Boete van € 600.000 voor incorrecte cookiebanner
De Autoriteit Persoonsgegevens heeft op 2 mei 2024 aan een drogisterijketen, het bedrijf achter een drogisterij, een boete opgelegd van € 600.000. Het bedrijf volgde namelijk bezoekers van de website van de drogisterij met tracking cookies, terwijl zij niet hier niet van op de hoogte waren en dit ook niet hadden toegestaan. Dit laat zien dat het erg belangrijk is om ervoor te zorgen dat jouw cookiebanner aan de regels voldoet. In deze blog zal uitgelegd worden wat de wettelijke vereisten zijn voor een cookiebanner.
Wat was er aan de hand?
De drogisterijketen verzamelde gevoelige informatie van websitebezoekers waar persoonlijke profielen mee opgebouwd konden worden. Organisaties mogen niet zonder toestemming en zonder dat klanten daarvan op de hoogte zijn, gebruik maken van tracking cookies. Met tracking cookies kunnen organisaties meekijken naar wat jij doet op internet. Aangezien dit om gevoelige en persoonlijke informatie gaat, mogen organisaties dit alleen verwerken als je hier expliciet toestemming voor geeft. Daarbij moet je de mogelijkheid houden om de tracking cookies te weigeren.
Het is niet toegestaan om vakjes voor andere dan noodzakelijke cookies standaard aangevinkt te hebben. Cookies moeten in één keer geweigerd kunnen worden. Op de website van de drogisterij kon dit niet. Om de cookies te weigeren, moesten eerst nog veel stappen doorlopen worden. Volgens de Autoriteit Persoonsgegevens heeft dit geleid tot een onrechtmatige verwerking van de gegevens van de websitebezoekers.
Wettelijke vereisten cookiebanner
In 2024 zal de Autoriteit Persoonsgegevens vaker controleren of cookiebanners op websites voldoen aan de wettelijke eisen. Een cookiebanner moet aan de volgende wettelijke vereisten voldoen:
- Er moet informatie gegeven worden over het doel. Het moet duidelijk zijn hoe persoonsgegevens verwerkt worden en met welk(e) doel(en), voordat de websitebezoeker een keuze maakt. Dit moet concreet en volledig omschreven worden. Dit kan bijvoorbeeld door uit te leggen dat je met de gegevens een persoonlijk profiel van de websitebezoeker opbouwt en de website en communicatie aanpast aan zijn voorkeuren.
- Vinkjes mogen niet automatisch aanstaan. Alleen noodzakelijke cookies mogen automatisch aangevinkt zijn. Bij andere cookies moet de websitebezoeker zelf zijn opties aanvinken en dus zelf actief een keuze maken. Er is geen geldige toestemming gegeven, als cookies automatisch aangevinkt zijn.
- Er moet duidelijke tekst gebruikt worden. Er moeten duidelijke woorden gebruikt worden in knoppen, zoals ‘accepteren’, ‘akkoord’ of ‘weigeren’. Er mag geen tekst worden gebruikt waardoor het niet meteen duidelijk is waar de websitebezoeker voor kiest. Het gaat dan bijvoorbeeld om ‘Nee, ik wil geen optimale ervaring’ of ‘Alleen noodzakelijk cookies’ in plaats van ‘weigeren’.
- Verschillende keuzes moeten op één laag staan. Het moet net zo makkelijk zijn om cookies te weigeren als accepteren. Beide knoppen moeten dus op dezelfde laag staan. De websitebezoeker hoeft dan niet op zoek te gaan naar de knop om te weigeren.
- Keuzes mogen niet verborgen worden. De knop om cookies te weigeren moet voldoende zichtbaar zijn. Je mag websitebezoekers niet onnodig laten zoeken om cookies te weigeren, als dat ook niet nodig is om de cookies te accepteren.
- Je mag iemand niet extra laten klikken. Na op ‘accepteren’ of ‘weigeren’ geklikt te hebben, moet de cookiebanner verdwijnen. Er mag niet om een extra bevestiging gevraagd worden als de websitebezoeker weigert.
- Er mag geen onopvallende link gebruikt worden in de tekst. De optie om de cookies te weigeren mag niet verborgen zijn in een onopvallende link in de tekst. Laat websitebezoekers dus niet onnodig zoeken.
- Je moet helder zijn over het intrekken van toestemming. Het moet niet alleen mogelijk zijn om toestemming in te trekken, deze mogelijkheid moet ook duidelijk aangegeven zijn. Bijvoorbeeld in een zin zoals ‘Via ‘cookie-instellingen’ kun je ook zelf instellen welke cookies we plaatsen. Je kunt je toestemming altijd wijzigen of intrekken.’
- Toestemming moet niet verward worden met gerechtvaardigd belang. Een vinkje of schuifje in een cookiebanner kan verwarring opleveren als het gaat om functionele en beperkte analytische cookies. Aangezien er geen toestemming hoeft gegeven te worden voor deze cookies, kan het onduidelijk zijn wat het aan- of uitzetten van het schuifje voor effect heeft. Ook al is er voor sommige cookies geen toestemming vereist, er moet nog steeds duidelijk worden toegelicht hoe persoonsgegevens verwerkt worden.
Tip:
- Neem op jouw website ook een cookieverklaring op. Op grond van de AVG dien je klanten/ prospects te informeren over het gebruik van hun persoonsgegevens. Dat kun je middels de cookieverklaring regelen.
Voor vragen of nadere informatie kun je contact opnemen via service@deraadgevers.nl of 088-133 11 33