Autoriteit Persoonsgegevens heeft sites met foute cookiebanners in het vizier
De Autoriteit Persoonsgegevens (AP) heeft meerdere onderzoeken lopen naar cookiebanners waarmee websites toestemming vragen voor het verwerken van persoonsgegevens, omdat die mogelijk niet aan de AVG voldoen, zo laat de toezichthouder in een interview met Security.NL weten. Onlangs kreeg Kruidvat al wegens trackingcookies een boete van 600.000 euro van de AP opgelegd. "In de cookiebanner op Kruidvat.nl waren de vakjes om akkoord te gaan met het plaatsen van volgsoftware standaard aangevinkt. Dat mag niet", aldus de toezichthouder.
Eerder dit jaar kondigde de Autoriteit Persoonsgegevens aan dat het dit jaar cookiebanners en online tracking een prioriteit maakt. "Deze cookiepop-ups zijn voor veel mensen het gezicht van de AVG geworden", zegt Midas Nouwens van de AP. Dit jaar heeft de toezichthouder extra middelen gevraagd en gekregen waardoor het nu structureel mensen op dit onderwerp kan zetten. Zo publiceerde de toezichthouder guidelines waar cookiebanners aan moeten voldoen. Ook is de toezichthouder bezig om het proces van het onderzoeken van cookiebanners en eventueel handhaven te stroomlijnen en 'impactvoller' te maken.
Cookiebanners mogen dan voor veel mensen het meest zichtbare element van de AVG zijn, toch is het gebruik ervan niet verplicht door de privacywet. Het is een door de industrie bedachte oplossing om mensen toestemming te vragen voor de verwerking van hun gegevens. Wel stelt de AVG voorwaarden als het gaat om het vragen van deze toestemming. Dat betekent onder andere dat het net zo makkelijk moet zijn om te weigeren als om te accepteren.
Knoppen moeten dus naast elkaar op dezelfde laag staan zodat je niet extra hoeft te klikken of scrollen om de ‘weigerknop’ te vinden. Bij menig website is dat niet het geval. Onderzoek van de AP bestaat echter uit meer dan alleen de aanwezigheid van een 'ja' of 'nee' knop in het eerste scherm. Het gaat dan bijvoorbeeld om het verzamelen van het bewijs, maar ook het uitkiezen van verschillende organisaties en websites. "Daar zitten gewoon wat meer haken en ogen aan", aldus Nouwens.
Vaak klachten over cookiebanners
Bij de keuze voor te onderzoeken websites kijkt de AP onder andere naar klachten van burgers. En er wordt veel geklaagd over cookies. Een ander punt dat meespeelt is waar de eigenaar van de website zich bevindt. "We hebben best veel partijen die een Nederlandse website hebben, maar waarvan de verwerkingsverantwoordelijke niet in Nederland zit. Dan wordt het voor ons ingewikkelder om stappen te ondernemen. Dan zou je via een toezichthouder uit een ander land moeten gaan", zegt Nouwens."Veel van de nieuwswebsites hebben een verwerkingsverantwoordelijke die niet in Nederland zit, dat maakt het lastig voor ons. Dan moeten we met de Belgische of andere toezichthouder samenwerken", gaat Nouwens verder. Een ander punt waarnaar wordt gekeken is het bereik en het soort informatie dat wordt verzameld.
Zo wegen bijvoorbeeld gezondheidsgegevens, gegevens over politieke opvattingen en religieuze overtuiging zwaarder. Dit zijn zogeheten bijzondere persoonsgegevens, waar strengere regels voor gelden. Daarnaast wordt er ook gekeken naar hoe andere toezichthouders op dit onderwerp de AVG interpreteren.
Miljoenenboetes voor lastig weigeren van cookies
De Franse privacytoezichthouder CNIL legde Facebook, Google en Microsoft boetes van bij elkaar 270 miljoen euro op omdat websites van de techbedrijven het lastiger maakten om cookies te weigeren dan te accepteren. Dat deed de CNIL overigens op basis van de ePrivacy-richtlijn. In Nederland is die richtlijn omgezet in de telecommunicatiewet, en houdt niet de AP, maar de Autoriteit Consument en Markt toezicht op dit onderdeel. De AP kan dus niet precies hetzelfde doen als de CNIL.In januari van dit jaar publiceerde de AP zoals gezegd guidelines waarin het laat weten dat cookiebanners in het eerste scherm over een 'ja' en 'nee' knop moeten beschikken. Nu de guidelines op de website staan van de AP weten websites waar ze aan toe zijn, en kunnen websites aanpassingen doorvoeren.
"Door guidelines weet de markt preciezer hoe zij de wet moeten interpreteren en kunnen bedrijven zich niet meer verschuilen achter het argument ‘dat ze het niet wisten’. Dat helpt ons in de handhaving van de wet. Maar laat me duidelijk zijn: de wet gold al en een overtreding was ook al een overtreding vóórdat wij guidelines uitbrachten", merkt Nouwens op. De guidelines van de AP maken duidelijk dat weigeren en accepteren evenveel moeite moeten kosten.
Cookiebanners zijn een interpretatie van de AVG
"Wat wel zo is, en dat is een feature en een bug van de AVG, is dat er nergens staat dat mensen cookiepop-ups voor dit soort zaken moeten hebben. De AVG zegt niet dat je een pop-up moet hebben. Dat hebben wij niet verzonnen. Dat is een interpretatie van deze industrie geweest op het feit dat als je van iemand persoonsgegevens verwerkt er toestemming moet komen", legt Nouwens uit.Dit open normenkader, waarbij niet tot in technische details wordt beschreven waar een website aan moet voldoen, kan bij sommige mensen en partijen onduidelijkheid oproepen. "Dat is een spagaat waar wij als toezichthouder soms in zitten. Je wilt aan de ene kant duidelijkheid bieden, maar je wilt ook die open normen en het voordeel daarvan behouden."
De AP monitort systematisch wat er op het Nederlandse web gebeurt om te kijken welke impact de guidelines hebben, maar ook de eerste boete die het Kruidvat kreeg opgelegd. "Het is absoluut nog niet voldoende. Het moet nog allemaal beter. Maar de complexiteit van dit specifieke onderwerp, van online tracking, en de miljardenindustrie en tussenpartijen die daar achter zitten, maakt het voor ons een uitdaging om een complex systeem van allemaal stakeholders een richting op te duwen", gaat Nouwens verder.
Bewijslast
Onderzoek of websites met hun cookiesbanners aan de AVG voldoen is echter niet zo eenvoudig als het alleen kijken naar de aanwezigheid van een 'ja' en 'nee' knop op de eerste laag. Als eerste moet de AP bewijzen dat er persoonsgegevens worden verwerkt en dat het hier als toezichthouder over gaat. "Dat er strings in een cookie staan wil nog niet zeggen dat het om persoonsgegevens gaat", merkt Nouwens op. Dat moet dan bij de betreffende website worden uitgevraagd. Iets wat soms één of twee maanden in beslag kan nemen.Ook speelt mee of het statistische of analytische cookies zijn. De AP moet dan ook verschillende stappen doorlopen voordat het tegen een website kan optreden met bijvoorbeeld een boete of andere handhavende actie. Bij het berekenen van een boete speelt ook mee hoe lang de overtreding al gaande is.
Publicatieverbod
De AP heeft inmiddels verschillende onderzoeken lopen, maar kan geen verdere details geven. "We zien gewoon dat het verkeerd gaat", merkt Nouwens op. Wanneer de onderzoeken worden afgerond is dan ook onbekend. Als de AP een boete oplegt kan een partij daar beroep tegen aan tekenen of zelfs bij de rechter vragen dat de AP hier niet over mag publiceren."In de regel benutten beboete partijen juridische gezien alle mogelijkheden. Ze kunnen eerst bij ons in bezwaar tegen een boete, dan kijkt de afdeling bezwaar naar deze boete. Als onze bezwaarafdeling zegt dat de boete terecht is kunnen ze naar de rechter en uiteindelijk tot de Raad van State in beroep gaan. We zien ook dat partijen meestal naar de rechter stappen om publicatie tegen te houden. In sommige gevallen krijgt de partij dan ook gelijk. Maar meestal leiden die procedures alleen tot vertraging, en kunnen we uiteindelijk wel publiceren", voegt AP-woordvoerder Quinten Snijders toe.
Afgelopen juni publiceerde de AP over een boete voor een recruitmentbureau die al in 2020 was opgelegd. Dit jaar pas oordeelde de Raad van State dat de AP over de boete mocht publiceren. "Dat is voor ons een handicap. De uitstraling van zo'n boete is heel belangrijk, want we kunnen niet alle websites en partijen die iets fout doen beboeten. Zo'n boete moet afschrikwekkend zijn en dan helpt het natuurlijk als partijen zien dat ze er een boete voor kunnen krijgen zodat ze hun zaakjes op orde zullen brengen. Het is erg belangrijk dat wij die boetes kunnen publiceren en helaas lukt dat niet altijd", gaat Snijders verder. Daarnaast maken dergelijke boetes de interpretatie van de wet ook duidelijk.
Web zonder onnodige cookiebanners
Afsluitend stelt Nouwens dat het belangrijk is om duidelijk te maken dat de AVG altijd de schuld krijgt van de cookiebanners die nu overal aanwezig zijn, maar dit onterecht is, omdat het een creatie van de industrie is. Daarnaast is er nu in Europa een beweging gaande die stelt dat cookiebanners niet werken en mensen geen echte controle over hun gegevens geven. Zo waren er partijen in het Europees Parlement die opriepen tot een verbod op gerichte advertenties. Dat is vervolgens afgezwakt naar geen gerichte advertenties voor kinderen.Dat het nu niet goed gaat met cookiebanners zorgt ervoor dat mensen iets anders willen, stelt Nouwens. "Als we kijken wat ons ideaal beeld is zouden we een web hebben zonder het verzamelen van zo onnodig veel persoonsgegevens, waardoor pop-ups om daar toestemming voor te vragen ook niet nodig zijn." Hij wijst daarbij ook naar de contextgebaseerde advertenties van de Ster. "Er is een misvatting dat het web zonder gerichte advertenties dood gaat omdat er geen geldstromen meer zijn. Maar je kunt ook op een andere,'ouderwetse' manier adverteren."
Laten de browsermakers die DNT header wat verder uitbreiden met andere mogelijkheden dan 0 en 1 zodat de typische vragen in cookiebanners er ook mee afgedicht worden (waarbij die 500 externe partijen die ze een voor een opnoemen uiteraard gewoon 1 groep "externe partijen" vormen) en dan kan iedereen zelf eenmalig in de browser instellen hoe hij dat wil hebben.
En uiteraard de mogelijkheid om eventueel zelf per site een andere dan de default waarde te sturen.
Dan hoeft niet iedere site meer apart om toestemming te vragen via een banner.
Leest u mee DPG Media! Zie daar in de cookie pop-up alleen maar "Akkoord" en "Instellen"...
Leest u mee DPG Media! Zie daar in de cookie pop-up alleen maar "Akkoord" en "Instellen"...
Dat zijn viespeuken. Vermijden als de pest.
Leest u mee DPG Media! Zie daar in de cookie pop-up alleen maar "Akkoord" en "Instellen"...
Leest u mee DPG Media! Zie daar in de cookie pop-up alleen maar "Akkoord" en "Instellen"...
Ook bij Mediahuis. Al die kranten en nieuws websites overtreden de AVG en schenden de privacy van lezers. Maar wel anderen de maat nemen als die de fout in gaan met privacy. Het is hypocriet en stuitend!!!
Ook bij Mediahuis. Al die kranten en nieuws websites overtreden de AVG en schenden de privacy van lezers. Maar wel anderen de maat nemen als die de fout in gaan met privacy. Het is hypocriet en stuitend!!!
Zowel DPG Media als Mediahuis komen uit Belgie en vallen daardoor buiten het toezicht van de AP. Niet voor niets wordt er door de woordvoerder al aangegeven dat er veel klachten zijn over Nederlandse website waar de toezichthouder niet direct iets mee kan, maar afhankelijk is van samenwerking met de Belgische toezichthouder.
Ook bij Mediahuis. Al die kranten en nieuws websites overtreden de AVG en schenden de privacy van lezers. Maar wel anderen de maat nemen als die de fout in gaan met privacy. Het is hypocriet en stuitend!!!
Zowel DPG Media als Mediahuis komen uit Belgie en vallen daardoor buiten het toezicht van de AP. Niet voor niets wordt er door de woordvoerder al aangegeven dat er veel klachten zijn over Nederlandse website waar de toezichthouder niet direct iets mee kan, maar afhankelijk is van samenwerking met de Belgische toezichthouder.
Maar dpg hosten wel op Nederlandse domeinen, dus zouden ze zich wel aan de Nederlandse regelgeving moeten houden.. Zou iig wel zo moeten zijn.. En als dan de AP zegt, jullie voldoen er niet aan, en DPG doet niets, zou AP tegen SIDN moeten kunnen zeggen, parkeer het domein (de domeinen) is even, tot..!!
Want????
Ik zie geen cookiebanner oid op hun site. Dus wat is er volgens jou fout aan de site?
Graag meer (onderbouwende) details. Nu is het roepen in de leegte (zoals wel vaker)
Wat is je specifike klacht, wat is de onderbouwing daarvan, en heb die je die ook al kenbaar gemaakt bij het AP?
Idem met jouw eigen vragen. Wat waren het antwoorden daarop van het AP zelf?
Wauw, de pot verwijt de ketel dat hij zwart is....
Er is maar 1 'schuldige' in dit hele cookie debacle en dat is natuurlijk de EU. Die heeft wetgeving gemaakt die zo slecht en vaag is, dat hier draconische cookiemuren op gebouwd worden. Mix dat met falend toezicht en je hebt de huidige situatie.
En die situatie is echt erg, heel erg. Wij zijn hier aan gewend maar als we buitenlandse collega's over de vloer krijgen dan hebben ze altijd de vraag: hoe kunnen jullie in vredesnaam werken? Iedere website moeten ze eerst door hoepels springen...
Ik laat ze dan maar een plugin installeren die de cookiemuren afhandeld. Maar hoe zijn we dit in vredesnaam normaal gaan vinden? Waarom maken we het internet voor iedereen kut? En hoeveel productiviteit (en geld) kost dit allemaal wel niet dagelijks?
Ik schrik gewoon van de enorme bende die de EU er van maakt...
En dat is nu het geval voor heel veel zaken. AI is praktisch verboden en zelfrijdende auto's worden zo gesaboteerd door wetgeving (en lobby) dat het zelfs gevaarlijk is (in de bocht stuur terug moeten geven aan bestuurders).
Software innovatie is simpelweg niet-bestaand in Europa op Spotify na. En dat is ook niet een organisatie waar we trots op kunnen zijn
Wauw, de pot verwijt de ketel dat hij zwart is....
Er is maar 1 'schuldige' in dit hele cookie debacle en dat is natuurlijk de EU. Die heeft wetgeving gemaakt die zo slecht en vaag is, dat hier draconische cookiemuren op gebouwd worden. Mix dat met falend toezicht en je hebt de huidige situatie.
Ze hadden in plaats van een pop-up overal voor ook een eenvoudige banner bovenaan het scherm kunnen maken die de site niet blokkeert. Ze hadden die "nee op alles"-optie ook in een keer kunnen toevoegen. En heb je door dat die "legitiem belang"-schuifjes die altijd nog eens expliciet stuk voor stuk uit moet zetten helemaal nergens op slaan? Als je in de wet kijkt waar dat gerechtvaardigd belang betrekking op heeft dan kan je heel snel concluderen dat het a) nergens op slaat dat ze zich erop kunnen beroepen en b) nergens op slaat dat als ze zich er werkelijk op zouden kunnen beroepen je het uit kan zetten. Gerechtvaardigd belang, als het er echt is, maakt dat ze het mogen, daar is een opt-out niet nodig. En ook daarmee laten ze je allerlei hinderlijke handelingen doorworstelen die er alleen maar inzitten om het zo ergerniswekkend mogelijk te maken. Zodat jij de EU erop aankijkt.
O ja, en waarom noemen ze het eigenlijk "legitiem belang"? In het Engels is het "legitimate interest", in het Nederlands is de term "gerechtvaardigd belang". Waarom gebruiken ze consequent niet de juiste Nederlandse vertaling? Ik vermoed omdat dan iemand die zo ver gaat de AVG-wettekst in te duiken de term dan moeilijker kan vinden en dus moeilijker kan ontdekken dat er geen donder van klopt.
De hele manier waarop die pop-ups worden ingericht is niet omdat het nodig is maar omdat er een marketingcampagne tegen de EU en voor reklame gevoerd wordt. Een die gebaseerd is op ergernis; ergernis die de advertentienetwerken doelbewust opwekken en daarbij laten ze jou heel slim denken dat het allemaal aan de EU ligt.
Trap er niet in.
Voor de lezer die niet thuis is in de materie; Stel uw browser in alle cookies te verwijderen bij afsluiten en maak gebruik van de optie; "Niet volgen" in de browser. Dat scheelt een hele hoop nutteloze 'gepersonaliseerde' advertenties. De enige die beter word van cookies is commercie, En best wel te begrijpen dat commercie de grenzen van de regeltjes opzoekt, maar dom om geen rekening te houden met de ergernis van de cookies op websites.
Aan commercie: U kunt misschien, net als wij, opteren gewoon geen cookies te gebruiken. Maak je echt vrienden mee. ;O)
Wauw, de pot verwijt de ketel dat hij zwart is....
Er is maar 1 'schuldige' in dit hele cookie debacle en dat is natuurlijk de EU. Die heeft wetgeving gemaakt die zo slecht en vaag is, dat hier draconische cookiemuren op gebouwd worden. Mix dat met falend toezicht en je hebt de huidige situatie.
Ze hadden in plaats van een pop-up overal voor ook een eenvoudige banner bovenaan het scherm kunnen maken die de site niet blokkeert. Ze hadden die "nee op alles"-optie ook in een keer kunnen toevoegen. En heb je door dat die "legitiem belang"-schuifjes die altijd nog eens expliciet stuk voor stuk uit moet zetten helemaal nergens op slaan? Als je in de wet kijkt waar dat gerechtvaardigd belang betrekking op heeft dan kan je heel snel concluderen dat het a) nergens op slaat dat ze zich erop kunnen beroepen en b) nergens op slaat dat als ze zich er werkelijk op zouden kunnen beroepen je het uit kan zetten. Gerechtvaardigd belang, als het er echt is, maakt dat ze het mogen, daar is een opt-out niet nodig. En ook daarmee laten ze je allerlei hinderlijke handelingen doorworstelen die er alleen maar inzitten om het zo ergerniswekkend mogelijk te maken. Zodat jij de EU erop aankijkt.
O ja, en waarom noemen ze het eigenlijk "legitiem belang"? In het Engels is het "legitimate interest", in het Nederlands is de term "gerechtvaardigd belang". Waarom gebruiken ze consequent niet de juiste Nederlandse vertaling? Ik vermoed omdat dan iemand die zo ver gaat de AVG-wettekst in te duiken de term dan moeilijker kan vinden en dus moeilijker kan ontdekken dat er geen donder van klopt.
De hele manier waarop die pop-ups worden ingericht is niet omdat het nodig is maar omdat er een marketingcampagne tegen de EU en voor reklame gevoerd wordt. Een die gebaseerd is op ergernis; ergernis die de advertentienetwerken doelbewust opwekken en daarbij laten ze jou heel slim denken dat het allemaal aan de EU ligt.
Trap er niet in.
De overkoepelende organisatie van autoriteiten EDPB heeft eerder een cookie banner richtlijn uitgevaardigd : https://www.edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf
Dat heeft de AP zelf nog eens dunnetjes overgedaan : https://autoriteitpersoonsgegevens.nl/themas/internet-slimme-apparaten/cookies/heldere-en-misleidende-cookiebanners
Maarja aan profileren door middel van cookies zijn hoge reclame-inkomsten te genereren dus marketeers proberen ons met de cookiebanner zoveel mogelijk te frustreren zodat we maar snel op OK klikken. Is toch te gek dat sommige sites meer dan 700 advertentie partners hebben die je dan ook nog individueel uit of aan kan zetten.
Gerechtvaardigd belang, als het er echt is, maakt dat ze het mogen, daar is een opt-out niet nodig.
Website-eigenaren zullen er niet op zitten te wachten dat bezoekers individueel aankloppen om bezwaar te maken tegen specifieke cookies. Bovendien is het technisch ook vrijwel onmogelijk om op betrouwbare wijze voor specifieke bezoekers specifieke cookies uit te schakelen. Daarom wordt dit in cookie-banners ondervangen met de mogelijkheid voor bezoekers om zelf de "gerechtvaardigd belang"-cookies alsnog uit te schakelen.
Effectief betekenen de toestemmings-schuifjes dus "dit mag niet, tenzij de bezoeker akkoord is", en de schuifjes bij gerechtvaardigd belang "(wij vinden dat) dit mag, tenzij de bezoeker bezwaar heeft".
Het hele systeem met de cookie-walls is natuurlijk een drama, maar technisch gezien klopt de inrichting wel.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
