Waar moet een cookie banner aan voldoen?
Eerder dit jaar heeft een speciale ‘Cookie Banner Taskforce’ van de European Data Protection Board (EDPB) een rapport uitgebracht waarin meer gedetailleerd wordt toegelicht waar een cookie banner wel en niet aan moet voldoen. Een cookie banner is een pop-up op een website die de bezoeker informeert over het gebruik van cookies.
Cookie Banner Taskforce
In 2021 heeft de EDPB de Cookie Banner Taskforce opgericht waarin experts met betrekking tot cookies en privacy allerlei vraagstukken bespreken. De Taskforce is het orgaan waar vragen met betrekking tot cookie banners gesteld kunnen worden en bevordert de samenwerking, het delen van informatie en best practices tussen de toezichthoudende autoriteiten.
Begin dit jaar heeft de EDPB een rapport gepubliceerd waarin meer duidelijkheid wordt gegeven over de regels van cookie banners. Er waren vanuit de praktijk veel vragen over het onderwerp en de Taskforce heeft in dit rapport de belangrijkste punten uiteengezet.
Alleen een positieve actie is toestemming
Allereerst stelt de Taskforce dat geen enkele cookie waarbij toestemming vereist is, zonder die toestemming kan worden ingesteld én dat die toestemming een positieve actie moet zijn van de bezoeker.
Een positieve actie wil zeggen dat de betrokkene bewust iets moet aanklikken. Een vooraf aangekruist hokje is daarom geen goede manier om toestemming te krijgen: de bezoeker moet zelf het hokje aankruisen. Daarnaast moet de mogelijkheid tot het wel of niet geven van toestemming op de banner aanwezig zijn; anders is het een inbreuk op de privacy van de bezoeker.
(Visueel) duidelijke, vrijelijke toestemming
De Taskforce-leden zijn ook van mening dat elke cookie banner voldoende informatie moet geven over de cookies, zodat het voor de bezoeker duidelijk is waarvoor hij toestemming geeft. Ook mag de cookie banner niet zo gemaakt zijn dat er richting het geven van toestemming wordt ‘geduwd’. Het mag bijvoorbeeld niet zijn dat de website niet toegankelijk is zonder toestemming, want dan is de toestemming niet meer ‘vrijelijk’ gegeven.
Ook moet het visueel duidelijk zijn waar de toestemming wel of niet gegeven kan worden. Het mag dus niet weggestopt zijn tussen paragrafen of meerdere linkjes.
Veel websites gebruiken bewuste kleurenpaletten om de bezoeker af te leiden van de button voor het afwijzen van de cookies. Zo worden er bepaalde kleuren gebruikt die de button lastig te vinden maakt of de aandacht er niet naartoe trekt.
Volgens de Taskforce moet per zaak beoordeeld worden of het contrast en de gebruikte kleuren niet misleidend zijn voor de bezoeker en daarmee resulteren in een onbedoelde toestemming. Een voorbeeld is het geval waarin het contrast tussen de tekst en de button zo minimaal is dat het onleesbaar is voor de bezoeker. Dit mag natuurlijk niet.
Noodzakelijke en essentiële cookies?
Andere punten waar de Taskforce op ingaat is het bestempelen van cookies als ‘noodzakelijk’ of ‘essentieel’. Veel websites zeggen dat bepaalde cookies noodzakelijk zijn, terwijl ze dit eigenlijk niet zijn. Voor noodzakelijke cookies is geen toestemming van de bezoeker vereist en die zijn dus altijd actief.
De Taskforce stelt wel dat het begrijpelijk is dat hier soms wat moeilijkheden zijn: het is namelijk best lastig om vast te stellen wanneer een cookie noodzakelijk is. Een richtlijn hiervoor is dat cookies die ervoor zorgen dat website-eigenaren de voorkeuren van bezoekers kunnen opslaan als noodzakelijk bestempeld kunnen worden.
Intrekken van de cookie-toestemming
Tot slot gaat de Taskforce in op de mogelijkheid om de gegeven toestemming weer in te kunnen trekken. Het moet wettelijk gezien makkelijk zijn om dit te doen. Dit kan bijvoorbeeld door een klein icoon op de website te bouwen waar de bezoeker op kan klikken. Hierdoor komt de cookie banner weer in beeld en kan de toestemming ingetrokken worden.
De toekomst van cookies
Het rapport van de Taskforce geeft meer duidelijkheid aan bezoekers en website-eigenaren over het gebruik van cookie banners op websites. Dit leidt hopelijk tot minder klachten van bezoekers en meer overzichtelijkheid voor alle partijen.
Naast dit rapport is er het plan om cookies deels te gaan uitfaseren. In medio 2024 zouden ‘third party cookies’ volledig uitgefaseerd moeten zijn. Dit zijn cookies die van een ander domein komen dan de website waar ze op staan. Hierdoor kan een gebruiker op meerdere plekken gevolgd worden waardoor er een profiel ontstaat. Denk bijvoorbeeld aan cookies van Facebook en Google.
Veel van deze profielen worden vervolgens voor grote bedragen verkocht aan organisaties. Vanaf 2024 zouden dit soort cookies dus niet meer moeten bestaan, wat de privacy van de gebruiker bevordert.
Wil je weten of jouw website en cookie banner voldoen? Neem dan contact met ons op voor concreet advies!