Snel beslissen, nooit meer over nadenken. Als ik er maar vanaf ben.
Waarschijnlijk is dit hoe je jouw website in mei 2018 van een Cookie Melding hebt voorzien. Het is en blijft noodzakelijk kwaad, nog meer regeltjes — bekend als AVG of GDPR — waar je als ondernemer aan moet voldoen, want er waren nog niet genoeg regeltjes.
De praktijk laat zien dat de meeste website-eigenaren dit onderwerp volledig hebben laten liggen sinds die eerste implementatie. Jammer, behalve dat sommige sites onnodig bezoekers wegjagen, zijn sommige implementaties ook gewoon ontzettend fout. Jouw website hoort daar misschien ook wel bij.
Hieronder een opsomming van de meest gemaakte fouten, staat jouw site er ook tussen?
1. Mag ik een CookieWall? Mag niet!
Met pijn in het hart, nagel ik een van mijn favoriete websites aan de schandpaal. Dit gaat vooral fout op de websites die hun geld verdienen aan Advertenties — denk aan bepaalde nieuwswebsites, ik zal geen namen noemen, DPG-media — maken gebruik van een letterlijke Cookie Muur of Cookiewall. De Autoriteit Persoonsgegevens is hier meedogenloos over, omdat de bezoeker gedwongen wordt toestemming te geven, voor ze toegelaten worden op de website.
In plaats daarvan moet de cookie melding duidelijk zichtbaar zijn, maar moet de website ook werken zonder dat je eerst ergens per se op "Akkoord" moet klikken. Toestemming — oftewel 'vrije keuze' — moet ondubbelzinnig én vrijwillig zijn.
2. De onzichtbare Cookiemuur
Ik ben het volledig oneens met de conclusie van de Consumentenbond dat de oude Cookie Wall bijna is verdwenen. Veel websites maken gebruik van een cookie melding die de volledige website letterlijk overschaduwt: De website is bijna onzichtbaar, tenzij je de cookie melding wegklikt.
Op een slappe manier wordt er voldaan aan de eis dat je de website gewoon kunt gebruiken zonder eerst akkoord te gaan, terwijl dit gewoon een muur is, toch? Toch?!
Dit voorbeeld, "Cookies accepteren of een Abonnement afsluiten", slaat natuurlijk als een tang op een varken. Sorry Tweakers, top website, maar dit grenst aan gijzeling.
Overigens kan het ook nog wel wat beter bij de eindbazen van het Phoenix systeem van de IMU.
3. Cookies in de foute Categorie
Alleen voor functionele cookies hoef je geen toestemming te vragen, het is daarom geen probleem als deze categorie greyed out is (niet kan uitschakelen). Jouw website werkt immers niet zonder deze cookies. Cookies die gebruikt worden voor het verzamelen van statistieken vallen niet onder functioneel, ook niet als jij dat vind, eigenwijs!Analytische Cookies zijn toch uitgezonderd?
De beperkte uitzondering voor Analytische Cookies geldt, mits je deze cookies alleen gebruikt om 1) bezoekers te tellen of 2) beter inzicht te krijgen in het functioneren van jouw website.
Dit is toch precies wat Google Analytics doet? Nee, want dit heeft gevolgen voor de privacy van jouw bezoeker — je deelt immers informatie met Google — dus zijn het Statistische of zelfs Tracking cookies.
Heb je bijvoorbeeld een CMS als Wordpress dat statistieken verzamelt, dan zou je deze cookies wel als functioneel kunnen zien, op één voorwaarde; De cookies zijn alleen gekoppeld aan jouw domein, ze komen niet van een externe partij en worden ook niet gedeeld met een externe partij.
De verschillende Cookie Categorieën
| Categorie | Omschrijving | Voorbeelden |
|---|---|---|
| Functioneel |
Zonder deze cookies werkt jouw website niet. Cookies in deze categorie worden ook wel Verplicht of Noodzakelijk genoemd. | Winkelwagen, Ingelogde Gebruiker |
| Analytisch |
Cookies die je gebruikt voor het tellen van bezoekers of voor het verbeteren van jouw website, zonder dat je deze gegevens deelt met andere partijen. Analytische cookies mag je als Functioneel beschouwen als ze 1) uitsluitend gebruikt worden om bezoekers te tellen of beter inzicht te krijgen in het functioneren van jouw website 2) jouw website niet verlaten 3) minimale gevolgen hebben voor de privacy van jouw bezoeker en 4) niet gebruikt kunnen worden om mensen anders te behandelen. Kortom, Google Analytics is niet uitgezonderd, ook bij anonimisatie IP-adressen, want dat valt onder verwerking van persoonsgegevens. Cookies in deze categorie worden ook wel Statistisch of Performance genoemd. | Google Analytics (ook als IPs geanonimiseerd worden), Hotjar |
| Tracking |
Cookies die direct of indirect gebruikt worden voor het verwerken van persoonsgegevens. IP-adressen of eerder bezochte websites vallen hierbij ook onder persoonsgegevens. Cookies in deze categorie worden ook wel Marketing, Targeting of Retargeting, Advertenties, Gedrag of Social Media genoemd. |
Gooffle Ads, FacebookPixel, Remarketing |
4. Marketing, Targeting of Analytische cookies niet uit te schakelen
Deze tactiek heeft wat weg van bovenstaande, waar cookies onterecht als functioneel of noodzakelijk worden gezien. Hierbij worden cookies wel in de juiste categorie voor Statistische cookies geplaatst, maar nu is de categorie niet uit te schakelen.
Zoals hierboven genoemd mag je alleen de functionele of noodzakelijke cookies zonder toestemming plaatsen. Dus alleen deze categorie mag greyed out of niet uit te schakelen zijn. Voor andere categorieën moet de gebruiker zelf kunnen kiezen.
5. Geen opties om cookies in te stellen
Ondanks dat dit vaker fout gaat buiten de EU dan erbinnen, komt het toch nog weleens voor dat een website eigenaar ervan overtuigd is boven de wet te staan, door de bezoeker alleen maar een "Opslaan" knop te geven.
Nu is het niet per se onjuist om alleen een "Okidoki"-knop te hebben, maar dan mag er geen sprake zijn van niet-functionele cookies.
Cookie Melding helemaal niet nodig
Bonus Tip: In het geval je alleen maar functionele cookies hebt — don't bend the rules! — dan hoeft er helemaal geen Cookie Melding op je website.
6. Moeilijk te vinden opties
De knop voor "OK, ik verkoop mijn ziel" staat mega dik in je scherm, maar naar de knoppen voor "Ik wil niet" of "Alleen het strikt noodzakelijke" moet je zoeken, of is verborgen achter een "Details"-linkje.
Als de gebruiker moet zoeken om alleen de minimale cookies in te stellen, kan er geen sprake zijn van ondubbelzinnige of volledig vrijwillige toestemming.
Het voorbeeld hiernaast maakt nog een extra fout, door de bezoeker onvoldoende te informeren. Het is voor bezoekers totaal onduidelijk, dat er meerdere cookies categorieën ingeschakeld zijn, omdat deze details standaard verborgen zijn.
7. Moeilijke of onduidelijke vinkjes
De creativiteit gaat door het dak: waar Apple bij de eerste iPhone de universele standaard voor een digitaal schuifje bepaalde — en waarschijnlijk patenteerde, in geval Windows het weer een goed idee vindt — vinden sommige programmeurs het wiel gewoon opnieuw uit.
In het voorbeeld hiernaast is het totaal onduidelijk wanneer een optie aan of uit staat. Even los van de veel te grote berg opties, moet het gewoon duidelijk zijn wat "aan" of "uit" is.
8. Het ontzettend ingewikkeld maken
Anderhalf uur! Anderhalf hele uren was ik bezig om mij hier over te verwonderen. Kun je nagaan, had ik nog niet eens de vinkjes uitgezet.
De gemiddelde bezoeker verlaat een website als deze er langer dan één seconde over doet om te laden. Kortom, deze tienduizend vinkjes zijn bij uitstek de beste manier om je bezoeker van permanente hersenschade te voorzien.
Met andere woorden: niet zo ingewikkeld maken. Er is geen gebruiker die per Leverancier wil kiezen, de meest kritische gebruiker zal hooguit een categorie uit of aan willen zetten, dat is ruim voldoende.
9. Gerechtvaardigd belang
Zucht… Als je als Nederlandse wet serieus genomen wilt worden, dan heb je minimaal een uitzondering nodig, of tien. Bij de AVG heet dat het Gerechtvaardigd Belang.
Heel erg — HEUL! — kort door de bocht: Wet of regelgeving die haaks op de AVG staat kan gebruikt worden om cookies te plaatsen zonder toestemming te vragen. Hierbij bepaalt de verwerkingsverantwoordelijke — degene die de cookies plaatst, de leverancier — zelf of dat zo is.
Vaak wordt het voorkomen van fraude genoemd als voldoende grond om hier gebruik van te maken, maar persoonlijk vind ik dat de verantwoordelijke hiermee een enorm risico neemt. Zelf weten, ik zou het laten.
Eerlijk toegegeven is het niet strikt fout als je hier gebruik van maakt, maar ga bij jezelf goed na of je deze verantwoordelijkheid wil dragen. Want als AP'pie bij je aanklopt moet je kunnen uitleggen waarom jij vindt dat er sprake is van dit gerechtvaardigd belang.
10. Toegang geweigerd als gebruiker niet akkoord gaat
Hoe kun je hier als website eigenaar of ondernemer tevreden mee zijn? Zegt de bezoeker "NEE"? Weg ermee! Dit is natuurlijk gewoon jammer want deze bezoeker ben je kwijt, voor altijd.
In het voorbeeld hiernaast word je doorgestuurd naar Google als je op "Decline" klikt.
Je mag een bezoeker nooit weigeren van je site op basis van zijn/haar keuzes. Een bezoeker moet de mogelijkheid hebben niet essentiële cookies te weigeren.
Checklist: Nog een keer alles op een rijtje
-
De gebruiker moet ongehinderd gebruik kunnen maken van jouw website (geen Cookiemuur);
-
De gebruiker moet kunnen kiezen welke categorieën hij wel of niet accepteert (niet alleen een OK-knop);
-
Cookies moeten ingedeeld zijn in de 3 bovengenoemde categorieën (plaats Cookies in de juiste categorie en ga er geen categorieën bij verzinnen);
-
Er moet sprake zijn van een 'vrije keuze', de keuze moet vrijwillig en ondubbelzinnig zijn (geen misleidende teksten of ingewikkelde opties);
-
Gebruik geen alternatieve methodes voor het opslaan van gegevens (Local Storage, Indexed DB, Local Storage, etc.) om Cookies te omzeilen;
-
Passieve toestemming is geen toestemming, teksten als "Als je deze website gebruikt ga je akkoord met onze cookies" kunnen écht niet;
-
Een Cookie Melding mag op geen andere manier gebruikt worden om data te verzamelen (en ja, helaas zijn er cowboys dit dit doen).
Ja, maar, wat moet ik dan?!
In de kern is het heel simpel: Zorg dat je op een eerlijke manier met jouw bezoeker om gaat en zorg dat je jouw bezoeker niet wegjaagt met jouw Cookie Melding.
Een nette, kleine, overzichtelijke melding onderin het scherm volstaat. Zorg hierbij dat de bezoeker jouw website gewoon kan gebruiken, zelfs als er geen keuze wordt gemaakt, maar plaats dan alleen de functionele cookies. Pas als de gebruiker toestemming geeft mag je overige cookies plaatsen.
Persoonlijk vind ik het extreem vervelend dat je als website eigenaar of ondernemer je bezoeker moet lastigvallen met dit soort irritatie. Het komt de conversie namelijk niet bepaald ten goede. Dat is de reden dat wij onze eigen Cookie Melding hebben ontwikkeld, in de hoop de bezoeker zo min mogelijk te irriteren én de conversie zo hoog mogelijk te houden.
Het geheimpje van Google Analytics…
Het is waarschijnlijk het meestgebruikte systeem om bezoekers te tellen, maar mag pas gaan tellen als de gebruiker toestemming heeft gegeven. Dit vereist een nauwe samenwerking tussen jouw website systeem en de cookie melding. Het geheimpje: GA veranderd nog weleens de namen van de cookies die zij plaatst. Bij een gemiddeld Cookie Script moet je dus constant de lijst van Cookies bijwerken. Moeilijk lastig en ingewikkeld.
Wij doen het net even anders. Onze Cookie Melding verwijdert gewoon standaard alle cookies die niet worden herkend of waar geen akkoord voor is gegeven. Op die manier kan Analytics wel de bezoeker tellen, maar onmogelijk traceren omdat de cookie direct wordt verwijderd. Zonder toestemming wordt elke bezoeker als aparte bezoeker geteld, terwijl met toestemming kan de bezoeker netjes worden getraceerd.
Ik heb mijn uiterste best gedaan om alle regeltjes zo nauwkeurig mogelijk uit te leggen. Neem je met me contact op als ik er een zooitje van heb gemaakt?