08 augustus 2019

"Can I have another cookie?" Is jouw website GDPR-proof?

GDPR is ondertussen meer dan een jaar van toepassing. Deze revolutie op vlak van data protectie heeft menig onderneming ertoe genoopt om hun privacy policies aan te passen, een register van verwerkingsactiviteiten op te maken, stil te staan bij datalekken en de rechten van betrokkenen. Boeiende, maar onzekere tijden. Want hoewel de GDPR duidelijk is op papier, rept zij met heel weinig woorden over de uitvoering in de praktijk. De principes zijn nochtans helder.

Indien je als onderneming persoonsgegevens verwerkt en daarbij het doel en de middelen bepaalt, ben je verwerkingsverantwoordelijke. In dat geval moet je bij deze verwerking rekening houden met beginselen zoals rechtmatigheid, transparantie, finaliteit en proportionaliteit. Maar hoe zit dat in een online omgeving? Waarom zien we overal cookie pop-up vensters?

Ook weten wat de status is van de data security in jouw onderneming? Doe dan zeker onze Data Security Scan. Je ontvangt meteen het resultaat.

Doe de scan

 

Ook op jouw website

De tentakels van de GDPR reiken ver. Onlangs bevestigde Advocaat-Generaal Szpunar in zijn opinie van 21 maart 2019 in zaak C-673/17 (Planet 49 GmbH) opnieuw dat cookies persoonsgegevens uitmaken. Sterker nog, de regels zijn van toepassing op elke technologie die informatie opslaat of benadert op de gebruiker zijn toestel. Dit gaat dus ook over pixels, lokale objecten, vingerafdruktechnologie in browsers …

Bijkomend is de correcte rechtsgrond voor (niet-essentiële) cookies in het merendeel van de gevallen toestemming. Door GDPR werd toestemming op scherp gesteld. Deze dient specifiek, vrij en ondubbelzinnig gegeven te worden.

Daarom word je bij een bezoek aan een website steevast verwelkomd door een heleboel kleurrijke pop-ups, meldingen en een waterval aan vragen en informatie. Van deze cookie pop-ups & bars wordt niemand echt vrolijk, sterker nog: eerder heerst pop-up fatigue. Als websitebeheerder ben je echter beter bij de pinken. Je bent immers verantwoordelijk.

Hoe dan wel correct omgaan met cookies?

Duidelijk en volledig informeren

Hoewel de dag van vandaag menig burger dagelijks op het internet vertoeft, weet men vaak bijzonder weinig over hoe dat wereld wijde web nu juist in elkaar zit. Velen weten in de eerste plaats niet wat cookies eigenlijk zijn, laat staan dat ze weten en kunnen inschatten welke gevolgen ze met zich meebrengen.

Een cookie is een klein gegevens- of tekstbestand dat informatie verzamelt die door een website wordt gegenereerd en vervolgens opgeslagen wordt op het toestel van de gebruiker via de internetbrowser. Een cookie stelt de website dus in staat om de handelingen of voorkeuren van de gebruiker in de loop der tijd te 'onthouden'. Websites gebruiken cookies dan ook om gebruikers te identificeren, hun voorkeuren te onthouden, zodat ze dit bij een volgend bezoek aan de website niet opnieuw hoeven in te stellen.

Essentieel is dus dat je een gebruiker duidelijk en volledig informeert alvorens cookies op hem los te laten. Dit betekent dat je onder meer vertelt welke gegevens elke cookie gebruikt, voor welk doel en op welke manier, welke rechten men hierrond heeft en welke partijen nu juist die cookies plaatsen.

Duidelijk informeren betekent ook dat je ervoor zorgt dat de lezer effectief snapt wat je bedoelt. Gebruik dus geen ingewikkelde termen of ellenlange zinsconstructies maar hou het simpel en basic. Zeker wanneer je weet dat jouw website vaak bezocht wordt door een jong publiek dien je extra aandacht te schenken aan de duidelijkheid.

De verstrekte informatie moet niet alleen duidelijk maar ook volledig zijn. Om te vermijden dat je homepage een onoverzichtelijke hoop aan informatie wordt, is het toegestaan eerst een beknopte versie op de homepage te laten verschijnen, op voorwaarde dat een link naar de volledige versie bijgevoegd wordt.

Toestemming vragen en krijgen

Cookies kunnen echter ook worden gebruikt om informatie te verzamelen voor online gedrag dat gericht is op reclame en marketing. Dit zijn niet-essentiële cookies. Essentiële cookies daarentegen, zijn cookies die strikt noodzakelijk zijn voor de communicatie of voor het aanleveren van de gevraagde dienst. Het doel van cookies kan dus verschillen.

Alvorens niet-essentiële cookies te kunnen plaatsen heb je vrijwel altijd vrijelijke, specifieke, geïnformeerde en ondubbelzinnige toestemming nodig van de gebruiker. Enkele vereisten die GDPR stelt aan jouw verzoek tot toestemming: ze moet begrijpelijk en toegankelijk zijn en duidelijk te onderscheiden van andere zaken.

Zorg er dus voor dat je verzoek net zoals jouw informatie in duidelijke en eenvoudige taal wordt geformuleerd. Het geven van toestemming zou een eenvoudige handeling moeten uitmaken voor de gebruiker. De toestemming moet ook duidelijk te onderscheiden zijn, het moet met andere woorden duidelijk zijn waarvoor de gebruiker nu net toestemming geeft. Het bundelen met algemene voorwaarden is dus niet toegestaan.

Denk eraan dat deze voorwaarden gelden voor zowel het geven van toestemming als het intrekken van toestemming. Dit moet dus enerzijds op een even eenvoudige wijze mogelijk zijn voor de gebruiker, maar houdt anderzijds ook in dat je de gegeven toestemmingen moet loggen.

Tot slot vereist GDPR dat het geven van toestemming een actieve handeling uitmaakt. Het gebruik van opt-out waarbij een toestemmingsvakje reeds is aangevinkt mag dus niet. Ook verder gebruik van de website wordt in het merendeel van de gevallen niet als toestemming aanzien. Wat betreft browserinstellingen is er momenteel onvoldoende kennis onder de gebruikers om ze als toestemming te kunnen aanzien.

Belangrijk is te onderstrepen dat je bij weigeren van toestemming ook toegang tot jouw website moet verlenen. Dit kan eventueel in beperkte vorm of mits betaling, maar het gebruik van zogenaamde cookie walls is verboden.

Is jouw website GDPR-proof?

Voldoet jouw website aan de vereisten omtrent cookies? Ga na welke cookies juist op de website opereren, waarvoor je deze gebruikt en of ze verwerking van persoonsgegevens met zich meebrengen.

Als dat zo is ga je na welke gegevens ze juist verwerken, hoelang ze dit doen en of dit wel noodzakelijk is. Controleer jouw informatie- en toestemmingsmechanismen en ga onder meer na of je gebruikers correct informeert omtrent onder meer het delen van gegevens met derden.

Je kunt hiervoor zeker ook terecht bij één van onze specialisten.

Raadpleeg ook zeker onze handige checklist:

cookie checklist

Data Security

Heb je nog verdere vragen hierover? Neem dan zeker contact op met onze adviseurs! Let's talk!

Gerelateerde artikelen

Help, ik heb geen identiteitskaartlezer…
Optimaal beheer
01 februari 2019

Help, ik heb geen identiteitskaartlezer…

… dat is ook niet altijd meer nodig! Net zoals VGD zitten ook diverse overheidsdiensten mee op de digitale trein. Zo is het mogelijk om zonder ...

Lees meer
Verplichte kilometerheffing in België: wat met de toepassing van de btw?
Optimaal beheer
10 juni 2016

Verplichte kilometerheffing in België: wat met de toepassing van de btw?

 Zoals u misschien al heeft opgemerkt, verschilt de btw-behandeling van deze kilometerheffing in Vlaanderen en Wallonië  Dit is het gevolg van een ...

Lees meer