De Autoriteit Persoonsgegevens (AP) heeft trackingcookies geplaatst bij bezoekers van de eigen vacaturepagina waardoor er 'onbedoeld' gegevens zijn verzameld. Het is niet duidelijk naar welke landen de persoonsgegevens mogelijk zijn geëxporteerd en of deze landen passende waarborgen hebben genomen. Dat heeft de privacytoezichthouder bekendgemaakt.
De cookies werden een aantal dagen in januari geplaatst bij het bezoeken van de 'werkenbij' website van de AP. Een externe leverancier beheert deze website. De toezichthouder is verwerkingsverantwoordelijke en dus verantwoordelijk dat er op deze website géén cookies worden gebruikt. "Dat is dus niet goed gegaan", zo laat de Autoriteit Persoonsgegevens in een uitleg weten.
"Door een technische fout is door de leverancier per ongeluk Google Analytics geactiveerd op werkenbij.autoriteitpersoonsgegevens.nl. Hierdoor zijn er bij het bezoeken van de werkenbij-website analytische/tracking cookies geplaatst en heeft er onbedoeld gegevensverzameling plaatsgevonden." Het gaat dan om ip-adres en technische gegevens over onder andere de gebruikte webbrowser.
"Omdat er tegelijk ook een andere fout was in het systeem, zijn de verzamelde gegevens niet opgeslagen in het Google-account van de leverancier. Maar dat kunnen wij niet met honderd procent zekerheid zeggen. Daarom wordt er een verzoek ingediend bij Google om alle data die met de cookies zijn verzameld te laten verwijderen", zo laat de AP verder weten.
Naast de fout met Google Analytics ging de website ook de fout in met cookies van Cloudflare die in opdracht van videodienst Vimeo werden geplaatst. Via deze cookies die niet geplaatst hadden moeten worden wordt bijgehouden wie op welk moment een video heeft bekeken. De AP heeft bij de leverancier een verzoek ingediend om alle data te verwijderen die door Vimeo met de cookies is verzameld.
De AP voegt toe dat onduidelijk is naar welke landen de persoonsgegevens mogelijk zijn geëxporteerd en of deze landen passende waarborgen hebben genomen. "Volgens Google wordt cookie-informatie in serverlogs binnen 18 maanden geanonimiseerd of verwijderd. Maar de informatie kan op andere plekken mogelijk langer worden bewaard. Cloudflare geeft aan dat wanneer de bewaartermijn voor een bepaald type gegevens verloopt, deze gegevens zullen worden verwijderd/vernietigd."
Eind vorig jaar bleek dat de AP in twee nieuwsbrieven een trackingpixel had meegestuurd. "Bij de AP gaat helaas ook wel eens iets niet goed. In de laatste 2 nieuwsbrieven hebben we onbedoeld een tracking pixel meegestuurd. Deze pixel registreerde of een nieuwsbrief werd geopend", aldus de toezichthouder destijds. "Dit past niet in ons beleid."
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.