Wat is GDPR-cookiecompliance?

De naleving van de GDPR-cookieregels draait om de kernvereiste voor websites om voorafgaande, expliciete toestemming van gebruikers te verkrijgen voordat cookies op hun apparaten worden geplaatst. De Algemene Verordening Gegevensbescherming (AVG/GDPR) bepaalt dat dergelijke toestemming moet zijn:

• Vrijelijk gegeven
• Specifiek
• Geïnformeerd
• Ondubbelzinnig

Aan deze norm wordt alleen voldaan door een actieve handeling—zoals het klikken op een “accepteren”-knop—in plaats van door passieve acceptatie of vooraf aangevinkte vakjes. Zoals opgemerkt door Toth & Wiesche (2022), “kan het loutere gebruik van een website niet worden geïnterpreteerd als toestemming voor het gebruik van cookies”.

Empirische analyse van de nalevingspraktijken toont aan dat:

• Veel websites nog steeds gebruikmaken van impliciete toestemming of soft opt-in-mechanismen, die niet voldoen aan de GDPR-normen.
• De informationele transparantie blijft inconsistent. Volgens een onderzoek van Santos et al. (2022) bood minder dan 25% van de beoordeelde cookiebanners duidelijke en gedetailleerde informatie over de soorten en doeleinden van de gebruikte cookies.
• Het intrekken van toestemming wordt vaak verwaarloosd. Artikel 7(3) van de GDPR benadrukt dat gebruikers toestemming even gemakkelijk moeten kunnen intrekken als dat ze deze hebben gegeven, maar minder dan de helft van de onderzochte sites bood een eenvoudig intrekkingsmechanisme (Santos et al., 2022).

Bewijs van toestemming is een ander cruciaal aspect. De GDPR vereist dat websites registraties van gebruikerstoestemmingen bijhouden om naleving aan te tonen in geval van audits of geschillen (“De verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven,” Artikel 7(1)). In de praktijk vertaalt dit zich vaak in back-endsystemen die tijdstempels, gebruikers-ID's en toestemmingsvoorkeuren loggen (Toth & Wiesche, 2022).

Belangrijkste bevindingen:

• Geldige toestemming onder de GDPR vereist duidelijke, actieve deelname van de gebruiker.
• Het intrekken van toestemming en aantoonbare registraties zijn essentieel voor volledige naleving.
• De meeste websites schieten tekort in het bieden van zowel gedetailleerde informatie als eenvoudige intrekkingsmogelijkheden.
• De focus van de regelgeving verschuift steeds meer naar handhaving en verantwoording door middel van audits en boetes.

Deze resultaten duiden op een aanhoudende kloof tussen de GDPR-vereisten en de gangbare praktijken op websites, wat de noodzaak van een rigoureuze technische implementatie naast juridisch bewustzijn onderstreept.