Stappenplan: hoe pas ik mijn cookie-instellingen aan?
In dit artikel deel ik een kort en bondig stappenplan om je cookie-instellingen te checken en aan te passen. Want kloppen de technische instellingen wel met de melding die bezoekers krijgen? En hoe pas je deze instellingen aan, mocht dat nodig of wenselijk zijn? Dat is in sommige gevallen nog best lastig.
Ik hield in mijn vorige artikel Stop nou eens met die dubieuze cookiemeldingen een pleidooi voor klantvriendelijke cookiemeldingen, waarbij het voor bezoekers net zo makkelijk is om cookies te weigeren als te accepteren. Dit artikel was geschreven vanuit het oogpunt van de bezoeker, en dus over hoe cookiemeldingen er aan de voorkant uitzien.
Stap 1: ontwerp de voorkant
Bedenk hoe jouw cookiemelding eruit moet zien. Weeg hier verschillende belangen met elkaar af.
- Mogen cookies wel of niet automatisch gemeten worden vanuit de wetgeving en welke?
- Wat zou je graag willen meten en welke cookies zijn erg belangrijk voor jouw bedrijf?
- Welke cookie-instellingen zijn het meest klantvriendelijk en/of sluiten het best aan bij de belangen van jouw bezoekers?
Het zou kunnen dat jouw optimale cookiemelding en cookie-instellingen anders zijn dan wat je nu gebruikt op je website. Lees hier meer over de kenmerken van een klantvriendelijke cookiemelding. Weeg deze belangen tegen elkaar af en bedenk hoe je zou willen dat jouw cookiemelding er aan de voorkant uitziet. Gebruik hiervoor het voorbeeld uit mijn eerdere artikel of een (gratis) tool om makkelijk een melding te ontwerpen en te gebruiken. Er zijn meerdere tools beschikbaar om dit te doen, zoals Cookiebot.
Stap 2: check relevante wetgeving
Als je je cookie-instellingen wil aanpassen zodat ze conform de wetgeving zijn, dan is het belangrijk dat je weet onder welke wetgeving je website valt. Dit is gelijk een tricky punt. Je zou bijvoorbeeld verwachten dat een Nederlandse website onder de Nederlandse wetgeving (de AVG) valt, en een Amerikaanse website onder Amerikaanse wetgeving, maar zo simpel is het helaas niet altijd.
Het gaat er namelijk niet alleen om waar je bezoekers zich nu bevinden, maar ook om waar je bezoekers vandaan komen. Of, in andere woorden, het gaat om de ‘toepassing van het criterium van gerichtheid’. Dit betekent dat een website onder de wetgeving valt van de bezoekers op wie het gericht is. Een Amerikaanse website die veel Nederlandse bezoekers trekt valt onder de AVG, ondanks dat de website zelf in Amerika gehost wordt.
Bezoekers uit verschillende landen
Het is daarom belangrijk om te weten waar jouw bezoekers vandaan komen, want sommige van jouw bezoekers komen misschien uit landen waar een andere wetgeving geldt. Nu is dit voor relatief kleine websites met alleen bezoekers vanuit Nederland misschien niet zo problematisch, maar voor grotere of internationale websites kan dit het behoorlijk ingewikkeld maken om cookies op de juiste manier in te stellen.
Je zou dit dan immers voor bezoekers uit verschillende landen op verschillende manieren moeten instellen. Je kunt er natuurlijk voor kiezen om de cookie-instellingen op jouw website op de meest strikte manier in te delen. Dan zit je volgens de soepelere wetgevingen sowieso goed. Aan de andere kant leidt dit er misschien toe dat je bepaalde data uit voorzorg niet meet, terwijl die data voor jouw bedrijf wel relevant is.
Meer informatie over een aantal relevante wetgevingen vind je hier:
- AVG – de website van ACM of Autoriteit Persoonsgegevens
- GDPR – General Data Protection Regulation
- CCPA – California Consumer Privacy Act (In de VS is er op dit moment nog geen uniforme wetgeving in alle staten. De CCPA is relatief goed te vergelijken met de GDPR en AVG)
Stap 3: check je huidige instellingen
“De eerste stap naar verandering begint met erkennen wat er is,” is een wijze uitspraak. Oftewel, voordat je iets kunt gaan veranderen moet je weten hoe je cookie-instellingen op dit moment ingeregeld zijn achter de schermen. Als je tech-savvy bent kun je dat waarschijnlijk zelf achterhalen. Maar voor de meeste mensen zou het handig zijn om een tool te gebruiken die je huidige instellingen checkt en een overzichtelijk lijstje geeft. Er zijn hiervoor meerdere (gratis) tools beschikbaar.
Bijvoorbeeld 2gdpr.com of compliancyscore.com (met dank aan reageerders op het vorig artikel voor deze tips). Op deze websites kun je checken in hoeverre je website conform GDPR-wetgeving is. Compliancyscore.com checkt je website ook tegen de nog strengere CCPA-wetgeving. Beide websites geven een overzichtelijke lijst of rapportage met daarin aangegeven hoeveel en welke issues er zijn gesignaleerd op dit gebied. Deze lijst kan het startpunt vormen voor het aanpassen van de cookie-instellingen.
De meeste cookies mag je pas plaatsen nadat er toestemming is gegeven. Je kunt Google Analytics privacyvriendelijk instellen conform de AVG en dan heb je geen voorafgaande toestemming nodig van de bezoeker van jouw website.
Stap 4: regel de achterkant goed in
Nu is het zaak om de privacy-inrichting zoals je die naar de bezoeker presenteert, ook daadwerkelijk waar te maken. Uiteraard is het hierbij van belang, dat meetpixels en cookies van de verschillende tooling & advertentiepartners pas geactiveerd worden als er toestemming gegeven is. Daarnaast is het vanuit juridisch oogpunt ook nodig om de cookie-consents zelf vast te leggen.
Je kunt ervoor kiezen zelf een oplossing te bouwen die dit allemaal regelt. Maar de meeste bedrijven kiezen ervoor om hier gespecialiseerde tooling voor te gebruiken, zoals CookieBot, OneTrust of Cookieinfo.net. Die nemen de infrastructuur voor je GDPR-consent voor hun rekening. Zij bieden mogelijkheden om verschillende cookies en services via relatief makkelijke manieren te koppelen aan consent. Dit kan zowel plaatsvinden binnen de html van een applicatie, als in tagmanagement oplossingen zoals Google Tag Manager (GTM). Stel in GTM een trigger per type consent in. Koppel de tags hieraan zodat ze alleen afgevuurd worden als consent gegeven is.
Intern afstemmen
Tools voeren regelmatig scans uit op je website. Je wordt geïnformeerd als er nieuwe meetpixels of cookies op je website zijn gezet die nog niet toegekend zijn aan specifieke consent-categorieën. Regelmatig scannen is belangrijk, want nieuwe of veranderde content op je website zorgt vaak ook voor nieuwe cookies. Denk bijvoorbeeld aan het plaatsen van embedded content, zoals: YouTube-filmpjes.
Het is belangrijk intern goed af te stemmen wie verantwoordelijk zijn voor de cookies en de controle van de instellingen. Dit zijn vaak niet dezelfde mensen als degenen die verantwoordelijk zijn voor content en marketing. Het komt wel eens voor dat er nieuwe content geplaatst wordt waar cookies worden ingeschoten, waar geen toestemming voor gegeven is. De controle op de geplaatste cookies en de gegeven consent is daarom erg foutgevoelig.
Cookies? Continu monitoren
Het goed inregelen van cookies kan ingewikkeld zijn. Je kunt deze vier stappen volgen om je cookie-instellingen aan te passen. Bedenk hoe je je cookiemelding wilt vormgeven en welke instellingen er vanuit relevante wetgeving vereist zijn. Voer een controle uit.
Zo kun je ontdekken welke cookies er op dit moment geplaatst worden. De laatste stap is het goed en continu monitoren van de achterkant en zorgen dat deze goed ingeregeld is.