Terug naar Artikelen

De Webrichtlijnen en de nieuwe cookiewet

Sinds 5 juni 2012 moeten websites bezoekers informeren en toestemming vragen voordat zij een cookie mogen plaatsen. Hoe vraag je toestemming volgens de Webrichtlijnen?

Inleiding

Op 5 Juni 2012 is de nieuwe cookiewet van kracht geworden. Kort gezegd moeten websites bezoekers informeren én toestemming vragen voordat zij een cookie of andere gegevens op bijvoorbeeld een computer, laptop of mobiele telefoon plaatsen of lezen. De wet gaat overigens niet alleen over cookies, maar geldt ook voor andere technieken die hetzelfde doen, bijvoorbeeld JavaScripts, Flash cookies, HTML5-local storage en andere technieken waarbij gegevens worden geplaatst en/of uitgelezen.

Omdat er veel vragen gesteld worden over de cookiewet en hoe dit kan voldoen aan de Webrichtlijnen voor de overheid volgt hieronder allereerst een overzicht van de eisen die de cookiewet stelt. Daarnaast wordt ingegaan op waarop gelet moet worden bij de keuze van een implementatievorm van deze wet en wordt een overzicht gegeven van de belangrijkste richtlijnen die een rol spelen bij de implementatie.

Informeren en toestemming vragen

De cookiewet houdt een informatieplicht én een toestemmingsvereiste in. De kern van de cookiewet bestaat dus uit twee delen: informeren en toestemming vragen. Websites moeten bezoekers duidelijk en volledig informeren én toestemming vragen voordat zij een cookie of andere gegevens op een computer, laptop of mobiele telefoon plaatsen of lezen. Deze informatie moet dus altijd op een direct zichtbare plek op de website getoond worden en geschreven in een bij de doelgroep van de website aansluitend taalgebruik.

De OPTA beveelt overigens aan om alle cookies (en/of andere technieken) expliciet te benoemen en toe te lichten. De gebruiker zal zo optimaal geïnformeerd worden en sneller een beslissing kunnen maken over het geven van toestemming. Er mag dus na het enkel informeren over cookies nog geen cookie geplaatst worden. Daarvoor is eerst toestemming van de gebruiker nodig. Indien een gebruiker de keuze heeft tot het geven van toestemming, maar geen keuze heeft gemaakt, kan daaruit niet worden afgeleid dat de gebruiker toestemming heeft gegeven (de zogenaamde implied consent). De gebruiker zal dus expliciet toestemming moet geven voordat cookies geplaatst mogen worden.

Op een aantal websites wordt niet expliciet om toestemming gevraagd, maar wordt uitleg gegeven hoe een bezoeker de browserinstellingen kan gebruiken om te bepalen welke cookies er wel en niet geplaatst mogen worden en hoe eventueel geplaatste cookies te verwijderen zijn. De OPTA stelt dat hiermee niet wordt voldaan aan de toestemmingseis. Dit is dus geen afdoende oplossing.

Het is overigens wel toegestaan om de toestemming die de gebruiker gegeven heeft voor het plaatsen van cookies op te slaan in een cookie, zodat het niet nodig is om bij elk bezoek opnieuw om toestemming te vragen. Ook als een gebruiker heeft aangegeven dat het geen cookies accepteert mag dit worden opgeslagen in een cookie. De OPTA oordeelt dat in dit specifieke geval een ‘no-follow’ cookie als strikt noodzakelijk gezien mag worden. Voor dit laatste zijn nog wel een aantal voorwaarden van toepassing die op de website van de OPTA te lezen zijn 

Uitzonderingen

De cookiewet maakt geen onderscheid tussen cookies geplaatst door uw eigen organisatie (first-party cookies) en cookies geplaatst door derden (third-party cookies). Zo vallen bijvoorbeeld cookies die geplaatst worden door een webstatistieken-leverancier (zoals Google Analytics) ook gewoon onder het bereik van de cookiewet. Een uitzondering geldt voor de zogenaamde ‘functionele’ cookies. Functionele cookies zijn cookies die strikt noodzakelijk zijn voor de werking van de website. Hierover hoeft de bezoeker niet geïnformeerd te worden en ook niet om toestemming te worden gevraagd voor het plaatsen ervan.

Functionele cookies hebben volgens de wet uitsluitend als doel om (1) de communicatie over een elektronisch communicatienetwerk uit te voeren of (2) de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is. Voorbeelden hiervan zijn een cookie die nodig is om af te rekenen bij een webshop of voor het inloggen bij internetbankieren.

Registreren

De eigenaar van een website dient in ieder geval de toestemming van de gebruiker, de wijze waarop toestemming is verkregen, hoe de gebruiker daarbij geïnformeerd werd en het tijdstip van verkrijging van de toestemming registreren. Deze gegevens moeten minimaal 5 jaar bewaard blijven.

Implementatiemethode en de Webrichtlijnen

Er is in de wet bewust ruimte gelaten aan de markt om in te vullen op welke wijze een website om toestemming kan vragen aan haar gebruikers. Het staat de eigenaar van een website daarmee vrij om te kiezen voor een methode die aansluit bij het concept van de website én de gebruikers daarvan. Dus ook met senioren en gebruikers die bijvoorbeeld een functiebeperking hebben. In principe is het dus mogelijk een methode te kiezen of te ontwikkelen die voldoet aan de Webrichtlijnen.

Als de eigenaar er voor kiest om een methode te gebruiken die ook voldoet aan de Webrichtlijnen voor de overheid kan men er van uitgaan dat ook gebruikers met een functiebeperking en bijvoorbeeld senioren toegang hebben tot alle informatie over cookies en op dezelfde manier toestemming kunnen geven (of niet) als iedere andere gebruiker.

Een aantal eisen die de Webrichtlijnen stellen en waar rekening mee gehouden dient te worden zijn onder andere de volgende (niet uitputtend!):

  • Alle informatie moet voldoende contrast hebben;
  • De informatie moet in duidelijke en eenvoudige taal geschreven zijn;
  • Als een tabel wordt gebruikt voor het weergeven van de informatie over cookies, moet de tabel toegankelijk opgemaakt worden: kolom- of rijkoppen moeten in de code als zodanig opgemaakt zijn;
  • Als een formulier gebruikt wordt voor het vragen van toestemming en het opslaan van de toestemming, moet het formulier toegankelijk zijn. Selectievakjes moeten expliciet geassocieerd zijn met de tekstlabels ernaast en de knoppen moeten een duidelijke tekst hebben en ook werken zonder JavaScript. Formulierknoppen moeten ook als knop herkenbaar zijn. Zorg ervoor dat alleen een actie plaatsvindt, nadat op een formulier knop is geklikt en niet al direct wanneer de instelling van bijvoorbeeld een dropdown-menu wordt veranderd;
  • Alle links en formulieronderdelen moeten ook met het toetsenbord te bedienen zijn;
  • Wanneer een lightbox wordt geboden: zorg er dan voor dat de tabfocus direct in de lightbox staat en er ook niet uit kan komen, totdat de lightbox weer is gesloten.

Uiteraard moet aan alle Webrichtlijnen voldaan worden, maar bovenstaande zijn het meest direct van toepassing.

Als cookies geplaatst worden met behulp van JavaScript is het overigens geen probleem als  er geen informatie verschijnt en geen toestemming gevraagd wordt als JavaScript niet ondersteund wordt. Op dat moment worden namelijk helemaal geen cookies geplaatst en is het dus niet nodig om te informeren en toestemming te vragen. Het wordt wel een probleem, wanneer hierdoor bepaalde functionaliteit niet beschikbaar is: alle informatie en functionaliteit dient voor Webrichtlijnen 1 namelijk ook beschikbaar te zijn zonder JavaScript.

Beoordeling bij een Webrichtlijnen onderzoek

Bij een webrichtlijnen onderzoek wordt door een inspectie-instelling alleen gekeken naar de geïmplementeerde implementatiemethode en of deze voldoet aan de Webrichtlijnen. Er wordt alleen gekeken naar de informatie en functionaliteit die aanwezig is en of dit voldoet aan de Webrichtlijnen. Er wordt dus niet gekeken of de aanwezige informatie en functionaliteit voldoende is om aan de cookiewet te voldoen. Dit valt buiten de scope van een Webrichtlijnen onderzoek. Omdat de Webrichtlijnen voornamelijk kijken naar de ‘voorkant’ van de website zijn er ook geen richtlijnen waarbij gecontroleerd wordt of en hoe de registratie geregeld is. Ook dit valt buiten de scope van de Webrichtlijnen.

Goede voorbeelden

Hieronder volgen een aantal voorbeelden van websites die zowel voldoen aan de cookiewetgeving als aan de Webrichtlijnen. Bij het al of niet voldoen aan de cookiewetgeving is niet gekeken naar de registratie, want dat is aan de voorkant van de website niet te onderzoeken, tenzij er een duidelijke melding over staat op de website. Er is alleen gekeken of er duidelijke en volledige informatie aanwezig is en of er expliciet om toestemming gevraagd wordt voordat cookies geplaatst worden. Bij een normaal Webrichtlijnen onderzoek kijken we hier dus niet naar, maar voor dit artikel hebben we dit wel gedaan.

Voor het plaatsen van cookies kunnen server-side technieken of client-side (JavaScript) technieken gebruikt worden. Bij de voorbeelden hieronder wordt aangegeven welke techniek gebruikt is.

Gemeente Oosterhout

 URL:  www.oosterhout.nl
 Techniek:  server-side techniek

De website geeft duidelijke uitleg over de ‘niet-functionele’ cookies die gebruikt worden. Er wordt geen informatie gegeven over 2 functionele cookies die ook gebruikt worden, maar dit is ook niet verplicht. Het zou wel beter zijn om dit wel te doen. Er wordt dus voldaan aan de informatieplicht.

Er wordt toestemming gevraagd om de ‘niet-functionele’ cookies te plaatsen. Voordat deze toestemming gegeven wordt worden er nog geen ‘niet-functionele’ cookies geplaatst. Wel worden 2 functionele cookies geplaatst, maar dit is toegestaan. Er wordt dus ook voldaan aan de toestemmingsvereiste. Volgens de maker van deze methode wordt ook de registratie geborgd. Zowel de informatie over cookies op pagina http://www.oosterhout.nl/over-de-gemeente/over-deze-website/cookiebeleid/ als de methode om toestemming te vragen is toegankelijk en voldoet aan de Webrichtlijnen.

Huurcommissie

 URL:  www.huurcommissie.nl/
 Techniek:  server-side techniek

Op de website van de Huurcommissie wordt dezelfde methode gebruikt als op de website van de gemeente Oosterhout. Er is nog wel een klein probleem op de pagina met informatie over de cookies (http://www.huurcommissie.nl/cookies/): het contrast voldoet net niet aan de webrichtlijnen. Voor de rest een prima oplossing.

Leer meer over WCAG 2.0 en Webrichtlijnen 2

Meer leren over de WCAG 2.0 en Webrichtlijnen 2.0 (WCAG 2.0 + extra kwaliteitsrichtlijnen)? Dat kan! Onze trainingen met praktijkvoorbeelden leren je meer over deze nieuwe toegankelijkheidsrichtlijnen en bieden ruimte voor je eigen vragen:

We geven ook trainingen, speciaal voor redacteuren:

Bekijk onze trainingen pagina voor een overzicht van al onze trainingen.

Bronnen

  1. http://www.opta.nl/nl/actueel/alle-publicaties/publicatie/?id=3647 – Brief aan overheidssites over voldoen aan cookiewet;
  2. http://www.opta.nl/nl/actueel/alle-publicaties/publicatie/?id=3636 – Veelgestelde vragen over de nieuwe cookiewet;

Gerelateerd

  • Delen op Facebook
  • Delen op Twitter
  • Delen op LinkedIn