WordPress en cookies

GDPR_WordPress_Cookies
GDPR_WordPress_Cookies

Hoe zit het met cookies op je WordPress website en de AVG privacywet?

Hier mijn uitleg om een cookieloze website te creëren in WordPress, inclusief stappenplan!

Je hebt ze misschien al gezien, die ellenlange cookiedisclaimers die op alle websites verschijnen en die je vertellen wat een cookie is. Ik vind ze vervelend en ben ervan overtuigd dat het merendeel van de cookies niet nodig is om een goede website neer te zetten.

Daarom heb ik besloten mijn eigen sites, en zoveel mogelijk websites van mijn klanten, cookievrij te maken. Zo voorkomen ik die irritante cookie pop-ups en maak ik het mezelf makkelijker om te voldoen aan de nieuwe AVG wet.

Lees op de website van de Consumentenbond wat cookies zijn

Twee wetten over cookies

Er zijn twee redenen waarom je op cookies moet letten. Ten eerste is er sinds 2012 de Telecommunicatiewet (cookiewet), gebaseerd op Europese wetgeving die je verplicht om bezoekers te informeren en toestemming te vragen over het plaatsen van cookies. Dat vragen mocht voor 2018 nog heel impliciet, met bijvoorbeeld een tekstje onderaan je website zonder dat een bezoeker ergens actief mee akkoord moet gaan. Dat mag dus niet meer en de Autoriteit Consument en Markt (ACM) ziet hierop toe, zie ook hun handige veelgestelde vragen.

Cookies vallen ook onder de nieuwe AVG privacywet!

Daarnaast is al op 25 mei 2018 de  Algemene Verordening Gegevensbescherming (AVG) wet in werking getreden, die de Wet Bescherming Persoonsgegevens (WBP) destijds heeft vervangen. Deze wet gaat over het beschermen van de privacy van Europeanen en het verzamelen van persoonsgegevens. Je mag volgens deze wet namelijk niet zonder goede reden persoonsgegevens verzamelen, en je hebt toestemming nodig van de betreffende persoon wanneer je dit wel doet. Voor sommige cookies die persoonsgegevens verzamelen geldt de AVG ook.

Meer weten over de AVG? Lees mijn blog Voldoe jij aan de nieuwe privacywetgeving met je website?

Het ene koekje is het andere koekje niet

Er zijn een paar soorten cookies: functionele cookies, voorkeurscookies, analytics cookies, en marketing cookies. Cookies die nodig zijn voor het functioneren van de website, of cookies die bezoekers analyseren om een website te verbeteren (zonder impact op de privacy) – de zogenaamde functionele en analytics cookies – zijn onschuldig.

Ook voorkeurscookies die bijvoorbeeld nodig zijn om je de juiste taal of regio aan te bieden op een website zijn cookies die nodig zijn voor het goed werken van een website. Je mag ze op je website gebruiken zonder dat je daarvoor toestemming nodig hebt of een cookiebanner hoeft te plaatsen.

Ongezonde koekjes die je blijven achtervolgen

Maar er zijn ook (third-party) tracking of marketing cookies. Dit zijn cookies die je overal op het internet blijven volgen. Ze houden bijvoorbeeld bij dat je vorige week op bol.com naar onderbroeken hebt gekeken en vervolgens zie je in de weken daarna op andere websites overal advertenties voor onderbroeken. Dit is een vorm van het verzamelen van persoonsgegevens waar de Autoriteit Persoonsgegevens niet zo blij van wordt, en hiervoor is eerst expliciet toestemming nodig.

De meeste cookies van Facebook en Google zijn invasieve tracking cookies

Voor deze tracking cookies (die meestal door social mediasites zoals Facebook en YouTube gebruikt worden met bijvoorbeeld voor marketing) kun je niet zeggen dat ze nodig zijn voor het functioneren van de site. De enige manier waarop je aan de AVG wet voldoet als je deze cookies hebt, is het vragen van expliciete toestemming van de websitebezoeker (zie ook de FAQ van de Autoriteit persoonsgegevens). In dit geval ben je dus verplicht om een cookiebanner met een “Akkoord” knop op je website te hebben, en mag je de cookies pas plaatsen nadat iemand toestemming heeft gegeven.

Test welke cookies je op je website hebt

Hier kun je met de gratis test van Cookiebot kijken welke cookies je site allemaal verbergt.

3 regels over cookies

Dit zijn de 3 belangrijkste regels over cookies op de website van de ACM.

Functionele cookies mogen

Cookies die nodig zijn voor het functioneren van de website, zoals het onthouden van een taalkeuze, winkelwagen of logingegevens mag je zonder cookiebanner op een website zetten.

Analytics cookies mogen beperkt

Cookies die je gebruikt om bezoekers te tellen, zoals Analytics cookies, mogen alleen als ze geen of weinig gevolgen hebben voor de privacy van bezoekers. Zie hier een handleiding van de ACM over hoe je Google Analytics privacy-vriendelijk instelt.

Alle andere cookies mogen alleen als je vooraf toestemming hebt van bezoekers

Zijn cookies niet nodig voor een goede werking van de site? Of leveren ze risico op voor de privacy van bezoekers? Dan moet u de bezoekers toestemming vragen voordat je zulke cookies plaatst.

De ACM zal je overigens niet achterna gaan zitten omdat je een cookie op je persoonlijke blog hebt staan. De enige boete die ze volgens mij daadwerkelijk hebben uitgedeeld is aan de NPO. Meestal waarschuwt de autoriteit dus alleen, maar met de AVG zal dit waarschijnlijk wel gaan veranderen.

“Ik heb toch geen cookies op mijn site?”

Ik wilde weten hoe het nu eigenlijk zat met de cookies op mijn eigen website van Jandesign en ben met de developer (F12) tool van Chrome door mijn website gelopen. Op deze handmatige manier kwam ik de volgende cookies tegen:

cookie JanDesign via F12
cookie JanDesign via F12

Hieronder laat ik ook een paar andere screenshots zien, van een andere site van mij. Dan kun je het verschil zien, als je gebruik maakt van o.a. Google en Youtube.

2winadvies cookie google
2winadvies cookie google

TYPEN COOKIES DIE DOOR GOOGLE WORDEN GEBRUIKT

Google gebruikt verschillende soorten cookies om Google-websites en aan advertenties gerelateerde producten weer te geven. Sommige of alle van deze  cookies kunnen in uw browser worden opgeslagen.  Voor meer informatie welke dat allemaal zijn kunt hier klikken.

2winadvies cookie youtube
2winadvies cookie youtube

Je kunt ook je  website scannen met de gratis test van Cookiebot.  Op de websitepagina’s van 2Winadvies maak ik gebruik van filmpjes ge-embed van YouTube. En daarmee krijg je meteen een hele lading cookies over je heen. Hier moet je dan ook toestemming voor vragen voor je ze feitelijk mag plaatsen.

Ga ervanuit dat wanneer je social media integratie op je website hebt, je ook cookies serveert!

Ook als je zo’n handige social media sharing widget onderaan je artikelen hebt staan, waarmee je snel een artikel kan delen, dien je rekening te houden met cookies. Die makkelijke like-, tweet- en andere sharing buttons en codes zijn vaak ook trackers. Wanneer een bezoeker is ingelogd bij Facebook, Twitter of Google+, houden deze bij dat hij of zij je pagina heeft bezocht. En dat gebeurt (meestal) ook als je bezoeker niet op die button klikt.

Ik testte het uit en deelde mijn eigen artikel op Twitter, Facebook en LinkedIn, en meteen doken er meer dan 15 cookies mijn computer in.  Wil je dit wel? Mensen kunnen zelf ook wel een URL kopiëren en plakken als ze echt iets van mijn site willen delen op social media vind ik. En uit onderzoek blijkt dat bijna niemand deze knoppen gebruikt. Niet gebruiken denk ik dan! Als ze voor jouw site echt nodig zijn, dan kun je overigens voorkomen dat deze sharing buttons cookies plaatsen met een technische oplossing (Shariff code).

Heb je een cookiebanner of toestemming nodig?

Sinds de invoering van de AVG wet mag je niet meer ergens onderaan je site hebben staan: “Als je op deze site bent, dan ben je akkoord met het plaatsen van cookies.“ Dat is niet expliciet en duidelijk genoeg. Vind jij invasieve analytics en marketing cookies wel nodig op je site, dan moet je je bezoekers hierover informeren en toestemming vragen:

Een bezoeker moet voordat je een cookie plaatst expliciet toestemming geven dat je zijn persoonsgegevens (zoals IP-adres en online voorkeuren) gaat verzamelen. Zij moeten dan actief op een knopje drukken om toestemming te geven. Het moet ook net zo makkelijk zijn om de toestemming voor cookies weer in te kunnen trekken, bij voorkeur via dezelfde pagina of dezelfde knop.

Je moet daarnaast kunnen aantonen dat iemand daadwerkelijk toestemming heeft gegeven voor het plaatsen van een cookie. Deze toestemming moet je dus, van elke gebruiker, ergens opslaan – en kunnen laten zien mocht de ACM (Autoriteit Consument & Markt) je ernaar vragen.

Je komt dus niet meer weg met vage informatie op je website

Vertel je bezoekers zo transparant mogelijk en in normale taal , welke gegevens je verzamelt, wat het doel is, aan wie je ze verstrekt (Google of Facebook wellicht?) en ook de bewaartermijn. Dat doe je in een cookiestatement en/of privacyverklaring die je op je website plaatst. Lees meer over de AVG en privacyverklaring op mijn blog Voldoe jij aan de nieuwe privacywetgeving met je website?