Wat zegt de AVG over cookies?

Cookies, IP-adressen en vergelijkbare online identificatiemiddelen worden expliciet behandeld in Overweging 30 van de Algemene Verordening Gegevensbescherming (GDPR), waarin staat: “Natuurlijke personen kunnen worden geassocieerd met online identificatiemiddelen [...] zoals internetprotocoladressen, cookie-identificatiemiddelen of andere identificatiemiddelen zoals radiofrequentie-identificatietags.” Deze classificatie benadrukt dat cookies, wanneer ze worden gebruikt om personen te identificeren — hetzij direct of indirect — persoonsgegevens vormen (GDPR Overweging 30).

De belangrijkste bevindingen uit juridische en regelgevende analyses zijn onder andere:

• Cookies als persoonsgegevens: De GDPR erkent cookies als persoonsgegevens wanneer ze een gebruiker kunnen identificeren, zelfs in combinatie met andere gegevens.
• Toestemmingsvereiste: Artikel 6 en Overweging 32 vereisen geldige toestemming voordat niet-essentiële cookies worden geplaatst. Toestemming moet vrijelijk gegeven, specifiek, geïnformeerd, en ondubbelzinnig zijn. Vooraf aangevinkte vakjes of inactiviteit vormen geen geldige toestemming (EDPB-richtsnoeren 05/2020).
• Transparantie: Websites moeten gebruikers duidelijk informeren over de soorten en doeleinden van cookies voordat toestemming wordt verkregen. Dit omvat:
  • De identiteit van de verwerkingsverantwoordelijke
  • De exacte doeleinden waarvoor cookies worden gebruikt
  • De betrokken derde partijen
• Recht om toestemming in te trekken: Gebruikers moeten hun toestemming net zo gemakkelijk kunnen intrekken als ze die hebben gegeven (GDPR Artikel 7(3)).
• Verantwoordingsplicht: Organisaties moeten kunnen aantonen dat voor alle niet-essentiële cookies geldige toestemming is verkregen.

Empirische studies wijzen op aanzienlijke nalevingsproblemen onder websites, waarvan vele er niet in slagen mechanismen te implementeren voor granulaire toestemming, of terugvallen op niet-conforme opt-outmodellen (Degeling et al., 2019). Regelgevende maatregelen hebben de noodzaak van expliciete opt-inmechanismen versterkt, met name voor tracking- en advertentiecookies.

Kortom, onder de GDPR, zijn cookies die een individu kunnen identificeren persoonsgegevens; daarom wordt het gebruik ervan streng gereguleerd door eisen voor geïnformeerde, expliciete toestemming en transparantie. Niet-naleving kan leiden tot aanzienlijke boetes, zoals blijkt uit recente handhavingsacties in de EU.