Cookies: wat is toegestaan?
Volgens de Autoriteit Consument en Markt (ACM) is het toegestaan om functionele cookies te zetten. En analytische cookies zijn beperkt toegestaan. Voor analytische cookies die niet onder beperkt vallen en voor marketing tracking cookies moet expliciet toestemming worden gevraagd aan de gebruiker.
Je moet dus toestemming vragen EN de mogelijkheid deze toestemming te wijzigen en/of in te trekken. En dat allemaal voordat cookies worden gezet. We noemen dit PRIOR CONSENT.
Dus je moet aan nogal wat voorwaarden voldoen als website-eigenaar die niet alleen maar functionele cookies zet, maar ook cookies die gegevens van bezoekers verzamelen die mogelijk impact hebben op hun privacy-rechten. En dat is al snel het geval, en als dat zo is, dan moet je hieraan voldoen:
- Informatieplicht: uitleggen welke gegevens je verzamelt, hoe je die gegevens verzamelt en waarom je dat doet;
- Prior consent bieden: voordat er cookies gezet worden moet je de gelegenheid bieden daar expliciet toestemming voor te geven. Het zetten van cookies als de gebruiker verder klikt of scrollt is niet afdoende.
- Recht op inzage en wijziging: je moet bezoekers de gelegenheid bieden in te zien welke consent deze heeft gegeven en wanneer (time . stamp, uniek ID van het expliciete consent) en daarnaast de mogelijkheid bieden de consent te wijzigen (intrekken, uitbrieden of beperken).
Daarnaast moet je ook actueel blijven en ervoor zorgen dat je regelmatig je cookies controleert en checkt of er geen nieuwe/andere cookies worden gezet dan je eerst hebt geïnformeerd.
Cookiebot biedt een service waarmee ja aan deze voorwaarden kunt voldoen:
- er maandelijks een scan wordt gedaan op je site en de lijst van cookies en beacons wordt ge-update;
- je in staat bent deze lijst van cookies te presenteren aan je bezoekers;
- je bezoekers vooraf consent kunt vragen middels een cookiebanner en tot die tijd cookies kunt blokkeren;
- je bezoekers kunt laten zien wanneer ze welke consent hebben gegeven en deze consent te wijzigen of in te trekken.
Cookie consent: hoe pak ik dat aan?
- maak een scan van je site en onderzoek welke typen cookies er worden gezet
- daarna moet je een cookiebanner implementeren en in het geval je ook andere dan functionele cookies plaatst, ook een consent manager (onderdeel van de banner);
- vervolgens moet je ervoor zorgen dat je cookies geclassificeerd worden onder noodzakelijk, functioneel, analytisch of marketing. Als dat niet automatisch gaat, moet je ervoor zorgen dat de cookiezettende scripts voorzien worden van een attribuut waarmee deze cookies onder een van deze categorieën vallen.
- na implementatie moet je dit testen op een juiste werking: het wel of niet zetten van cookies per categorie.
- en als laatste een pagina waarin je cookie declaratie staat (overzicht van alle cookies die je zet, welke typen, waarvoor en hoe) en waar bezoekers hun consent kunnen aanpassen en/of intrekken.
Je site scannen kan met een development tool in Chrome of Firefox bijvoorbeeld. Ook zijn r diverse extensions die Cookies kunnen identificeren. Voor zover ik heb kunnen ontdekken leveren die alemaal verschillende resultaten op eenzelfde website. Cookies die de een wel ziet, ziet de ander weer niet. Veruit de beste scanner die ik heb ontdekt, is Cookiebot.
Cookiebot implementeren: wat is de beste manier?
De vraag is hoe je Cookiebot moet implementeren en wat voor jou de beste keuze is. Cookiebot kan namelijk op verschillende manieren worden geïmplementeerd en binnen die implementaties ook . nog eens verschillend worden geconfigureerd:
- hard coded snippet in een template
- via GTM (Google Tag Manager)
- via een WordPress plugin (WP only uiteraard)
En binnen die methodes zijn er ook weer allerlei varianten denkbaar. Deze tabel laat zien welke mogelijkheden er zijn om Cookiebot te implementeren:
| Methode | Configuratie | Opmerking: | |
|---|---|---|---|
| 1 | snippet | data-blocking: auto of manual | – script en Cookiebot-ID:direct na <head> tag – no-script: direct na <body> tag |
| 2 | snippet | manual | – script en Cookiebot-ID:direct na <head> tag – no-script: direct na <body> tag |
| 3 | snippet + GTM | auto | – script en Cookiebot-ID:direct na <head> tag – no-script: direct na <body> tag NB: GTM en Cookiebot als twee aparte elementen |
| 4 | GTM | manual | Tag: Cookiebot CMP (from Tag templates) – Tag setting: Cookiebot ID – Tag setting: All Pages (pageviews) Variable: Cookiebot Consent State (from Var templates) Triggers van het type Event: 1. cookie_consent_preferences, Type: Custom Event, Fires On: Some Custom Events, Filter: Cookie Consent – contains – preferences 2. cookie_consent_statistics, Type: Custom Event, Fires On: Some Custom Events, Filter: Cookie Consent – contains – statistics 3. cookie_consent_marketing, Type: Custom Event, Fires On: Some Custom Events, Filter: Cookie Consent – contains – marketing |
| 5 | WP plugin |