Als je persoonsgegevens verwerkt moet je (1) actief toestemming krijgen voor verwerking, (2) het bestand aanmelden bij het CBP en (3) indien gevraagd gegevens tonen, wijzigen of verwijderen. In de cookiewet is het verschil tussen First Party cookies en Third Party cookies essentieel. Voor eerste is geen toestemming nodig, voor de laatste wel. Ook voor Analytics cookies is geen toestemming nodig als het account juist is ingesteld.
Wet Bescherming Persoonsgegevens
Als je gegevens wilt gaan verwerken op persoonsniveau heb je vooral te maken met de regels voor verwerking van persoonsgegevens. De wet omschrijft het begrip persoonsgegevens als ‘alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. Dat is behoorlijk breed. Bekende en minder bekende voorbeelden van persoonsgegevens zijn:
- naam
- adres
- telefoonnummer
- (persoonlijk) e-mail adres
- foto en video opnamen waarop personen staan
Uitzonderingen op de Wet Bescherming Persoonsgegevens
Gegevens die worden verwerkt ten behoeve van de uitvoering van een overeenkomst vallen niet onder de wet. Een hotelier die gegevens van een gast invoert naar aanleiding van een boeking, mag dat gewoon doen. Wel moet hij of zij zich beperken tot gegevens die relevant zijn voor de uitvoering van de overeenkomst. Als ook gegevens over bijvoorbeeld het inkomen van de gast worden verwerkt, is de wet weer wel van toepassing. Andere uitzonderingen zijn onder andere:
- gegevens ten behoeve van communicatie
- bezoekersregistratie
- huur en verhuur
- abonnementen
Een lijst met e-mail adressen voor je nieuwsbrief kun je daarom gewoon maken en gebruiken. Mits je wel de regels voor het versturen van spam in acht neemt. Voor de genoemde uitzonderingen geldt uiteraard wel dat deze gegevens niet verder niet verwerkt en/of samenvoegt mogen worden met andere gegevens. Bekijk de volledige lijst met vrijgestelde categorieën.
Ik verwerk persoonsgegevens, wat moet ik regelen?
Als je hebt vastgesteld dat de gegevens die jij verwerkt onder de wet op verwerking van persoonsgegevens vallen en waar geen vrijstelling voor geldt, moet je een aantal zaken regelen. De belangrijkste punten met betrekking tot het verwerken van persoonsgegevens zijn:
- de persoon van wie gegevens worden verwerkt moet hiervoor actief toestemming geven, nadat hem of haar is verteld waar de gegevens gebruikt gaan worden.
- je moet het bestand aanmelden bij het College voor Bescherming van Persoonsgegevens (CBP)
- diegene van wie gegevens zijn verwerkt kan een overzicht vragen van wat er over hem of haar is vermeld, en eisen dat dit wordt aangepast of verwijderd.
Een voorbeeld van actief toestemming geven is het aanvinken van een hokje bij een pop-up met uitleg. Er zijn diverse websites met meer informatie over de regels rondom het verwerken van persoonsgegevens. Je moet je overigens afvragen of het altijd nodig alles op persoonsniveau vast te leggen. Stel jezelf de vraag welke gegevens daadwerkelijk bijdragen aan succes. Vervolgens vertaal je dat naar concrete doelstelling en acties via je online marketingfunnel. En dan kan zomaar blijken dat lang niet alle gegevens nodig zijn.
Cookiemelding: wanneer wel of wanneer niet
De ‘cookiewet’ gaat specifiek in op het gebruik techniek. Belangrijk om de onderstrepen is dat cookiewet alleen geldt voor ‘het verzamelen van gegevens over verschillende diensten’. Dit betekent dat je voor cookies die je alleen op je eigen platform gebruikt, nooit toestemming hoeft te vragen. Niet voor functionele cookies, maar niet voor cookies voor het tracken van banners of affiliates. Door de eis dat het moet gaan om ‘verschillende diensten’ vallen de zogenaamde Third Party cookies onder de wet. Dit zijn cookies die over verschillende diensten en/of platformen heen gegevens verzamelen. Voorbeelden van partijen die Third Party cookies gebruiken zijn:
- Google Adsense
- Addthis
- Youtube
- DoubleClick
- Vimeo
- etc.
Als je gebruik maakt van plugins of buttons van deze netwerken op je site, is het mogelijk dat ook Third Party cookies worden geplaatst. In dat geval is actieve toestemming voor plaatsing nodig. Zie meer informatie over het gebruik van cookies. De wet spreekt overigens niet specifiek over cookies. Elke techniek die informatie opslaat of toegang verkrijgt tot informatie in de apparatuur van een gebruiker valt eronder. Technieken die daardoor ook onder de cookiewet vallen zijn:
- lokale opslag in webbrowsers
- web-beacons
- opslag in browsers en plugins
- etc.
Cookiewet en de Wet Bescherming Persoonsgegevens
In de Cookiewet wordt verwezen naar de Wet Bescherming Persoonsgegevens. De bepalingen daarin gelden daarom ook voor cookies. Je moet dan vooraf toestemming vragen voor het gebruik van de gegevens. Soms kun je zonder toestemming een (First Party) cookie plaatsen, maar moet je wel toestemming hebben voor het gebruik van de gegevens. Dit geldt bijvoorbeeld voor tracking pixels, zowel op sites als in e-mail. Deze worden niet lokaal opgeslagen en vallen daardoor niet onder cookiewet. Ze laten echter wel zien welke content is geopend door de gebruiker. Dat valt onder de verwerking van persoonsgegevens.
Google Analytics, Cookiewet en persoonsgegevens
Tot slot een veelgestelde vraag: hoe zit het met de Analytics cookies van Google? Deze kun je zonder toestemming plaatsen, mits je Analytics-account op de juiste manier is ingesteld. Hierbij zijn drie dingen van belang:
- accepteer het amendement gegevensverwerking in je Analytics-account
- vink het delen van gegevens met Google uit in je accountinstellingen
- anomiseer de verzamelde IP-adressen door een aanpassing in je Analytics-code
Zie hier de juiste instellingen voor Google Analytics om te voldoen aan de wet bescherming persoonsgegevens.
Al met al is het behoorlijk opletten met alle bepalingen. Hierboven zet ik zo precies mogelijk uiteen te wat de belangrijkste aandachtspunten zijn en hoe de regels zich met elkaar verhouden. Mocht er onverhoopt iets niet juist zijn, dan kan ik daarvoor geen aansprakelijkheid aanvaarden. Raadpleeg vooral ook de aangegeven bronnen.
6 Reacties
Tips voor toepassing spamwet in e-mail marketing
[…] wat de ontvangers doen als ze doorklikken op een link in de nieuwsbrief. Dan gelden namelijk de Cookiewet en de regels voor verwerking van persoonsgegevens. In de praktijk betekent dit dat je bij […]
Tips voor organisaties om te leren en te profiteren van Pokémon Go
[…] van persoonlijke gegevens (én toestemming om ze te gebruiken). Je kunt bijvoorbeeld aanbieden te informeren over volgende Pokémon acties. […]
Bezoekers op je website identificeren. Tips om jouw bezoekers te herkennen
[…] Voor cookies die je alleen op je eigen site gebruikt, hoef je geen toestemming te vragen bij plaatsing. Wel moet je in het kader van de wet bescherming persoonsgegevens ondubbelzinnige toestemming hebben van de klant als je persoonsgegeven gaat verwerken. En dat is bijvoorbeeld al zo als je het IP-adres gaat matchen met gegevens over de klant in je database. En dat is zeer waarschijnlijk wel het geval. Gebruik je hiervoor cookies die de bezoeker ook op andere sites kunnen volgen, dan is toestemming voor plaatsing van de cookie wel noodzakelijk. Al met al is het lastige materie. Op dit blog verscheen eerder een artikel over omgaan met de cookiewet en de wet bescherming persoonsgegevens. […]
Zo voldoe je aan de AVG / GDPR wetgeving volgens de expert
[…] wet staat los van de AVG / GDPR regels. Aan de de regels rondom het gebruik van e-mail / spam en cookies veranderd daarom […]
GDPR en AVG bij nieuwsbrief Mailchimp en Google Analytics
[…] de gevolgen voor de privacy van de betrokkenen gering. In dat geval is voor het plaatsen van een Analyticscookie geen toestemming nodig. Wel moet het worden gemeld in het privacystatement. Hierbij benoem je dat […]
Linkedin Ads inzetten met succes - NickLink. Online
[…] de gebruiker ook actief toestemming geven voor de plaatsing ervan. Lees ook mijn artikelen over de cookiewet en AVG. Bekijk ook het stappenplan om te voldoen aan de […]