AP start binnenkort onderzoek naar website cookies

Het wellicht voor velen gevreesd moment lijkt aan te breken: De privacy toezichthouder lijkt omgang met cookies door websites op de radar te zetten. Zowel Consumentenbond als wijzelf wisten via onderzoeken de cookie-mankementen aan te tonen, NOS ging een stap verder.

NOS heeft geautomatiseerd 10.000 websites bezocht om de voorgeschotelde cookies te analyseren. Daarvan bleken 3237 websites cookies te plaatsen. Uiteindelijk gingen 1341 de mist in binnen de privacy-wetgeving, door ook tracking cookies direct te plaatsen.

Wat is niet meegenomen in het onderzoek

Het bericht van NOS richt zich specifiek op cookies en tracking mechanismen. Onderstaande zaken waarmee de privacy in het geding kan komen, zijn niet meegenomen in het cookie-onderzoek:

  • Daar waar op grondslag toestemming wordt beroept (zoals dus voor het plaatsen van cookies), moet deze toestemming conform AVG wetgeving ook weer kunnen worden ingetrokken. Hier is in het onderzoek niet op gecontroleerd;
  • Alhoewel cookie-muren (ook bekend als cookie-walls) onder de ePrivacy verordening straks niet meer mogen, zullen ze geen initiële cookies plaatsen. Een cookie-opzet welke daardoor onder de radar van dit onderzoek is gebleven;
  • Naast cookies, valt de privacy ook op een andere wijze te schenden. Denk aan het verwerken van persoonsgegevens via contactformulieren. Wanneer er geen sprake is van het groene slotje en https, is er sprake van onvoldoende technische maatregelen om de privacy te waarborgen;
  • Naast persoonsgegevens die actief ingevuld zullen worden, kunnen ook herleidbare persoonsgegevens als ip-adressen worden verwerkt. Indien bijvoorbeeld Google Analaytics niet geanonimiseerd is, gebeurt dit niet conform AVG wetgeving, waarmee er sprake is van gegevensverwerking waarvoor vaak geen toestemming is gegeven;
  • Gecategoriseerde toestemmings-vraag ontbreekt nog vaak. Dit is op zijn plaats wanneer een cookie-melding niet voldoende de lading dekt.

Techniek kan dus al snel tot een non-compliant situatie leiden. Dusdanig dat 86% van juridische bureau's met IT of privacy in hun portfolio, niet wist te voldoen aan de AVG wetgeving, bleek uit eigen onderzoek.

Incorrecte cookie-implementatie

Buiten bovenstaande gebreken om, blijft puur het plaatsen van cookies over. In 1341 gevallen werd door gebrek aan het vragen van toestemming of incorrecte implementatie, niet voldaan aan de privacy wetgeving. Vervolgvraag is, wat kunnen de oorzaken van een onjuiste cookie implementatie zijn?

Kwade opzet bij plaatsen van cookies

Soms kan er sprake zijn van kwade of bewuste opzet. Voor sommige organisaties weegt in hun optiek de waarde van de data zwaarder dan de privacy van website bezoekers. Dit kan als gevolg hebben dat een website dusdanig geconfigureerd is dat het geen toestemming vraagt, of wellicht enkel decoratief en non-functioneel om toestemming vraagt.

Onwetendheid rondom cookies

Charlotte Meindersma haalt in een reactie in het NOS artikel aan, dat er bij toepassing van trackers en cookies, soms onwetendheid in het spel kan zijn.
Dit kan gebeuren wanneer een website door een webbureau gebouwd wordt dat bijvoorbeeld minder bekend is met de privacy wetgeving en plugins of toepassingen instelt in de website, waarmee de privacy (overigens al dan niet via cookies) in het geding komt. 

Bijvoorbeeld: Social media share plugins die blind zijn toegepast of het tonen van een youtube video op je website kan onschuldig lijken. In het laatste geval zal er onder meer een cookie geplaatst worden indien Youtube video's niet op privacy vriendelijke wijze worden voorgeschoteld. Middels zo een cookie, kan Youtube je kijkgedrag bijhouden en daar op inspelen. Dit gebeurde bijvoorbeeld nog in blogs op Charlotte's website, waarbij we haar hebben getipt Youtube op cookie-loze wijze toe te passen.

Juiste cookie-implementatie is veel werk

Data en marketing branche organisatie DDMA geeft aan dat het lastig is te voldoen, omdat een website continue verandert. Dat een website vaak verandert, is correct. Dit hoeft echter geen reden te zijn om cookies incorrect te serveren, wanneer dit in de basis is getackeld en er afspraken over zijn gemaakt.

Marketeers gebruiken vaak Google Tag Manager (GTM) om zelf JavaScripts en trackers toe te passen binnen een website. Dit kan een valkuil zijn in geval van ontwetendheid, alhoewel een privacy-aanspreekpunt in combinatie met afspraken dit kunnen voorkomen. GTM ondersteunt namelijk de mogelijkheid om trackers toe te passen onder bepaalde condities (of triggers, zoals GTM het zelf noemt). Bijvoorbeeld, als er toestemming is gegeven voor het plaatsen van cookies. Ook deze toestemmings-vraag c.q. cookie-melding, kan via Google Tag Manager worden opgeworpen.

Ondanks dat een website in beweging kan zijn, kan bij elk nieuwe wens voor een tracker, afgesproken worden dat dit in een centraal punt, zoals GTM, onder de juiste conditie wordt toegepast. Soms worden cookies direct vanuit de website geserveerd, waarvoor ook geldt dat de website op toestemming kan controleren.

Wanneer een website veel social media toepassingen en advertenties wenst te plaatsen waarmee cookies gepaard gaan, kan het wat tijd kosten dit met terugwerkende kracht correct in te regelen. Dit heeft als gevolg dat het opwerpen van een blokkerende cookie-muur minder arbeidsintensief is. Deze cookie-muren zijn vooral terug te zien bij RTL websites.

Alhoewel DDMA middels een toestemmings-vraag voor cookieplaatsing privacy compliant is, kan toestemming niet op laagdrempelige wijze weer worden ingetrokken. Intrekken van toestemming dient op grond van de AVG echter voor de betrokkene net zo eenvoudig te zijn als het geven daarvan. 

Cookies en compliance

Naar aanleiding van het artikel van de NOS, heeft de Autoriteit Persoonsgegevens aangegeven dit zelf binnenkort onder de loep te nemen:

Hieruit blijkt dat veel websites mogelijk de wet overtreden. We gaan op korte termijn zelf een onderzoek beginnen naar de naleving van privacyregels door websites

Werk aan de winkel dus, voor veel partijen, waaronder voor de partijen die binnen het NOS onderzoek om repliek is gevraagd. Waar voor specifiek cookies geldt dat partijen moeten vast houden aan het Privacy by Design en Privacy by Default credo's (zoals dus bij de bouw van een website), geldt voor privacy in het algemeen dat het veel aandachtspunten heeft. Er zijn veel zaken om in ogenschouw te houden, waardoor krachten bundelen met juiste (AVG compliant) partners wordt benadrukt.

Volgende week lichten we toe welk ander onverhoopt risico het (laten) plaatsen van tracking mechanismen op een website met zich mee neemt voor verwerker en verwerkings­verantwoordelijke.

Ondertussen meer weten over cookies, of hulp benodigd? We horen het graag!

Meer over cookies Contact opnemen