Hoe vraag je wel toestemming voor cookies?
Als eerste de wet. Zonder de AP teveel te herhalen vereisen de Telecommunicatiewet en de AVG dat gebruikers voor het plaatsen van bestanden (cookies) op hun apparaat daarover zijn geïnformeerd en hiervoor toestemming hebben verleend. De AVG stelt specifieke eisen aan die toestemming, namelijk dat die specifiek, ondubbelzinnig, vrij en geïnformeerd moet zijn. De AP en ACM onderscheiden vervolgens drie smaken cookies. Functionele, analytische en tracking cookies. Voor ieder soort cookie gelden dan weer andere regels die ik hier kort zal benoemen.
Functionele cookies
Dit zijn cookies die noodzakelijk zijn voor het functioneren van je website. Denk aan het bijhouden van logins of formulieren. Hiervoor hoef je geen toestemming te vragen want ze zijn, kortgezegd, onderdeel van de dienst die je aan de bezoeker levert.
Analytische cookies
Deze cookies betreffen de analyse van gebruikersgedrag ter verbetering van de website of dienst zelf, zoals via Google analytics. Deze cookies kun je vaak instellen op een privacyvriendelijke wijze waardoor geen toestemming is vereist.
Tracking cookies
Hieronder vallen alle cookies die gebruikers over meerdere websites volgen. Cookies van advertentiediensten en sociale media platforms vallen hier meestal onder. Voor deze cookies moet altijd toestemming worden gevraagd. Afhankelijk van de doelen van het plaatsen moet bovendien voor ieder doel apart toestemming worden verkregen.
Wat betekenen deze regels nu voor het plaatsen van cookies? Eigenlijk is het vrij simpel. Bepaal eerst voor welke cookies je toestemming moet vragen en lees verder.
Informeer je bezoekers
Deze stap is eenvoudig. Schrijf een cookie- of privacyverklaring waarin je uitlegt welke cookies je gebruikt, waarvoor je ze gebruikt en wijs bezoekers daarop. Als je geen toestemming hoeft te vragen hoef je geen akkoord te krijgen of een hinderlijke pop-up te gebruiken, hoogstens een respectvol balkje met verwijzing is voldoende.
Vraag toestemming
Dat wil zeggen, voordat je ze plaatst. Betrek bovendien geen onnodige zaken in je verzoek, zoals functionele cookies. Toestemming moet ook specifiek zijn. Gepersonaliseerde advertenties zijn wat anders dan sociale media integratie, voor beide moet je dus apart toestemming vragen.
Zorg dat de toestemming vrij is
Volgens de AP mag weigering niet tot het ontzeggen van toegang tot de website leiden. Net zoals het intrekken van toestemming net zo makkelijk moet zijn als het geven ervan moet weigeren ook net zo eenvoudig zijn om vrij te zijn. Mensen meer stappen laten doorlopen om cookies te weigeren dan om ze te accepteren is dus niet vrij te noemen.
Maar waar gaat het dan toch steeds mis?
Ten eerste staan cookiemuren vaak vol met onnodige informatie, zijn ze verwarrend of simpelweg moeilijk in omgang. Soms mag je zelfs de website niet in als je toestemming weigert. Maar wellicht een van de meest herkenbare ergernissen is dat je slechts kan kiezen tussen het zelf instellen van je cookies of het accepteren van alles. Een logische praktijk, gemakshalve kiezen de meesten er dan alsnog voor om de cookies maar te plaatsen. Rechtsgeldig is het echter niet. Kortweg; als je alles kunt accepteren met een knop dan moet je ook alles kunnen weigeren met een knop, anders is het niet voldoende vrij te noemen.
Er zullen nu vast voldoende verontwaardigde juristen zijn die met verve deze praktijk verdedigen. Zo'n grote hindernis is het immers niet om een extra knop of twee in te drukken, toch? Anders geeft bovendien straks niemand meer toestemming. De vinkjes zijn zelfs niet vooraf aangevinkt, netjes conform de eisen van de AP. Maar laten we wel wezen. Als een extra handeling om een hokje te ontvinken toestemming ongeldig maakt, waarom doet een extra handeling om cookies te weigeren -pardon, zelf in te stellen-, dat niet? Voor sommigen mag afwachten tot de AP het nadrukkelijk verbiedt wellicht een handige strategie lijken, maar compliant of klantvriendelijk is het in ieder geval niet.
Hoe moet het dan wel?
Het is wat mij betreft een illusie dat compliance en verdiensten elkaar per definitie uitsluiten. Hoewel je mensen een duidelijke en eerlijke keuze moet bieden hoeft dat niet droog en juridisch te gebeuren. Je mag tenslotte best de opties kleuren en ze een beetje leuk of strategisch presenteren. Niemand wil gebakken stalker deeg, maar gepersonaliseerde content klinkt gelijk een stuk beter. Een eenvoudige en goed gepresenteerde keuze kan bovendien juist als verfrissend en onderscheidend worden ervaren en wellicht zomaar wat goodwill kweken onder je bezoekers. Wie een afdeling marketing heeft zou die maar eens moeten vragen om zich daarover te buigen, wellicht dat legal daar ook maar beter hun creativiteit aan kan besteden.
Vraag jezelf als laatste vooral eens af welke cookies en functionaliteiten je eigenlijk echt nodig hebt. Is het bijvoorbeeld al die moeite waard alleen om sociale media buttons te kunnen tonen? Misschien kom je er dan alsnog achter dat minder je toch meer oplevert, al helemaal waar het je gebruikerservaring betreft.