Laatste update: 17/11/2023

Cookies en andere traceringsmiddelen

Cookies zijn "minibestanden" en kunnen worden geplaatst op het apparaat van een gebruiker dat is verbonden met het internet, zoals een computer, telefoon, tablet of smart TV. Cookies kunnen worden gebruikt om informatie te verzamelen of op te slaan over hoe de gebruiker zich gedraagt op een website en/of op zijn apparaat. De "lezing" van deze cookies stelt de websites die ze hebben geplaatst in staat om de informatie die erin is opgeslagen op te vragen.

 


Let op, ook andere “trackingstechnieken” worden gereglementeerd door de “cookie-wetgeving”, deze regels slaan namelijk op de “opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of een gebruiker” . Wanneer wij hierna dus de term “cookies” gebruiken, kan deze ook andere trackingstechnieken omvatten (o.a. local storage, zie ook hierna “Begrijpen wat een cookie is”).

Degenen die verantwoordelijk zijn voor websites of mobiele applicaties die cookies willen installeren en/of lezen op een van uw met het internet verbonden apparaten, moeten u duidelijk en eenvoudig uitleggen wat deze cookies doen en waarom zij gebruik willen maken van het plaatsen en/of lezen van deze cookies. Uw toestemming moet aan alle geldigheidsvoorwaarden van een toestemming voldoen (zie: “Een geldige toestemming”). Er zijn echter twee soorten situaties waarin voor het plaatsen of lezen van cookies, uw toestemming niet moet worden verkregen (de “strikt noodzakelijke cookies”):

  • Strikt noodzakelijke functionele cookies, die strikt noodzakelijk zijn om een uitdrukkelijk door u gevraagde dienst te verlenen (zoals voor het tijdelijk bewaren van de taalkeuze, cookievoorkeuren of de inhoud van het winkelmandje of om de veiligheid van een bankapplicatie te garanderen).
  • Strikt noodzakelijke technische cookies, die strikt noodzakelijk zijn om een bericht te verzenden via een elektronisch communicatienetwerk (zoals bijvoorbeeld sessiecookies voor load balancing, waarbij de ingezette cookie zorgt voor het toekennen van een label aan het verkeer, op basis waarvan een optimale belasting wordt nagestreefd).

Een cookie voor analytische doeleinden voldoet in principe dus niet aan deze twee voorwaarden. Meer bepaald is deze cookie niet nodig om een door de gebruiker gevraagde dienst te verlenen, maar enkel om statistische gegevens te bezorgen aan de aanbieder van de website.

Wanneer u zich op het net aanmeldt, wisselt u elektronische berichten uit met de server die met het “web” verbonden is. Deze berichten bevatten headers.. Die headers bevatten “minibestanden” die zowel opgeslagen kunnen worden op uw toestel, als op de server van de bezochte website. Oorspronkelijk was een cookie een minibestandje om de communicatie tussen uw apparaat (computer, smartphone, tablet ...) en de server van de website te vergemakkelijken. De cookie kreeg in zijn strikte betekenis een standaarddefinitie (RFC 6265 van Internet Engineering Task Force) en vervult de rol van een getuige van een transactie door bepaalde informatie op te slaan. In het Frans spreekt men soms over "témoins de connexion" of "inloggetuigen".

In zijn meest eenvoudige vorm is de inhoud van zo’n minibestand bijvoorbeeld: SID=31d4d96e407aad42 waarbij “SID” de sleutel is tot een bepaalde waarde “31d4d96e407aad42”. Bij het bezoek van een website kunnen nog andere methodes ingezet worden om persoonsgegevens in de vorm van sleutelwaarde paren te versturen. Deze trackers, beacons, bugs of onzichtbare pixels maken daar gebruik van. Deze methodes zijn voornamelijk de HTTP GET en POST methodes beschreven in RFC 7231. RFC of Request for Comments zijn documenten die tot stand komen door een discussie- en publicatieproces onder controle van de Internet Engineering Task Force (IETF).

Behalve deze andere methodes dan de cookie methode voor transport, zijn er ook andere manieren voor opslag van sleutelwaarde paren. Het betreft hier de data geplaatst in "Local Storage" of "Session Storage", in de context van "HTML5", kortom in het kader van een meer recente moderne web technologie. Hier kan men meer data opslaan dan met cookies, de data vervallen niet (i.g.v. Local) en kunnen niet door de server uitgelezen worden. Deze data  zijn dus sensu strictu geen cookies, maar kunnen wel worden uitgelezen door de "browser" door middel van scripts met dezelfde "origine". Er wordt vastgesteld dat deze scripts data kunnen versturen naar derde partijen met de hierboven aangehaalde methodes. Met cookies en andere technologieën worden dus ook deze andere methodes voor transport en deze andere manieren voor opslag bedoeld. Daarom spreken we hier over cookies en andere trackers.

Ondertussen werden de cookies aangewend voor nieuwe doeleinden: om de prestaties van de site te verbeteren, om het bezoekersaantal van de website te meten en statistieken te verzamelen, om de voorkeuren van de gebruikers op te slaan (met name de taalkeuze), om een winkelmandje op te slaan,… Het gebruik van cookies werd meer en meer een onderdeel van de data-gedreven businessmodellen van bedrijven, waarbij de (persoons)gegevens onder andere gebruikt worden om te profileren en/of gerichte reclame te kunnen versturen...

Deze cookies en andere technologieën kunnen worden onderscheiden op basis van verschillende criteria, zoals het doel waarvoor ze worden gebruikt, het domein dat ze op uw apparaat plaatst of hun levensduur.

Onderscheid naar het doeleinde van het cookie

Cookies kunnen voor talrijke verschillende doeleinden worden aangewend. Zij kunnen onder meer worden gebruikt om de communicatie via het netwerk te ondersteunen (inlogcookies), om het publiek van een website te meten (cookies voor bezoekersaantal, ook wel "analytische cookies" of "statistische cookies" genoemd), voor marketing- en/of reclame op basis van gedrag, voor authenticatiedoeleinden, voor de beveiliging van websites, voor load balancing (waarbij de ingezette cookie zorgt voor het toekennen van een label aan het verkeer, op basis waarvan een optimale belasting wordt nagestreefd), voor het personaliseren van de gebruikersinterface of om het gebruik van een mediaspeler mogelijk te maken.

Wanneer de toestemming wordt gevraagd, dienen de gebruikte cookies ingedeeld te worden op basis van hun (specifieke) doeleinden. Dit houdt onder andere in dat het gebruik voor eigen reclame/profilering en deze van derden als afzonderlijke doeleinden worden gekwalificeerd, net zoals het gebruik van cookies om een pagina te delen, liken of te volgen op sociale media en cookies gebruikt voor advertenties te personaliseren een ander doeleinde dienen.

Onderscheid naar het domein dat het cookie plaatst op het apparaat van de gebruiker: "eerstepartij" cookies" en "derdepartij cookies"

De "eerstepartij cookies" worden door het geregistreerde domein rechtstreeks geplaatst in de adresbalk van de browser. Het gaat met andere woorden om cookies die de eigenaar rechtstreeks plaatst op zijn website die de gebruiker bezoekt. De "derdepartij cookies" wordendaarentegen geplaatst door een ander domein dan deze die de gebruiker bezoekt. Dit valt voor wanneer de website elementen incorporeert uit andere websites, zoals beelden, sociale media “plugins” (zoals de "vind-ik-leuk knop" van Facebook ) of advertenties. Wanneer deze elementen door de browser of andere software vanop andere websites worden opgehaald, kunnen deze websites ook cookies plaatsen die dan kunnen worden gelezen door de websites die ze hebben geplaatst. Deze "derdepartij cookies" stellen deze derden in staat om het gedrag van de internetgebruikers in de loop van de tijd en op tal van websites te volgen en op basis van deze gegevens profielen van personen aan te maken (profilering), zodat zij in de toekomst nauwkeuriger en doelgerichter marketing kunnen plaatsen tijdens de toekomstige surfsessies van deze internetgebruikers, die op die manier worden opgespoord.

Onderscheid naar de levensduur van het cookie: "Sessiecookies" en "persistente cookies" (of "permanente cookies")

De "sessiecookies" worden automatisch verwijderd wanneer u uw browser sluit, terwijl de "persistente cookies" in uw toestel (computer, smartphone, tablet...) opgeslagen blijven tot een vooraf bepaalde vervaldatum (die kan worden uitgedrukt in minuten, dagen of jaren).

In de meeste gevallen kunt u alleen cookies op het apparaat van een internetgebruiker installeren en/of lezen als deze persoon vooraf duidelijk en precies is geïnformeerd over wat deze cookies doen en de reden waarom u ze wilt gebruiken en nadat hij vervolgens heeft ingestemd met het gebruik ervan.

De verplichting om de toestemming van de betrokkene te verkrijgen, geldt in principe voor alle cookies en andere soortgelijke technologieën die de opslag van informatie of de toegang tot informatie die reeds op het apparaat van een gebruiker is opgeslagen, mogelijk maken, ongeacht of de opgeslagen informatie persoonsgegevens betreft. Er zijn echter twee situaties waarin voor het plaatsen van cookies geen toestemming van de betrokkene nodig is (de “strikt noodzakelijke cookies”).

  • Strikt noodzakelijke functionele cookies, die strikt noodzakelijk zijn om een uitdrukkelijk door u gevraagde dienst te verlenen (zoals voor het tijdelijk bewaren van de taalkeuze, cookievoorkeuren of de inhoud van het winkelmandje of om de veiligheid van een bankapplicatie te garanderen).
  • Strikt noodzakelijke technische cookies, die strikt noodzakelijk zijn om een bericht te verzenden via een elektronisch communicatienetwerk (zoals bijvoorbeeld sessiecookies voor load balancing, waarbij de ingezette cookie zorgt voor het toekennen van een label aan het verkeer, op basis waarvan een optimale belasting wordt nagestreefd).

Als de door u geplaatste en/of gelezen cookies persoonsgegevens bevatten, zoals bijna altijd het geval is, zult u ook moeten voldoen aan alle verplichtingen die de AVG aan de verwerkingsverantwoordelijken en de verwerkers oplegt, al naargelang u als verwerkingsverantwoordelijke of als verwerker optreedt.

Let er bijvoorbeeld zeker op dat u een mechanisme voorziet om de toestemming even eenvoudig weer te kunnen intrekken.

De toestemming die internetgebruikers moeten geven voor het plaatsen of lezen van niet strikt noodzakelijke cookies en andere soortgelijke technologieën moet, om geldig te zijn, voldoen aan de algemene rechtmatigheidsvoorwaarden van de toestemming als bedoeld in de AVG: voorafgaand, vrij, specifiek, geïnformeerd, actief en ondubbelzinnig (maar daarnaast ook “intrekbaar”).

  • Voorafgaand

Geen enkele niet strikt noodzakelijke cookie kan op de computer, smartphone of tablet van een gebruiker worden geplaatst of gelezen, tenzij de gebruiker daarvoor toestemming heeft gegeven.

  • Ondubbelzinnige en actief

De instemming moet tot uiting komen in een positieve actie van de persoon die vooraf op de hoogte is gebracht van de gevolgen van diens keuze. De toestemming van de betrokkene kan bijvoorbeeld worden gegeven door op een link te klikken of door een knop te activeren door erop te klikken of deze te verslepen (de zogenaamde “opt-in”).

De toestemming is echter niet geldig als deze wordt verkregen door middel van een standaard aankruisvakje dat de gebruiker moet uitvinken om te weigeren toestemming te geven (vaak “opt-out” genoemd). Daarnaast kan ook de voortzetting van het surfen of de aanvaarding van de gebruiksvoorwaarden niet beschouwd worden als een geldige toestemming. Ten slotte kan de toestemming van de gebruiker ook niet afgeleid worden uit diens browserinstellingen.

  • Geïnformeerd

De toestemming moet worden voorafgegaan door het verstrekken van precieze informatie over de verwerkingsverantwoordelijke, de doeleinden waarvoor de cookies en andere traceringsmiddelen worden geplaatst of gelezen, de gegevens die ze verzamelen en de levensduur van deze cookies. De informatie moet ook betrekking hebben op het eventuele gebruik van de gegevens voor geautomatiseerde besluitvorming en op de rechten van de betrokkenen als toegekend krachtens de AVG, met inbegrip van het recht om de toestemming in te trekken.

De informatie moet zichtbaar, volledig en duidelijk benadrukt zijn. Het moet worden geschreven in eenvoudige woorden die voor de gebruiker begrijpelijk zijn. Dit houdt met name in dat de informatie moet worden geschreven in een taal die gemakkelijk te begrijpen is voor het "doelpubliek" waarvoor de informatie bestemd is. In de praktijk, als uw website gericht is op een tienerpubliek, zult u taal moeten gebruiken die eenvoudig genoeg is om te worden begrepen door dat doelpubliek.

In dezelfde logica, als uw website gericht is op een Franstalig en/of Nederlandstalig publiek, moet u de informatie in het Frans en/of Nederlands verstrekken.

In de eerste “laag” worden op een zeer duidelijke en beknopte wijze de verschillende doeleinden weergegeven waarvoor toestemming wordt gevraagd (e.g. door gebruik vette benadrukking, bullet points, etc.). In deze “laag” worden ten ook minstens volgende zaken opgenomen:

  • de identiteit van de entiteit(en) die verantwoordelijk is (zijn) voor het plaatsen of uitlezen van de cookies (desgevallend met een weergave van het aantal partners en een hyperlink naar de volledige lijst opgedeeld per categorie);
  • hoe cookies geaccepteerd of geweigerd kunnen worden;
  • de gevolgen van het weigeren of accepteren van cookies;
  • het bestaan van het recht om toestemming in te trekken en hoe deze ingetrokken kan worden.

Daarnaast wordt in een “lagere laag” de volledige lijst van gebruikte cookies gegeven, opgedeeld per categorie, inclusief hun specifieke doeleinde, duurtijd en de ontvangers van dergelijke cookies.

Wanneer persoonsgegevens verwerkt worden (wat quasi steeds het geval is bij het gebruik van cookies), dient uiteraard ook alle nodige informatie verschaft te worden om tegemoet te komen aan de transparantieverplichting in artikel 12-14 AVG.

  • Vrij

De gebruiker moet voor elke toepassing en elke website het plaatsen van cookies kunnen aanvaarden of weigeren zonder enige beperking, druk of invloed. Deze eis houdt met name in dat de gebruiker bepaalde diensten of voordelen niet mag worden geweigerd op grond van het feit dat hij niet heeft ingestemd met het gebruik van "niet-functionele" cookies. De persoon die een cookie weigert waarvoor toestemming nodig is, moet kunnen blijven genieten van de dienst, zoals de toegang tot een website. De "cookiewalls" zijn daarom niet toegestaan, omdat dit, krachtens de AVG,  geen geldige toestemming kan zijn voor het verzamelen van gegevens.

De gebruiker moet voor elke toepassing en elke website het plaatsen van cookies kunnen aanvaarden of weigeren zonder enige beperking, druk of invloed. Deze eis houdt met name in dat de gebruiker bepaalde diensten of voordelen niet mag worden geweigerd op grond van het feit dat hij niet heeft ingestemd met het gebruik van niet strikt noodzakelijke cookies. De persoon die een cookie weigert waarvoor toestemming nodig is, moet kunnen blijven genieten van de dienst, zoals de toegang tot een website. Zogenaamde "cookiemuren" zijn daarom niet toegestaan.

De opmaak van de cookiebanner kan er ook toe leiden dat het vrije karakter van de toestemming wordt aangetast. Dit is bijvoorbeeld het geval wanneer er wordt gebruik gemaakt van:

  • een “alle cookies aanvaarden” (of gelijkaardige) knop, zonder dat op dezelfde “laag” een “alle niet strikt noodzakelijke cookies weigeren” (of gelijkaardige) knop wordt voorzien;
  • een andere vorm van misleidend ontwerp (“deceptive design”, ook gekend als “dark patterns”) van de banner en zijn knoppen, tekst of links, door het misleidend gebruik van onder meer kleuren, lettergrootte en plaatsing.

 

  • Specifiek

De AVG eist dat de toestemming, ook voor het plaatsen en uitlezen van cookies, specifiek is, d.w.z. dat deze toestemming wordt gegeven voor een welomschreven (specifieke) gegevensverwerking.
Het feit dat een gebruiker de knop activeert om deel te nemen aan een spel, een aankoop bevestigt of algemene voorwaarden accepteert, is dus niet voldoende om aan te nemen dat hij op geldige wijze toestemming heeft gegeven voor het plaatsen van cookies (zie ook het “ondubbelzinnige” karakter hierboven vermeld).

De toestemming kan ook niet rechtsgeldig worden gegeven voor enkel het "gebruik" van cookies, zonder verdere specificatie van de gegevens die via deze cookies worden verzameld of de doeleinden waarvoor de gegevens worden verzameld. De AVG vereist een meer gedetailleerde keuze dan een eenvoudige "alles of niets".

Dit kan bijvoorbeeld door in een eerste laag van de banner de categorieën kort te verduidelijken en te voorzien van een knop “alles aanvaarden” én een knop “alles weigeren”, maar dan wel met een duidelijk weergegeven link naar een tweede laag waar meer uitvoerigere informatie wordt gegeven over deze categorieën en een meer granulaire toestemming kan worden verleend. Daarnaast geeft u, desgevallend in een lagere “laag”, de mogelijkheid om per “partner” (gezamenlijke verwerkingsverantwoordelijke) het gebruik van cookies (al dan niet) te aanvaarden.

Evenwel acht de Gegevensbeschermingsautoriteit het opportuun dat u de internetgebruikers in het kader van een navolgende “informatielaag” ook de mogelijkheid biedt om per cookie een uitgebreidere granulaire keuze te maken, wat in sommige gevallen kan leiden tot een individuele keuze per cookie. Immers, zodra de betrokkene per type cookie zijn toestemming heeft kunnen geven, moet hij, in bepaalde gevallen (bvb. rekening houdend met de evolutie van de maatschappij, inclusief de verwachtingen van idealiter steeds meer IT-onderlegde en privacy-bewuste doorsnee internetgebruikers), ook individueel per cookie diens toestemming kunnen geven.
Dit veronderstelt dat elke cookie ook slechts voor één specifiek doeleinde wordt aangewend.

  • Intrekbaar

Gebruiksvriendelijke oplossingen moeten worden ingevoerd, zodat de persoon zijn toestemming op elk gewenst moment net zo gemakkelijk kan intrekken als hij deze heeft gegeven. Bovendien moet hij van deze mogelijkheid op de hoogte worden gebracht op het moment dat hij zijn toestemming geeft.

U dient er voor te zorgen dat deze intrekking van de toestemming effectief het gewenste effect heeft. Dit kan door het wissen van de cookies of door andere technieken. Het intrekken van de toestemming kan bijvoorbeeld door plaatsing van een “Set-Cookie” met hetzelfde “path” en “domain”, maar dan met een negatieve levensduur.

Het intrekken van de toestemming kan bijvoorbeeld ook gebeuren met een zogenaamde duidelijke “hover” knop, wat in feite een persistente zwevende knop is, of met een duidelijke link in de voet van elke pagina waarmee je steeds kan terugkeren naar de cookie-instellingen en met één klik de toestemming kan intrekken.

De informatie die is opgeslagen op het werkstation van de gebruiker en de cookies mogen niet langer worden bewaard dan nodig is om het beoogde doel te bereiken. Deze bewaartermijn mag dus niet onbepaald zijn. Wanneer de informatie die wordt verzameld en opgeslagen in een cookie en de informatie die wordt verzameld als gevolg van het lezen van een cookie niet langer nodig is voor het doel waarvoor deze is verzameld, moet u deze verwijderen.

Het is echter niet altijd mogelijk om cookies tijdig te verwijderen, bijvoorbeeld in het geval van een onverwachte onderbreking van de communicatie. Het cookiebeleid moet dan duidelijk uitleggen hoe deze cookies kunnen worden verwijderd door een meer expliciete interventie van de bezoeker van de website (voorbeeld: verwijderfunctie van cookies waarin elke browser voorziet).

Een cookie die is vrijgesteld van de toestemmingsvereiste moet een levensduur hebben die rechtstreeks verband houdt met het doel waarvoor het wordt gebruikt en moet worden ingesteld om te vervallen zodra het niet langer nodig is, rekening houdend met de redelijke verwachtingen van de gebruiker. Cookies die zijn vrijgesteld van toestemming zullen daarom waarschijnlijk verlopen wanneer de browsersessie eindigt, of zelfs eerder. Maar, dat is niet altijd het geval. Bijvoorbeeld, in het winkelwagen scenario, kan een winkelier de cookie zo instellen dat deze blijft staan na het einde van de browsersessie of voor een paar uur om rekening te houden met het feit dat de gebruiker per ongeluk de browser kan sluiten en redelijkerwijs kan verwachten de inhoud van het winkelwagentje te vinden wanneer hij een paar minuten later terugkeert naar de website van de winkelier. In andere gevallen kan de gebruiker de dienst uitdrukkelijk verzoeken om bepaalde informatie van de ene naar de andere sessie te onthouden, waarvoor het gebruik van persistente cookies vereist is.

Voor cookies die cookievoorkeuren onthouden, is de Gegevensbeschermingsautoriteit van oordeel dat een levensduur van 6 maanden in beginsel redelijk is.

U dient te kunnen aantonen dat u de toestemming rechtsgeldig heeft bekomen. U dient daartoe:

  • informatie bij te houden die aantoont hoe uw toestemmingsmechanisme (zoals een banner) werd aangepast doorheen de tijd ;
  • voorgaande versies van uw cookiebeleid te bewaren ; en
  • uw cookiebeleid een datum en versienummer mee te geven.

Vragen

Laatste update: 17/11/2023

Ja, tenzij uw website of applicatie alleen gebruik maakt van "strikt noodzakelijke cookies".

Een cookie wordt gekwalificeerd als "strikt noodzakelijk" wanneer het noodzakelijk is om de verzending van een communicatie via een elektronisch communicatienetwerk uit te voeren of om een dienst te verlenen waarom de gebruiker van uw website of applicatie uitdrukkelijk heeft gevraagd.

Hier zijn enkele voorbeelden van "strikt noodzakelijke cookies" waarvoor u geen voorafgaande toestemming van de gebruiker hoeft te verkrijgen:

  • Cookies die de gebruiker activeerde en die zijn ingesteld voor de duur van een sessie, of permanente cookies die in sommige gevallen beperkt zijn tot enkele uren, en die worden gebruikt om de informatie bij te houden die de gebruiker heeft ingevoerd bij het invullen van online formulieren met meerdere pagina's of om de artikelen in een winkelwagen te onthouden die de gebruiker met een klik op de knop heeft geselecteerd.
  • Authenticatiecookies die worden gebruikt voor geauthenticeerde diensten (bijvoorbeeld een website die online bankieren aanbiedt), voor de duur van een sessie.
  • Gebruikersgerichte beveiligingscookies die tot doel hebben de veiligheid van de dienst waarom de gebruiker uitdrukkelijk heeft gevraagd, te verbeteren en die met name worden gebruikt voor het opsporen van onrechtmatige authenticatie, gedurende een herhaalde beperkte duur.
  • Sessiecookies gemaakt door een mediaspeler
  • Load balancing sessiecookies
  • Cookies om de gekozen cookievoorkeuren te onthouden (voor een periode van in beginsel maximum 6 maanden)
  • Cookies voor het aanpassen van de gebruikersinterface, waaronder taalvoorkeur, voor de duur van een sessie (of iets langer)

Voor het plaatsen en/of lezen van deze strikt noodzakelijke cookies is geen toestemming van de gebruiker nodig. U moet de gebruiker echter wel duidelijke en nauwkeurige informatie geven over wat deze cookies doen en waarom u ze gebruikt.  Voor alle andere cookies, d.w.z. "niet strikt noodzakelijke" cookies, moet u de gebruikers niet alleen informeren over de doeleinden die zij nastreven, maar ook hun geldige toestemming verkrijgen.

Laatste update: 17/11/2023

Ja.

In de huidige wetgeving is er geen vrijstelling van de verplichting om de toestemming van de betrokkenen te verkrijgen voor “publiekmeetingscookies”, zelfs niet als het gaat om "eerstepartij" cookies.

Om te kunnen vallen onder de uitzondering van de “strikt noodzakelijke functionele cookies”, moet het gaan om cookies die strikt noodzakelijk zijn om een door de “bezoeker” uitdrukkelijk gevraagde dienst te leveren. Het tellen van bezoekers valt hier om deze reden in beginsel niet onder (zoals ook de Artikel 29 Groep Gegevensbescherming op pagina 10 van haar Opinie 04/2012 aangaf).

Enkele toezichthouders (in andere lidstaten) nemen de positie in dat het plaatsen of zich toegang verlenen tot dergelijke cookies - onder bepaalde strikte voorwaarden - aan de toestemmingsvereiste ontsnapt. Soms is dit het gevolg van een aanpassing aan de nationale wetgeving (deze uitzonderingsgrond werd dan expliciet toegevoegd), soms ten gevolge van nationale rechtspraak.

Laatste update: 17/11/2023

Neen.

De voortzetting van het surfen kan niet worden beschouwd als een geldige toestemming voor de installatie en het lezen van de “niet strikt noodzakelijke” cookies. De toestemming die internetgebruikers moeten geven voor het plaatsen (en raadplegen) van dit type cookies moet, om geldig te zijn, voldoen aan de algemene “rechtmatigheidsvoorwaarden” van de toestemming zoals voorzien in de AVG. Hieruit volgt dat deze toestemming dus het resultaat moet zijn van een actieve  en ondubbelzinnige handeling door de internetgebruiker, wat bij het louter verder surfen op de website niet het geval is.

Laatste update: 17/11/2023

Neen.

Met de browserinstellingen kan - minstens momenteel - geen geldige toestemming worden verzameld. De gebruikers kunnen bijvoorbeeld (nog) geen toestemming geven volgens de doeleinden die de verschillende soorten cookies nastreven. De toestemming die via de browserinstellingen wordt verzameld, is daarom niet voldoende specifiek ten aanzien van de vereiste van de AVG.
 

Laatste update: 17/11/2023

Neen.

Het plaatsen van een "cookiewall" - wat een praktijk is om de toegang tot een website of mobiele applicatie te blokkeren voor diegenen die niet akkoord gaan met de installatie van "niet strikt noodzakelijke" cookies - is niet in overeenstemming met de AVG. Deze praktijk verhindert het verkrijgen van de vrije toestemming, aangezien de betrokkene verplicht is toestemming te geven voor de installatie en/of het lezen van cookies om toegang te krijgen tot de website of mobiele applicatie.

De debatten over cookiemuren zijn complex. Het is niet de ambitie van de GBA om ze in deze FAQ's weer te geven.

 

Laatste update: 17/11/2023

Ja.

Als u cookies of andere trackers installeert en/of leest, moet u een "cookiebeleid/verklaring” aannemen en publiceren op uw website of mobiele applicatie om de transparantie van de verwerking van persoonsgegevens met behulp van deze cookies en andere trackers te waarborgen. Dit document moet ten minste de volgende elementen bevatten:
De identiteit en contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval van uw functionaris voor gegevensbescherming;

  • Identificatie van de verschillende (soorten) cookies die door de website of applicatie worden gebruikt (naam, domein en “path”);
  • Het doel of de doeleinden van de verwerking die plaatsvindt in het kader van het plaatsen en/of lezen van de verschillende (soorten) cookies;
  • De werkingsduur van de cookies;
  • Het bestaan van de mogelijkheid voor derden - indien van toepassing - om al dan niet toegang te hebben tot cookies, alsook wie deze ontvangers zijn en informatie omtrent de eventuele doorgifte naar derde landen, inclusief de passende maatregelen die daartoe werden genomen en hoe de betrokkene een kopie kan verkrijgen (of deze zaken kan raadplegen);
  • Hoe de betrokkene de cookies die op zijn apparaat zijn geplaatst, kan wissen;
  • De rechtsgrondslag van de verwerking in de zin van artikel 6 van de AVG (dit zal noodzakelijkerwijs de toestemming zijn voor "niet strikt noodzakelijke" cookies , terwijl een andere rechtsgrondslag, zoals een gerechtvaardigd belang, kan worden gebruikt voor "strikt noodzakelijke" cookies);
  • De bewaartermijn van de gegevens die via de verschillende cookies worden verzameld;
  • De rechten die de betrokkenen kunnen inroepen, met inbegrip van het recht om hun toestemming in te trekken en alle andere rechten die zijn vastgelegd in de artikelen 15 tot en met 22 van de AVG;
  • De mogelijkheid om klacht in te dienen bij de GBA;
  • Het eventuele bestaan van een geautomatiseerde besluitvorming, met inbegrip van profilering en nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

U moet uw "cookiebeleid" schrijven in een taal die gemakkelijk toegankelijk is voor de betrokkenen. Indien uw website gericht is op een Franstalig en/of Nederlandstalig publiek, moet deze in het Frans en/of Nederlands worden geschreven. U moet beknopt zijn bij het schrijven van uw "cookiebeleid", maar neem zeker alle informatie op die erin moet worden opgenomen krachtens de AVG.

U moet ervoor zorgen dat uw "cookiebeleid" gemakkelijk toegankelijk is voor de betrokken personen, bijvoorbeeld door middel van een hyperlink.

Laatste update: 17/11/2023

Neen, u moet de toestemming van de gebruikers van uw website of mobiele applicatie krijgen voordat u sociale plug-ins kunt activeren.

Met sociale plugins kunnen website-ontwerpers eenvoudig functies toevoegen aan hun webpagina's, bijvoorbeeld om de inhoud van hun website te delen op sociale platforms.  De broncode die aan de ontwerpers van de site wordt voorgesteld, maakt echter gebruik van cookies die het mogelijk maken om internetgebruikers heel goed te volgen, zelfs als ze geen account hebben op deze platformen. Voorafgaand aan het plaatsen van deze cookies moet de toestemming van de gebruiker worden verkregen.

Let ook op dat u de mogelijkheid geeft om de toestemming voldoende granulair (al dan niet) te geven.

 

Interessante links