Vier tips voor een GDPR-proof cookie notificatie
Vier tips voor een GDPR-proof cookie notificatie
De GDPR deadline van 25 mei is inmiddels ruim anderhalve maand verstreken. Berichten rondom grote boetes of controles blijven - tot nu toe - aardig uit. Wel zijn organisaties zich massaal gaan conformeren aan de GDPR. Tientallen mailtjes stroomden rond 25 mei de mailbox binnen. Naast het vragen van actief consent via de mail, heeft een deel van de bedrijven ook een cookie notification geïmplementeerd op hun site.
Echter zien we dat meer van de helft van alle consent mailtjes en cookie notificaties niet voldoen aan de richtlijnen van de GDPR. Veel organisaties hebben een ‘voorzichtige’ houding omtrent de cookie notificatie, waardoor ze juist veel consents mislopen. Jammer en niet nodig! Ik zet daarom een aantal tips op een rijtje voor het verkrijgen van consent via je cookie notificatie:
Tip 1: Interactie met de cookie notificatie verplichten
De eerste tip sluit mooi aan bij het punt dat ik maakte over consent mislopen. Het is niet per definitie fout om je websitebezoekers toe te staan te interacteren met je website zonder dat zij akkoord hebben gegeven voor cookies. Dit betekent echter wel dat by default alle cookies op je site (in ieder geval alles wat niet-noodzakelijke cookies zijn) uit moeten staan!
Veel organisaties hebben de wens om de cookie notificatie helemaal onderaan de site te plaatsen, zodat deze niet zo opvalt. In mijn optiek is het beter om deze te plaatsen als pop-up, overlay of bovenaan je site over je menu heen, zodat sitebezoekers gedwongen worden iets te doen met de melding. In de meeste gevallen accepteren bezoekers deze. Daarnaast: de bezoeker die wel de moeite neemt om door te klikken naar de instellingen, zijn je dankbaar dat ze deze mogelijkheid krijgen.
Tip 2: Wees transparant over welke (categorieën) cookies actief zijn op je site
Cookie notificaties hanteren vaak categorieën, die soms per categorie te accepteren danwel afwijzen zijn. Deze categorieën lopen meestal van ‘noodzakelijke cookies’ tot ‘advertising cookies’. Noodzakelijke cookies zijn vaak onschuldig, en daadwerkelijk nodig om de site goed te laten functioneren. Daarom kun je deze gerust 'verplicht' stellen.
Alle bovenliggende categorieën moeten eigenlijk standaard op inactief staan. Pas wanneer iemand actief aanklikt dat hij toestemming geeft tot een bepaalde categorie cookies, mogen deze geactiveerd worden. In de praktijk zien we dat dit weinig gebeurt. De meeste sites kiezen voor een cookie wall: ze geven vaak nog wel informatie over (categorieën) cookies, maar bezoekers kunnen eigenlijk niet anders dan alles accepteren, of de site te verlaten. Het gebruik van een cookie wall is onder de GDPR nog niet verboden. Wel is er veel discussie over of bedrijven dit mogen doen. Jurisprudentie zal moeten uitwijzen of dit in de toekomst ook toegestaan blijft.
Wanneer je er als organisatie voor kiest om alle categorieën cookies standaard op actief te zetten, zou mijn advies zijn om hier transparant over te zijn en bezoekers in ieder geval de optie te geven deze uit te zetten. Zo geef je je bezoekers wel een keuze, maar leg je ook de verantwoordelijkheid bij de bezoekers om verder te lezen dan alleen de eerste cookie melding op je site.
Tip 3: Laat je cookie beleid niet ontbreken op je website
Af en toe wordt een cookie beleid als onderdeel opgenomen in een privacy statement of privacy beleid, maar meestal ontbreekt hij volledig op een site. En als het cookie beleid wel op een site staat, is deze vaak te beperkt. Het hebben van een cookie beleid is wel verplicht onder de GDPR, en moet ten minste de volgende punten bevatten:
-
Een overzicht van alle categorieën cookies die je hanteert
Met daarbij een korte uitleg over wat deze categorieën inhouden. Deze wil je vooral in je cookie beleid opnemen als de categorieën met toelichting in je cookie notificatie ontbreken. -
Een overzicht met alle namen, uitleg en bewaartermijnen van cookies
Dit kan bijvoorbeeld tabelvorm. Hierin moeten alle namen van cookies, een functionele uitleg van de cookies, de bewaartermijnen en liefst ook nog de bronsite (eventuele 3rd party bronnen) worden in vermeld. -
Uitleg hoe cookies te verwijderen
Een stukje tekst met uitleg over hoe cookies te verwijderen. Het mooiste zou zijn als je als gebruiker via de website ook makkelijk cookies zou kunnen verwijderen. Dit blijkt in de praktijk echter vaak nog best lastig. Cookies verwijderen via je browser is daarentegen een stuk simpeler, en daarom heel chique om je site bezoekers hiervoor instructies te geven!
Je kunt naar je cookie beleid linken vanaf je cookie notificatie of als losse pagina in de footer plaatsen. Een andere plek op de website kan ook, maar de footer is het meest logisch en praktisch.
Tip 4: Tags en trackers afstellen op de cookie notificatie
Een visuele cookie notificatie op je site hebben is één ding, een technisch goed functionerende notificatie hebben is een tweede. Er mogen in principe geen cookies in de site worden geladen, voordat een gebruiker toestemming heeft gegeven. Dit vereist wat manuele handelingen met betrekking tot je tags, scripts en trackers.
Een voorbeeld: je gebruikt TagManager om Google Optimize in je site te hangen en je hebt deze zo geconfigureerd dat deze tag wordt gevuurd op een pageload van de homepagina. Dan wordt deze cookie dus al geplaatst op het moment dat iemand browst naar je homepage, ongeacht of hij/zij iets met de cookie notificatie heeft gedaan. Daarom is het van belang alle trackers zo af te stellen dat deze pas worden geladen bij een akkoord. Dit kan bijvoorbeeld in TagManager door een trigger in te stellen op een event (het klikken van de akkoord-button). Maar er zijn natuurlijk ook andere manieren dan TagManager om cookies op je site te plaatsen. Veel organisaties gebruiken ook meerdere methoden naast elkaar om dit te doen. Kijk dus altijd kritisch naar hoe cookies in je site geladen worden!
Hulp nodig?
TRIMM is partner van CookiePro (OneTrust) en CookieBot. Afhankelijk van het aantal domeinen, aantal subpagina’s en aantal taalvarianten van je site, kunnen wij je helpen met de meest passende en betaalbare optie voor jouw organisatie. Hoe dan ook zorgen wij er altijd voor dat een cookie notificatie visueel aantrekkelijk en makkelijk in gebruik is, maar het allerbelangrijkste: dat deze technisch goed werkt.
Zijn er vragen of problemen waar jullie organisatie tegenaan loopt omtrent GDPR of heb je een algemene vraag? Bekijk ook eens mijn blogs over het ontstaan van de GDPR, ons stappenplan om te voldoen aan de GDPR, of waarom GDPR niet alleen multinationals aangaat. Je kunt me ook direct een vraag stellen!
Lees meer
Naast het geven van tips voor cookie notificaties, hebben we ook voor je samengevat hoe de GDPR wetgeving is ontstaan, waarom het niet alleen voor multinationals belangrijk is en wat jouw organisatie moet doen om GDPR compliant te worden.