Cookies

Als uw website of applicatie cookies en andere trackers installeert en/of leest op de computers, smartphones of tablets (of andere eindapparatuur) van uw gebruikers, moet u dan hun toestemming verkrijgen?

Ja, tenzij uw website of applicatie alleen gebruik maakt van "functionele cookies".

Een cookie wordt gekwalificeerd als " functioneel " wanneer het noodzakelijk is om de verzending van een communicatie via een elektronisch communicatienetwerk uit te voeren of om een dienst te verlenen waarom de gebruiker van uw website of applicatie uitdrukkelijk heeft gevraagd.

Hier zijn enkele voorbeelden van "functionele cookies" waarvoor u geen voorafgaande toestemming van de gebruiker hoeft te verkrijgen:

  • Cookies die de gebruiker activeerde en die zijn ingesteld voor de duur van een sessie, of permanente cookies die in sommige gevallen beperkt zijn tot enkele uren, en die worden gebruikt om de informatie bij te houden die de gebruiker heeft ingevoerd bij het invullen van online formulieren met meerdere pagina's of om de artikelen in een winkelwagen te onthouden die de gebruiker met een klik op de knop heeft geselecteerd.
  • Authenticatiecookies die worden gebruikt voor geauthenticeerde diensten (bijvoorbeeld een website die online bankieren aanbiedt), voor de duur van een sessie.
  • Gebruikersgerichte beveiligingscookies die tot doel hebben de veiligheid van de dienst waarom de gebruiker uitdrukkelijk heeft gevraagd, te verbeteren en die met name worden gebruikt voor het opsporen van onrechtmatige authenticatie, gedurende een herhaalde beperkte duur.
  • Sessiecookies gemaakt door een mediaspeler, zoals flash player cookies, voor de duur van een sessie.
  • Load balancing sessiecookies, voor de duur van een sessie.
  • Permanente cookies voor het aanpassen van de gebruikersinterface (zoals taalvoorkeur of cookies voor het weergeven van resultaten), voor de duur van een sessie (of iets langer).

Voor het plaatsen en/of lezen van deze functionele cookies is geen toestemming van de gebruiker nodig. U moet de gebruiker echter wel duidelijke en nauwkeurige informatie geven over wat deze cookies doen en waarom u ze gebruikt.  Voor alle andere cookies, d.w.z. "niet-functionele" cookies, moet u de gebruikers niet alleen informeren over de doeleinden die zij nastreven, maar ook hun geldige toestemming verkrijgen.

Als u cookies voor publieksmeting (ook wel statistische of analytische cookies genoemd) wilt installeren en/of lezen, heeft u dan toestemming nodig van de gebruiker van uw website of applicatie?

Ja.

In de huidige wetgeving is er geen vrijstelling van de verplichting om de toestemming van de betrokkenen te verkrijgen voor publieksmeetingscookies, zelfs niet als het gaat om "eerstepartij" cookies. De verwerking van persoonsgegevens in het kader van de installatie en het lezen van statistische cookies kan niet worden gebaseerd op het gerechtvaardigde belang van de eigenaar van de website of de applicatie.

Hoe verkrijgt u een geldige toestemming?

Om geldig te zijn, moet de toestemming tot uiting komen in een positieve actie van de persoon die vooraf op de hoogte is gebracht van de gevolgen van zijn keuze. De wilsuiting kan worden uitgedrukt door bijvoorbeeld een vakje aan te vinken of een knop te activeren door te slepen. Maar het kan niet het resultaat zijn van een "voorgevinkt" vakje of de eenvoudige voortzetting van het surfen op uw website.

Uiteraard moet toestemming worden gegeven vooraleer cookies te plaatsen of te lezen. Ze moet bovendien vrij, specifiek, geïnformeerd en intrekbaar zijn:

  • Vrij: De betrokkene moet zijn keuze rechtsgeldig kunnen uitoefenen en mag niet worden blootgesteld aan negatieve gevolgen als hij weigert zijn  toestemming te geven. Ook kan geen toestemming worden gevraagd in ruil voor een "voordeel" of "beloning".
  • Specifiek: Toestemming moet worden gegeven met betrekking tot het specifieke doel of de specifieke doelen waarvoor de cookies worden verzameld. Toestemming kan dus niet  worden gegeven voor enkel het "gebruik" van cookies, zonder verdere specificatie van de gegevens die via cookies worden verzameld of de doeleinden waarvoor ze worden gebruikt. Het is noodzakelijk om de gebruiker een meer gedetailleerde keuze te bieden dan een eenvoudige "alles of niets". Maar je hoeft niet zo ver te gaan om per cookie een keuze aan te bieden. U moet daarentegen in een eerste informatielaag een keuze aanbieden per" type cookies " (voorbeelden: cookie voor publieksmeting of op marketing gerichte cookie). Zodra de betrokkene zijn toestemming heeft kunnen geven per type cookie, moet u hem, indien hij dat wenst, toestaan om in het kader van een tweede informatielaag zijn individuele toestemming te geven per cookie.
  • Geïnformeerd: het verzamelen van de toestemming moet worden voorafgegaan door het verstrekken van duidelijke en precieze informatie over de identiteit van de verwerkingsverantwoordelijke, het doel van het plaatsen en lezen van de cookies, de gegevens die ze verzamelen en de levensduur ervan. De informatie moet ook betrekking hebben op de rechten die de AVG voor de betrokken personen erkent, met inbegrip van het recht om de toestemming in te trekken.
  • Intrekbaar: De toestemming moet even gemakkelijk kunnen worden ingetrokken als ze werd gegeven. Ook moet u de betrokkene, voordat u  zijn toestemming verkrijgt, op de hoogte stellen van de mogelijkheid om zijn toestemming op een later tijdstip in te trekken.

U moet kunnen aantonen dat u geldige toestemming hebt gekregen van de betrokkene voordat u cookies of andere trackers op of vanaf zijn of haar apparaat installeert of uitleest. Dit bewijs kan met name worden geleverd door middel van log- of andere bestanden waarin de transacties worden bijgehouden.

In de praktijk moet het informatie- en pre-toestemmingsveld bestaan uit een duidelijke, zichtbare en gemakkelijk te begrijpen boodschap die duidelijk uitlegt welke cookies u wilt installeren, wat ze doen en waarom u ze gebruikt (voorbeelden: cookies die het mogelijk maken het publiek van een website te meten of cookies die het mogelijk maken de internetgebruikers marketinggewijs te targeten). De gebruiker moet dus worden geïnformeerd over de soorten cookies die u wilt installeren, hun doel, hun levensduur, de gegevens die ze verzamelen en het gebruik dat van deze gegevens zal worden gemaakt.

De bezoeker moet de mogelijkheid hebben om ten minste per type cookie toestemming te geven. Zolang de bezoeker geen positieve actie heeft uitgevoerd die duidt op acceptatie, moet het bericht zichtbaar blijven en kan er geen "niet-functioneel" cookie worden geïnstalleerd en/of gelezen op de computer, smartphone, tablet of enig ander apparaat van de gebruiker.

Kan de voortzetting van het surfen op een website gelden als een toestemming?

Neen.

De voortzetting van het surfen kan niet worden beschouwd als een geldige toestemming voor de installatie en het lezen van de "niet-functionele" cookies. De toestemming die internetgebruikers moeten geven voor het plaatsen (en raadplegen) van dit type cookies moet, om geldig te zijn, voldoen aan de algemene rechtmatigheidsvoorwaade van de toestemming zoals voorzien in de AVG. Hieruit volgt dat deze toestemming dus het resultaat moet zijn van een actieve aanpak door de internetgebruiker, zoals een klik of het activeren van een knop door te slepen. De toestemming is dus niet geldig als deze wordt verzameld door middel van een standaard aanvinkvakje dat de gebruiker moet uitvinken om te weigeren toestemming te geven. Deze toestemming moet ook geïnformeerd zijn, wat betekent dat de actieve aanpak die van de internetgebruiker wordt gevraagd, moet worden voorafgegaan door het verstrekken van duidelijke en volledige informatie over de soorten cookies die worden geplaatst en de gevolgen van het plaatsen van deze cookies voor het toekomstige gebruik van de persoonsgegevens van de internetgebruiker. De AVG eist ook dat de toestemming voor het plaatsen van cookies specifiek is, zodat het feit dat een gebruiker de spelknop activeert, een aankoop bevestigt of de voorwaarden accepteert niet voldoende is om aan te nemen dat hij rechtmatig toestemming heeft gegeven voor het plaatsen van cookies. Ten slotte moet de toestemming vrij en ongedwongen zijn. Deze eis houdt met name in dat de gebruiker bepaalde diensten of voordelen niet kan worden geweigerd op grond van het feit dat hij niet heeft ingestemd met het gebruik van niet-functionele cookies.

Kunt u uit de browserinstellingen voor cookies afleiden dat er toestemming is verleend?

Neen.

Met de browserinstellingen kan momenteel geen geldige toestemming worden verzameld ten aanzien van de AVG. De gebruikers kunnen immers (nog) geen toestemming geven volgens de doeleinden die de verschillende soorten cookies nastreven. De toestemming die via de browserinstellingen wordt verzameld, is daarom niet voldoende specifiek ten aanzien van de vereiste van de AVG.

Mag u een "cookiewall" plaatsen?

Neen.

Het plaatsen van een "cookiewall" - dat een praktijk is om de toegang tot een website of mobiele applicatie te blokkeren voor diegenen die niet akkoord gaan met de installatie van " niet-functionele" cookies - is niet in overeenstemming met de AVG. Deze praktijk verhindert het verkrijgen van de vrije toestemming, aangezien de betrokkene verplicht is toestemming te geven voor de installatie en/of het lezen van cookies om toegang te krijgen tot de website of mobiele applicatie.

Moet u een "cookie policy" of "cookiebeleid" aannemen en publiceren op uw website of mobiele applicatie?

Ja.

Als u cookies of andere trackers installeert en/of leest, moet u een "cookiebeleid" aannemen en publiceren op uw website of mobiele applicatie om de transparantie van de verwerking van persoonsgegevens met behulp van deze cookies en andere trackers te waarborgen. Dit document moet ten minste de volgende elementen bevatten:

  • De identiteit en contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval van uw functionaris voor gegevensbescherming;
  • Identificatie van de verschillende (soorten) cookies die door de website of applicatie worden gebruikt;
  • Het doel of de doeleinden van de verwerking die plaatsvindt in het kader van het plaatsen en/of lezen van de verschillende (soorten) cookies;
  • De werkingsduur van de cookies;
  • Het bestaan van de mogelijkheid voor derden - indien van toepassing - om al dan niet toegang te hebben tot cookies;
  • Hoe de betrokkene de cookies die op zijn apparaat zijn geplaatst kan wissen;
  • De rechtsgrondslag van de verwerking in de zin van artikel 6 van de AVG (dit zal noodzakelijkerwijs de toestemming zijn voor "niet-functionele" cookies , terwijl een andere rechtsgrondslag, zoals een gerechtvaardigd belang, kan worden gebruikt voor "functionele" cookies);
  • De bewaartermijn van de gegevens die via de verschillende cookies worden verzameld;
  • De rechten die de betrokkenen kunnen inroepen, met inbegrip van het recht om hun toestemming in te trekken en alle andere rechten die zijn vastgelegd in de artikelen 15 tot en met 22 van de AVG;
  • De mogelijkheid om klacht in te dienen bij de GBA;
  • Het bestaan van een geautomatiseerde besluitvorming, met inbegrip van profilering en nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

U moet uw "cookiebeleid" schrijven in een taal die gemakkelijk toegankelijk is voor de betrokkenen. Indien uw website gericht is op een Franstalig en/of Nederlandstalig publiek, moet het privacybeleid in het Frans en/of Nederlands worden geschreven. U moet beknopt zijn bij het schrijven van uw "cookiebeleid", maar laat de informatie die erin moet worden opgenomen krachtens de AVG niet onvermeld.

U moet ervoor zorgen dat uw "cookiebeleid" gemakkelijk toegankelijk is voor de betrokken personen, bijvoorbeeld door middel van een hyperlink. 

Hoe lang kunnen cookies worden bewaard zonder dat u een nieuwe toestemming hoeft te verkrijgen?

De duur van de werking van de cookies moet worden beperkt tot de tijd die nodig is voor het vervullen van hun doel (weergave van het formulier tot de transactie is voltooid, behoud van het winkelmandje tot de bestelling is geplaatst, etc.). Deze bewaartermijn mag dus niet onbepaald zijn. De verzamelde en opgeslagen informatie in een cookie en de verzamelde informatie na uitlezing van het cookie, moeten worden verwijderd zodra die niet meer noodzakelijk is voor het nagestreefde doeleinde.

Het is echter niet altijd mogelijk om cookies en metabestanden tijdig te verwijderen, bijvoorbeeld in het geval van een onverwachte onderbreking van de communicatie. Het cookiebeleid moet dan duidelijk uitleggen hoe deze cookies en metabestanden kunnen worden verwijderd door een meer expliciete interventie van de bezoeker van de website (voorbeeld : verwijderfunctie van cookies waarin elke browser voorziet).

Een cookie die is vrijgesteld van de toestemmingsvereiste moet een levensduur hebben die rechtstreeks verband houdt met het doel waarvoor het wordt gebruikt en moet worden ingesteld om te verlopen zodra het niet langer nodig is, rekening houdend met de redelijke verwachtingen van de gebruiker of de gemiddelde abonnee. Cookies die zijn vrijgesteld van toestemming zullen daarom waarschijnlijk verlopen wanneer de browsersessie eindigt of zelfs eerder. Maar, dat is niet altijd het geval. Bijvoorbeeld, in het winkelwagen scenario, kan een winkelier het cookie zo instellen dat deze blijft staan na het einde van de browsersessie of voor een paar uur om rekening te houden met het feit dat de gebruiker per ongeluk de browser kan sluiten en redelijkerwijs kan verwachten de inhoud van het winkelwagentje te vinden wanneer hij een paar minuten later terugkeert naar de website van de winkelier. In andere gevallen kan de gebruiker de dienst uitdrukkelijk verzoeken om bepaalde informatie van de ene naar de andere sessie te onthouden, waarvoor het gebruik van permanente cookies vereist is.

Kunt u sociale netwerk-plugins (" vind ik leuk" van Facebook, " Tweet button " van Twitter, " +1 " van Google...) zonder voorwaarden opnemen in uw website of mobiele applicatie?

Nee, u moet de toestemming van de gebruikers van uw website of mobiele applicatie krijgen voordat u sociale plug-ins kunt activeren.

Met sociale plugins kunnen website-ontwerpers eenvoudig functies toevoegen aan hun webpagina's om de inhoud van hun website te delen op sociale platforms.  Maar de broncode die aan de ontwerpers van de site wordt voorgesteld, maakt gebruik van cookies die het mogelijk maken om internetgebruikers heel goed te volgen, zelfs als ze geen account hebben op deze platformen. Voorafgaand aan het plaatsen van deze cookies moet de toestemming van de gebruiker worden verkregen.

Over welke tools kan een internetgebruiker beschikken om cookies te beperken, te vermijden of te verwijderen?

Onder de bestaande mogelijkheden kunt u gebruik maken van de " privé browser" modus die beschikbaar is op de belangrijkste pc of mobiele browsers (waaronder Edge, Internet Explorer, Chrome, Firefox, Safari of Opera). De surfinformatie (wachtwoorden, cookies, formulieren, inhoud in het cachegeheugen en verschillende geschiedenissen) wordt dan gewist wanneer u uw browser sluit. Deze mogelijkheid maakt het dus mogelijk om geen enkel surfspoor achter te laten op uw computer (of ander mobiel apparaat), eens de sessie is beëindigd. Het verhindert dus niet dat er tijdens het surfen cookies worden geplaatst en gelezen, en het wist ook niet de sporen die tijdens uw vorige surfsessies zijn achtergelaten.

Om dit te doen, kunt u gebruik maken van andere tools die door browsers worden aangeboden.

Zo kunt u in de configuratie-instellingen van uw browser het toekomstige opslaan en uitlezen van cookies op of vanaf uw apparaat  permanent toestaan of weigeren. De granulariteit van de aangeboden keuzes (derdepartij cookies , eerstepartij cookie, de bewaartermijn, etc.) hangt af van de browser en het besturingssysteem. Deze actie beïnvloedt niet de reeds opgeslagen informatie. Het kan echter invloed hebben op de inloggegevens bij bepaalde websites, de uitvoering van bepaalde functionaliteiten verhinderen en een herverbinding/heridentificatie met deze sites vereisen.

Tot slot kunt u in de configuratie-instellingen ook de reeds op uw apparaat aanwezige surfgegevens (inclusief cookies) wissen. Afhankelijk van de browser is het mogelijk om gegevens te verwijderen op basis van hun anciënniteit, aard en/of de bezochte site. Niet alle browsers laten u toe om opgeslagen cookies in detail te bekijken of individueel te verwijderen.

Om u te helpen deze cookies en andere trackers te beheren en de inbreuk op uw privacy te beperken, kunt u extensies en add-ons installeren die beschikbaar zijn via uw browser op uw computer. Als voorbeeld vermelden we  'Cookie Manager' (by Rob W) op Firefox, 'Privacy Badger' (by EFF) op Opera, Chrome enFirefox, 'uBlock Origin' (by R. Hill) en 'Ghostery' op Firefox, Chrome, Opera, Edge en Safari.

Ghostery maakt deel uit van de ad blockers (advertententieblokkers). Deze uitbreiding voorkomt dus de uitvoering van bepaalde scripts die bovendien een gevaar vormen voor de privacy van de gebruiker (cookies, sociale netwerkknoppen, afhankelijk van de gekozen parameters). Ad blockers zijn ook beschikbaar voor mobiele telefoons als apps zoals 'AdBlock' (door Betafish - niet te verwarren met AdBlock Plus) en 'AdLock' voor Android of '1Blocker X' voor iOS.

Op mobiele telefoons (Android en iOS) kan de gebruiker overwegen om een extra browser te installeren die meer gericht is op privacy (privacy browser), zoals 'DuckDuckGo Privacy Browser', 'Ghostery Privacy Browser', 'Brave' of 'Firefox Focus'.

Hoewel de aanwezigheid ervan op het web elke dag afneemt, is het de moeite waard om de 'Flash Player' te vermelden die binnen de webpagina's wordt gebruikt om multimediacontent te bekijken. De cookies die het gevolg zijn van het gebruik ervan zijn niet zichtbaar voor de browser, die deze dus niet kan beheren of verwijderen. Door de gebruikte technologie (lokale gedeelde objecten) hebben ze echter een groter potentieel om inbreuk te maken op de privacy. De vertrouwelijkheidsparametrering  gebeurt via een specifieke applicatie die beschikbaar is op de website van Adobe.

De advertentienetwerken hebben zich gehergroepeerd om het http://www.youronlinechoices.com platform op te richten, waarmee bepaalde gedragsreclamevoorkeuren centraal kunnen worden bepaald.