In de blog ‘Stop nou eens met die dubieuze cookiemeldingen’ werd een pleidooi gehouden voor klantvriendelijke cookiemeldingen, waarbij het voor bezoekers net zo makkelijk is om cookies te weigeren als te accepteren. Die blog was geschreven vanuit het oogpunt van de bezoeker, en dus over hoe cookiemeldingen er ‘aan de voorkant’ uitzien. Dat is natuurlijk slechts één kant van de medaille. De andere zijde is de ‘achterkant’ van cookie-instellingen. Kloppen de technische instellingen wel met de melding die bezoekers krijgen? En hoe pas je deze instellingen aan, mocht dat nodig of wenselijk zijn? Dat is in sommige gevallen nog best lastig. In deze blog schrijven we een kort en bondig stappenplan om je cookie-instellingen te checken en aan te passen. Mocht je er alsnog niet uitkomen, dan kun je natuurlijk altijd een externe partij inschakelen om hier mee te helpen.
Stap 1: Ontwerp de voorkant
Bedenk hoe jouw cookiemelding er uit moet zien. Weeg hier verschillende belangen met elkaar af. Welke cookies mogen wel of niet automatisch gemeten worden vanuit de wetgeving? Welke cookies zijn erg belangrijk voor jouw bedrijf en zou je graag willen meten? En welke cookie-instellingen zijn het meest klantvriendelijk en/of sluiten het beste aan bij de belangen van jouw bezoekers? Het zou kunnen dat jouw optimale cookiemelding en cookie-instellingen anders zijn dan wat je nu gebruikt op je website. Lees hier meer over de kenmerken van een klantvriendelijke cookiemelding. Weeg deze belangen tegen elkaar af en bedenk hoe je zou willen dat jouw cookiemelding er ‘aan de voorkant’ uitziet. Gebruik hiervoor een voorbeeld of een (gratis) tool om makkelijk een melding te ontwerpen en te gebruiken. Er zijn meerdere tools beschikbaar om dit te doen, zoals Cookiebot.
Stap 2: Check relevante wetgeving
Als je je cookie-instellingen wilt aanpassen zodat ze conform de wetgeving zijn, dan is het belangrijk dat je weet onder welke wetgeving je website valt. Dit is gelijk een tricky punt. Je zou verwachten bijvoorbeeld verwachten dat een Nederlandse website onder de Nederlandse wetgeving (de AVG) valt, en een Amerikaanse website onder Amerikaanse wetgeving, maar zo simpel is het helaas niet altijd. Het gaat er namelijk niet alleen om waar je bezoekers zich nu bevinden, maar ook om waar je bezoekers vandaan komen. Of, in andere woorden, het gaat om de “toepassing van het criterium van gerichtheid“.
Dit betekent dat een website onder de wetgeving valt van de bezoekers op wie het gericht is. Dus een Amerikaanse website die veel Nederlandse bezoekers trekt valt onder de AVG, ondanks dat de website zelf in Amerika gehost wordt. Het is daarom belangrijk om te weten waar jouw bezoekers vandaan komen, want sommige van jouw bezoekers komen misschien uit landen waar andere wetgeving geldt. Nu is dit voor relatief kleine websites met alleen bezoekers vanuit Nederland misschien niet zo problematisch, maar voor grotere of internationale websites kan dit het behoorlijk ingewikkeld maken om cookies op de juiste manier in te stellen. Je zou dit dan immers voor bezoekers uit verschillende landen op verschillende manieren moeten instellen. Je kunt er natuurlijk voor kiezen om de cookie-instellingen op jouw website op de meest strikte manier in te delen, dan zit je volgens de soepelere sowieso wetgevingen ook goed. Aan de andere kant leidt dit er misschien toe dat je bepaalde data uit voorzorg niet meet, terwijl die data voor jouw bedrijf wel relevant zijn.
Meer informatie over een aantal relevante wetgevingen vind je hier:
AVG – de website van ACM of Autoriteit Persoonsgegevens
GDPR – General Data Protection Regulation
CCPA – California Consumer Privacy Act (In de VS is er op dit moment nog geen uniforme wetgeving in alle staten. De CCPA is relatief goed te vergelijken met de GDPR en AVG)
Stap 3: Check je huidige cookie-instellingen
“De eerste stap naar verandering begint met erkennen wat er is” is een wijze uitspraak. Oftewel, voordat je iets kunt gaan veranderen moet je weten hoe je cookie-instellingen op dit moment ingeregeld zijn achter de schermen. Als je tech savy bent kun je dat waarschijnlijk zelf achterhalen, maar voor de meeste mensen zal het handig zijn om een tool te gebruiken die je huidige instellingen checkt en een overzichtelijk lijstje geeft. Er zijn hiervoor meerdere (gratis) tools beschikbaar.
Zie bijvoorbeeld 2gdpr.com of compliancyscore.com (met dank aan reageerders op de vorige blog voor deze tips). Op deze websites kun je checken in hoeverre je website conform GDPR wetgeving is. Compliancyscore.com checkt je website ook tegen de nog strengere CCPA wetgeving. Beide websites geven een overzichtelijke lijst of rapportage met daarin aangegeven hoeveel en welke issues er zijn gesignaleerd op dit gebied. Deze lijst kan het startpunt vormen voor het aanpassen van de cookie-instellingen.
De meeste cookies mag je pas plaatsen nadat er toestemming is gegeven. Je kan Google Analytics privacyvriendelijk instellen conform de AVG en dan heb je geen voorafgaande toestemming nodig van de bezoeker van jouw website.
Stap 4: Regel de achterkant goed in
Nu is het zaak om de privacy inrichting zoals je die naar de bezoeker presenteert, ook daadwerkelijk waar te maken. Uiteraard is het hierbij van belang, dat meetpixels en cookies van de verschillende tooling & advertentie partners pas geactiveerd worden als toestemming is gegeven. Daarnaast is het vanuit juridisch oogpunt ook nodig om de cookie-consents zelf vast te leggen.
Je kan ervoor kiezen zelf een oplossing te bouwen die dit allemaal regelt, maar de meeste bedrijven kiezen ervoor om hier gespecialiseerde tooling voor te gebruiken, zoals CookieBot, OneTrust of Cookieinfo.net. Die nemen de infrastructuur voor je GDPR consent voor hun rekening. Zij bieden mogelijkheden om verschillende cookies en services via relatief makkelijke manieren te koppelen aan consent. Dit kan zowel plaatsvinden binnen de html van een applicatie, als in tag management oplossingen zoals Google Tag Manager (GTM). Zo kan je bijvoorbeeld in GTM een trigger per type consent instellen en tags hieraan koppelen zodat ze alleen afgevuurd worden als consent gegeven is.
Daarnaast voeren deze tools regelmatig ‘scans’ uit op je website, waardoor je geïnformeerd wordt als er nieuwe meetpixels of cookies op je website zijn gezet die nog niet toegekend zijn aan specifieke consent categorieën. Regelmatig scannen is belangrijk want nieuwe of veranderde content op je website zorgt vaak ook voor nieuwe cookies. Denk bijvoorbeeld aan het plaatsen van embedded content (bv. Youtube filmpjes). Het is belangrijk intern goed af te stemmen wie verantwoordelijk zijn voor de cookies en de controle van de instellingen. Dit zijn vaak niet dezelfde mensen als degenen die verantwoordelijk zijn voor content en marketing. Het komt nogal eens voor dat er nieuwe content wordt geplaatst waardoor cookies worden ingeschoten waarvoor geen toestemming is gegeven. De controle op de geplaatste cookies en de gegeven consent is daarom erg foutgevoelig.
Conclusie
Het goed inregelen van cookies kan ingewikkeld zijn. In deze blog gaven we vier stappen die je kunt volgen om je cookie-instellingen aan te passen. Bedenk hoe je je cookiemelding wilt vormgeven en welke instellingen er vanuit relevante wetgeving vereist zijn. Daarna kun je een controle uitvoeren om te ontdekken welke cookies er op dit moment geplaatst worden. De laatste stap is het goed en continu monitoren van ‘de achterkant’ en zorgen dat deze goed ingeregeld is. Mocht het ondanks dit stappenplan nog niet goed lukken, dan kun je altijd contact met ons opnemen.
Geschreven in samenwerking met Hans Nauta en Ton Wesseling.
