image

Toezichthouder verklaart cookiebeleid Duitse techwebsite Heise.de illegaal

vrijdag 14 juli 2023, 10:02 door Redactie, 14 reacties

Een Duitse privacytoezichthouder heeft het cookiebeleid van Heise.de, één van de grootste techwebsites van Duitsland, illegaal verklaard, zo meldt privacyorganisatie noyb. De website was alleen te bezoeken als gebruikers trackingcookies toestonden of een betaald abonnement namen. Een aanpak die volgens de databeschermingsautoriteit van de Duitse deelstaat Neder-Saksen onrechtmatig is.

Volgens noyb, dat bij de toezichthouder over de werkwijze van Heise.de had geklaagd, is de uitspraak een nieuwe klap voor nieuwssites die een dergelijk businessmodel hanteren. Verder onderzoek van de toezichthouder wees ook uit dat persoonlijke data al werd verwerkt bij het openen van de website, voordat gebruikers zelfs toestemming voor trackingcookies hadden gegeven.

Tevens oordeelde de toezichthouder dat Heise.de op onrechtmatige wijze gebruikmaakte van nudging om gebruikers voor eigen gewin te beïnvloeden. Daarnaast was de toestemming van gebruikers niet geïnformeerd, specifiek of vrijelijk gegeven. Het was ook lastig om eerder gegeven toestemming op een later moment in te trekken, waardoor er volgens de toezichthouder geen juridische basis was voor het verwerken van persoonsgegevens.

De toezichthouder besloot Heise.de alleen een reprimande te geven, tot ongenoegen van noyb. "De AVG vereist 'specifieke' toestemming voor elk type verwerking. We zijn blij met de beslissing, maar na jaren van het schenden van de wet is een reprimande geen adequate oplossing voor obscure "Pay or Okay" systemen. Alleen een reprimande gaat anderen er niet van weerhouden om deze aanpak te kiezen."

In een reactie op de beslissing van de toezichthouder heeft Heise.de de cookiebanner aangepast, waarbij gebruikers in het eerste scherm nog steeds alleen kunnen kiezen om alle trackingcookies toe te staan of te betalen. Pas in een tweede scherm van de cookiebanner is er de optie om trackingcookies te weigeren. Volgens noyb blijkt uit onderzoek dat slechts twee procent van de gebruikers de tweede laag van een cookiebanner opzoekt om de instellingen aan te passen. Noyb laat weten dat het daarom opnieuw een klacht over de techwebsite bij de toezichthouder zal indienen.

Reacties (14)
14-07-2023, 10:47 door Anoniem
Dan mogen ze in Nederland ook even naar http://9292.nl gaan kijken...
Daar is de cookie pop-up zo agressief dat je ze wel MOET toestaan.

1. Je hebt een grote blauwe knop "alle functionaliteiten".
2. enige andere knop is "instellingen". Laten we daarop klikken.
3. Zet bij alle doelen de toestemming uit.
4. Zet bij alle doelen "legitiem belang" uit?
5. Je kan essentiële cookies niet uitzetten. (Hier zit google analytics bij in.)
6. klik op de grijze "Opslaan en afsluiten" knop die LINKS zit.
7. Dus niet op die verraderlijk prominente "alle functionaliteiten" knop daarnaast.

Ten slotte nog de vraag of je naast alle doelen ook nog alle "leveranciers" uit moet zetten.
Die lijst is zo lang dat ik na een kwartier klikken nog niet klaar ben...

"Powered by Usercentrics Consent Management"
14-07-2023, 11:15 door johanw
Het is ondertussen makkelijker om trackers en reclame maar gewoon allemaal te blokkeren. Dan hebben ze maar geen inkomsten.
14-07-2023, 11:19 door Erik van Straten
Misschien moet "onze" AP eens naar websites van Nederlandse gemeenten kijken, de meesten lijken Google Analytics of vergelijkbare meegluurders te gebruiken: https://security.nl/posting/802244.

Eerder deze maand werden Zweedse bedrijven daar nog voor beboet: https://www.bleepingcomputer.com/news/security/google-analytics-data-transfer-to-us-brings-1-million-fine-to-swedish-firms/.
14-07-2023, 12:40 door Anoniem
Door Erik van Straten: Misschien moet "onze" AP eens naar websites van Nederlandse gemeenten kijken, de meesten lijken Google Analytics of vergelijkbare meegluurders te gebruiken: https://security.nl/posting/802244.

Eerder deze maand werden Zweedse bedrijven daar nog voor beboet: https://www.bleepingcomputer.com/news/security/google-analytics-data-transfer-to-us-brings-1-million-fine-to-swedish-firms/.

Onze waakhonden doen daar niet aan... wel veel roepen, maar niet zoveel doen.
14-07-2023, 12:42 door Anoniem
Door Anoniem: Dan mogen ze in Nederland ook even naar https://9292.nl gaan kijken...
Daar is de cookie pop-up zo agressief dat je ze wel MOET toestaan.
Die site heeft helemaal geen cookie pop-up :-).

Websites van DPG Media doen overigens ook niet anders. Alleen bij Tweakers hebben zij eindelijk het licht gezien. Toegeven dat het clandestien was, zat er dan weer net niet in.
14-07-2023, 13:16 door Erik van Straten
14-07-2023, 15:35 door Anoniem
Door Anoniem:
Door Anoniem: Dan mogen ze in Nederland ook even naar https://9292.nl gaan kijken...
Daar is de cookie pop-up zo agressief dat je ze wel MOET toestaan.
Die site heeft helemaal geen cookie pop-up :-).
Niet als je alleen scripts van de site zelf toestaat. Sta je alles toe dan zie je de genoemde pop-up wel degelijk.

Al die partijen die "legitiem belang" claimen slaan voor het gemak over om uit te leggen over welk gerechtvaardigd belang ze het eigenlijk hebben (en ze zijn verplicht dat te vermelden), waarom de gegevensverwerking noodzakelijk is om dat belang te behartigen, en waarom dat belang zwaarder weegt dan de belangen van de betrokkene. Ik ben er behoorlijk zeker van dat als ze het wel zouden vertellen het neer zou komen op: "dit is ons verdienmodel dus is dit legitiem en noodzakelijk, en aan jullie belangen hebben we geen boodschap dus wegen die van ons zwaarder". En dat is niet goed genoeg. Ik vermoed dat een advertentienetwerk nooit gerechtvaardigd belang kan claimen om mensen te tracken maar dat enkel op basis van toestemming mag doen.
14-07-2023, 16:00 door EersteEnigeEchte M.J. - EEEMJ
Door Anoniem:
Door Anoniem:
Door Anoniem: Dan mogen ze in Nederland ook even naar https://9292.nl gaan kijken...
Daar is de cookie pop-up zo agressief dat je ze wel MOET toestaan.
Die site heeft helemaal geen cookie pop-up :-).
Niet als je alleen scripts van de site zelf toestaat. Sta je alles toe dan zie je de genoemde pop-up wel degelijk.

Al die partijen die "legitiem belang" claimen slaan voor het gemak over om uit te leggen over welk gerechtvaardigd belang ze het eigenlijk hebben (en ze zijn verplicht dat te vermelden), waarom de gegevensverwerking noodzakelijk is om dat belang te behartigen, en waarom dat belang zwaarder weegt dan de belangen van de betrokkene. Ik ben er behoorlijk zeker van dat als ze het wel zouden vertellen het neer zou komen op: "dit is ons verdienmodel dus is dit legitiem en noodzakelijk, en aan jullie belangen hebben we geen boodschap dus wegen die van ons zwaarder". En dat is niet goed genoeg. Ik vermoed dat een advertentienetwerk nooit gerechtvaardigd belang kan claimen om mensen te tracken maar dat enkel op basis van toestemming mag doen.

Inderdaad, dat soort redeneringen. Ik weet zelf van een casus waarin de AP op enig moment "de bedrijfsvoering" van een bedrijf als reden zag waarom de verwerking van persoonsgegevens "noodzakelijk" zou zijn. De AP weigerde om die reden te handhaven. Noch de AP, noch het bedrijf zelf vonden het noodzakelijk om duidelijk te maken waarom "de bedrijfsvoering", waarvoor jarenlang geen verwerking van persoonsgegevens van klanten nodig was geweest, die verwerking opeens wel nodig zou maken. In feite ging het alleen om de wens van het bedrijf om een systeem in te voeren waarvan die gegevensverwerking deel uitmaakte. Er werd zelfs niet aangetoond dat dat systeem efficiënter was of kosten bespaarde.

Van de Nederlandse bestuursrechters hoefde dat ook niet te worden aangetoond - terwijl artikel 5, tweede lid van de AVG dat wel vereist. Kan niet boeien. De AP en het bedrijf stonden wat betreft onze brave, "onafhankelijke" rechters boven de wet (ook al mocht dat niet zo worden genoemd). Die rechters waren dus ongeveer even onafhankelijk als Poetins rechters in Rusland. Alleen andere bazen naar wiens pijpen ze dansten.

In Oekraïne worden er momenteel met hulp van West-Europese landen dingen verdedigd die heel waardevol en noodzakelijk zijn. Maar "the rule of law" zit daar vooralsnog niet bij, want die hebben we niet echt in landen als Nederland. Er zijn in Nederland wel mensen die de wet serieus willen volgen, maar die zitten momenteel (nog?) niet op cruciale plaatsen, bijv. de Raad van State als hoogste rechterlijke instantie. Daar zitten helaas mensen die de wet willen gebruiken of negeren, naar gelang het hun en hun politieke vrienden het handigste uitkomt.

M.J.
14-07-2023, 16:08 door johanw
Door EersteEnigeEchte M.J. - EEEMJ:
In Oekraïne worden er momenteel met hulp van West-Europese landen dingen verdedigd die heel waardevol en noodzakelijk zijn

Zoals? Het recht om Amerikaanse presidentszoontjes om te kopen, oppositie partijen massaal te verbieden, mensen te verbieden bepaalde talen te spreken en mensen die dat toch doen beschieten en verbranden, zoals dat na de revolutie van 2014 gebeurde?
14-07-2023, 16:15 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 14-07-2023, 16:18
Door johanw:
Door EersteEnigeEchte M.J. - EEEMJ:
In Oekraïne worden er momenteel met hulp van West-Europese landen dingen verdedigd die heel waardevol en noodzakelijk zijn

Zoals? Het recht om Amerikaanse presidentszoontjes om te kopen, oppositie partijen massaal te verbieden, mensen te verbieden bepaalde talen te spreken en mensen die dat toch doen beschieten en verbranden, zoals dat na de revolutie van 2014 gebeurde?

Dit is niet de plek om het over de oorlog Rusland-Oekraïne te hebben (off-topic). Ik noemde het alleen om de hypocrisie te benadrukken die in onze eigen, Nederlandse politiek en rechterlijke macht wijdverbreid is als het gaat om de bescherming van grondrechten, waaronder het recht op privacybescherming, inclusief bescherming tegen de privacy-aantastingen die door middel van cookies worden gepleegd. In het geval van cookies lijkt het of de rechtsstaat vanuit buurlanden weer naar Nederland geïmporteerd moet worden, of door individuele privacy officers of FG's moet worden opgebouwd, terwijl de AP en de Nederlandse rechters daar een beetje achteraan hobbelen. M.J.
15-07-2023, 09:29 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 15-07-2023, 09:33
Door EersteEnigeEchte M.J. - EEEMJ: (...) In het geval van cookies lijkt het of de rechtsstaat vanuit buurlanden weer naar Nederland geïmporteerd moet worden, of door individuele privacy officers of FG's moet worden opgebouwd, terwijl de AP en de Nederlandse rechters daar een beetje achteraan hobbelen. M.J.

Ik ben net door een Nederlandse privacy officer geattendeerd op een in maart 2022 uitgekomen handreiking met richtlijnen van EDPB (samenwerkingsorgaan van Europese privacy-toezichthouders) hoe om te gaan met "dark patterns" (donkere patronen) op gebruikersinterfaces van web-applicaties. Dat is relevant voor de manier waarop mensen worden gemanipuleerd om tracking cookies te accepteren. Ik had deze publicatie gemist. De aanleiding voor deze richtlijnen wordt door EDPB als volgt verwoord:

The term “user experience” corresponds to the overall experience users have with social media platforms, which includes the perceived utility, ease of use and efficiency of interacting with it. User interface design and user experience design have been evolving continuously over the last decade. More recently, they have settled for ubiquitous, customised and so-called seamless user interactions and experiences: the perfect interface should be highly personalised, easy to use and multimodal.

Even though those trends might increase the ease of use of digital services, they can be used in such a way that they primarily promote user behaviours that run against the spirit of the GDPR. This is especially relevant in the context of the attention economy, where user attention is considered a commodity. In those cases, the legally permissible limits of the GDPR may be exceeded and the interface design and user experience design leading to such cases are described below as “dark patterns”.

In the context of these Guidelines, “dark patterns” are considered interfaces and user experiences implemented on social media platforms that lead users into making unintended, unwilling and potentially harmful decisions in regards of their personal data. Dark patterns aim to influence users’ behaviours and can hinder their ability “to effectively protect their personal data and make conscious choices”, for example by making them unable “to give an informed and freely given consent”.

Bron: https://edpb.europa.eu/system/files/2022-03/edpb_03-2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf, pp. 6-7.

Het feit dat Europese privacy-toezichthouders, waaronder de AP, dergelijke manipulatie duidelijk benoemen en relevant achten voor de bescherming van persoonsgegevens, is op zich een belangrijke stap vooruit. Als de AP binnen de EDPB daaraan constructief heeft meegewerkt, valt dat op zich te prijzen.

Blijft echter het feit dat "men" (want EDPB opereert zeker niet in een vacuüm) weliswaar binnen digitale omgevingen wat meer veiligheid wil scheppen, maar dat men de olifant in de kamer niet wil zien of althans zo min mogelijk benoemen, namelijk de inherente onveiligheid van digitale verwerking van persoonsgegevens vergeleken met analoge verwerking, en welke consequenties uit die inherente onveiligheid zouden moeten worden getrokken met het oog op:
-- het principe van data-minimalisatie,
-- het subsidiariteitsbeginsel (als eenzelfde doel ook met minder data-verwerking kan worden bereikt, dan moet voor die minder invasieve benadering worden gekozen) en
-- overweging (15) van de AVG (technologieneutrale beoordeling van de aanvaardbaarheid van afgedwongen data-verwerking):

(15) Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technologieën. De bescherming van natuurlijke personen dient te gelden bij zowel geautomatiseerde verwerking van persoonsgegevens als handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand. (...)

Het is op zichzelf prima om "bewustzijn" te bevorderen van risico's bij digitale data-verwerking (bijv. manipulatie met behulp van donkere patronen), en om daar richtlijnen over uit te vaardigen, maar dat lijkt nu mede te dienen als doekje voor het bloeden en als schaamlap om de meer fundamentele nadelen van digitale data-verwerking ten opzichte van analoge data-verwerking en ten opzichte van èchte data-minimalisatie te kunnen blijven negeren.

Als EDPB de "spirit of GDPR" relevant acht, dan zou de EDPB niet moeten blijven dweilen met de kraan open, maar moeten opkomen voor het zo veel mogelijk dichtdraaien van die kraan, omwille van de data-security van alle Europese burgers. Maar ja, dan zou EDPB in conflict komen met uitermate sterke krachten die binnen de EU aansturen op digitalisering van zoveel mogelijk processen, tot de meest intieme processen toe (als ze een reden zouden kunnen vinden om het openen van een verpakte condoom te digitaliseren, zouden ze dat doen - zonder enige schaamte). Dit willen deze krachten juist omdat (afgedwongen) digitalisering totale controle zoveel makkelijker en data-roof zoveel winstgevender maakt. EDPB durft het kennelijk niet aan om deze krachten serieus tegen de haren in te strijken. Het lijkt er zelfs op dat EDPB echte veiligheid voor burgers niet eens (meer) wil of durft te willen.

Dit is één van de meest fundamentele gevaren die ons nu bedreigt, en waaraan ook de problematiek van tracking cookies raakt. Namelijk het gevaar dat wij echte privacy niet eens meer durven te willen, en dat wij ons op den duur niet eens meer zullen kunnen voorstellen wat echte privacy inhoudt.

Dat is het fundamentele "dark pattern" dat de afgelopen jaren op manipulatieve wijze over ons wordt uitgerold, onder andere door verkapte lobby-organisaties zoals ECP, die inmiddels ook bezig is privacy-organisaties zoals Stichting Privacy First in te kapselen.

M.J.
15-07-2023, 17:35 door Anoniem
Door Anoniem: Dan mogen ze in Nederland ook even naar http://9292.nl gaan kijken...
(...)

Ten slotte nog de vraag of je naast alle doelen ook nog alle "leveranciers" uit moet zetten.
Die lijst is zo lang dat ik na een kwartier klikken nog niet klaar ben...

"Powered by Usercentrics Consent Management"
Dat is ook de rede dat ik https://www.formula1.com/ maar niet meer op mijn mobiel open. Daarbij is de lijst van Partners zo lang dat ik niet in staat ben ver genoeg naar beneden te scrollen om op opslaan te klikken, als ik al genoeg moeite zou hebben gedaan om 525 keer op No te klikken van de 550 bedrijven op de lijst. Want ja, voor een of andere rede zijn er ook 25 bedrijven waarbij niet eens een optie gegeven wordt.
16-07-2023, 13:39 door Anoniem
@ de zeer gewaardeerde anoniem van 17:35 gisteren,

U heeft volkomen gelijk in uw reactie.

De door u genoemde site opent daarom ook met ;
https://www.googletagmanager.com/ns.html?id=GTM-NTR4PPW
File size: 268 bytes
File MD5: 4aab75dcb6382c39dae33c9a1b45e608

https://www.googletagmanager.com/ns.html?id=GTM-NTR4PPW - Ok
(of bij sommigen - niet OK).

UBlock blokkeert dit onmiddelijk. Zie voor traject - https://sitereport.netcraft.com/?url=https://www.googletagmanager.com
Van root naar content via EU- Nederland - Ierland.

Straks is dat ook het monitoring en surveillance-traject voor de EU-CSS-monitoring,
want Google is immers 'benoemd' tot 'gatekeeper' door de EU-content-side-scan-autoriteiten
en Nederland hobbelt zonder tegenspraak in dat beleid mee, m.n. onze overheid.

Leuker kunnen we het helaas niet maken. Ze zult dus zelf dit zoveel mogelijk moeten 'ont-/omgaan'
en eventueel de consequenties van zo'n standpunt ondergaan van een soort Querdenker te zijn.

Iedereen mag jou dan met een veroordelende blik gaan aankijken,
want je bent tegen totale controle over de mens.

Autoriteiten gedragen zich veelal net zoals vleeseters i.h.a., zoals bijvoorbeeld grote katachtigen,
en andere carni- en omnivoren, dus zonder compassie en dus ruecksichtlos",
ook weer inzake wat dit betreft, maar dat is dan meer een observatie vanuit mijn eigen nederige opinie,

m.vr.gr. (zonder smut & ads dus),

#webproxy
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.