Cookies op gemeentewebsites

Laatste update: 12 februari 2020

Op cookies is de Telecommunicatiewet (Tw) van toepassing. Voor cookies die persoonsgegevens verwerken, zoals tracking cookies waarmee websitebezoekers worden gevolgd, geldt ook de Algemene Verordening Gegevenbescherming (AVG). Vanuit gemeenten zijn er vragen over wat wel en niet is toegestaan als het gaat om cookies . Deze pagina biedt daarin duidelijkheid.

Wat zijn cookies?

Cookies zijn kleine bestanden die door een website op de computer, telefoon of ander apparaat van een bezoeker wordt geplaatst en later weer kunnen worden opgevraagd (1st party cookies). Met cookies kan informatie worden verzameld over de websitebezoeker en zijn of haar surfgedrag. Sommige websites staan ook toe dat cookies van derden worden geplaatst, zoals van Facebook of Google (3rd party cookies).

Welke regels zijn van toepassing?

We maken in dit artikel het gebruikelijke onderscheid tussen functionele, analytische en tracking cookies. Voor de verschillende soorten cookies gelden op grond van de Tw en de AVG verschillende voorwaarden. In het volgende tabel staat een overzicht van de soorten cookies en of er toestemming nodig is van de bezoeker voordat ze mogen worden geplaatst:

Cookie	Beschrijving en nadere toelichting	Toestemming vereist?
Functionele cookies	Cookies benodigd voor de werking van de website, voor het onthouden van items in een winkelmandje (bijv. een afspraak bij een gemeente), inlog(pogingen) of het onthouden van taal- en presentatievoorkeuren. Server logs kunnen IP-adressen opslaan voordat cookies worden geplaatst. Hiervoor is geen toestemming vereist, omdat deze gegevens worden gebruikt voor beveiligingsdoeleinden. Vermeldt het wel in het privacy statement op de gemeentewebsite.	Nee
Analytische cookies	Deze cookies verzamelen gegevens waarmee de website kan worden verbeterd, zoals aantal websitebezoekers of meest bezochte pagina’s. Afhankelijk van de instellingen van dit type cookie zijn de gevolgen voor de privacy gering of groter. Een privacyvriendelijke variant is Matomo (voorheen: Piwik), omdat de data dan in eigen beheer is. Niet te verwarren met PiwikPRO. In de tool kunnen de laatste twee octetten van IP-adressen worden verwijderd. Zie bijvoorbeeld de privacyverklaring van de Rijksoverheid.	Ja, tenzij de instellingen van de cookies voldoende privacyvriendelijk zijn. Google Analytics privacyvriendelijk instellen zodat geen toestemming nodig is kan wanneer is voldaan aan de 6 stappen van de Autoriteit Persoonsgegevens. Ook met Matomo zijn er privacyvriendelijke instellingen.
Tracking cookies	Het volgen van bezoekers over meerdere websites door het plaatsen van een tracker op die andere websites. Social media cookies vallen hier onder. Dit soort cookies zijn (zeer) privacygevoelig. Zie voor soortgelijke technieken onderaan dit artikel.	Ja

Hoe kan toestemming worden gevraagd?

Er gelden verschillende AVG-eisen voor toestemming. Zoals aangegeven in de bovenstaande tabel geldt deze toestemming voor niet-privacyvriendelijk ingestelde analytische cookies en  voor tracking cookies. Een kort overzicht:

• Voorafgaande toestemming (opt-in): Bezoekers moeten duidelijk instemmen met het plaatsen van de tracking cookie, zoals via een selectievakje in de cookiebanner. De bekende standaard aangevinkt selectievakjes voldoen hier niet aan. De cookies mogen pas geplaatst worden nadat toestemming is gegeven.
• Ondubbelzinnig: Toestemming afleiden uit passief gedrag van een websitebezoeker, zoals het verdere gebruik van de website zonder toestemming aan te geven, is niet toegestaan.
• Specifiek: Toestemming moet specifiek zien op het plaatsen van het betreffende type cookie. Een algemene toestemming voor alle soorten cookies of voor een dienstverlening van de website is niet toegestaan. Voorafgaand aan het opstellen van de cookie beleid moet ik kaart gebracht worden welke cookies worden gebruikt. Er bestaan verschillende commerciële aanbieders van tools die kunnen meten welke soorten cookies en vergelijkbare technieken op je website worden gebruikt. Er is ook een gratis tool beschikbaar gemaakt waarmee de cookies in kaart kunnen worden gebracht: Website Evidence Collect.
• Vrij: Toestemming moet in vrijheid gegeven worden. Dat betekent dat er vrijheid moet zijn om toestemming te weigeren. De Autoriteit Persoonsgegevens meent dat de toegang tot een website niet afhankelijk mag worden gemaakt van toestemming (zgn. cookiewalls). Over dit standpunt bestaat discussie. Aangezien burgers afhankelijk zijn van de overheid is toegang weigeren tot gemeentelijke websites als geen toestemming wordt gegeven niet mogelijk.
• Geïnformeerd: De websitebezoeker moet worden geïnformeerd over waarvoor toestemming wordt gegeven, wat de levensduur is van de cookies en of derde partijen betrokken zijn. Gebruik een duidelijke, eenvoudige tekst die ziet op de specifieke cookies van de website in een cookie policy, niet bijvoorbeeld als onderdeel in de algemene voorwaarden. In de cookie policy kan een tabel opgenomen worden met de verschillende soorten cookies en hun namen.

Vergelijkbare technieken

Naast cookies bestaan vergelijkbare (nieuwe) technieken om websitebezoekers te volgen. Voorbeelden hiervan zijn web beacons en browser fingerprinting. In de meeste gevallen is de AVG van toepassing op het gebruik van deze technieken en gelden de bovenstaande voorwaarden voor toestemming.

• Web beacons: een web beacon is een kleine, meestal niet zichtbare afbeelding in een e-mail of webpagina die kan bijhouden of en wanneer de e-mail of webpagina is bekeken. Ook worden in veel gevallen persoonsgegevens verzameld over de bezoeker, zoals het IP-adres, type browser en zelfs de locatie van de bezoeker.
• Browser fingerprinting: via deze techniek worden computers, smartphones of andere apparatuur bij een websitebezoek geïdentificeerd door middel van de eigenschappen van het apparaat en de browser, zoals besturingssysteem, browser, browserversie en schermresolutie. Al deze gegevens bij elkaar leveren een nagenoeg uniek beeld op van de websitebezoeker. De bezoeker kan dus worden geïdentificeerd zonder dat cookies worden geplaatst.
• Afgezien van bovenstaande alternatieven kunnen statistieken worden verzameld zonder cookies. Raadpleeg hiervoor de websitebeheerder.

 Meer weten?

• De EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken. De voorganger van het EDPB, de Artikel 29-werkgroep (WP29), heeft een cookie opinie opgesteld die aangeeft welke soorten cookies zijn uitgezonderd van het toestemmingsvereiste. Deze opinie is niet onderschreven (‘endorsed’) door het EDPB, maar bevat wel handige informatie over soorten cookies. Overigens hebben opinies van het EDPB/WP29 geen bindende werking. Ze bieden wel houvast bij de implementatie van de AVG en er wordt in de (gemeentelijke) praktijk regelmatig naar verwezen. Zie voor een overzicht van opinies die door het EDPB zijn onderschreven deze pagina.
• De cookiepagina van de Autoriteit Persoonsgegevens.

Relevante (technische) ontwikkelingen op dit terrein voor gemeenten, zoals de Europese Privacyverordening (EPV), zullen op deze pagina worden vermeld en gecommuniceerd via de gebruikelijke kanalen naar de gemeentelijke privacycontactpersonen.