GDPR & cookies: een complete gids voor naleving
De Algemene verordening gegevensbescherming (GDPR) heeft de manier waarop websites met cookies omgaan ingrijpend veranderd sinds de inwerkingtreding op 25 mei 2018. Hoewel de ePrivacy Directive de belangrijkste EU-wetgeving voor cookies is, is de GDPR van toepassing zodra cookies persoonsgegevens verwerken — wat in de praktijk vrijwel altijd het geval is. Inzicht in hoe de GDPR op cookies van toepassing is, is essentieel voor elke website die actief is in of zich richt op gebruikers binnen de Europese Economische Ruimte.
Hoe de GDPR van toepassing is op cookies
De GDPR noemt cookies niet met naam. In plaats daarvan reguleert de verordening de verwerking van persoonsgegevens, in artikel 4(1) gedefinieerd als alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Overweging 30 van de GDPR stelt expliciet dat online-identificatoren — waaronder cookie-identificatoren — kunnen worden gebruikt om profielen van natuurlijke personen op te stellen en hen te identificeren. Dit betekent dat elke cookie die een unieke identificator bevat of daaraan gekoppeld is, onder de GDPR als persoonsgegevens geldt.
In de praktijk geldt dit voor vrijwel alle cookies, met uitzondering van de meest basale functionele cookies. Analytische cookies die een unieke bezoekers-ID toewijzen, advertentiecookies die surfgedrag volgen en zelfs sessiecookies die aan een gebruikersaccount zijn gekoppeld, verwerken allemaal persoonsgegevens en vallen daarom onder de vereisten van de GDPR.
Artikel 6: rechtsgrondslag voor verwerking
Op grond van artikel 6 van de GDPR vereist elke verwerking van persoonsgegevens een rechtsgrondslag. Voor cookiegerelateerde verwerking worden meestal twee grondslagen aangevoerd:
- Toestemming (artikel 6(1)(a)): De betrokkene heeft toestemming gegeven voor de verwerking voor een of meer specifieke doeleinden. Dit is de belangrijkste rechtsgrondslag voor de meeste cookieverwerking, met name voor analytische, marketing- en advertentiecookies.
- Gerechtvaardigd belang (artikel 6(1)(f)): De verwerking is noodzakelijk voor de gerechtvaardigde belangen van de verwerkingsverantwoordelijke, mits die belangen niet zwaarder wegen dan de rechten en vrijheden van de betrokkene.
De grondslag gerechtvaardigd belang is in de context van cookies onderwerp van veel discussie geweest. Sommige websitebeheerders hebben betoogd dat het volgen via analytische cookies een gerechtvaardigd belang dient. Meerdere gegevensbeschermingsautoriteiten hebben dit argument echter verworpen voor cookies die niet strikt noodzakelijk zijn. De Franse CNIL, de Oostenrijkse DSB en de European Data Protection Board (EDPB) nemen allemaal het standpunt in dat toestemming vereist is voor analytische cookies, en dat gerechtvaardigd belang geen rechtsgrondslag kan vormen voor het plaatsen van niet-essentiële cookies op het apparaat van een gebruiker.
De EDPB Richtlijnen 05/2020 over toestemming stellen ondubbelzinnig: "Scrollen of doorgaan met browsen op een website vormt geen geldige toestemming." Het tijdperk van impliciete toestemming voor cookies is voorbij.
Artikel 7: voorwaarden voor geldige toestemming
Artikel 7 beschrijft de voorwaarden waaraan toestemming moet voldoen. Om cookietoestemming geldig te laten zijn onder de GDPR, moet deze:
- Vrij gegeven zijn: De gebruiker moet een echte keuze hebben. Toestemming is niet vrij gegeven als de gebruiker deze niet kan weigeren of intrekken zonder nadelige gevolgen. Cookie walls die de toegang tot een website blokkeren tenzij alle cookies worden geaccepteerd, zijn door meerdere autoriteiten als niet-conform beoordeeld, al verschilt het juridische kader per rechtsgebied.
- Specifiek zijn: Toestemming moet voor elk afzonderlijk doel worden gegeven. Een enkele "Alles accepteren" zonder de mogelijkheid om per categorie toestemming te geven, voldoet niet aan deze eis.
- Geïnformeerd zijn: De gebruiker moet duidelijk worden verteld waar hij toestemming voor geeft. Dit betekent dat de cookies, hun doeleinden, de verzamelde gegevens en alle betrokken derden moeten worden benoemd.
- Ondubbelzinnig zijn: Toestemming moet worden gegeven via een duidelijke actieve handeling. Vooraf aangevinkte vakjes, stilzwijgen of inactiviteit vormen geen geldige toestemming.
Artikel 7(3) voegt een cruciale eis toe: het intrekken van toestemming moet net zo eenvoudig zijn als het geven ervan. Als een gebruiker cookies met één klik kan accepteren, moet hij die toestemming even eenvoudig kunnen intrekken. Een cookiebanner die "Accepteren" prominent toont maar de afwijzingsoptie enkele klikken diep in een instellingenpagina verstopt, voldoet niet.
Artikel 4(11): de definitie van toestemming
Artikel 4(11) definieert toestemming als "elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de hem betreffende verwerking van persoonsgegevens aanvaardt."
Deze definitie wordt versterkt door overweging 32, die stelt:
"Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking instemt. Dit kan bijvoorbeeld door bij een bezoek aan een internetwebsite een vakje aan te vinken. Er is derhalve geen sprake van toestemming bij stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit."
De baanbrekende Planet49-uitspraak van het Hof van Justitie van de Europese Unie (HvJ-EU) in oktober 2019 (zaak C-673/17) bevestigde deze interpretatie, met het oordeel dat vooraf aangevinkte vakjes geen geldige toestemming voor cookies vormen.
Transparantieverplichtingen: artikelen 12–14
De artikelen 12 tot en met 14 verplichten verwerkingsverantwoordelijken om informatie over gegevensverwerking te verstrekken in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, in duidelijke en eenvoudige taal. Voor cookies betekent dit:
- Uw cookiebeleid moet zijn geschreven in taal die gewone gebruikers kunnen begrijpen — geen juridisch jargon.
- Informatie moet worden verstrekt op het moment van gegevensverzameling (dus voordat cookies worden geplaatst).
- Gebruikers moeten worden geïnformeerd over de identiteit van de verwerkingsverantwoordelijke, de doeleinden van de verwerking, de categorieën gegevens, eventuele ontvangers, bewaartermijnen en hun rechten.
- Als cookies worden gedeeld met derden (zoals Google Analytics, Facebook Pixel of advertentienetwerken), moeten die derden worden benoemd.
Artikel 17: het recht op vergetelheid
Artikel 17 geeft betrokkenen het recht om hun persoonsgegevens te laten wissen. In de context van cookies betekent dit dat, wanneer een gebruiker om verwijdering van zijn gegevens verzoekt, alle via cookies verzamelde persoonsgegevens moeten worden gewist. Dit omvat analyseprofielen, advertentie-identificatoren en alle andere gegevens die aan cookie-identificatoren zijn gekoppeld.
Voor websitebeheerders die gebruikmaken van externe analyse- of advertentiediensten kan dit bijzonder lastig zijn, aangezien gegevens bij de derde partij kunnen worden bewaard. Uw verwerkersovereenkomsten met externe cookieaanbieders moeten bepalingen bevatten voor het afhandelen van verwijderingsverzoeken.
GDPR versus ePrivacy: wat geldt wanneer?
De verhouding tussen de GDPR en de ePrivacy Directive kan verwarrend zijn. Zo werken ze samen:
- De ePrivacy Directive (artikel 5(3)) reguleert het opslaan van of het toegang verkrijgen tot informatie op het apparaat van een gebruiker. Ze vereist toestemming voor alle cookies behalve die strikt noodzakelijk zijn. Dit is de lex specialis (specifieke wet) voor cookies.
- De GDPR reguleert de daaropvolgende verwerking van alle via cookies verzamelde persoonsgegevens. Ze biedt het kader voor wat geldige toestemming inhoudt, de rechten van betrokkenen en de verplichtingen van verwerkingsverantwoordelijken.
In de praktijk: de ePrivacy Directive vertelt u dat u toestemming nodig heeft om een cookie te plaatsen. De GDPR vertelt u hoe geldige toestemming eruitziet, wat u met de gegevens mag doen en welke rechten gebruikers ten aanzien van die gegevens hebben. Beide zijn tegelijkertijd van toepassing.
Gegevensbeschermingsautoriteiten en handhaving
Elke EU-lidstaat heeft een gegevensbeschermingsautoriteit (DPA) die verantwoordelijk is voor de handhaving van zowel de GDPR als de nationale uitvoering van de ePrivacy Directive. Deze autoriteiten hebben de bevoegdheid om klachten te onderzoeken, audits uit te voeren en boetes op te leggen tot 4% van de wereldwijde jaaromzet of €20 miljoen, afhankelijk van welk bedrag hoger is.
De handhaving rond cookies is sinds 2020 sterk toegenomen. Autoriteiten in heel Europa zijn overgestapt van richtsnoeren en waarschuwingen naar aanzienlijke boetes, waardoor cookienaleving een reëel bedrijfsrisico is geworden in plaats van een theoretische zorg.
Grote cookiegerelateerde GDPR-boetes
De volgende handhavingsacties tonen de reële financiële gevolgen van niet-naleving op het gebied van cookies:
| Bedrijf | Boete | Autoriteit | Jaar | Kernprobleem |
|---|---|---|---|---|
| Amazon Europe | €746 miljoen | CNPD (Luxemburg) | 2021 | Niet-conforme advertentietracking en toestemmingsmechanismen |
| Google LLC | €150 miljoen | CNIL (Frankrijk) | 2022 | Cookies weigeren was niet zo eenvoudig als accepteren |
| Facebook (Meta) | €60 miljoen | CNIL (Frankrijk) | 2022 | Geen eenvoudig mechanisme om cookies te weigeren |
| Microsoft (Bing) | €60 miljoen | CNIL (Frankrijk) | 2022 | Cookies geplaatst zonder toestemming, geen eenvoudig weigermechanisme |
| TikTok | €5 miljoen | CNIL (Frankrijk) | 2023 | Cookies weigeren vereiste meer klikken dan accepteren |
| Criteo | €40 miljoen | CNIL (Frankrijk) | 2023 | Geen geldige toestemming verkregen voor trackingcookies |
| Vueling Airlines | €30.000 | AEPD (Spanje) | 2020 | Geen optie om cookies te weigeren, alleen "accepteren" |
Deze boetes zijn niet beperkt tot grote ondernemingen. Ook kleine en middelgrote bedrijven hebben te maken gehad met handhavingsacties, met name in Frankrijk, Italië en Duitsland. Alleen al de CNIL gaf in 2021 meer dan 100 formele aanmaningen af aan websites van elke omvang met betrekking tot cookienaleving.
Praktische checklist voor GDPR-cookienaleving
Gebruik deze checklist om te controleren of uw website voldoet aan de GDPR-vereisten voor cookies:
- Breng alle cookies in kaart die uw website plaatst, inclusief cookies die worden geplaatst door externe scripts zoals analyse-, advertentie- en socialmediawidgets.
- Classificeer elke cookie als strikt noodzakelijk, functioneel, analytisch of marketing/advertentie.
- Implementeer voorafgaande toestemming voor alle niet-essentiële cookies. Er mogen geen analytische of marketingcookies afgaan voordat de gebruiker toestemming heeft gegeven.
- Presenteer toestemmingskeuzes eerlijk. De optie om cookies te weigeren moet even prominent en toegankelijk zijn als de optie om ze te accepteren.
- Bied granulaire toestemming. Gebruikers moeten toestemming kunnen geven voor specifieke categorieën cookies in plaats van gedwongen te worden tot een alles-of-niets-keuze.
- Gebruik geen vooraf aangevinkte vakjes. Alle optionele cookiecategorieën moeten standaard uitgevinkt zijn.
- Verstrek duidelijke informatie over het doel van elke cookie, de gegevens die deze verzamelt, wie toegang heeft tot de gegevens en hoe lang de cookie bewaard blijft.
- Benoem derden. Vermeld de externe diensten die cookies op uw site plaatsen (Google Analytics, Facebook Pixel, HubSpot, enzovoort).
- Maak intrekken eenvoudig. Bied een permanente, gemakkelijk toegankelijke manier voor gebruikers om hun cookievoorkeuren na de eerste toestemming te wijzigen. Een link in de footer of een zwevend icoon zijn gangbare oplossingen.
- Bewaar toestemmingsgegevens. Houd een logboek bij van wanneer elke gebruiker toestemming gaf, waar hij toestemming voor gaf en welke versie van het cookiebeleid op dat moment van kracht was.
- Respecteer toestemmingskeuzes technisch. Zorg ervoor dat het weigeren van toestemming daadwerkelijk voorkomt dat de bijbehorende cookies worden geplaatst. Dit vereist het blokkeren van scripts vóór toestemming, niet slechts het achteraf verwijderen van cookies.
- Onderhoud een cookiebeleid dat actueel en accuraat is en in eenvoudige taal is geschreven. Werk het bij zodra u nieuwe cookies of externe diensten toevoegt.
- Handel verzoeken van betrokkenen af. Zorg voor een proces om te reageren op verwijderingsverzoeken dat ook de via cookies verzamelde gegevens omvat.
- Scan regelmatig. Voer minstens maandelijks en na elke implementatie geautomatiseerde cookiescans uit om nieuwe cookies op te sporen die door bijgewerkte scripts of plug-ins zijn geïntroduceerd.
Cookienaleving onder de GDPR is geen eenmalige exercitie. Het vereist voortdurende aandacht naarmate uw website evolueert, nieuwe scripts worden toegevoegd en de regelgeving wordt bijgewerkt. De organisaties die het als een doorlopend proces behandelen in plaats van als een afvinkoefening zijn degene die handhavingsacties vermijden — en die daarbij het vertrouwen van hun gebruikers opbouwen.
Voldoet uw website aan de cookieregels?
Scan uw website gratis en vind alle cookies binnen enkele minuten.
Scan uw cookies gratis