Vorige week bespraken we cookies en hun regulering onder EU-wetgeving en vermeldden we hoe niet-essentiële cookies toestemming vereisen. Dit zijn het soort cookies dat op cookies gebaseerde webanalyseservices zoals Google Analytics en Adobe Analytics mogelijk maakt. Vandaag gaan we dieper in op toestemming en wat dit specifiek betekent voor webanalyse.
- Hoe ziet toestemming voor cookies eruit?
- Toestemming is specifiek
- Wat zijn de meest voorkomende problemen met toestemming?
- Conclusies
Laten we erin duiken!
Een tl;dr over toestemming en cookies
Voordat we beginnen, eerst een kort overzicht van toestemming en cookies:
- Voor web analytics cookies is altijd toestemming nodig omdat ze niet-seentieel zijn.
- GDPR-toestemming is alleen geldig als het aan specifieke criteria voldoet: het is vrij gegeven, specifiek, geïnformeerd, ondubbelzinnig en kan worden ingetrokken.
Dus: voor analytische cookies is toestemming nodig, en deze toestemming moet aan bepaalde normen voldoen. Dit betekent dat je cookiebanner op een bepaalde manier moet worden vormgegeven. Maar er komt nog veel meer bij kijken en hoewel de meeste regels onomstreden zijn, wordt er over sommige regels heftig gediscussieerd in de juridische wereld.
Laten we erin duiken!
Hoe ziet toestemming voor cookies eruit?
Toestemming is ondubbelzinnig
In een notendop betekent de GDPR-vereiste voor ondubbelzinnige toestemming dat alleen actieve, opt-in toestemming geldig is. Er bestaat niet zoiets als een impliciete of opt-out toestemming onder de GDPR.
De regel van opt-in toestemming heeft belangrijke gevolgen voor cookiebanners. Een goed ontworpen cookiebanner gebruikt bevestigende woorden zoals "Ik accepteer cookies" of "Ik geef toestemming voor het gebruik van cookies". Dit is iets anders dan alleen erkennen of begrijpen dat er cookies worden gebruikt.
Daarnaast schrijft een goed ontworpen website geen cookies totdat gebruikers een keuze maken. Het negeren van een banner of het klikken op een "sluit" knop om de banner te negeren, betekent of impliceert nooit toestemming.
Toestemming is specifiek
Toestemming is alleen geldig als deze wordt gegeven voor een specifiek doel. Dit betekent dat toestemming granulair moet zijn: als dezelfde cookies voor meerdere doeleinden worden gebruikt, heb je meerdere toestemmingen nodig - één voor elk doel.
In de praktijk is de beste manier om granulaire toestemming te verzamelen om je web analytics cookies alleen voor web analytics te gebruiken. Op die manier kun je een aparte toestemming verzamelen voor andere cookies, zoals cookies voor gebruikersauthenticatie, en essentiële cookies schrijven zonder toestemming van de gebruiker (wat volgens de wet helemaal prima is).
Toestemming is geïnformeerd
Deze vereiste is intuïtief: als ik niet weet waar ik toestemming voor geef, dan geef ik niet echt toestemming op een zinvolle manier. Ik hoef niet noodzakelijk alle kleine technische details over uw webanalyse te begrijpen, maar ik moet wel de feiten begrijpen die er echt toe doen voor mijn beslissing: wie neemt mijn gegevens, welke gegevens nemen ze, voor welk doel, en met welke mogelijke gevolgen.
In de praktijk betekent dit dat een cookiebanner:
- De gebruiker moet vertellen waar de cookies voor dienen.
- Duidelijke, toegankelijke, accurate taal moet gebruiken.
- De gebruiker moet vertellen met wie zijn persoonlijke gegevens worden gedeeld. Voor Google Analytics omvat dit Google en zijn advertentiepartners.
Deze informatie moet beknopt en in eenvoudig Engels zijn. In de praktijk is het meestal een goed idee om de meest cruciale informatie te verstrekken via de cookiebanner en te linken naar een cookiebeleid met meer diepgaande informatie.
Toestemming kan worden ingetrokken
Toestemming kan worden ingetrokken. Je moet gebruikers in staat stellen om hun cookievoorkeuren te bekijken en zich gemakkelijk af te melden voor cookies waarmee ze hebben ingestemd.
Houd er rekening mee dat het intrekken van toestemming soms gepaard gaat met een verzoek tot verwijdering. In dat scenario krijgt u een deadline voor het wissen van alle gegevens van de aanvrager. Dit betekent alle webanalysegegevens die betrekking hebben op hun cookies en de unieke ID die ze bevatten.
De meeste bedrijven denken hier niet over na als ze hun web analytics instellen en hebben geen idee wat ze moeten doen als ze een verzoek tot verwijdering krijgen. We kunnen hier niet te diep op ingaan, maar een organisatie moet op zijn minst
- een duidelijke procedure opstellen voor het afhandelen van verzoeken
- ervoor zorgen dat gegevens van individuele gebruikers gemakkelijk kunnen worden opgevraagd en verwijderd. Voor web analytics betekent dit dat datapunten gefilterd moeten kunnen worden op unieke ID's.
Toestemming is vrij gegeven
De GDPR vereist dat elke toestemming vrijelijk wordt gegeven. Dit is de reden waarom je ziekenhuis geen toestemming mag vragen voor het gebruik van je gegevens als vereiste om zorg te verlenen, en waarom werkgevers geen GDPR-toestemmingsformulieren moeten laten ondertekenen door hun werknemers. Je hebt geen zinvolle keuze als het niet geven van toestemming betekent dat je doodgaat of je baan verliest.
Wat zijn de meest voorkomende problemen met toestemming?
Er zijn de laatste tijd twee compliance-problemen opgedoken met web analytics. Misleidende cookiebanners zijn overal op het internet te vinden en proberen gebruikers over te halen om cookies te accepteren die ze eigenlijk niet willen, terwijl cookiemuren bezoekers dwingen om te betalen om van cookies af te komen.
Beide zaken zijn behoorlijk controversieel in de privacygemeenschap. Laten we eens kijken waar de ophef over gaat en wat het betekent voor web analytics
Misleidende banners
Cookies accepteren is altijd heel eenvoudig, maar ze weigeren vereist meestal dat je door hoepels springt. Dit is een bewuste ontwerpkeuze: veel banners zetten gebruikers aan tot het accepteren van cookies door het afwijzingsproces zo vervelend, verwarrend en tijdrovend mogelijk te maken. Bezoekers geven vaak toe omdat ze geen tijd of geduld hebben om zich een weg te banen uit elke cookiebanner die ze zien.
Misleidende ontwerpen lijken een goede oplossing voor websites. De gebruiker heeft immers op "Ik accepteer" geklikt, dus alles zou in orde moeten zijn. Toch? Niet helemaal. Als de toestemming is afgedwongen door middel van misleiding en uitputting, dan is deze noch vrij noch ondubbelzinnig.
Gelukkig heeft het Europees Comité voor gegevensbescherming een standpunt ingenomen tegen misleidende cookiebanners. Dit standpunt is niet unaniem, maar wordt gedeeld door de overgrote meerderheid van de handhavers. We beginnen ook serieuze handhaving te zien.
Waar het op neerkomt: als je echt gebruik moet maken van cookie-gebaseerde analytics, sta dan aan de goede kant van de wet en maak je cookies gemakkelijk te weigeren. Zorg ervoor dat de knop "alles weigeren" duidelijk zichtbaar is, duidelijk geformuleerd is en beschikbaar is op het eerste niveau van de interface van de banner!
(En ja, dit betekent dat veel gebruikers je cookies zullen weigeren).
Cookiemuren
Sommige cookiebanners hebben geen knop "weiger alle cookies" en bieden in plaats daarvan een andere keuze: gebruikers kunnen cookies accepteren of zich aanmelden voor een betaald abonnement waarmee ze zonder cookies op de site kunnen surfen. Met andere woorden: betaal met je geld, betaal met je gegevens of vertrek. Deze banners worden cookiemuren genoemd en worden meestal gebruikt door digitale kranten.
Cookiemuren houden een commodificatie van persoonlijke gegevens in die een deel van de privacygemeenschap in het beste geval onwenselijk en in het slechtste geval onwettig vindt. Voorstanders van cookiemuren zeggen dat uitgevers content niet gratis kunnen aanbieden en advertentie-inkomsten nodig hebben om het werk vol te houden. Critici van cookiemuren wijzen op contextuele reclame als alternatieve inkomstenbron voor uitgevers en merken op dat een fundamenteel recht als gegevensbescherming niet kan worden gecommodificeerd (ze hebben overigens gelijk).
In de praktijk kan het aantal kilometers dat je met een cookiemuur kunt doen variëren, afhankelijk van je rechtsgebied. Cookiemuren worden bijvoorbeeld gebruikt door veel Duitse nieuwsuitgevers omdat de regelgevende instanties op dat gebied nogal toegeeflijk zijn.
Wij houden echt niet van cookiemuren, maar als je er echt een wilt implementeren, is het misschien verstandig om nog even te wachten. Meta heeft een voorbeeld genomen aan nieuwsbedrijven en een pay-or-ok abonnement ingevoerd in een poging om zijn agressieve, op surveillance gebaseerde advertenties te rechtvaardigen. Europese regelgevers zullen binnenkort een standpunt moeten innemen over de aanpak van Meta en als ze dat doen, zal hun standpunt over cookiemuren waarschijnlijk ook duidelijker worden.
(Tussen haakjes: pay-or-ok is een heel belangrijk punt voor de toekomst van de GDPR! Als je nieuwsgierig bent naar dit cruciale privacy-onderwerp, bekijk dan gerust onze blog over Meta-abonnementen).
Conclusies
Over het algemeen zijn de toestemmingsregels voor web analytics vrij streng in de EU. Dit creëert een probleem voor op cookies gebaseerde analyses: strategieën die leiden tot goede toestemmingspercentages voor cookies, zijn waarschijnlijk in strijd met de wet. Websites zitten vast tussen twee vuren, omdat ze moeten kiezen tussen een laag opt-in percentage of een nalevingsrisico.
Daarom stappen veel bedrijven over op cookieless analytics-oplossingen. En wij zijn er trots op dat we de meest privacy-vriendelijke oplossing bieden!
Simple Analytics is de cookieless web analytics oplossing die geen persoonlijke gegevens verzamelt. Dit maakt het triviaal om te voldoen aan de GDPR en andere privacywetgeving. Onze dienst is ook gemakkelijk te leren en te navigeren, dankzij onze intuïtieve UI en handige AI-assistent. Als dit je aanspreekt, probeer ons dan gerust uit!