Cookiewet - cookies

[ cookiewet.eu ]

Wat is de Cookiewet of Cookierecht?

De cookiewet is een wijziging van de Telecommunicatiewet die als doel heeft de gebruiker/internetter controle te geven over de cookies die op zijn of haar apparatuur worden geplaatst of gelezen.
In principe moet aan de gebruiker toestemming worden gevraagd voor het plaatsen of uitlezen van cookies. Er is echter geen toestemming nodig voor cookies die geen of weinig gevolgen hebben voor de privacy van de gebruiker. Denk hierbij aan cookies die de kwaliteit of effectiviteit van een website of dienst meten (analytische cookies) en cookies die nodig zijn om een webshop of dienst goed te laten functioneren (functionele cookies).

Bij het gebruik van cookies worden in de regel persoonsgegevens verwerkt. Dit betekent dat naast de Telecommunicatiewet ook de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. De toestemming waarover in de Telecommunicatiewet wordt gesproken, moet dan ook voldoen aan de vereisten van toestemming zoals deze in de AVG zijn opgenomen. Omdat de gebruiker vóór het plaatsen of uitlezen van cookies toestemming moet geven (opt-in), moet hij dus ook vóóraf worden geïnformeerd over het feit dat zijn gegevens worden opgeslagen of gelezen. Dat informeren moet gebruiksvriendelijk gebeuren, eveneens in lijn met de informatieverplichting uit de AVG. Tevens moet worden gemeld met welk doel een cookie wordt geplaatst of gelezen.

De cookiewet is gebaseerd op de EU ePrivacy Richtlijn 2002/58/EC (richtlijn inzake gegevensbescherming in de sector elektronische communicatie).
Die richtlijn - ePrivacy Directive genoemd - is in elk betrokken EU-land omgezet in nationale wetgeving. In Nederland betreft dit een wijziging van de Telecommunicatiewet (artikel 11.7a).

Wat zijn cookies?

Cookie Een cookie was oorspronkelijk een tekstbestandje op de computer van de websitebezoeker. Het was een manier om gegevens op te slaan voor een volgend bezoek aan de website, zoals een klantnummer of het laatst bekeken artikel. Cookies kunnen reuzehandig zijn. Zo gebruikt een smart-tv cookies om de inloggegevens van bijvoorbeeld Netflix op te slaan zodat je niet bij elke sessie opnieuw moet inloggen.
Het cookiebestand wordt steeds vaker gebruikt om jou ook voor andere doeleinden te herkennen. Elke websitebezoeker krijgt een unieke identificatie (ID). Zodra een website of programma je ID herkent, worden de reeds bekende (eerder verzamelde) gegevens van jou gelezen. Deze data wordt gecombineerd met informatie over je actuele bezoek. En zo kun je gepersonaliseerde advertenties te zien krijgen.

Cookies kwamen het eerst voor op pc's, vooral bij de browsers (zoals Internet Explorer, FireFox, Chrome en Safari). Inmiddels zijn er andere apparaten met een vergelijkbare functionaliteit, zoals smart-tv's, telefoons, tablets en spelcomputers.

Trackers

De wet is techniekneutraal en spreekt letterlijk over "via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker". De verzamelnaam hiervoor is trackers. Er hoeft dus geen echt (cookie)bestand meer aan te pas te komen. Ook andere manieren van herkenning (van de gebruiker), zoals device fingerprinting en de Facebook Like-button, vallen onder het begrip tracker.
In de praktijk worden de begrippen 'tracking cookie' en 'tracker' door elkaar gebruik, zo ook op deze pagina.

Mobiele-advertentie-ID

Cookies werken niet optimaal op mobiele apparaten. Apps op smartphones werken technisch anders dan webbrowsers, waardoor een gebruiker verschillende soorten cookies op één apparaat krijgt. Dat is voor de herkenning door adverteerders niet gunstig.
Een mobiel apparaat heeft een advertentie-ID die door alle apps op het apparaat gebruikt kan worden. Die unieke ID is daarom de favoriete herkenningsmethode op mobile devices. Het doel is hetzelfde als bij de traditionele cookies, vandaar dat ze onder de algemene noemer van 'cookies' vallen.
Android vraagt de gebruiker niet om toestemming voor het gebruik van zijn Android Advertising ID (IADD). Windows vraagt toestemming voor het gebruik bij installatie, Apple vraagt sinds iOS 14 of de ID for Advertisers (IDFA) aangezet mag worden. Ook laptops en tablets hebben een advertentie-ID. In Windows, Apple iOS en Android kunnen ze gereset worden. Alleen in iOS en Windows kan het gebruik van die ID definitief geblokkeerd worden.

Cookies: onderscheid naar inhoud

Cookies kunnen worden onderscheiden al naar gelang hun functionaliteit of inhoud:
  • Zoals de naam al zegt zijn noodzakelijke cookies nodig om een website of app goed te laten functioneren. Bijvoorbeeld om de artikelen te onthouden die je geselecteerd hebt in een bestelproces. Noodzakelijke cookies worden ook wel functionele cookies genoemd, of technische cookies. Voor het gebruik van deze cookies is geen toestemming nodig. Veel van deze cookies verdwijnen vanzelf zodra je de website verlaat. Dit zijn sessiecookies, die voor tijdelijke opslag van gegevens gebruikt worden.
  • Analytische cookies zijn cookies die worden gebruikt om bijvoorbeeld bezoekersstatistieken bij te houden. Deze cookies hebben in de regel weinig tot geen gevolgen voor de privacy en vereisen dan geen toestemming.
  • Ditzelfde geldt niet voor tracking cookies. Deze 'volgcookies' stellen partijen in staat gebruikers tijdens het surfen over verschillende websites te volgen en zo gebruikersprofielen op te stellen. Deze cookies zijn juist wél privacygevoelig. Er zal dan ook altijd toestemming moeten worden gevraagd - én verkregen.

Cookies: onderscheid naar partij die de cookies gebruikt

Een tracking cookie is een cookie dat wordt geplaatst of uitgelezen door een derde partij - vaak een advertentienetwerk - met als doel de gebruiker gepersonaliseerde advertenties voor te schotelen. Vandaar de naam third-party cookies.

Om het verhaal compleet te maken: noodzakelijke en analytische cookies worden meestal geplaatst door de website zelf, dus niet door derden. Ze worden daarom first-party cookies genoemd.

Wat is het probleem met cookies en trackers?

Er is geen probleem met noodzakelijke of functionele cookies, maar wel met tracking cookies. Met laatstgenoemde wordt het surfgedrag van websitebezoekers in kaart gebracht en worden gebruikersprofielen aangemaakt door adverteerders of advertentienetwerken. Deze willen je herkennen als je van website naar website surft. Het herkennen doen ze door elke gebruiker een unieke ID te geven. Die ID -en meer- kan worden opgeslagen in een cookie. Beetje bij beetje verzamelen deze netwerken informatie over jou. Daarmee maken zij de profielen aan. Een gevolg van dit 'volgen' is bijvoorbeeld dat je advertenties te zien krijgt voor producten die je eerder op een andere website hebt bekeken.
Een voorbeeld ter illustratie: wanneer je op een schoenenadvertentie klikt, verschaf je de adverteerder beperkte informatie over jezelf (bijvoorbeeld: je houdt van schoenen met gespen). Dat wordt anders als die adverteerder ook fietsen verkoopt, of boeken en parfums. Heel geleidelijk worden je smaak en bestedingspatroon in beeld gebracht. Dit heet profilering. Wanneer de genoemde onschuldige onderwerpen worden aangevuld met bijvoorbeeld gezondheidsproducten of politieke voorkeur, wordt al snel de ongewenstheid van profilering duidelijk.

Cookie-ID's versus fingerprinting

Bij het zetten van een nieuw (tracking)cookie krijgt een gebruiker een unieke ID. Deze ID wordt gebruikt voor herkenning. Wanneer een cookie wordt verwijderd, vervalt daarmee de gebruikte ID en het daarbij behorende profiel. Wordt een website of dienst door diezelfde gebruiker daarna opnieuw gebruikt, dan wordt een nieuwe ID aangemaakt. Wanneer je geen persoonlijke advertenties wilt zien, dan is het een goed idee om de cookies bij het afsluiten van je browser automatisch te laten verwijderen.

De techniek fingerprinting staat voor het herkennen van een apparaat. De configuratie van jouw hardware en software levert een (vrijwel) unieke identificatie op. Dit is een alternatieve methode om gebruikers (beter: apparaten) te herkennen.

Toestemming geven voor het plaatsen van cookies?

Cookie uit Nederland Een websitebezoeker moet in lijn met de AVG door een ondubbelzinnige en actieve handeling toestemming geven voor het plaatsen en uitlezen van tracking cookies. Zo geldt een vooraf aangevinkt hokje niet als een geldige manier van toestemming vragen. Ook tekstbalken met teksten in de trant van 'als u verdergaat op deze website gaat u akkoord' zijn niet geldig. Uit een onderzoek van de Autoriteit Persoonsgegevens in 2019 bleek dat bijna de helft van de websites die gebruikmaken van tracking cookies niet voldoen aan de voorwaarden voor geldige toestemming. Bijvoorbeeld de voorwaarde dat toestemming pas kan worden gegeven als de websitebezoeker voldoende is geïnformeerd over de cookies.

Voor noodzakelijke cookies is geen toestemming nodig, evenals voor analytische cookies die weinig impact op de privacy hebben. Hierdoor zijn cookies voor analyse van het gebruik van een website (statistieken) zonder toestemming toegestaan, mits aan bepaalde voorwaarden wordt voldaan. Ook cookies van affiliate-netwerken mogen zonder toestemming worden gebruikt. Dat geldt eveneens voor a/b-testing-cookies, die informatie geven over welke versie van een website de beste resultaten levert.

Saillant detail: ook het feit dat de websitebezoeker de cookiebanner heeft gezien en, al dan niet, toestemming heeft gegeven voor het gebruik van tracking cookies is informatie die wordt opgeslagen in een cookie. Dit geldt dus ook als de bezoeker géén toestemming geeft voor het gebruik van tracking cookies.

Wie kan een cookie lezen?

Een cookie kan alleen gelezen worden door de website of app die deze heeft geplaatst. Amazon kan dus niet de cookies van Bol.com inzien. Wanneer je een website bezoekt die gebruikmaakt van meerdere adverteerders of advertentienetwerken, dan plaatst ieder een eigen cookie. Het gevolg is een wildgroei aan cookies op je apparaat, maar erger nog: je gegevens worden aan evenzoveel partijen verstrekt.

advertentie
The Joy of Cookies
bol.com logo
The Joy of Cookies

Cookie Monster's Guide to Life

14,99 euro


Bestel bij bol.com

Informeren van bezoekers/gebruikers

Ook al gebruikt een website of dienst cookies waarvoor geen toestemming nodig is, dan nog geldt dat er een informatieplicht is. Het verdient aanbeveling om daarom een cookieverklaring te publiceren, met uitleg over de (soorten) cookies die gebruikt worden en waarvoor. Vanuit een algemene cookiebalk kan hiernaar verwezen worden.
Een cookiebalk, cookiepop-up of andere duidelijke melding bij het openen van een website wordt vaak gebruikt voor het vragen van cookietoestemming. De opties mogen niet vooraf aangevinkt zijn.

Cookiemuur: totale blokkade

Cookiemuur Een cookiemuur of cookie wall is een algehele blokkade van de website, app of dienst in het geval de bezoeker geen goedkeuring geeft voor het gebruik van cookies. De cookiemuur is een botte manier om goedkeuring te krijgen voor het gebruik van tracking cookies.
Overheidsdiensten mogen geen cookiemuur opwerpen omdat de gebruiker geen vrije keuze heeft.
Volgens de Autoriteit Persoonsgegevens is een dergelijke complete blokkade bij commerciële diensten evenmin toegestaan. Deze interpretatie wordt niet door iedereen gedeeld. Het is te hopen dat de (komende) ePrivacyverordening, die de (huidige) ePrivacyrichtlijn zal vervangen, hierin duidelijkheid biedt.

Toezichthouders cookiewet / cookierecht

Er zijn in Nederland meerdere toezichthouders die gezamenlijk bepalen hoe de cookieregels geïnterpreteerd worden. De Autoriteit Persoonsgegevens gaat over schending van de regels uit de AVG en de Autoriteit Consument & Markt houdt toezicht op naleving van het cookieverbod zoals opgenomen in de Telecommunicatiewet. Beide instanties kunnen boetes opleggen.

Controle op naleving

Een website of app die cookies plaatst of uitleest zal bij een controle door de toezichthouder laatstgenoemde moeten overtuigen dat hij alleen cookies heeft geplaatst of gelezen na het verkrijgen van toestemming van de gebruiker. Dit kan bijvoorbeeld worden aangetoond door het geven van een procesbeschrijving van de software. Een procesbeschrijving is ook adequaat als het cookies van derden betreft. Die derde partij kan alleen cookies plaatsen als de betrokken website of dienst hiertoe de gelegenheid heeft geboden. De verantwoordelijkheid ligt dus bij deze website of dienst. In veel gevallen zal dit dan ook de partij zijn die de gebruiker om toestemming vraagt.

Statistieken & Google Analytics

'Meten is weten', vandaar dat websites graag de gegevens van bezoekers bijhouden en analyseren om verbeteringen in de website of dienst aan te brengen.
Veel websites willen bovendien graag persoonlijke informatie opslaan om je gericht aanbiedingen te kunnen doen. Er zijn verschillende typen programma's voor het verzamelen van (bezoekers)gegevens.

Het raadplegen van de logboeken van de webserver en het gebruik van statistiekprogramma's die alleen informatie uit deze logboeken halen, is toegestaan zonder toestemming. Dit staat overigens los van de verplichting dat websitebezoekers hierover moeten worden geïnformeerd, bijvoorbeeld in de privacyverklaring op de website.

Als een externe partij wordt ingeschakeld voor het analyseren van bezoekersgegevens, zal hiermee in de regel een verwerkersovereenkomst moeten worden gesloten.

Zo'n analyseprogramma van een externe partij is bijvoorbeeld Google Analytics.
Het gebruik van Google Analytics op een website is toegestaan zonder toestemming van de bezoekers als aan bepaalde voorwaarden wordt voldaan. De Autoriteit Persoonsgegevens heeft hiervoor een document opgesteld: Handleiding privacyvriendelijk instellen van Google Analytics
In vogelvlucht zijn deze aanbevelingen:
  • Er moet een verwerkersovereenkomst met Google worden afgesloten
  • Google mag niet het volledige IP-adres verwerken
  • Het delen van gegevens met Google moet uitgezet worden
  • De bezoeker moet geïnformeerd worden over het gebruik van Google Analytics
  • Er mag geen gebruik gemaakt wordt van andere Google-diensten in combinatie met Google Analytics-cookies
Een attentiepunt voor website-eigenaren die generators of tools gebruiken om hun website in te richten: vaak zijn hierin opties voor Google Analytics aanwezig. Controleer of Google Analytics of andere analysetools standaard aanstaan, en zo ja, met welke opties. Vergeet niet de privacyverklaring hierop aan te passen.

Besef dat er privacyvriendelijker alternatieven voor Google Analytics bestaan. Bijvoorbeeld: Matomo (voorheen Piwik), Piwik PRO en diverse andere websitestatistiekprogramma's.

Cookies, je houdt ervan of je haat ze

Tools voor lezen, wijzigen en verwijderen van cookies

Met het (gratis) programma CCleaner kunnen cookies uit browsers verwijderd worden. Specifieke cookies kunnen gemarkeerd worden zodat ze bewaard blijven.
Op de website van NirSoft vind je voor alle bekende browsers programma's om cookies te lezen, wijzigen en verwijderen. Ook voor de zgn. flash- of supercookies die niet in alle browsers worden verwijderd.
Ghostery is een handig, gratis tooltje dat per pagina laat zien of er cookies, advertenties, Google Analytics of dergelijke aanwezig zijn. Alle volgmethoden worden door Ghostery trackers genoemd. Per website kun je uitzonderingen aangeven. Voor alle browsers is een versie beschikbaar, ook voor Android en iOS. Het enige nadeel van Ghostery is dat je bij veel websites schrikt van de hoeveelheid aanwezige trackers.
Met EditThisCookie zijn details van cookies te lezen en te wijzigen. Dat laatste is handig bij het testen van software of de werking van cookies in het bijzonder.
In browsers - ook op mobiel - kunnen cookies meestal verwijderd worden vanuit de optie om de geschiedenis te wissen.

advertentie
Pluche Sesamstraat koekiemonster handpop met geluid 37 cm
bol.com logo
Pluche Sesamstraat koekiemonster handpop met geluid, 37 cm groot

Sprekende Cookie Monster knuffel handpop

32,44 euro


Bestel bij bol.com

Cookies - simpeler regels in de toekomst?

De huidige ePrivacy-richtlijn dateert van 2002 en is ernstig verouderd. Men is binnen de EU al jaren bezig om deze richtlijn te vervangen door nieuwe regelgeving. De plannen hiervoor zijn inmiddels in een vergevorderd stadium. De ePrivacy-richtlijn zal worden vervangen door de ePrivacy-verordening. Voordeel hiervan is dat de nieuwe regelgeving niet in alle EU-lidstaten hoeft te worden omgezet in nationale wetgeving (een verordening is rechtstreeks van toepassing). Het ziet ernaar uit dat de ePrivacy-verordening in de loop van 2021-2022 wordt vastgesteld, met waarschijnlijk eenvoudiger cookieregels.

Bijzondere tracker: Facebook Like-knop

Het Europees Hof van Justitie heeft in juli 2019 besloten dat websites bezoekers moeten informeren over het gebruik van de Like-knop van Facebook. Er is toestemming nodig van de bezoeker. Je gegevens worden namelijk doorgestuurd naar Facebook, ook al klik je niet op de button. Zelfs als je niet eens een Facebook-account hebt. De Like-button heeft een zelfde soort werking als een cookie en dus gelden daar dezelfde regels voor.

Cookie-icoon van adverteerders

Cookie-icoon adverteerders - youronlinechoices Een aantal grote (netwerken van) Europese adverteerders plaatst een klein icoontje bij hun advertenties die met tracking cookies werken. Klikken op het icoontje brengt de bezoeker naar de website your online choices waar informatie over third-party cookies te vinden is.

De toekomst van trackers - Floc

Apples Safari blokkeert trackers en cookies van derden. Ook Firefox kent dergelijke restricties. Googles Chrome gaat hetzelfde doen in 2022. Google loopt achter in vergelijking met de concurrentie. Dat is vanwege het belang van de inkomsten uit advertenties van het eigen Adsense / Doubleclick (die baat hebben bij het volgen van gebruikers).
Segmentering in groepen mensen (cohorts) Wie dacht dat het blokkeren van trackers betekent dat er geen gepersonaliseerde advertenties meer zullen verschijnen, heeft buiten de inventiviteit van de advertentie-industrie gerekend. Google heeft een nieuw systeem bedacht dat Floc wordt genoemd: Federated Learning of Cohorts. Gebruikers worden niet meer op individuele kenmerken geselecteerd: ze worden ingedeeld in groepen. Het aantal groepen is beperkt, elke groep heeft een duidelijk profiel. Voor adverteerders is dat prettig. De groepsindeling is al door Google gedaan zodat de adverteerder niet meer zelf de segmentering of profilering hoeft te doen.
Het nieuwe systeem verschilt van het oude doordat persoonsgegevens niet meer afzonderlijk worden opgeslagen. Wekelijks wordt een gebruiker aan een groep toegewezen via zijn of haar browsergeschiedenis. De fingerprint-ID van een browser is vrij uniek en in combinatie met de groepstoewijzing onstaat een unieke herkenning. Dergelijke gegevens mogen op basis van de cookiewet niet zonder toestemming van de gebruiker worden verwerkt. Daarnaast is het de vraag of deze vorm van profilering überhaupt is toegestaan.

Opmerkingen over cookies en de cookiewet

  • Cookies van affiliate-netwerken zijn toegestaan zonder toestemming. Ze werken anders dan tracking cookies. Ze houden bij of, en zo ja wanneer, je de website van een adverteerder hebt bezocht. Het doel is dat de adverteerder de website (de 'affiliate') herkent waar de bezoeker vandaan kwam. Als een bezoeker binnen een bepaalde termijn een aankoop doet bij de adverteerder, krijgt de affiliate hiervoor namelijk een vergoeding.
  • Een gebruiker kan zijn voorkeuren voor advertenties in Google aangeven: instellingen voor Google-advertenties
    Voor het vastleggen van zoekinstellingen en het personaliseren van advertenties in Google ('privéresultaten') zie: zoekinstellingen in Google
  • Als je toestemming of weigering in een cookie wordt opgeslagen, kan dit antwoord verloren gaan. Programma's die je computer schoonmaken bevatten vaak ook een functionaliteit om cookies te verwijderen. Een verwijderd cookie heeft tot gevolg dat bij een volgend bezoek aan de betreffende website opnieuw zal worden gevraagd om toestemming.
  • Als meerdere gebruikers van dezelfde pc gebruikmaken en één van hen heeft een bepaald tracking cookie voor een website geaccepteerd, dan krijgen de volgende gebruikers van die pc (met hetzelfde gebruikersaccount) het acceptatieverzoek van die adverteerder of zijn netwerk vermoedelijk niet meer te zien.
  • Cookies zijn browserafhankelijke bestanden. Zo kan Google Chrome niet het cookie van een bepaalde website lezen dat door FireFox is geplaatst.
  • Wanneer de websitebeheerder of webdeveloper nieuwe functionaliteit toevoegt aan de website waardoor het cookiegebruik verandert, moet er opnieuw toestemming worden gevraagd aan de bezoeker. Bij het gebruik van standaardsoftware (bijvoorbeeld een cms) moet de website-eigenaar opletten dat er niet ongemerkt nieuwe functionaliteit geïntroduceerd wordt.
  • De cookiewet geldt ook voor buitenlandse websites die zich op Nederlandse bezoekers richten.
  • Diverse browsers kunnen third-party cookies blokkeren via een 'Do Not Track'-optie (DNT). Er zijn weinig websites die deze instelling respecteren. Om die reden is DNT uit Chrome verwijderd.
  • Het is meer regel dan uitzondering dat websites meerdere cookies plaatsen. Dat kan om allerlei redenen zijn. Dit gebeurt bijvoorbeeld met websites die met plug-ins werken voor extra functionaliteit. Iedere plug-in kan een eigen cookie gebruiken.

De (betrekkelijke) werking van tracking cookies

Hoe werken tracking cookies in de praktijk? Je bezoekt bijvoorbeeld een website voor fietsonderdelen, bekijkt enkele fietsbanden en besluit vanwege prijs en gemak om je fiets toch maar naar de fietsenmaker te brengen. Een dag later lees je online over roeiboten (of iets anders) en opeens verschijnt een advertentie voor fietsbanden. Dat betekent dat de website die je bezoekt gebruikmaakt van hetzelfde advertentienetwerk als de website voor fietsonderdelen die je een dag eerder bezocht. In marketingjargon is dit een advertentie op basis van persoonlijke interesses.
De betrekkelijkheid van de werking van tracking cookies blijkt uit dit voorbeeld: de interesse in fietsbanden was tijdelijk. De advertentie komt op zijn minst te laat. Dat is nog meer het geval als je een advertentie te zien krijgt van een product dat je al gekocht hebt.
Contextgebaseerde advertenties zijn waarschijnlijk effectiever: als je naar roeiboten kijkt zijn artikelen die iets met boten te maken hebben op dat moment relevant met een hoge kans op een klik als gevolg. Voor dit soort advertenties is het niet nodig tracking cookies of enige informatie van de bezoeker te gebruiken. Dat is wel zo privacyvriendelijk.

Veel websites gebruiken Google Adsense / Doubleclick om advertentie-inkomsten te genereren. Het is mogelijk voor websites om aan te geven dat zij alleen niet-gepersonaliseerde advertenties willen gebruiken. Google zal dan aan websitesbezoekers binnen de EER alleen niet-gepersonaliseerde reclame tonen, en dus geen trackingcookies gebruiken.

Cookiemonster heeft een andere kijk op cookies

Heb je het helemaal gehad met cookies? Hieronder een video van Cookiemonster van Sesamstraat dat zijn eigen manier heeft om met cookies om te gaan: