Charlotte's Law & Fine Prints

Juridisch Advies voor Ondernemers

Toestemming voor cookies

5 minuten

Voor het plaatsen van cookies en vergelijkbare technieken, zoals een pixel of web beacon, heb je vaak toestemming nodig. Die toestemming moet vooraf gegeven worden, door middel van een expliciete handeling. Hoe werkt dat dan?

(als je de video wil zien moet je dus eerst even actief de cookies van Google accepteren…)

Autoriteit Persoonsgegevens gaat handhaven

De Autoriteit Persoonsgegevens heeft voor de jaren 2024 en 2025 in totaal een miljoen euro gekregen om extra te handhaven op cookies en tracking. Op 6 gebruari 2024 hebben ze aangekondigd vooral extra te handhaven op cookiebanners.

Dat betekent dat extra belangrijk is dat de banner op de juiste manier om toestemming vraagt en dat er voldoende geïnformeerd wordt.

LawStories in je mailbox?

Bijna wekelijks een nieuwsbrief in je mailbox. Ondernemersverhalen, tips en nieuws over nieuwe wetten en uitspraken.

Gaan we regelen! Maar... hoe heet je eigenlijk?

5 vereisten aan toestemming

Volgens de Telecommunicatiewet heb je toestemming nodig voor het plaatsen van cookies op de wijze die de AVG voorschrijft. Dit zijn de vijf vereisten om rechtmatig toestemming te krijgen.

  • vrij
  • specifiek
  • geïnformeerd
  • ondubbelzinnige wilsuiting
  • dmv een verklaring of ondubbelzinnige actieve handeling

Vrij

Het moet een echte keuze zijn. Het mag dus niet manipulatief zijn.

Daarom zijn bijvoorbeeld vooraf aangevinkte vakjes, moeilijk vindbare linkjes (foei, Coolblue) en andere sturende teksten of ontwerpen niet toegestaan.

coolblue cookiebanner
Coolblue heeft na berichten over de handhaving hun cookiebanner aangepast

Alleen een keuze tussen akkoord en instellingen mag ook niet. Weigeren moet in de eerste laag al mogelijk zijn.

Specifiek

De toestemming mag niet te algemeen zijn. Het moet duidelijk zijn waar je toestemming voor geeft. Dit betekent dat de doelen waarvoor je cookies wil plaatsen en waar je dus toestemming voor wil hebben duidelijk vermeld moeten zijn. Dit moet al kort in de cookiebanner zelf. Verdere uitleg mag vervolgens in de cookieverklaring staan.

Voor elk doel moet je afzonderlijk toestemming vragen.

Geïnformeerd

Behalve dat je voor elk doel apart toestemming moet vragen, moet je ook meer informeren over de cookies die je plaatst, zodat mensen een bewuste keuze kunnen maken. Daar hoort ook informatie over rechten bij, wat cookies zijn en hoe ze ook weer verwijderd kunnen worden.

Dit doe je met een cookieverklaring. Die kun je apart gebruiken of toevoegen aan je privacyverklaring.

Ondubbelzinnige wilsuiting

Of cookies geplaatst mogen worden, moet blijken uit een zogenaamde ondubbelzinnige wilsuiting. Je moet dus zeker weten dat iemand akkoord gaat met het plaatsen van de cookies.

Ook is belangrijk dat de teksten op knoppen duidelijk zijn. Dat betekent dat een keuze tussen ‘toestemming’ en ‘instellingen’ niet voldoende is. Daar zou dan een knop met weigeren bij moeten staan. Net zoals een keuze tussen ‘alle cookies’ en ‘alleen optimale cookies’ mag dus ook niet.

Naar mijn mening is een keuze tussen ‘alle cookies toestaan’ en ‘alleen noodzakelijke cookies’ wel duidelijk genoeg, maar daar zijn de meningen over verdeeld. Het is dus veiliger om alleen een keuze tussen ‘toestaan’ en ‘weigeren’ te hebben, met eventueel een optie erbij voor de instellingen, zodat voor sommige cookies wel toestemming gegeven kan worden en voor andere niet.

Actieve handeling

Alleen maar doorsurfen op een website, is niet ondubbelzinnig genoeg én wordt niet gezien als actieve handeling. Je weet dan namelijk niet zeker of iemand de balk, pop-up of andere mededeling over cookies wel gezien heeft.

Volgens het Hof van Justitie EU moet het daarom een expliciete handeling zijn en is het geen optie om vakjes vooraf aangevinkt te hebben en uit te laten vinken. Zonder handeling zou iemand verder kunnen surfen en op die manier cookies kunnen hebben geaccepteerd, zonder dat die dat echt doorheeft.

Belangrijk is uiteraard ook dat cookies waarvoor toestemming nodig is nog niet geplaatst worden voordat deze actieve handeling heeft plaatsgevonden.

Niet altijd toestemming nodig

Je hebt niet voor alle cookies toestemming nodig. Er is een uitzondering voor:

  • cookies die nodig zijn om communicatie via internet mogelijk te maken
  • die noodzakelijk zijn om de online dienst te leveren
  • om de kwaliteit en effectiviteit van de online dienst te meten, mits dit geen of slechts geringe gevolgen heeft voor de privacy

Hier vallen bijvoorbeeld analytics cookies onder, maar ook affiliate cookies die geen persoonsgegevens verzamelen.

Legitiem belang

Soms zie je ook een cookiebanner met schuifjes voor legitiem belang of gerechtvaardigd belang. Dat slaat nergens op. Je mag immers cookies wel of niet plaatsen. Je hebt toestemming nodig, of niet. Een schuifje dat verplaatst kan worden voor gerechtvaardigd belang schept dus alleen maar verwarring. Is er toestemming voor nodig of niet, maar is het toch mogelijk om ze af te wijzen?

Meer over deze cookies lees je in de blogpost over cookies en gerechtvaardigd belang.

Cookiewall

Volgens de Autoriteit Persoonsgegevens zou een cookiewall niet mogen. Als iemand geen cookies accepteert, heeft ie immers ook geen toegang tot de website, is het idee. Maar iedereen mag in principe zelf bepalen wie hij/zij toelaat tot de website. Tenzij het natuurlijk essentiële informatie is die iemand nu niet meer kan krijgen. Denk aan overheidsinformatie of andere exclusieve informatie die mensen wel nodig kunnen hebben.

Bovendien staat er in de ‘cookiewet’ alleen diensten van publiekrechtelijke rechtspersonen (overheid en semi-overheid) de dienstverlening niet afhankelijk mogen maken van het wel of niet toestemming geven voor het plaatsen van cookies, ofwel, het gebruiken van een cookiewall.

Cookies gebruiken om onderscheid te maken

Verzamel je met het gebruik van cookies informatie over iemand? Verzamel, analyseer of combineer je die gegevens, bijvoorbeeld door er een profiel mee te maken? Dan zijn dat persoonsgegevens en moet je volledig aan de AVG voldoen en dus aan wat meer vereisten dan alleen de Telecommunicatiewet voor de cookies zelf.

Foto van Charlotte

Charlotte

Charlotte Meindersma is marketingjurist en oprichter van Charlotte's Law & Fine Prints. Je kunt haar vragen stellen over AI, privacy, portretrecht, reclamerecht, auteursrecht, merkenrecht en media. Ze drinkt graag oploskoffie, in de spreekwoordelijke zin van het woord. Bovendien is ze amateur-marketer en was ze in een vorig leven fotograaf.

Boek hier jouw Oploskoffie

of klik hier voor meer info

Wil je een enkele of een dubbele?

Kies je gewenste datum en tijd

Zie ik je wel of zie ik je niet?

Kies eerst je oploskoffie (enkel of dubbel) en kies je tijdstip en locatie.

Waar wil je het over hebben?

Wie ben je?

0.00
Vertel eerst over je onderwerp en over jezelf.

Haal alles uit je oploskoffie

Met deze add-ons haal je nog meer uit je Oploskoffie.

Vooraf stukken bestuderen

Heb je e-mails, brieven of documenten waarvan je wil dat Charlotte die vooraf gelezen en bekeken heeft, zodat je die tijdens de Oploskoffie kunt bespreken? Bestel dan hieronder “Vooraf stukken bestuderen” erbij! (Een enkel mailtje kun je natuurlijk ook tijdens de oploskoffie voorleggen)

Opname

Niet druk meeschrijven, maar vol het gesprek in. Dat kan met een opname. Je ontvangt binnen 24 uur na het gesprek een downloadlink die één week geldig is.

Vergrootglas die document onder de loep neemt ter voorbereiding op een Oploskoffie
Vooraf stukken bestuderen

Vliegende start dankzij tevoren bestudeerde documenten of website

236

Opnameindicatie voor een Oploskoffie met rood rondje
Opname

Binnen 24 uur in je mail; makkelijk terugluisteren of tekstsuggesties (laten) uitwerken

49

Laatste vraag: Wat is je KVK nummer? (optioneel)
Je investering: 
0.00
 (excl. BTW)