Vallen cookies onder de GDPR? Hoe moet je toestemming voor cookies beheren om compliant te zijn? Laten we in deze post enkele twijfels en misvattingen uit de weg ruimen.
Als je denkt aan gegevenswetgeving en privacywetgeving, denk je al snel aan cookies, omdat ze rechtstreeks verband houden met beide. Dit leidt vaak tot de misvatting dat de cookiewetgeving (ePrivacy-richtlijn) is ingetrokken door de GDPR, wat in feite niet het geval is. De ePrivacy-richtlijn kan daarentegen worden beschouwd als een “aanvulling” op de GDPR, in plaats van te worden ingetrokken.
De cookiewet vereist niet expliciet dat de toestemming wordt bijgehouden, alleen een bewijs. Veel gegevensbeschermingsautoriteiten in de EU hebben hun cookieregels echter afgestemd op de GDPR-vereisten. Dit betekent dat, afhankelijk van het voor u relevante land, u verplicht kunt zijn om cookie toestemming bij te houden, zoals vereist onder de GDPR.
Een cookiebanner, ook wel een GDPR cookie notice genoemd, informeert gebruikers dat uw site cookies gebruikt en geeft hen de optie om meer details te bekijken en toestemming te verlenen of te weigeren.
Het moet worden getoond bij het eerste bezoek van de gebruiker, en u moet de toestemmingsinstellingen voor elke gebruiker bijhouden en opslaan voor tot 12 maanden na het laatste bezoek aan de site.
Een nauwkeurige cookiebanner, een cookiebeleid en het blokkeren van cookies vóór toestemming zijn allemaal vereisten onder de ePrivacy (cookiewet) en GDPR.
Ontdek hoe eenvoudig het is om een cookiebanner in te stellen als je WordPress gebruikt:
Met onze Privacy Controls and Cookie Solution kunt u een GDPR-cookiebericht genereren, linken naar een cookiebeleid (zoals wettelijk vereist), cookies blokkeren totdat toestemming is verkregen en asynchroon scripts uitvoeren zodra toestemming is verkregen.
De gevolgen van niet-naleving kunnen boetes omvatten tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet (de hoogste van de twee).
Niet alle GDPR-inbreuken leiden tot boetes: sancties kunnen bestaan uit officiële berispingen, periodieke gegevensbeschermingsaudits (die kunnen leiden tot een verbod op het gebruik van gegevens die verband houden met de inbreuk – inclusief volledige e-maillijsten) en schadevergoeding wegens aansprakelijkheid.
