Vervang in dit artikel "Facebook" met "Adobe tracking" .

Bijvoorbeeld 'de bank' en veel andere websites laten de meekijk-techniek die op hun website draait buiten hun privacy policy vallen door te stellen dat zij daar geen invloed op hebben.

Dat is niet waar want men is zelf de baas over eigen website en kan dus bepalen om dit wel of niet toe te staan.

Gek genoeg is het embedden van privacy schendende code geen enkel probleem in combinatie met botweg claimen dat je daar geen invloed op hebt en dus geen verantwoordelijkheid draagt.

Alsof je een taxichauffeur bent en een zakkenroller uitnodigt de hele dag mee te rijden en tegen elke klant zegt dat meerijden op eigen risico is want niet verantwoordelijk en aansprakelijk voor de veiligheid in de auto.
Want geen invloed op wie er instapt.

Een schijfje van een terabyte kost niks meer. En trafic ook niet. Dat like gifje of die transparante pixel hoeft echt niet meer van een andere server te komen. Als mensen ergensop willen klikken, dat moeten ze zelf weten. Daarvan is men zich ook steeds beter bewust. Maar data voeren over bezoekers die er helemaal geen interesse in hebben, over my dead body. Het kost me ook echt niks meer aan storage, traffic of resources. Het is vies met je bezoekers omgaan als je die like dingen nog gebruikt.

Van mij mogen de browsers dat allemaal gewoon blokkeren. Je kunt ook honderd nette like knoppen zetten als je daar even aandacht aan besteedt. Heb je geen VMBO diploma voor nodig.

Laatst stelde ik de privacy policy van mijn website op. Ik moet bezoekers informeren over de Facebook like knop, twitter share knop, Youtube videos, Vimeo videos, google fonts wellicht (?), google maps, affiliate banners.

Maar ik weet helemaal niet wat al die bedrijven wel of niet doen.

Maar als je hun verwerking een onderdeel van jouw website maakt en dus voor jouw bezoekers de keuze maakt dat die andere sites gegevens verwerken, dan maak je jezelf er wel verantwoordelijk voor, ook als je geen zicht hebt op wat die andere sites er eigenlijk mee doen. En een IP-adres is al een persoonsgegeven, dus je hebt het over verwerking van persoonsgegevens.

Als jouw website content van andere servers dan de jouwe ingebed heeft dan zou je moeten beseffen dat je daarmee verwerking uitbesteedt aan een andere partij. Omdat daar onvermijdelijk iets bij zit dat een persoonsgegeven is (het IP-adres) heb je met de AVG te maken en heb je de verwerkersovereenkomst met die ander nodig die de AVG vereist. Dat is basale logica, ook als de consequentie van die basale logica lijnrecht ingaat tegen alles waar je onnadenkend aan gewend bent geraakt.

Ik heb, voordat de meer dynamische mogelijkheden van websites met Ajax, jQuery en wat er nog meer is beschikbaar kwamen, als automatiseerder voor een werkgever die met zijn tijd meeging meegebouwd aan een grote webapplicatie, en ik heb voor een aantal mensen toen statische websites gebouwd. Ik snapte toen al dat content van derden inbedden betekende dat je informatie over je bezoekers aan die derden gaf zonder dat je bezoekers daar een keuze in hadden. Toen alles dynamischer werd heb ik me verbaasd over de nonchalance waarmee de meerderheid van de websites van libraries als jQuery niet zelf een exemplaar hostten maar dat van centrale plaatsen haalden, de nonchalance waarmee allerlei complexe content als de zwaar op Flash en JavaScript leunende advertenties werden opgenomen, en natuurlijk like-buttons van Facebook en dergelijke.

Iedereen die beseft dat er dan een request naar een andere server dan je eigen server gaat moet snappen dat je een keuze over het verwerken van mogelijk privacygevoelige gegevens door anderen voor je bezoekers maakt, en iedereen die iets inbedt dat op heel veel sites voorkomt moet snappen dat mensen daarmee heel uitgebreid gevolgd kunnen worden. Wie een greintje fatsoen heeft zou moeten beseffen dat het niet aan hem of haar is om die keuze voor een ander te maken. En de tijd waarop je nog kon redelijk veilig kon aannemen dat die andere partijen geen rare dingen zouden doen met gegevens waarover ze kunnen beschikken is al lang en breed achter de rug, de verdienmodellen van bedrijven als Google en Facebook zijn algemeen bekend.

Dat heeft consequenties, en die consequenties zijn ingrijpend als je ze naast de gangbare praktijk legt. We hebben de GDPR omdat bedrijven en webontwikkelaars die consequenties kennelijk massaal niet onder ogen zien of willen zien en omdat we in Europa politici hebben die kennelijk meer verstand en realiteitszin vertonen, en die in dit geval snappen dat ze geen verdienmodellen van bedrijven vertegenwoordigen maar de burgers waarop die verdienmodellen worden losgelaten.

Ik ben benieuwd of de rechter het advies van de advocaat-generaal zal volgen. In mijn ogen zou het volkomen terecht zijn, dit is precies waarom we de GDPR hebben namelijk.

TROLOLOL
Websites met een Facebook like-knop mogen alleen met toestemming van gebruikers persoonsgegevens verzamelen en doorsturen naar de sociale netwerksite. Dat stelt advocaat-generaal Michal Bobek van het Hof van Justitie in een conclusie (pdf).
TROLOLOL

maar wat fuckyfuckbook doet mag wel zonder toestemming, gegevens zomaar beschikbaar stellen aan anderen.