GDPR en cookies: wat mag, wat moet?

Steven     10.04.2020

De GDPR (General Data Protection Regulation) is van kracht in België sinds 25 mei 2018. De wet heeft tot doel om het verzamelen van data door bedrijven te reguleren. De GDPR wet handelt niet specifiek over cookies, maar betreft alle verzamelde gegevens van mensen uit de EU.

De GDPR wet sluit niet uit dat bedrijven gegevens van personen verzamelen. Ze geeft wel aan (i) dat bedrijven een specifiek doel moeten hebben om die gegevens te verzamelen, (ii) dat ze hierover helder en duidelijk moeten communiceren en (iii) dat het individu van wie ze gegevens verzamelen, actief zijn goedkeuring moet geven!

Het is vooral die ‘actieve’ goedkeuring die zorgt voor persistente banners op websites. Het negeren van een cookie banner door de bezoeker, geldt niet langer als ‘goedkeuring’. Maar vooraleer we daar dieper op ingaan, bespreken we de GDPR wet wat meer in detail.

GDPR: de 6 basisbeginselen

De General Data Protection Regulation wetgeving beschrijft 6 basisbeginselen waaraan bedrijven die gegevens van personen (uit de EU) verzamelen, moeten voldoen:

1. Rechtmatige, behoorlijke en transparante verwerking
2. Juistheid
3. Integriteit en vertrouwelijkheid
4. Welbepaald doeleinde
5. Minimale gegevensverwerking
6. Beperkte bewaartermijn

Het begrip ‘gegevens’ mag je zeker ruim interpreteren. Gegevens betreft alle mogelijke data van personen uit de EU. De data hoeft niet rechtstreeks tot de identificatie van het individu te leiden. Ook indien enkel een indirecte – of zelfs geen – identificatie mogelijk is, valt de data onder de GDPR.

1. Rechtmatige, behoorlijke en transparante verwerking

Het moet voor personen duidelijk zijn (i) dat er gegevens verzameld worden en (ii) welke gegevens verzameld worden. Daarnaast dienen bedrijven ook in heldere en duidelijke woorden aan te geven door wie en waarvoor de verzamelde gegevens gebruikt worden.

2. Juistheid

Dit spreekt voor zicht. Bedrijven moeten alle maatregelen nemen om te verzekeren dat de verzamelde gegevens juist zijn, en juist blijven. Het moet mogelijk zijn om de gegevens verwijderen en/of te corrigeren.

3. Integriteit en vertrouwelijkheid

De gegevens dienen met de nodige omzichtigheid, en veilig bewaard te worden. Bedrijven moeten ongeoorloofde toegang of gebruik van de gegevens voorkomen.

4. Welbepaald doeleinde

Je mag niet zomaar gegevens verzamelen. Het verzamelen van de gegevens moet een specifiek doel hebben. Dat doel dien je ook duidelijk aan de persoon meedelen. Dit impliceert ook dat de gegevens, eens verzameld, niet te gebruiken zijn voor doelen die niet onder het origineel doeleinde vallen.

5. Minimale gegevensverwerking

Niet meer verzamelen dan strikt noodzakelijk. Niet meer, niet minder. Indien de gegevens niet nodig zijn voor een bepaald doeleinde, veramel ze dan niet.

6. Beperkte bewaartermijn

Houdt de gegevens niet langer bij dan nodig. Geef ook duidelijk aan hoelang gegevens bewaard worden. Het spreekt vanzelf dat een logische termijn in verhouding staat tot het doel waarvoor je gegevens verzameld.

GDPR & cookies

In de volledige tekst van de GDPR, worden cookies slechts één keer direct vermeld:

Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

GDPR – https://gdpr.eu/cookies/

Met andere woorden: ook cookies vallen onder de GDPR wetgeving, en de persoonlijke gegevens die ze vergaren, dienen aan de beginselen van de GDPR wet te voldoen!

De GDPR wet sluit dus niet uit dat bedrijven gegevens van personen verzamelen. Maar belangrijk is wel de duidelijke communicatie én goedkeuring – vooraf – door het individu. Die goedkeuring dient bovendien ‘actief’ te zijn. Het negeren van een cookie banner door de bezoeker kan niet langer als ‘goedkeuring’ beschouwd worden. Over het hoe en waarom van cookies lees je hier meer.

Daarnaast kan je ook nalezen hoe Assistancy de 6 GDPR-beginselen implementeert in de privacy verklaring.