Waar staan cookies in de AVG?
De AVG bevat artikelen die gebaseerd zijn op bepaalde gronden. Deze gronden worden ook in de AVG genoemd. Cookies worden slechts in Grond 30 specifiek genoemd:
Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.
Richtlijnen voor cookies en ePrivacy
De ePrivacy Richtlijn (EPR), aangenomen in 2002 en gewijzigd in 2009, is bekend geworden als de 'cookiewetgeving', omdat het meest opvallende effect de uitbreiding van pop-ups met cookietoestemming was.
Het is een aanvulling op (en in sommige gevallen voorrang op) de AVG, waarin cruciale aspecten van de vertrouwelijkheid van elektronische communicatie en het volgen van internetgebruikers breder worden behandeld. Een heleboel regels die wij nu hanteren in Nederland komt uit onze Telecommunicatiewet.
Cookie-naleving: hoe heurt het?
Om te voldoen aan de regelgeving voor cookies onder de AVG en de e-privacyrichtlijn, moet je hier rekening mee houden:
- Ontvang toestemming van gebruikers voordat je cookies gebruikt, behalve strikt noodzakelijke cookies. Je hebt altijd meldplicht.
- Verstrek nauwkeurige en specifieke informatie over de gegevens die elke cookie bijhoudt en het doel ervan in duidelijke taal voordat toestemming wordt ontvangen. Rare afkortingen of codetaal moet je vermijden.
- Documenteer en bewaar toestemming van gebruikers. Je kunt dit doen door te loggen. Meeste cookie tools bieden logging aan. Controleer goed of dit bij jouw leverancier ook gebeurt. Jij blijft immers eindverantwoordelijk.
- Geef gebruikers toegang tot jouw diensten, zelfs als ze weigeren het gebruik van bepaalde cookies toe te staan. Een zogeheten cookie wall mag in principe niet.
- Maak het gebruikers zo gemakkelijk mogelijk om hun toestemming weer in te trekken. Als zij moeten zoeken of men kan het niet vinden, voldoe je ook niet aan de AVG.
ePrivacy Verordening (ePV) en ePrivacy Richtlijn (ePR)
De uiteindelijke vervanging van de EPV, de ePrivacy verordening zal voortbouwen op de EPR en de definities ervan uitbreiden. (In de EU moet een richtlijn door EU-landen in de nationale wetgeving worden opgenomen, terwijl een verordening in de hele EU juridisch bindend wordt op de datum van inwerkingtreding.)
ePrivacy Verordening tegelijkertijd met AVG: niet gehaald!
De EPV werd verondersteld te zijn goedgekeurd in 2018 op hetzelfde moment dat de GDPR van kracht werd. De EU heeft dat doel natuurlijk gemist, maar er zijn concepten van het document online en het is gepland om ergens dit jaar te worden afgerond, hoewel er nog geen datum is waarop het zal worden uitgevoerd. De EPV belooft browser fingerprinting op een manier die vergelijkbaar is met cookies aan te pakken, robuustere beveiligingen voor metadata te creëren en rekening te houden met nieuwe communicatiemethoden, zoals WhatsApp.
De regels voor cookies worden nog steeds vastgesteld en cookies zelf evolueren voortdurend, wat betekent dat het handhaven van een huidig cookiebeleid een continue taak zal zijn. Als je jouw gebruikers echter goed informeert over de cookies die jij op jouw site gebruikt en, indien nodig, hun toestemming ontvangt, blijven jouw gebruikers tevreden en ben jij op dat gebied AVG-compliant.