In een kamerbrief eind september kondigt Staatssecretaris van Huffelen aan dat er een half miljoen extra naar de AP gaat voor aanvullende toezicht op cookies en online tracking (1). Het is dus zaak je website weer te controleren op cookies en volgsoftware.
Cookies
Een cookie is een klein softwarebestand dat op je laptop, computer of smartphone wordt geplaatst als je een website bezoekt. Cookies zijn in drie categorieën in te delen:
Functionele cookies. Deze zorgen ervoor dat de website beter werkt. Ze onthouden bijvoorbeeld de voorkeursinstellingen van de bezoeker en zorgen ervoor dat de website kan worden geoptimaliseerd.
Analytische cookies. Deze cookies houden bij hoe de website wordt gebruikt door de bezoekers. Google Analytics is de meest gebruikte dienst om websitegebruik te monitoren.
Trackingcookies. Dit zijn ‘volgcookies’: ze volgen het internetgedrag en bouwen op die manier een profiel van de gebruiker op. Deze cookies zijn het interessantst voor adverteerders.
Ze worden geplaatst door de website die je bezoekt of door de adverteerder op die website. In dat laatste geval noemen we ze ‘third party cookies’.
Volgsoftwares
Naast tracking cookies bestaat er nog veel ander volgsoftware. Deze plaatsen geen cookies op je device maar blijven wel je internetgebruik monitoren.
De belangrijkste zijn:
• Tracking pixels. Dit is een afbeelding met een afmeting van 1*1 pixels die wordt geladen wanneer een gebruiker een webpagina bezoekt of een email opent. Bezoekers kunnen ze vaak niet zien vanwege hun kleien formaat. Meestal zijn ze ook gecamoufleerd bijvoorbeeld in de achtergrondkleur van de website.
• Device fingerprinting. Hierbij worden met de unieke gegevens van jouw device een vingerprint van jou gemaakt. Denk aan de combinatie van besturingssysteem, browsersoort en -versie, schermresolutie en nog veel meer device specifieke gegevens. Door die vingerprint word je als bezoeker herkend.
• Web beacons. Wanneer een bezoeker een document opent dat een web beacon bevat dan wordt deze kleine afbeelding geladen van een server op het internet. Dat laden wordt geregistreerd. Net als bij de tracking pixels zijn ze transparant of hebben de kleur van het document of de website.
Omdat de e-Privacyverordening nog steeds op zich laat wachten, geldt in de Europese lidstaten verschillende wet- en regelgeving. Elk land in de EU past de regels op een eigen manier toe.
In Nederland: De AP en de ACM
In Nederland geldt art. 11.7a Telecommunicatiewet voor het plaatsen van cookies. De toezichthouder op de Telecommunicatiwet is de Autoriteit Consument & Markt (ACM).
Omdat organisaties persoonsgegevens verwerken bij het gebruik van cookies ziet ook de Autoriteit Persoonsgegevens toe op dit gebied.
Het plaatsen van cookies dien je dus goed te regelen. Dat kan best lastig zijn. Onderstaande tips helpen daarbij.
• Bekijk de websites en de apps van je eigen organisatie. En beoordeel of de keuze tussen het wel of niet accepteren van cookies volkomen gelijkwaardig is. Hebben beide mogelijkheden dezelfde lay-out? Zijn ze net zo makkelijk aan te klikken? etc.
• Informeer de bezoeker over de naam van het te plaatsen cookie, het doel van de plaatsing en de geldigheidsduur. Dat geldt niet alleen voor advertentie cookies maar ook de noodzakelijke cookies.
• Gebruik geen tracking pixels in nieuwsbrieven, of vraag er duidelijke (aparte) toestemming voor op het moment dat mensen zich inschrijven.
• Vermijdt het gebruik van de Facebook Like button. Deze geeft zonder toestemming persoonsgegevens door.
• Als je een ‘cookie consent manager’ gebruikt van een externe leverancier controleer dan zelf de cookies en het uitgaande verkeer op je website met de ‘inspector modus’ van je browser. Of gebruik één van de vele gratis tools hiervoor.
• Realiseer je dat je door het volgen van het surfgedrag al snel bijzondere persoonsgegevens kunt verwerken. De Rechtbank Amsterdam, het Europees Hof van Justitie en de Duitse mededingingsautoriteit hebben in de diverse zaken tegen Meta hier kaders voor gegeven.
• Hou rekening met het feit dat je snel gezamenlijk verantwoordelijk bent met de partijen die volgcookies op je website plaatsen. Omdat het intrekken van toestemming even makkelijk moet zijn als het geven ervan, moet je als websitehouder in staat zijn om een verwijderingsverzoek door te geven aan alle partijen die het cookie hebben kunnen uitlezen. Als je gebruik maakt van open veilingen, die op hun beurt weer open veilingen toestaan, heb je geen idee wie al die derde partijen zijn, en wat ze met je cookies doen, en kun je dus eigenlijk niet aan dit vereiste voldoen.
(1) https://www.rijksoverheid.nl/documenten/kamerstukken/2023/09/28/kamerbrief-over-toezicht-en-handhaving-cookies-en-online-tracking.
