Heldere en misleidende cookiebanners

Wanneer mensen een website bezoeken, krijgen zij vaak een cookiebanner te zien (ook wel cookiemelding of cookiepop-up genoemd). Met een cookiebanner legt een organisatie aan websitebezoekers uit hoe hun persoonsgegevens worden verzameld met cookies, en waarom. 

Op deze pagina

Websitebezoekers kunnen met een cookiebanner kiezen voor welke cookies zij wel of niet toestemming willen geven. Het is belangrijk dat zij grip houden op hun persoonsgegevens. In de praktijk vragen organisaties nog vaak op een misleidende manier om toestemming. Bijvoorbeeld door opties automatisch aan te vinken. Op deze pagina vindt u daarom enkele vuistregels, voorbeelden van heldere cookiebanners en voorbeelden van hoe het niet moet. 

Cookies en de AVG

Er zijn verschillende soorten cookies. Gebruikt u als organisatie tracking cookies of vergelijkbare technieken? Dan kunt u ervan uitgaan dat u persoonsgegevens verwerkt. Ook bij sommige functionele en beperkte analytische cookies verwerkt u persoonsgegevens. U moet dan voldoen aan de Algemene verordening gegevensbescherming (AVG). 

Waarom is een heldere cookiebanner belangrijk?

Wat mensen op internet doen, is heel persoonlijk. Tracking cookies zorgen ervoor dat organisaties kunnen meekijken met het internetgedrag van hun websitebezoekers. Dat mag alleen als websitebezoekers daar expliciet mee akkoord gaan. Zij moeten ook de mogelijkheid hebben om zulke cookies te weigeren, zonder nadelige gevolgen.

Met heldere informatie over het gebruik van zulke cookies kan uw websitebezoeker een weloverwogen keuze maken om toestemming te geven of niet. Zorg dus voor een heldere cookiebanner, waarmee u gelijk voldoet aan de wettelijke eisen.

Daar hoort ook bij dat u moet wegblijven van misleidende manieren (‘dark patterns’ of ‘deceptive patterns’) om toestemming te krijgen voor cookies. Bijvoorbeeld door bepaalde knoppen minder goed zichtbaar te maken. Uw websitebezoeker kan dan geen goede keuze maken.

Toezicht AP op cookiebanners

Organisaties moeten goed met persoonsgegevens omgaan. De Autoriteit Persoonsgegevens (AP) houdt daar toezicht op en doet er regelmatig onderzoek naar. Als een organisatie zich niet aan de regels houdt, kan de AP ingrijpen. Ook als een organisatie met cookies persoonsgegevens verwerkt en daar niet op de juiste manier toestemming voor vraagt. Bijvoorbeeld door websitebezoekers te misleiden. Vanaf 2024 gaat de AP vaker onderzoeken hoe organisaties toestemming vragen voor cookies. 

Grondslagen

Toestemming

Het verwerken van persoonsgegevens via cookies doet u normaal gesproken op basis van de grondslag toestemming. Let er daarbij op dat:

  • U toestemming krijgt vóórdat u zulke cookies plaatst. 
  • Uw websitebezoekers actief toestemming moeten geven door iets aan te klikken. U kunt dus niet uitgaan van toestemming alleen omdat iemand uw website bezoekt. 
  • Het voor websitebezoekers duidelijk moet zijn dat u met de cookiebanner om hun toestemming vraagt.
  • Uw websitebezoekers de toestemming op een vrije, specifieke, geïnformeerde en ondubbelzinnige manier moeten kunnen geven. Ondubbelzinnig betekent dat het heel helder is dat iemand toestemming heeft gegeven. Het ligt daarbij voor de hand dat uw websitebezoekers een neutrale keuze hebben. En dat de ene optie niet meer nadruk krijgt dan de andere. 
  • Uw websitebezoekers hun toestemming even gemakkelijk weer moeten kunnen intrekken.
  • U uw websitebezoekers goed moet informeren, onder meer over hoe u cookies gebruikt en voor welke doelen. U heeft voor ieder doel apart toestemming nodig. 

Gerechtvaardigd belang

Als u met cookies persoonsgegevens verwerkt, moet u goed kijken op welke grondslag u zich baseert. Dat is bij cookies bijna nooit de grondslag gerechtvaardigd belang. Het kán wel. Maar alleen bij functionele en beperkte analytische cookies. Bijvoorbeeld als een cookie nodig is voor beveiliging van uw website.

Hoe maakt u een heldere cookiebanner? 

De AP licht 9 belangrijke aspecten van cookiebanners uit. Deze 9 vuistregels helpen u een goede cookiebanner te maken. U moet daarnaast altijd zelf controleren of u aan alle eisen in de AVG voldoet wanneer u met cookies persoonsgegevens verwerkt. 

De vuistregels zijn:

  • Geef informatie over het doel
  • Zet vinkjes niet automatisch aan
  • Gebruik duidelijke tekst
  • Zet verschillende keuzes op één laag
  • Verberg bepaalde keuzes niet
  • Laat iemand niet extra klikken
  • Gebruik geen onopvallende link in de tekst
  • Wees helder over het intrekken van toestemming
  • Verwar toestemming niet met gerechtvaardigd belang

Hierna vindt u uitleg en voorbeelden. 

Geef informatie over het doel

Geef uw websitebezoeker informatie die nodig is om een weloverwogen keuze te maken. Daarbij hoort dat u voor ieder doel vertelt waarom u cookies gebruikt, vóórdat iemand een keuze maakt. 

Cookiebanner: voorbeeld informeren over doel

Wees dus niet vaag of onvolledig over uw doelen. In het voorbeeld hierna wordt bijvoorbeeld wel ‘social media’ genoemd, maar is niet duidelijk hoe persoonsgegevens dan verwerkt worden en met welk(e) doel(en). 

Cookiebanner: voorbeeld informeren over doel

Zet vinkjes niet automatisch aan

Maakt u in uw cookiebanner gebruik van vinkjes of schuifjes? Zorg dan dat uw websitebezoeker zelf bepaalde opties aanklikt (of niet) en dus actief een keuze maakt.

Cookiebanner: voorbeeld vinkjes

Vink de keuzeboxen dus niet automatisch aan. Dat geldt niet als toestemming. 

Cookiebanner: voorbeeld vinkjes

Gebruik duidelijke tekst

Het moet voor uw websitebezoeker volledig duidelijk zijn welke keuze diegene maakt. Gebruik daarom duidelijke woorden in knoppen, zoals ‘accepteren’, ‘akkoord’ of ‘weigeren’. Op die manier is het duidelijk dat iemand toestemming geeft. 

Cookiebanner: voorbeeld knoppen

Maak het voor uw websitebezoeker dus niet onnodig ingewikkeld door vage of sturende bewoordingen te gebruiken, of door tekst juist weg te laten. 

Cookiebanner: voorbeeld knoppen
Cookiebanner: voorbeeld knoppen
Cookiebanner: voorbeeld knoppen

Zet verschillende keuzes op één laag

Uw websitebezoekers moeten cookies net zo makkelijk kunnen weigeren als accepteren. Zet de knoppen voor weigeren en accepteren dus op dezelfde laag. Dat betekent dat iemand niet hoeft door te klikken om te weigeren, als dat voor (alles) accepteren ook niet hoeft. 

Cookiebanner: voorbeeld tekst bij keuzes

Bied dus niet maar een van de opties op de eerste laag aan.

Cookiebanner: voorbeeld tekst bij keuzes

Verberg bepaalde keuzes niet

Zorg dat de knop om cookies te weigeren goed zichtbaar is.

Verstop de knop bijvoorbeeld niet door uw websitebezoeker onnodig te laten scrollen om cookies te weigeren, als dat ook niet hoeft om cookies te accepteren. 

Cookiebanner: voorbeeld verborgen opties

Laat iemand niet extra klikken

Het weigeren van cookies moet niet meer kliks vragen dan het accepteren. 

Laat uw websitebezoeker bijvoorbeeld niet extra bevestigen dat diegene de cookies wil weigeren.

Cookiebanner: voorbeeld extra klikken

Gebruik geen onopvallende link in de tekst

De mogelijkheid om cookies te weigeren moet net zo goed zichtbaar zijn als de optie om cookies te accepteren. 

Verstop deze dus bijvoorbeeld niet als link in een stuk tekst, waardoor uw websitebezoeker onnodig moet zoeken. 

Cookiebanner: voorbeeld onopvallende link

Wees helder over intrekken van toestemming

Maak duidelijk hoe uw websitebezoeker toestemming weer kan intrekken, vóórdat diegene een keuze maakt. 

Cookiebanner: voorbeeld intrekken toestemming

Verwar toestemming niet met gerechtvaardigd belang

Zoals u eerder heeft kunnen lezen, kan er alleen bij functionele en beperkte analytische cookies sprake zijn van de grondslag gerechtvaardigd belang om persoonsgegevens te verwerken. De grondslag toestemming is dan niet van toepassing. U heeft in het geval van functionele cookies en sommige analytische cookies dus geen toestemming nodig voor het plaatsen en uitlezen van die cookies. Een vinkje of schuifje in uw cookiebanner kan dan verwarring opleveren.

In het voorbeeld hierna ziet u een schuifje in combinatie met de grondslag gerechtvaardigd belang. Maar omdat toestemming geven niet van toepassing is, is het onduidelijk wat het aan- of uitzetten van het schuifje voor effect heeft. 

Bovendien is gerechtvaardigd belang geen geldige grondslag om gepersonaliseerde advertenties te tonen. 

Cookiebanner: voorbeeld gerechtvaardigd belang

Snelle antwoorden

Gaan de vuistregels voor cookiebanners ook op voor vergelijkbare technieken?

Ja. De vuistregels voor cookiebanners gaan over cookies en alle andere technieken waarmee u informatie opslaat op of toegang verkrijgt tot het apparaat van de gebruiker (zoals een mobiele telefoon of computer). 

Naast cookies gaat het bijvoorbeeld ook om:

  • het plaatsen van niet-essentiële gegevens op het apparaat van de gebruiker, bijvoorbeeld via local storage;
  • trackingpixels;
  • web beacons;
  • fingerprinting.

Welke informatie moet op de eerste laag van mijn cookiebanner staan?

In uw cookiebanner moet bepaalde informatie direct zichtbaar zijn. Het moet duidelijk zijn wie de persoonsgegevens verwerkt én met welk(e) doel(en). Die informatie zet u dus op de ‘eerste laag’ van uw cookiebanner. Op die manier weet uw websitebezoeker waarvoor de toestemming bedoeld is. 

Overige informatie mag op een tweede (of latere) laag komen te staan. Dit neemt natuurlijk niet weg dat u alle informatie op een duidelijke manier moet aanbieden.