Skip to main content

Cookie Compliance Bronnen & Woordenlijst

Cookie compliance kent een gespecialiseerd vocabulaire dat voortkomt uit EU-regelgeving, gegevensbeschermingsrecht en webtechnologie. Deze woordenlijst geeft uitleg over de belangrijkste termen die u zult tegenkomen, gevolgd door een zorgvuldig samengestelde verzameling officiële bronnen en gezaghebbende naslagwerken voor verdere verdieping.

Woordenlijst met kernbegrippen

A–C

CMP (Consent Management Platform): Een softwaretool of dienst die de verzameling, opslag en handhaving van gebruikerstoestemming voor cookies en andere trackingtechnologieën beheert. Een CMP levert doorgaans de interface van de cookiebanner, slaat toestemmingsregistraties op en bepaalt welke scripts mogen worden uitgevoerd op basis van de keuzes van de gebruiker. Voorbeelden zijn Cookiebot, OneTrust, Usercentrics en open-source-oplossingen zoals Klaro.

CNIL (Commission Nationale de l'Informatique et des Libertés): De Franse gegevensbeschermingsautoriteit. De CNIL is de meest actieve Europese toezichthouder op het gebied van cookiehandhaving geweest: zij legde de hoogste cookiegerelateerde boetes op en publiceerde de meest gedetailleerde richtlijnen voor cookie compliance. Haar interpretaties en handhavingsacties bepalen vaak de norm die andere gegevensbeschermingsautoriteiten volgen.

Toestemming: In de context van de GDPR een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting van een betrokkene, bevestigd door een duidelijke actieve handeling. Voor cookies betekent dit dat de gebruiker actief moet kiezen om niet-essentiële cookies toe te staan via een bewuste handeling, zoals het klikken op een "Accepteren"-knop. Stilzwijgen, vooraf aangevinkte vakjes, inactiviteit en doorbladeren vormen geen geldige toestemming.

Cookie: Een klein tekstbestand dat door een website op het apparaat van een gebruiker wordt geplaatst. Cookies worden voor uiteenlopende doeleinden gebruikt, van het in stand houden van inlogsessies (strikt noodzakelijk) tot het volgen van surfgedrag over het hele web (advertenties). Technisch gezien is een cookie een naam-waardepaar met bijbehorende metadata, waaronder domein, pad, vervaldatum en beveiligingsvlaggen.

Cookiebanner: Het interface-element (meestal een balk, modaal venster of pop-up) dat verschijnt wanneer een gebruiker voor het eerst een website bezoekt en dat hem informeert over het gebruik van cookies op de site en om toestemming vraagt. Een conforme cookiebanner biedt duidelijke informatie, geeft echte keuzes (accepteren, weigeren, aanpassen) en plaatst geen niet-essentiële cookies totdat de gebruiker reageert.

Cookiebeleid: Een document (meestal een aparte webpagina of onderdeel van het privacybeleid) dat gedetailleerde informatie geeft over alle cookies die op een website worden gebruikt, inclusief hun namen, doeleinden, typen, looptijden en de externe aanbieders die ze plaatsen. Het cookiebeleid voldoet aan de transparantieverplichtingen van de GDPR en aan de eis van "duidelijke en volledige informatie" uit de ePrivacy-richtlijn.

Cookiemuur: Een mechanisme dat de toegang tot websitecontent blokkeert tenzij de gebruiker toestemming geeft voor alle cookies. Cookiemuren zijn omstreden en hun rechtmatigheid verschilt per rechtsgebied. De EDPB heeft verklaard dat cookiemuren de eis van "vrijelijk gegeven" toestemming ondermijnen, omdat de gebruiker voor een alles-of-niets-keuze staat. Sommige nationale gegevensbeschermingsautoriteiten (met name de Franse Conseil d'Etat) hebben cookiemuren onder beperkte voorwaarden toegestaan, mits de gebruiker een echt alternatief heeft om toegang tot de content te krijgen.

D–E

Dark pattern: Een ontwerpkeuze in een gebruikersinterface die gebruikers manipuleert om beslissingen te nemen die ze anders niet zouden nemen. In de cookiecontext omvatten dark patterns onder meer: de "Accepteren"-knop visueel dominant maken terwijl de "Weigeren"-optie wordt verborgen, verwarrende taal gebruiken, meer klikken vereisen om te weigeren dan om te accepteren, en confirm-shaming-tactieken toepassen. De EDPB publiceerde in februari 2023 specifieke richtlijnen over dark patterns in gegevensbeschermingsinterfaces.

Verwerkingsverantwoordelijke: De entiteit die het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt. Voor cookies die door een website worden geplaatst, is de websitebeheerder doorgaans de verwerkingsverantwoordelijke. Bij cookies van derden kan sprake zijn van gezamenlijke verwerkingsverantwoordelijkheid tussen de websitebeheerder en de derde partij, afhankelijk van de mate waarin elke partij invloed heeft op het doel van en de middelen voor de gegevensverzameling.

Verwerker: Een entiteit die persoonsgegevens verwerkt namens een verwerkingsverantwoordelijke, volgens diens instructies. Een hostingaanbieder of een CMP-leverancier die uitsluitend handelt volgens de instructies van de websitebeheerder is een verwerker. Het onderscheid is van belang omdat verwerkingsverantwoordelijken de primaire verantwoordelijkheid dragen voor compliance, terwijl verwerkers zich moeten houden aan de instructies van de verwerkingsverantwoordelijke en de voorwaarden van een verwerkersovereenkomst.

Betrokkene: Een natuurlijke persoon wiens persoonsgegevens worden verwerkt. In de cookiecontext zijn de betrokkenen de websitebezoekers wier gegevens via cookies worden verzameld. Betrokkenen hebben onder de GDPR rechten, waaronder het recht op inzage, rectificatie, verwijdering, beperking van de verwerking, gegevensoverdraagbaarheid en het recht van bezwaar.

DPA (Gegevensbeschermingsautoriteit): De onafhankelijke overheidsinstantie die verantwoordelijk is voor het toezicht op en de handhaving van het gegevensbeschermingsrecht in elke EU-lidstaat. Gegevensbeschermingsautoriteiten hebben de bevoegdheid om klachten te onderzoeken, audits uit te voeren, richtsnoeren uit te geven en boetes op te leggen. Elke lidstaat heeft ten minste één gegevensbeschermingsautoriteit (Duitsland heeft er meerdere: één per deelstaat plus de federale BfDI). Voorbeelden: CNIL (Frankrijk), Garante (Italië), ICO (VK), Datatilsynet (Denemarken/Noorwegen).

DPO (Functionaris voor Gegevensbescherming): Een persoon die door een verwerkingsverantwoordelijke of verwerker wordt aangewezen om toezicht te houden op de GDPR-naleving. De GDPR verplicht bepaalde organisaties om een DPO aan te stellen, waaronder overheidsinstanties en organisaties waarvan de kernactiviteiten grootschalig toezicht op betrokkenen omvatten. Hoewel niet rechtstreeks verbonden aan cookies, houdt de DPO doorgaans toezicht op het cookie compliance-programma van de organisatie.

EDPB (European Data Protection Board): Het onafhankelijke EU-orgaan dat zorgt voor een consistente toepassing van de GDPR en de samenwerking tussen nationale gegevensbeschermingsautoriteiten bevordert. De EDPB (die de Artikel 29-Werkgroep verving) geeft richtsnoeren, aanbevelingen en bindende besluiten uit. De richtsnoeren over toestemming (Richtsnoeren 05/2020) en over dark patterns zijn belangrijke naslagwerken voor cookie compliance.

ePrivacy-richtlijn (Richtlijn 2002/58/EG): De EU-richtlijn die de privacy bij elektronische communicatie regelt, met inbegrip van het gebruik van cookies. Artikel 5, lid 3, is de belangrijkste rechtsgrondslag voor de cookietoestemmingsverplichting. Als richtlijn moet zij door elke lidstaat in nationaal recht worden omgezet, wat tot verschillen in implementatie leidt. Zij zal worden vervangen door de ePrivacy-verordening, waarover nog steeds wordt onderhandeld.

F–G

First-party cookie: Een cookie die wordt geplaatst door het domein dat de gebruiker bezoekt. Als een gebruiker bijvoorbeeld example.com bezoekt en example.com een cookie plaatst, is dat een first-party cookie. First-party cookies worden doorgaans gebruikt voor essentiële functies (sessies, voorkeuren) en first-party analytics. Ze worden over het algemeen als minder ingrijpend beschouwd dan third-party cookies, omdat ze gebruikers niet over verschillende websites heen kunnen volgen.

GDPR (Algemene Verordening Gegevensbescherming): Verordening (EU) 2016/679, de brede gegevensbeschermingswetgeving van de EU die sinds 25 mei 2018 van kracht is. De GDPR biedt het juridisch kader voor wat geldige toestemming is (op cookies van toepassing via de verwijzing in de ePrivacy-richtlijn), de rechten van betrokkenen, de verplichtingen van verwerkingsverantwoordelijken en verwerkers, en het handhavingsregime met boetes tot 4% van de wereldwijde jaaromzet of 20 miljoen euro.

GPC (Global Privacy Control): Een signaal op browserniveau dat de voorkeur van een gebruiker communiceert om zich af te melden voor de verkoop of het delen van zijn persoonsgegevens. Anders dan het oudere Do Not Track (DNT)-signaal heeft GPC een wettelijke basis onder de CCPA/CPRA en verschillende andere Amerikaanse privacywetten op staatsniveau. Wanneer een gebruiker GPC in zijn browser inschakelt, moeten websites die onder deze wetten vallen dit als een geldig afmeldingsverzoek behandelen. GPC wordt ook in Europa steeds meer erkend, hoewel het nog niet wettelijk verplicht is onder EU-recht.

Google Consent Mode: Een functie van Google's tag-infrastructuur die het gedrag van Google-tags (Analytics, Ads enz.) aanpast op basis van de toestemmingsstatus die door de CMP van de website wordt gecommuniceerd. Consent Mode v2, sinds maart 2024 vereist voor advertentiepersonalisatie in de EER, introduceert de parameters ad_user_data en ad_personalization naast de bestaande ad_storage en analytics_storage. Wanneer toestemming wordt geweigerd, passen Google-tags hun gedrag aan om te voorkomen dat er cookies worden geplaatst, hoewel ze afhankelijk van de configuratie mogelijk nog beperkte, cookieloze pings versturen.

I–L

IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Een door de sector ontwikkeld raamwerk voor het beheren van toestemming binnen het digitale advertentie-ecosysteem. Het TCF biedt een gestandaardiseerde manier voor CMP's, adverteerders en uitgevers om toestemmingssignalen door de ad tech-keten te communiceren. Versie 2.2 is de huidige standaard. Het TCF heeft juridische uitdagingen gekend, met name de uitspraak van de Belgische gegevensbeschermingsautoriteit uit 2022 dat de verwerking van de TC-string door IAB Europe een verwerking van persoonsgegevens vormde. Het raamwerk wordt nog steeds op grote schaal gebruikt, maar de juridische status ervan blijft in ontwikkeling.

Gerechtvaardigd belang: Een van de zes rechtsgrondslagen voor de verwerking van persoonsgegevens onder artikel 6, lid 1, onder f) van de GDPR. Gerechtvaardigd belang vereist een afweging tussen de belangen van de verwerkingsverantwoordelijke en de rechten en vrijheden van de betrokkene. Voor cookies is het gebruik van gerechtvaardigd belang als rechtsgrondslag zeer omstreden. Het heersende Europese toezichtstandpunt is dat toestemming (en niet gerechtvaardigd belang) de juiste grondslag is voor niet-essentiële cookies, omdat de ePrivacy-richtlijn specifiek toestemming vereist voor opslag op het apparaat van de gebruiker.

O–P

Opt-in: Een toestemmingsmodel waarbij de verwerking van persoonsgegevens (of het plaatsen van cookies) niet plaatsvindt tenzij de gebruiker een actieve handeling verricht om dit toe te staan. Het EU-cookiemodel is opt-in: geen niet-essentiële cookies totdat de gebruiker toestemming geeft. Opt-in biedt een sterkere privacybescherming, maar vereist een toestemmingsmechanisme voordat enige tracking begint.

Opt-out: Een toestemmingsmodel waarbij de verwerking van persoonsgegevens (of het plaatsen van cookies) standaard plaatsvindt en de gebruiker actie moet ondernemen om dit te stoppen. Het Amerikaanse cookiemodel (onder de CCPA en vergelijkbare wetten op staatsniveau) is doorgaans opt-out: tracking vindt plaats tenzij de gebruiker bezwaar maakt. Bij opt-out ligt de verantwoordelijkheid om actie te ondernemen bij de gebruiker en niet bij de websitebeheerder.

Persistente cookie: Een cookie die gedurende een vastgestelde periode op het apparaat van de gebruiker blijft staan nadat de browser is gesloten. Persistente cookies worden gebruikt om voorkeuren te onthouden, inlogsessies over bezoeken heen in stand te houden en gedrag in de tijd te volgen. Ze hebben een vaste vervaldatum en blijven bestaan totdat die datum verstrijkt of de gebruiker ze verwijdert. De looptijd van persistente cookies moet in verhouding staan tot hun doel.

Persoonsgegevens: Onder de GDPR alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit omvat voor de hand liggende identificatoren (naam, e-mail) en minder voor de hand liggende (IP-adressen, cookie-identificatoren, device fingerprints). Overweging 30 van de GDPR stelt uitdrukkelijk dat online-identificatoren zoals cookie-identificatoren persoonsgegevens kunnen vormen. In de praktijk kwalificeren vrijwel alle cookies die een browser of gebruiker uniek identificeren als persoonsgegevens.

Voorafgaande toestemming: Toestemming die wordt verkregen voordat de handeling die zij toestaat plaatsvindt. Voor cookies betekent voorafgaande toestemming dat de instemming van de gebruiker wordt verkregen voordat er niet-essentiële cookies op zijn apparaat worden geplaatst. Dit is een fundamentele eis van artikel 5, lid 3, van de ePrivacy-richtlijn. Eerst cookies plaatsen en achteraf om toestemming vragen, of cookies met terugwerkende kracht verwijderen als de toestemming wordt geweigerd, voldoet niet aan de eis van voorafgaande toestemming.

S–T

Sessiecookie: Een cookie die alleen bestaat gedurende de browsersessie van de gebruiker en wordt verwijderd wanneer de browser wordt gesloten. Sessiecookies worden vaak gebruikt om de inlogstatus, de inhoud van winkelmandjes en andere tijdelijke gegevens in stand te houden. Veel sessiecookies kwalificeren als strikt noodzakelijk en zijn daarom vrijgesteld van de toestemmingsverplichting, hoewel dit afhangt van hun specifieke doel.

Strikt noodzakelijke cookie: Een cookie die essentieel is om de website te laten functioneren en om een door de gebruiker uitdrukkelijk gevraagde dienst te leveren. Strikt noodzakelijke cookies zijn vrijgesteld van de toestemmingsverplichting onder artikel 5, lid 3, van de ePrivacy-richtlijn. Voorbeelden zijn authenticatiecookies, beveiligingscookies (CSRF-tokens), load-balancing-cookies en interfacevoorkeurcookies die essentieel zijn voor de dienst. Analytics-cookies, advertentiecookies en socialmediacookies zijn niet strikt noodzakelijk, ongeacht hoe nuttig de websitebeheerder ze acht.

Third-party cookie: Een cookie die wordt geplaatst door een ander domein dan het domein dat de gebruiker bezoekt. Als een gebruiker bijvoorbeeld example.com bezoekt en er een cookie wordt geplaatst door facebook.com (via een op example.com ingesloten Facebook Pixel), dan is de Facebook-cookie een third-party cookie. Third-party cookies worden voornamelijk gebruikt voor cross-site tracking en gerichte advertenties. Grote browsers beperken of verwijderen third-party cookies: Safari en Firefox blokkeren ze al standaard, en Chrome heeft plannen aangekondigd om ze uit te faseren (hoewel de tijdlijn meermaals is verschoven).

Tracking pixel: Een minuscule, onzichtbare afbeelding (meestal 1x1 pixel) die in een webpagina of e-mail is ingesloten en die bij het laden terugrapporteert aan een server. Hoewel een tracking pixel technisch gezien geen cookie is, is het een verwante trackingtechnologie die vaak samen met cookies werkt om gebruikersgedrag te volgen. Ze vallen onder dezelfde toestemmingsverplichtingen als cookies onder de ePrivacy-richtlijn, omdat ze toegang verschaffen tot informatie op het apparaat van de gebruiker (het HTTP-verzoek verzendt het IP-adres, de browserinformatie en eventuele bijbehorende cookies van de gebruiker).

Officiële bronnen

EU-wetgeving en richtsnoeren

Cookie-richtsnoeren van nationale gegevensbeschermingsautoriteiten

Google Consent Mode

IAB Transparency and Consent Framework

Amerikaanse privacywetten

Rechtspraak van het HvJ-EU

Verdere verdieping

Tools voor cookie compliance

Het onderhouden van cookie compliance vereist de juiste tools. Passiro biedt geautomatiseerde cookiescans die uw volledige website doorzoeken met een echte browserengine, alle cookies en trackingtechnologieën identificeren, ze categoriseren aan de hand van een voortdurend bijgewerkte database, en op wijzigingen letten met geplande scans en meldingen. In combinatie met het consent management platform van Passiro krijgt u zo een volledig, altijd actueel beeld van de cookie compliance-status van uw website.

Lees meer over de scanmogelijkheden van Passiro of voer een gratis scan van uw website uit om te zien welke cookies uw site vandaag plaatst.

Voldoet uw website aan de cookieregels?

Scan uw website gratis en vind alle cookies binnen enkele minuten.

Scan uw cookies gratis