De Autoriteit Persoonsgegevens heeft bekend gemaakt dat een cookiemuur op je website verboden is. Deze uitspraak is de afgelopen dagen veelvuldig in het nieuws geweest. Dat is niet verwonderlijk, want de gevolgen zijn groot voor websites met een cookiemuur. In dit artikel bespreken we hoe je WordPress website wél voldoet aan de AVG (GDPR). Dat laatste is van belang, want de Autoriteit heeft laten weten: “Waar 2018 nog een jaar was om te wennen aan de AVG, gaan we dit jaar écht handhaven” (bron).

Het kernprobleem

De Algemene Verordening Gegevensbescherming (AVG of GDPR), die sinds vorig jaar van kracht is, bevat twee belangrijke eisen:

  1. Dat van gebruikers geen persoonsgegevens mogen worden verwerkt zonder dat hier vooraf toestemming voor is gekregen;
  2. Dat gebruikers niet gedwongen mogen worden om persoonsgegevens af te staan die niet per se nodig zijn voor de dienst die afgenomen wordt.

Voorbeeld: Als je via een webshop een boek laat thuisbezorgen, moet de webshop om je adresgegevens vragen én toestemming vragen om die op te slaan. Ze mogen het bestelproces echter niet blokkeren door af te dwingen dat je bijv. ook je geboortedatum invult. Zie ook ons artikel over de impact van de AVG op WordPress websites.

Gevolgen voor cookiemuren

Cookies worden onder andere gebruikt om persoonlijke advertenties te tonen aan bezoekers. Ook helpen ze om achteraf na te gaan of de klik op advertenties heeft geleid tot een daadwerkelijke aankoop. Een cookie bevat hiervoor gegevens waarmee een persoon te traceren is. Dat zijn dus persoonsgegevens.

Een cookiemuur vraagt de gebruiker toestemming om deze persoonsgegevens af te staan door direct vol in beeld te komen vóórdat je een website bezoekt. Daarmee voldoet de cookiemuur wel aan de eerste eis, maar niet aan de tweede eis, omdat het niet afstaan van persoonsgegevens het gebruik van de hele site blokkeert. En dat mag niet, want als je een website enkel bezoekt om bijvoorbeeld het telefoonnummer van dat bedrijf op te zoeken, hoef je hiervoor echt niet jouw persoonsgegevens af te staan.

Alternatief: privacy by default

Het alternatief voor een cookiemuur op je website is om te zorgen dat er standaard geen persoonsgegevens verzameld en verwerkt worden, tenzij ze daadwerkelijk nodig zijn voor een bepaald onderdeel van de site. Op die momenten kun je de benodigde toelichting geven, om toestemming vragen, en kan de gebruiker een eerlijke keuze maken.

Zo kun je bijvoorbeeld geëmbedde YouTube-video’s verbergen en vervangen door een venster dat eerst om de benodigde toestemming vraagt. En van kostbare content op je website, die alleen gemaakt kan worden tegen een vergoeding, kun je enkel de inleiding tonen en de gebruiker de keuze geven om de rest te lezen tegen een kleine betaling, of door het accepteren van advertenties. De juiste toelichting is daarbij altijd van groot belang.

Omdat je website hiermee standaard geen persoonsgegevens meer verzamelt, is het vragen om toestemming vóór het bezoek ook niet meer nodig. Dit heet privacy by default (of privacy by design). Op die manier is je website vrij toegankelijk en voor de onderdelen waarvoor persoonsgegevens nodig zijn, vraag je alsnog altijd vooraf toestemming. Zo zorg je dat je website beter voldoet aan de regels van de AVG (GDPR).

Voldoet jouw WordPress website aan de AVG?

De uitspraak van de Autoriteit Persoonsgegevens komt niet uit de lucht vallen. De AVG (GDPR), die in mei 2018 al van kracht is geworden, schrijft deze regels namelijk al lang voor. Voor ons was juist deze regelgeving een van de belangrijke redenen om onze GDPR Consent Plugin voor WordPress uit te brengen. Van de vele beschikbare WordPress plugins was namelijk geen enkele plugin in staat om daadwerkelijk te voorkomen dat cookies worden ingeladen vóórdat je bezoekers hiervoor toestemming hebben gegeven, zonder daarbij bezoek aan de gehele website te blokkeren.

Probeer de GDPR Consent Plugin 30 dagen uit!