Blog

(Leestijd: 2 - 3 minuten)

Waar staan cookies in de AVG?

De AVG bevat artikelen die gebaseerd zijn op bepaalde gronden. Deze gronden worden ook in de AVG genoemd. Cookies worden slechts in Grond 30 specifiek genoemd:

Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.

 

Richtlijnen voor cookies en ePrivacy

De ePrivacy Richtlijn (EPR), aangenomen in 2002 en gewijzigd in 2009, is bekend geworden als de 'cookiewetgeving', omdat het meest opvallende effect de uitbreiding van pop-ups met cookietoestemming was.
Het is een aanvulling op (en in sommige gevallen voorrang op) de AVG, waarin cruciale aspecten van de vertrouwelijkheid van elektronische communicatie en het volgen van internetgebruikers breder worden behandeld. Een heleboel regels die wij nu hanteren in Nederland komt uit onze Telecommunicatiewet.

Cookie-naleving: hoe heurt het?

Om te voldoen aan de regelgeving voor cookies onder de AVG en de e-privacyrichtlijn, moet u:

  • Ontvang toestemming van gebruikers voordat u cookies gebruikt, behalve strikt noodzakelijke cookies. U heeft altijd meldplicht.
  • Verstrek nauwkeurige en specifieke informatie over de gegevens die elke cookie bijhoudt en het doel ervan in duidelijke taal voordat toestemming wordt ontvangen. Rare afkortingen of codetaal moet u vermijden.
  • Documenteer en bewaar toestemming van gebruikers. U kunt dit doen door te loggen. Meeste cookie tools bieden dit aan. Controleer goed of dit bij u ook gebeurt. U blijft immers eindverantwoordelijk.
  • Geef gebruikers toegang tot uw diensten, zelfs als ze weigeren het gebruik van bepaalde cookies toe te staan. Een zogeheten cookie wall mag niet.
  • Maak het gebruikers zo gemakkelijk mogelijk om hun toestemming weer in te trekken. Als zij moeten zoeken of men kan het niet vinden, voldoet u ook niet aan de regelgeving en richtlijnen.

ePrivacy Verordening (ePV) en ePrivacy Richtlijn (ePR)

De uiteindelijke vervanging van de EPV, de ePrivacy verordening zal voortbouwen op de EPR en de definities ervan uitbreiden. (In de EU moet een richtlijn door EU-landen in de nationale wetgeving worden opgenomen, terwijl een verordening in de hele EU juridisch bindend wordt op de datum van inwerkingtreding.)

ePrivacy Verordening tegelijkertijd met AVG: niet gehaald!

De EPV werd verondersteld te zijn goedgekeurd in 2018 op hetzelfde moment dat de GDPR van kracht werd. De EU heeft dat doel natuurlijk gemist, maar er zijn concepten van het document online en het is gepland om ergens dit jaar te worden afgerond, hoewel er nog geen datum is waarop het zal worden uitgevoerd. De EPV belooft browser fingerprinting op een manier die vergelijkbaar is met cookies aan te pakken, robuustere beveiligingen voor metadata te creëren en rekening te houden met nieuwe communicatiemethoden, zoals WhatsApp.

De regels voor cookies worden nog steeds vastgesteld en cookies zelf evolueren voortdurend, wat betekent dat het handhaven van een huidig cookiebeleid een continue taak zal zijn. Als u uw gebruikers echter goed informeert over de cookies die uw site gebruikt en, indien nodig, hun toestemming ontvangt, blijven uw gebruikers tevreden en blijft u AVG-compliant.

Meer weten over de AVG?

Wilt u meer leren over de AVG, volg dan mijn interessante AVG Awareness Training. Deze wordt klassikaal aangeboden maar kan ook in-company gegeven worden.

 

Image Source