De Autoriteit Persoonsgegevens (AP) heeft meerdere onderzoeken lopen naar cookiebanners waarmee websites toestemming vragen voor het verwerken van persoonsgegevens, omdat die mogelijk niet aan de AVG voldoen, zo laat de toezichthouder in een interview met Security.NL weten. Onlangs kreeg Kruidvat al wegens trackingcookies een boete van 600.000 euro van de AP opgelegd. "In de cookiebanner op Kruidvat.nl waren de vakjes om akkoord te gaan met het plaatsen van volgsoftware standaard aangevinkt. Dat mag niet", aldus de toezichthouder.
Eerder dit jaar kondigde de Autoriteit Persoonsgegevens aan dat het dit jaar cookiebanners en online tracking een prioriteit maakt. "Deze cookiepop-ups zijn voor veel mensen het gezicht van de AVG geworden", zegt Midas Nouwens van de AP. Dit jaar heeft de toezichthouder extra middelen gevraagd en gekregen waardoor het nu structureel mensen op dit onderwerp kan zetten. Zo publiceerde de toezichthouder guidelines waar cookiebanners aan moeten voldoen. Ook is de toezichthouder bezig om het proces van het onderzoeken van cookiebanners en eventueel handhaven te stroomlijnen en 'impactvoller' te maken.
Cookiebanners mogen dan voor veel mensen het meest zichtbare element van de AVG zijn, toch is het gebruik ervan niet verplicht door de privacywet. Het is een door de industrie bedachte oplossing om mensen toestemming te vragen voor de verwerking van hun gegevens. Wel stelt de AVG voorwaarden als het gaat om het vragen van deze toestemming. Dat betekent onder andere dat het net zo makkelijk moet zijn om te weigeren als om te accepteren.
Knoppen moeten dus naast elkaar op dezelfde laag staan zodat je niet extra hoeft te klikken of scrollen om de ‘weigerknop’ te vinden. Bij menig website is dat niet het geval. Onderzoek van de AP bestaat echter uit meer dan alleen de aanwezigheid van een 'ja' of 'nee' knop in het eerste scherm. Het gaat dan bijvoorbeeld om het verzamelen van het bewijs, maar ook het uitkiezen van verschillende organisaties en websites. "Daar zitten gewoon wat meer haken en ogen aan", aldus Nouwens.
"Veel van de nieuwswebsites hebben een verwerkingsverantwoordelijke die niet in Nederland zit, dat maakt het lastig voor ons. Dan moeten we met de Belgische of andere toezichthouder samenwerken", gaat Nouwens verder. Een ander punt waarnaar wordt gekeken is het bereik en het soort informatie dat wordt verzameld.
Zo wegen bijvoorbeeld gezondheidsgegevens, gegevens over politieke opvattingen en religieuze overtuiging zwaarder. Dit zijn zogeheten bijzondere persoonsgegevens, waar strengere regels voor gelden. Daarnaast wordt er ook gekeken naar hoe andere toezichthouders op dit onderwerp de AVG interpreteren.
In januari van dit jaar publiceerde de AP zoals gezegd guidelines waarin het laat weten dat cookiebanners in het eerste scherm over een 'ja' en 'nee' knop moeten beschikken. Nu de guidelines op de website staan van de AP weten websites waar ze aan toe zijn, en kunnen websites aanpassingen doorvoeren.
"Door guidelines weet de markt preciezer hoe zij de wet moeten interpreteren en kunnen bedrijven zich niet meer verschuilen achter het argument ‘dat ze het niet wisten’. Dat helpt ons in de handhaving van de wet. Maar laat me duidelijk zijn: de wet gold al en een overtreding was ook al een overtreding vóórdat wij guidelines uitbrachten", merkt Nouwens op. De guidelines van de AP maken duidelijk dat weigeren en accepteren evenveel moeite moeten kosten.
Dit open normenkader, waarbij niet tot in technische details wordt beschreven waar een website aan moet voldoen, kan bij sommige mensen en partijen onduidelijkheid oproepen. "Dat is een spagaat waar wij als toezichthouder soms in zitten. Je wilt aan de ene kant duidelijkheid bieden, maar je wilt ook die open normen en het voordeel daarvan behouden."
De AP monitort systematisch wat er op het Nederlandse web gebeurt om te kijken welke impact de guidelines hebben, maar ook de eerste boete die het Kruidvat kreeg opgelegd. "Het is absoluut nog niet voldoende. Het moet nog allemaal beter. Maar de complexiteit van dit specifieke onderwerp, van online tracking, en de miljardenindustrie en tussenpartijen die daar achter zitten, maakt het voor ons een uitdaging om een complex systeem van allemaal stakeholders een richting op te duwen", gaat Nouwens verder.
Ook speelt mee of het statistische of analytische cookies zijn. De AP moet dan ook verschillende stappen doorlopen voordat het tegen een website kan optreden met bijvoorbeeld een boete of andere handhavende actie. Bij het berekenen van een boete speelt ook mee hoe lang de overtreding al gaande is.
"In de regel benutten beboete partijen juridische gezien alle mogelijkheden. Ze kunnen eerst bij ons in bezwaar tegen een boete, dan kijkt de afdeling bezwaar naar deze boete. Als onze bezwaarafdeling zegt dat de boete terecht is kunnen ze naar de rechter en uiteindelijk tot de Raad van State in beroep gaan. We zien ook dat partijen meestal naar de rechter stappen om publicatie tegen te houden. In sommige gevallen krijgt de partij dan ook gelijk. Maar meestal leiden die procedures alleen tot vertraging, en kunnen we uiteindelijk wel publiceren", voegt AP-woordvoerder Quinten Snijders toe.
Afgelopen juni publiceerde de AP over een boete voor een recruitmentbureau die al in 2020 was opgelegd. Dit jaar pas oordeelde de Raad van State dat de AP over de boete mocht publiceren. "Dat is voor ons een handicap. De uitstraling van zo'n boete is heel belangrijk, want we kunnen niet alle websites en partijen die iets fout doen beboeten. Zo'n boete moet afschrikwekkend zijn en dan helpt het natuurlijk als partijen zien dat ze er een boete voor kunnen krijgen zodat ze hun zaakjes op orde zullen brengen. Het is erg belangrijk dat wij die boetes kunnen publiceren en helaas lukt dat niet altijd", gaat Snijders verder. Daarnaast maken dergelijke boetes de interpretatie van de wet ook duidelijk.
Dat het nu niet goed gaat met cookiebanners zorgt ervoor dat mensen iets anders willen, stelt Nouwens. "Als we kijken wat ons ideaal beeld is zouden we een web hebben zonder het verzamelen van zo onnodig veel persoonsgegevens, waardoor pop-ups om daar toestemming voor te vragen ook niet nodig zijn." Hij wijst daarbij ook naar de contextgebaseerde advertenties van de Ster. "Er is een misvatting dat het web zonder gerichte advertenties dood gaat omdat er geen geldstromen meer zijn. Maar je kunt ook op een andere,'ouderwetse' manier adverteren."
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.