image

AP: websites overtreden privacywetgeving met cookiemuur

donderdag 7 maart 2019, 13:10 door Redactie, 22 reacties

Websites die van zogeheten cookiemuren gebruikmaken overtreden de privacywetgeving, zo heeft de Autoriteit Persoonsgegevens vandaag laten weten. De privacytoezichthouder heeft inmiddels ook verschillende websites een brief gestuurd waarin wordt gesteld dat het gebruik van een cookiemuur, waarbij bezoekers de site alleen kunnen bezoeken door het toestaan van alle cookies, waaronder trackingcookies, onrechtmatig is.

De Autoriteit Persoonsgegevens ontving veel klachten van internetgebruikers over websites met cookiemuren. "De hoofdregel in Nederland en in heel Europa inmiddels is dat je als vrij burger, in een vrij land je vrij moet kunnen bewegen, op straat, in winkels, dus ook op sites. En niemand kan je dan verplichten om eerst toestemming te geven om je privacy te schenden voordat je dan die site op kunt. Die cookiemuren moeten neergehaald worden", zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, tegenover BNR.

De toezichthouder stelt dat websites dan ook met het gebruik van cookiemuren moeten stoppen. Wolfsen merkt op dat de Autoriteit Persoonsgegevens over een tijdje zal controleren of websites aanpassingen hebben doorgevoerd. Uiteindelijk kan er ook een onderzoek worden gestart dat tot handhaving kan leiden. "De grote professionele spelers worden allemaal geacht de wet te kennen en weten ook dat het niet mag. Maar voor de zekerheid leggen we het nog een keer uit", aldus Wolfsen. Via de vandaag gegeven waarschuwing wil de Autoriteit Persoonsgegevens websites zover krijgen dat ze de cookiemuren weghalen. Wanneer dit niet het geval is kunnen er sancties worden opgelegd.

Geen vrije keuze

Op de eigen website maakt de Autoriteit Persoonsgegevens duidelijk dat bij cookiemuren de toestemming niet vrijgegeven is, aangezien bezoekers zonder het geven van toestemming de website niet kunnen bezoeken. "Op grond van de AVG is toestemming niet 'vrij' als iemand geen echte of vrije keuze heeft. Of als diegene het geven van toestemming niet kan weigeren zonder nadelige gevolgen", aldus de toezichthouder. "Als op een website wordt gevraagd om toestemming voor trackingcookies en bij weigering daarvan toegang tot de website of service niet mogelijk is, staan mensen onder druk hun persoonsgegevens af en dat is onrechtmatig", voegt Wolfsen toe.

Reacties (22)
07-03-2019, 13:27 door Anoniem
Je vrij kunnen bewegen en een website bezoeken zijn toch niet één en hetzelfde?
Je mag als winkelier toch ook vragen aan een bezoeker eerst zijn helm af te zetten? Of de voordeur dicht te houden en dan zelf bepalen wie je binnenlaat? Het is een vrije keuze dan om de winkel te bezoeken als je weet wat er tegenover staat.
Mocht er dus een site zijn waar ze dit vragen is het toch aan de bezoeker om te bepalen of hij verder wilt? Lijkt mij een lastige om te bepalen dat iedere winkelier zijn voordeur open moet zetten om alle bezoekers maar binnen te laten.
07-03-2019, 13:36 door Anoniem
Ik krijg hier een heel dubbel gevoel bij. Niet alleen omdat het aleid wolfsen is die even belangrijk komt doen. Ook omdat de koekjesmuren het logische vervolg zijn van eurocratische euroregels die de euroregelaars hadden kunnen zien aankomen, bijvoorbeeld omdat ze dat aan alle kanten verteld geworden is. En dan kom je nu met je betweterige vingertje dat wat er op eurocratische eurolast opgetuigd is helemaal niet mag van de eurocratische gdpr en ons avg-kopietje.

Dan iets van gelijk betere regels bedenken enzo, dat is dan weer eurocratisch te hoog gegrepen. Eurozucht.
07-03-2019, 14:05 door Anoniem
Dat kan nog een leuke strijd worden tussen het commercieel belang en de algemene privacy belangen.
Re: https://www.isptoday.nl/opinie/verbod-cookiemuren-in-strijd-met-ondernemingsvrijheid/

Dit in de link was het standpunt in 2014.

Zijn de inzichten opeens nu zo veranderd, omdat M.Z. verklaard heeft meer oog te gaan hebben voor privacy?
Als de vos de passie preekt, boer let op je kippen a.k.a. privacy data.

Het eventuele besmettingsgevaar door het toestaan van dit soort cookies als argument wordt zelden meegeomen.
Dat is voor velen toch de hoofdoorzaak om de browser wat dichter te zetten (o.a. 3rd party content blokkering).
Tenminste voor mij het zwaarst wegende argument voor blokkeren,
want niemand kan mij immers 100% malcode vrije content garanderen als ik niet blokkeer.

Eerst zien dit, dan geloven. Men zal de voorwaarden wel weer zo veranderen, zodat het juridisch door kan gaan,
Alleen de hele groten komen er mee weg, zoals Google, facebook en Amazon e.d.
Het is als bij TV reclameblokken op prime time, de overlast moet net in belans zijn met de opbrengsten.
Gaat het te veel uiteenlopen, schiet men zichzelf in het been. 20 minuten inclusief ingelaste plaspauze.

Maar dat geldt weer niet voor de grote monopolistische spelers, die krijgen ruimte om te doen wat ze willen
als het product (u en ik) tenminste niet massaal weglopen en daar is geen kans op.

#sockpuppet
07-03-2019, 14:31 door Anoniem
Zelfs huisartsen van een heel dorp en omgeving verschuilen zich achter een cookiewall: https://www.jousterhuisartsen.nl/ Zonder gedwongen accepteren van cookies krijg je Spoed/Nood telefoonnummers NIET te zien.
Slechts een nagenoeg wit scherm wordt getoond.
Wanneer je weigert word er een cookie met de waarde "N" en een leeftijd van 365 dagen geplaatst. Voor niet techneuten die niet weten hoe ze cookies kunnen verwijderen dus een jaar lang geband!

Zelfs de privacyverklaring zit verstopt achter de cookiewall.
Zal me niets verbazen dat deze huisarsen zelf niet eens in de gaten hebben wat de sitebouwers hebben afgeleverd.

Wat een broddelwerk van deze sitebouwers!
Waanzin!
07-03-2019, 14:32 door Anoniem
De AVG is privacy *wetgeving*. De AP doet nu waar het voor wordt betaald; sites wijzen op hun tekortkomingen en de bijbehorende wetgeving.

Er zijn nog heel erg veel websites die zich (nog steeds niet) aan de wetgeving houden. Het is dus niet raar dat de AP daar achteraan gaat ? Vergeet niet - deze wetgeving is er voor een grot deel om de consument te beschermen ..

DDK
07-03-2019, 14:36 door Anoniem
En dadelijk ontdekken ze bij de AP ook nog dat je bij redelijk veel sites met één klik alles kunt toestaan. Wil je echter dit niet, moet je alles zelf eerst uit klikken en meestal zit deze optie 'verstopt' doordat je o.a. een hoop moet scrollen.

Hoop maar niet dat ze bij de AP ook nog ontdekken dat je cookie-meldingen vaak heel simpel kunt verwijderen door elementen te blokkeren.

Voor je het weet: de slapende Wolfsen loopt geen schaap in de muil. Dat is wel het laatste wat Aleid pretendeert.
07-03-2019, 15:04 door Anoniem
Lieve anoniempjes,

Jullie zijn duidelijk niet op de hoogte van de recentste wetgeving (2018) omtrent cookies. Google dat eerst even voordat je je commentaar plaatst. Dan kom je een stuk minder onbenullig over. Nu zie ik drie keer ongelofelijk slap geouwehoer, ongehinderd door enige voorkennis.
07-03-2019, 15:18 door Anoniem
Door Anoniem: Je vrij kunnen bewegen en een website bezoeken zijn toch niet één en hetzelfde?
Je mag als winkelier toch ook vragen aan een bezoeker eerst zijn helm af te zetten? Of de voordeur dicht te houden en dan zelf bepalen wie je binnenlaat? Het is een vrije keuze dan om de winkel te bezoeken als je weet wat er tegenover staat.
Mocht er dus een site zijn waar ze dit vragen is het toch aan de bezoeker om te bepalen of hij verder wilt? Lijkt mij een lastige om te bepalen dat iedere winkelier zijn voordeur open moet zetten om alle bezoekers maar binnen te laten.

Dus jij vind het ook normaal als die winkelier wel even alvorens je binnen te laten jouw NAW gegevens en je geboortedatum wil vastleggen en je vervolgens gedurende je gang door de winkel gaat volgen met een camera, en al deze gegevens ook gaat doorgeven aan willekeurig welke partij daar belangstelling en geld voor heeft? Want het is zijn winkel dus dan mag dat?
07-03-2019, 15:28 door Anoniem
Door Anoniem: Er zijn nog heel erg veel websites die zich (nog steeds niet) aan de wetgeving houden.
Correct, kijk maar naar de website van de AP zelf; https://autoriteitpersoonsgegevens.nl/nl/klachtenformulier vragen naar overbodige persoonsgegevens mag toch echt niet.
07-03-2019, 15:37 door Reinder
Ik begrijp het niet. Let wel, ik heb een hekel aan bedrijven die je verplichten marketing-cookies te accepteren, maar daar reageer ik op door die site niet te bezoeken.
Wat ik niet begrijp is het verband tussen je vrij kunnen bewegen in de publieke ruimte, en het bezoeken van de website van een commercieel bedrijf. Wat ik ook niet begrijp is het gebruik van het woord "verplicht". Het accepteren van die cookies is niet een verplichting, het is een leveringsvoorwaarde. Het zou een verplichting zijn als in de wet zou staan dat mensen alle cookies moeten accepteren, of ze nu willen of niet, en of ze nu gebruik wensen te maken van de aangeboden diensten of niet.

Aangezien niemand je dwingt om dergelijke sites te bezoeken, die sites geen publieke taak uitvoeren, en het gebruik maken van die sites ook geen voorwaarde is voor het verkrijgen van essentiele diensten als kunnen stemmen of een paspoort, lijkt het me evident dat er sprake is van een leveringsvoorwaarde, geen verplichting.

En dan nog een puntje, als het je vrij kunnen bewegen in de publieke ruimte vergelijkbaar is met het kunnen bezoeken van een website van een commercieel bedrijf, is het stopzetten van een site (of de toegang weigeren) dan vergelijkbaar met iemand in vrijheid beperken?
07-03-2019, 15:57 door Anoniem
Mooi, nu ook weer met de trein kunnen reizen zonder dat je privacy wordt geschonden en dan gaan we in dit land weer een beetje de goede kant op, want de regel is immers - zo lees ik in de woorden van de AP - dat je als vrij burger in een vrij land vrij moet kunnen bewegen zonder dat je privacy wordt geschonden, in winkels en op straat. Ik denk dat de trein ook wel in dit rijtje thuis hoort. Het past in een vrij land niet dat je als burger eerst je privacy moet laten schenden voordat je de trein in mag.
07-03-2019, 15:59 door Anoniem
Kunnen ze ook meteen die van de telegraaf meenemen
https://pasteboard.co/I4ky1s7.png
07-03-2019, 17:00 door karma4
Door Anoniem: De AVG is privacy *wetgeving*. De AP doet nu waar het voor wordt betaald; sites wijzen op hun tekortkomingen en de bijbehorende wetgeving.

Er zijn nog heel erg veel websites die zich (nog steeds niet) aan de wetgeving houden. Het is dus niet raar dat de AP daar achteraan gaat ? Vergeet niet - deze wetgeving is er voor een grot deel om de consument te beschermen ..

DDK
Eens, thnks.

Door Anoniem:
Dus jij vind het ook normaal als die winkelier wel even alvorens je binnen te laten jouw NAW gegevens en je geboortedatum wil vastleggen en je vervolgens gedurende je gang door de winkel gaat volgen met een camera, en al deze gegevens ook gaat doorgeven aan willekeurig welke partij daar belangstelling en geld voor heeft? Want het is zijn winkel dus dan mag dat?
Eens dat zoiets van de zotte is , thnks. (de ongelijkheid fysiek cyber is overduidelijk)
07-03-2019, 17:24 door Anoniem
Sorry, maar het wordt weer eens veel te algemeen voorgesteld.
Het gaat om tracking cookies (cookies die bedoeld zijn om u te kunnen volgen) die men niet mag opdringen.

Wat zijn tracking cookies? Bijv. even kijken op:
https://www.consumentenbond.nl/internet-privacy/wat-zijn-cookies

En daar valt wel degelijk iets voor te zeggen.
07-03-2019, 17:57 door Anoniem
Door karma4:

Door Anoniem:
Dus jij vind het ook normaal als die winkelier wel even alvorens je binnen te laten jouw NAW gegevens en je geboortedatum wil vastleggen en je vervolgens gedurende je gang door de winkel gaat volgen met een camera, en al deze gegevens ook gaat doorgeven aan willekeurig welke partij daar belangstelling en geld voor heeft? Want het is zijn winkel dus dan mag dat?
Eens dat zoiets van de zotte is , thnks. (de ongelijkheid fysiek cyber is overduidelijk)
Die ongelijkheid valt in praktijk tegen: wanneer een website de facebook-plugin gebruikt, en je geeft toestemming geef jij daarmee minimaal jouw volledige naam en telefoonnummer mee.
Dan heb je maar twee verschillen met een winkelier: 1. Dat het je expliciet duidelijk is dat de winkelier om persoonsgegevens vraagt, online is dat niet. 2. De winkelier jouw gegevens heeft, online de website zelf waarschijnlijk niet maar facebook daarentegen wel (al weet je niet wat voor 'n deal ze met facebook hebben, met de kennis van nu zou het mij niet verbazen als winkeliers een lijstje met namen en telefoonnummers van hun bezoekers kunnen kopen). Geldt ook voor mensen die geen facebook gebruiken, in praktijk zal facebook van minimaal 95 procent van de mensen hun naam en telefoonnumme hebben.
07-03-2019, 18:11 door Anoniem
Door Reinder: Wat ik niet begrijp is het verband tussen je vrij kunnen bewegen in de publieke ruimte, en het bezoeken van de website van een commercieel bedrijf.
Dat is een uitspraak van een ex-politicus, die via het bekende baantjescarrousel bij de AP terechtgekomen is. Dus niet omdat hij ook maar enige kennis van privacy heeft en de capaciteiten voor deze functie bezit.
Dit soort uitspraken kun je het beste dan ook maar met een zandkoekje nemen.
08-03-2019, 08:33 door Anoniem
Door dit artikel viel het me pas op hoeveel bedrijven er achter zo'n cookiewall zitten. Sommige daarvan bieden wel aan om de cookie instellingen aan te passen maar de statistische cookies moeten wel worden geaccepteerd. Die kun je niet uitzetten. Een paar willekeurige voorbeelden van grote bedrijven waarvan ik het eigenlijk not done vind: NU.nl en bnr.nl maar ook een NPO.nl en nog veel meer. u7
08-03-2019, 08:34 door karma4
Door Anoniem:
Die ongelijkheid valt in praktijk tegen: wanneer een website de facebook-plugin gebruikt, en je geeft toestemming geef jij daarmee minimaal jouw volledige naam en telefoonnummer mee. …....
in praktijk zal facebook van minimaal 95 procent van de mensen hun naam en telefoonnumme hebben.
Web trackers is echt niet dat ene facebook-pixel gebeuren.
Op een gangbare website zitten er snel zo'n 8 of meer. https://www.security.nl/posting/559554/Test+Verzekeraar+Websites+op+Security+%26+Privacy+%28%232%29

Google analytics is de standaard voor webwinkels. https://marketingplatform.google.com/about/analytics/
De data over jou, hoe lang je naar iets keek welk product, alles zit bij google. De web-winkelier krijgt zijn rapportjes hoe goed zijn winkel het doet.
Nu dacht je dat amazon (AWS cloud) wel schoon zou zijn https://mashable.com/2018/04/14/google-amazon-facebook-cambridge-analytica/?europe=true. Hoe zijn ze zo machtig geworden? https://aws.amazon.com/big-data/datalakes-and-analytics/ Ze verlenen diensten en cloud-services. Ze zitten net als google overal tussen.


Als we dat in een fysieke winkel zouden moeten nadoen, dan:
- bij binnenkomst in een willekeurige winkel springen uit een hoek zo 4 man op je af met camera's en recorders.
Het zijn de concurrerende (zeggen ze) uit wat goten bekende ketens.
- Ze volgen wat je daar in die winkel doet waar je naar kijkt waar wat je koopt en wat niet.
- Soms vragen ze ook wat je van he artikel vind.
- Lopen mee met je naar de kassa en helpen jouw en de winkelier bij de afrekening en het inpakken.
- Wil je een garantie of een bezorging dan komt je naam en adres mee
- De collega's van deze vriendelijke helpers staan er bij de volgende winkel of attractie ook weer.

Ik zou wel eens een uitgewerkt filmpje van zoiets willen zien in de fysieke wereld. De kolde spat er van af.
Dan vinden we het in de cyberwereld ineens heel normaal. Fantastisch hoe je geholpen wordt en allemaal zo modern in de vaart der volkeren. Heb je echt niet door dat de winkelier wat moet afstaan voor die hulp en jij en dat er achterliggende partijen van alles weten wat ze gebruiken om hun positie verder te versterken?
08-03-2019, 10:15 door Anoniem
Door Anoniem: Ik krijg hier een heel dubbel gevoel bij. Niet alleen omdat het aleid wolfsen is die even belangrijk komt doen. Ook omdat de koekjesmuren het logische vervolg zijn van eurocratische euroregels die de euroregelaars hadden kunnen zien aankomen, bijvoorbeeld omdat ze dat aan alle kanten verteld geworden is. En dan kom je nu met je betweterige vingertje dat wat er op eurocratische eurolast opgetuigd is helemaal niet mag van de eurocratische gdpr en ons avg-kopietje.

Dan iets van gelijk betere regels bedenken enzo, dat is dan weer eurocratisch te hoog gegrepen. Eurozucht.

Ik heb de cookiewet ook echt gelezen, wat de meeste mensen doen met dit hele cookie verhaal heeft niks te maken met wat in de cookiewet staat. Het is een soort cover-your-ass-management, de meeste website moeten helemaal geen melding geven zoals ze dat nu doen. Maar het is de simpelste/minste werk manier en het is de: dat is wat anderen doen, dus zal wel goed zijn.
08-03-2019, 11:48 door Anoniem
Het is duidelijk en goed geregeld wat er wel/niet mag op cookiegebied:

https://www.rijksoverheid.nl/onderwerpen/telecommunicatie/vraag-en-antwoord/mag-een-website-ongevraagd-cookies-plaatsen:

1. Websites moeten bezoekers toestemming vragen voor plaatsing van cookies.
2. Niet voor alle cookies is toestemming nodig, zoals voor analytische cookies en functionele cookies.
3. Voor tracking cookies is altijd toestemming vereist!
4. Websites kunnen bij de plaatsing van cookies ook persoonsgegevens verwerken, bijv. een bank. Dit mag alleen volgens de regels van de AVG.


Opmerking:
Tracking cookies gaan over derde partijen die jou surfgedrag volgen/bespioneren. Het zijn meestal advertentiebedrijven.
Dit is bovendien een threat: het komt af en toe wel eens voor dat een advertentie door een meekijkende derde partij wordt verstuurd die malware bevat en je computer besmet.
Het lijkt me dus 100% duidelijk waarom er geen tracking cookies verplicht mogen worden opgedrongen.
08-03-2019, 23:08 door Anoniem
Door Anoniem: Het is duidelijk en goed geregeld wat er wel/niet mag op cookiegebied:

https://www.rijksoverheid.nl/onderwerpen/telecommunicatie/vraag-en-antwoord/mag-een-website-ongevraagd-cookies-plaatsen:

1. Websites moeten bezoekers toestemming vragen voor plaatsing van cookies.

Hiermee is de wet helaas blijkbaar toch nog te vaag gebleken.

Het enige dat (tot nu toe) geregeld was, was dat er toestemming gevraagd moest worden.
Maar er staat niet in dat toegang ontzegd mag of moet worden bij het antwoord "nee".

Dat is helaas echter wel wat er gebeurd is bij die cookie-walls.
De interpretatie van de site-bouwers/beheerders.

"U zegt nee, dan komt u er ook niet in. Uw klandizie kunnen we missen als kiespijn."

God zij dank zijn er alternatieve sites (en middelen) om dit soort blokkades te vermijden.
09-03-2019, 10:53 door Anoniem
Ik vind dat "cookiemeldingen", of het nou popups of overlays of van die irritante randen die de rest van de pagina naar
beneden schuiven zijn, verboden moeten worden ipv verplicht.
Of je al of niet wilt dat er tracking cookies geplaatst worden dat geef je al aan met de DNT header. Doe daar mee wat
nu die cookiemeldingen doen en als je bezoekers die geen trackingcookies willen accepteren niet op je site wilt hebben
geef dat dan aan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.