86% juristenkantoren is niet AVG + privacy compliant

Ruim een maand na het ingaan van de nieuwe privacywetgeving AVG, blijkt uit onderzoek van AVG Cloud Register dat websites van slechts 14 procent van de onderzochte 50 juristenkantoren die berichten of adviseren over de AVG, zélf voldoen aan deze nieuwe wet.

De websites behoren toe tot juridische bureau's die actief zijn op het gebied van privacy & ICT Recht, AVG workshops geven, FG is of via twitter of de bedrijfswebsite over de AVG heeft bericht. Deze juridische bureau's liepen qua omvang uiteen van zelfstandigen tot partijen met 100+ werknemers.

Veel (technische) misverstanden

Wij signaleerden de afgelopen maand op Twitter dat er nog veel misverstanden en onwetendheid is omtrent de AVG en privacy. De implementatie van technische aspecten die erbij komen kijken, blijkt zelfs voor de partijen die bekend zijn met de wet- en regelgeving, alsnog een struikelblok te zijn, zo concludeerden wij herhaaldelijk.

Deze constatering, alsook het recente onderzoek van de Consumentenbond die aantoont dat 69% van de grote Nederlandse websites niet voldoen aan de AVG, heeft AVG Cloud Register aangezet tot een officieel onderzoek en vooral publicatie van de cijfers.

Ruwe onderzoeksresultaten

Voor het onderzoek werd meer dan alleen cookies onder de loep genomen. Hiermee was het onderzoek AVG en privacy breed afgenomen.

  • De aanwezigheid van een privacy statement
    74% voldeed hieraan, bij 26% ontbrak het privacystatement volledig, hoewel er wel persoonsgegevens middels bijvoorbeeld een contactformulier konden worden ingevuld;
  • De juistheid van het privacy statement
    67% van de eerder genoemde 74% waren correct, de overige 50% had onwaarheden of hiaten in hun privacystatement;
  • Google IP-adres anonimisering
    Binnen de AVG is het opslaan van een ip-adres een gegevensverwerking. Elke website die (veelal) Google Analytics gebruikt moet daarom hiervoor òf aan de websitebezoeker toestemming vragen middels een cookiemelding òf deze IP-adressen anonimiseren.
    Van de onderzochte partijen had 30% deze juist ingesteld en anonimiseerde 60% de ip-adressen van hun bezoekers niet. Vier procent leek geen bezoekersgedrag te volgen, voor de overige zes procent was het niet te achterhalen of ze aan de correcte of incorrecte kant zaten omtrent ip anonimisering voor Google Analytics;
  • Cookie implementatie
    Ondanks de reeds geldende Telecommunicatiewet, bleek de implementatie van cookies de grootste struikelblok voor juridische bureau's: Slechts 26% deed dit conform AVG en Telecommunicatiewet.
    Van de 50 onderzochte websites, hanteerden 18 websites onterecht geen cookie-venster. Door gebruik van bijvoorbeeld niet privacy vriendelijke Youtube maar vooral social media widgets, was dit wel op zijn plaats.
  • Versleuteling persoonsgegevens
    Van gegevensversleuteling middels SSL certificaat, waarmee https en het groene slotje wordt bemachtigd, was in 76% van de onderzochte websites sprake. Aanvullend had 8% een certificaat, maar was dit incorrect geïmplementeerd.

Het percentage partijen die alle bovenstaande aspecten juist hebben uitgevoerd komt hiermee neer op slechts 14%. Daarnaast ontbrak het bij 12% slechts aan één van bovenstaande zaken en kwamen ze daarmee in de buurt van AVG en privacy compliance.

De overige 74% voldoen op cruciale of meerdere vlakken niet aan de wetgeving. Hetgeen dat hieruit geconcludeerd kan worden, is dat kennis veelal bij de deur lijkt te stoppen op het gebied van privacy. Voor organisaties is het noodzaak om de juiste partij aan te wijzen voor een verlengstuk op theoretische of juist praktische kennis. Voor privacy compliance blijkt samenwerking  tussen juristen, programmeurs en security-experts buiten "ingewikkelde" informatiesystemen voor bijvoorbeeld zorg om, ook reeds noodzakelijk voor websites of webshops.


Privacy compliance op de website zorgeloos op correcte wijze aanvliegen?

  1. Anonimiseer analytische (Google Analytics) toepassingen;
  2. Cookie loze youtube video's;
  3. Sluit AddThis / ShareThis plugins uit;
  4. Voorkom client side Social media widgets.