewet bepaalt dat elke cookie toestemming nodig heeft, tenzij het valt onder de uitzondering voor functionele cookies. En die uitzondering is beperkt: de door u geleverde dienst moet als zodanig niet meer werken wanneer u de bijbehorende cookies zou weghalen. Een winkelwagentje of een loginscherm dat cookies gebruikt, valt dus onder de uitzondering. Een tracking cookie niet - en Google Analytics ook niet. Ook cookies voor uw affiliatesites of social media-knoppen vallen gewoon onder de toestemmingseis.
Stap 5: regel een manier om toestemming te vragen
Deze stap is eenvoudiger gezegd dan gedaan. Maar toestemming vragen is verplicht voor alle cookies die u bij stap vier heeft uitgezocht. Als uw site een registratiemogelijkheid heeft, dan zou u de toestemming voor de cookies kunnen koppelen aan die registratie. Dit kan op dezelfde manier als waarop veel sites akkoord vragen voor algemene voorwaarden of huisregels, gewoon met een verplicht aan te vinken vakje dus. En u mag mensen weigeren die weigeren dat vinkje te zetten, zolang maar duidelijk is dat dat de consequentie is. De meeste sites zullen echter een aparte toestemmingsmogelijkheid moeten invoeren. Opties hiervoor zijn Cookie Control van CivicUK en de Cookie Consent oplossing van Silk. Let erop dat er ook geen cookies worden gezet totdat die toestemming is verkregen! Als u werkt met third-party plug-ins, dan moet uw toestemmingsmodule deze pas inladen nadat de toestemming is verkregen.
Stap 6: leg vast dat uw site toestemming vraagt voor cookies
U moet bewijzen dat u toestemmingsplichtige cookies ook echt alleen met toestemming plaatst. Formeel moet u dus per cookie vastleggen dat er op akkoord is geklikt én dat vijf jaar bewaren. Dat gaat in de praktijk dus niet werken. Een praktisch alternatief is vastleggen dat u toestemming vraagt en dat het vragen van toestemming onvermijdelijk is. Dit kan bijvoorbeeld door een screencast of serie screenshots te maken waarmee u een bezoek aan uw site vastlegt. Hiermee documenteert u dat er allereerst géén cookies gezet worden maar u wel een vraag krijgt om toestemming, dat bij die vraag wordt toegelicht waar het om gaat en dat u na het vragen van de toestemming pas cookies krijgt. Maak de screencast opnieuw wanneer uw site opnieuw ontworpen wordt. Bewaar de screencasts op een medium zoals dvd of een externe site, zodat een beschuldiging achteraf snel te weerleggen is.
Stap 7: voeg een cookieverklaring toe
Naast toestemming is het ook verplicht om te informeren welke cookies u zet en waarom. De hierboven verzamelde informatie is een goede basis. Verder kunt u de standaardteksten van Cookierecht.nl gebruiken om de cookieverklaring samen te stellen.
Louise Dancet is juridisch adviseur bij ICTRecht.
Dit artikel verscheen eerder in Twinkle 7-2012.
Bedankt voor de heldere uitleg. Wijzen onze bezoekers er graag naar door.
Wellicht dat voor bezoekers https://www.123privacy.nl ook een handige tool is. Hiermee kun je zelf instellen welke cookies je wilt accepteren en welke weigeren na het doorlopen van bovenstaande stappen. In tegenstelling tot andere tools is deze tool geheel gericht op Nederland.