AP: Nederlandse websites overtraden wet met foute cookiebanners
Nederlandse websites hebben met hun cookiebanners de wet overtreden, aldus de Autoriteit Persoonsgegevens (AP). De toezichthouder gaat de komende jaren constant en automatisch de cookiebanners van tienduizend Nederlandse websites scannen om te controleren of die duidelijk genoeg zijn. Vorig jaar startte de AP vijf onderzoeken naar de cookiebanners van Nederlandse websites. In alle gevallen overtraden de organisaties met deze websites de wet, zo oordeelt de toezichthouder.
De onderzochte organisaties vroegen wel toestemming voor het plaatsen van cookies en andere volgsoftware, maar niet op een goede manier. De knop om cookies te weigeren zat bijvoorbeeld verstopt, of de toestemming was al vooraf aangevinkt. In sommige gevallen plaatsten de websites al cookies voordat de bezoeker toestemming had gegeven, of zelfs nadat de bezoeker cookies had geweigerd.
De AP merkt op dat voor het plaatsen van trackingcookies altijd toestemming is vereist. Een cookiebanner is echter niet altijd verplicht. Als een website alleen strikt noodzakelijke (functionele) cookies gebruikt, hoeft de organisatie geen toestemming te vragen. Bijvoorbeeld als een webshop cookies alleen gebruikt om te onthouden welke producten er in het winkelmandje van de bezoeker zitten.
De onderzochte organisaties, van wie de namen niet bekend zijn gemaakt, hebben inmiddels hun cookiebanners aangepast. "Organisaties die niet voldoen aan de wet, krijgen eerst een waarschuwing en de kans om de cookiebanner aan te passen. Bij ernstige overtredingen of als een organisatie weigert de cookiebanner aan te passen, is de kans groot dat de AP handhavend optreedt met boetes of andere sancties", zo stelt de Autoriteit Persoonsgegevens.
Maar hoe zit het dan met self-hosted analytics en multi-functionele cookies?
Stel, een website zet slechts één cookie met een secret om de sessie bij te houden.
Zodra de gebruiker inlogt word deze sessie geautoriseerd voor dat account. Noodzakelijke cookie dus.
Maar wat als deze cookie op de server óók word gebruikt om gebruikers uit elkaar te houden voor analytics?
(Dus analytics enkel op de server, geen client-side code of requests, zonder impact voor de gebruikers dus.)
De cookie is noodzakelijk, maar heeft ineens ook analytische doeleinden. Moet je dan toestemming vragen?
En ja, ik snap dat het de trololol mode is :) Maar wil toch serieus reageren.
Daarnaast heeft de AP het over "particulieren en private organisaties", niet overheidsinstanties.
Bron: https://www.autoriteitpersoonsgegevens.nl/documenten/handreiking-scraping-door-particulieren-en-private-organisaties
(Dus analytics enkel op de server, geen client-side code of requests, zonder impact voor de gebruikers dus.)
De cookie is noodzakelijk, maar heeft ineens ook analytische doeleinden. Moet je dan toestemming vragen?
Niet als die analytische cookies geen persoonsgegevens (incl. IP adres) vastleggen. Analytische cookies zijn (altijd) toegestaan als ze anoniem zijn.
(Dus analytics enkel op de server, geen client-side code of requests, zonder impact voor de gebruikers dus.)
De cookie is noodzakelijk, maar heeft ineens ook analytische doeleinden. Moet je dan toestemming vragen?
Volgens mij zijn analytics cookies NIET toegestaan zonder toestemming, trouwens.
(De cookiewet staat trouwens apart van de privacy wetgeving, volgens mij.)
Dat zal de reden zijn dat AP eerst aan de bel trekt en bedrijven en organisaties de gelegenheid geeft om het zonder boete recht te zetten, om zich vervolgens op weigeraars en grove overtreders te richten. Zo kunnen ze inderdaad geen 100% garantie geven dat iedere overtreder wordt aangepakt. Voor zover ik overzie krijgen ze ook bij lange na niet het budget dat nodig zou zijn om 100% te halen.
(Dus analytics enkel op de server, geen client-side code of requests, zonder impact voor de gebruikers dus.)
De cookie is noodzakelijk, maar heeft ineens ook analytische doeleinden. Moet je dan toestemming vragen?
Volgens mij zijn analytics cookies NIET toegestaan zonder toestemming, trouwens.
(De cookiewet staat trouwens apart van de privacy wetgeving, volgens mij.)
De uitleg van het ACM is vrij kort van stof zonder enige doorverwijzingen. Dat vind ik jammer.
En over functionele cookies zegt het ACM dit: "U mag ze daarom ongevraagd plaatsen, zolang u dit vertelt."
LOL, ik ga gemiddelde gebruikers echt niet technisch uitleggen hoe ik onthoud wat hun taal instellingen zijn... :-)
Dat zal de reden zijn dat AP eerst aan de bel trekt en bedrijven en organisaties de gelegenheid geeft om het zonder boete recht te zetten, om zich vervolgens op weigeraars en grove overtreders te richten. Zo kunnen ze inderdaad geen 100% garantie geven dat iedere overtreder wordt aangepakt. Voor zover ik overzie krijgen ze ook bij lange na niet het budget dat nodig zou zijn om 100% te halen.
Volgens mij zijn analytics cookies NIET toegestaan zonder toestemming, trouwens.
(De cookiewet staat trouwens apart van de privacy wetgeving, volgens mij.)
Er zijn analytische cookies met persoonsgegevens en analytische cookies zonder persoonsgegevens. Bij de eerste moet je toestemming vragen, bij de tweede niet want geen persoonsgegevens (dan is de AVG niet meer van toepassing).
De cookiewet ePrivacy verordening en de telecommunicatiewet staat los van de AVG inderdaad, maar in de AVG wordt uitgelegd wat persoonsgegevens zijn en aan welke eisen toestemming als grondslag moet voldoen. Beide zijn niet opgenomen in de cookiewet.
En over functionele cookies zegt het ACM dit: "U mag ze daarom ongevraagd plaatsen, zolang u dit vertelt."
LOL, ik ga gemiddelde gebruikers echt niet technisch uitleggen hoe ik onthoud wat hun taal instellingen zijn... :-)
En over functionele cookies zegt het ACM dit: "U mag ze daarom ongevraagd plaatsen, zolang u dit vertelt."
LOL, ik ga gemiddelde gebruikers echt niet technisch uitleggen hoe ik onthoud wat hun taal instellingen zijn... :-)
Trouwens, zodra de gebruiker inlogt heb ik gewoon toestemming om cookies te plaatsen en gegevens te verwerken.
Maar hoe zit het dan met self-hosted analytics en multi-functionele cookies?
Stel, een website zet slechts één cookie met een secret om de sessie bij te houden.
Zodra de gebruiker inlogt word deze sessie geautoriseerd voor dat account. Noodzakelijke cookie dus.
Maar wat als deze cookie op de server óók word gebruikt om gebruikers uit elkaar te houden voor analytics?
(Dus analytics enkel op de server, geen client-side code of requests, zonder impact voor de gebruikers dus.)
De cookie is noodzakelijk, maar heeft ineens ook analytische doeleinden. Moet je dan toestemming vragen?
Dus of je de sessie-identificatie en de self-hosted analytics nou met behulp van een gedeelde cookie of afzonderlijke cookies bijhoudt, dat verandert niets aan wat je er uiteindelijk mee doet, waarom je dat doet, en of dat een geldige grondslag is voor de AVG of dat je terug moet vallen op toestemming als grondslag. Dat zijn de vragen waar het om gaat. En de AVG is niet het soort wet dat simpelweg een eenvoudig patroontje toestaat of verbiedt, die vereist dat je nadenkt over de doelen en de consequenties van wat je doet.
De doeleinden van de verwerking kunnen overigens ook weer terugslaan op de cookies zelf. Als je voor verschillende doeleinden een andere levensduur van de cookie nodig hebt dan kan je die twee doelen beter niet via dezelfde cookie implementeren.
Het gaat om de doeleinden, de cookie is alleen maar een techniekje dat helpt ze te implementeren. Je kan een sessie-identificatie ook in een een URL-parameter onderbrengen. Dan gebruik je helemaal geen cookie, maar het verandert geen ene moer aan de vraag of wat je ermee doet toestemming van de bezoeker van je website nodig heeft of niet.
Dus of je de sessie-identificatie en de self-hosted analytics nou met behulp van een gedeelde cookie of afzonderlijke cookies bijhoudt, dat verandert niets aan wat je er uiteindelijk mee doet, waarom je dat doet, en of dat een geldige grondslag is voor de AVG of dat je terug moet vallen op toestemming als grondslag. Dat zijn de vragen waar het om gaat. En de AVG is niet het soort wet dat simpelweg een eenvoudig patroontje toestaat of verbiedt, die vereist dat je nadenkt over de doelen en de consequenties van wat je doet.
De doeleinden van de verwerking kunnen overigens ook weer terugslaan op de cookies zelf. Als je voor verschillende doeleinden een andere levensduur van de cookie nodig hebt dan kan je die twee doelen beter niet via dezelfde cookie implementeren.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
