04/06/'21 - De afgelopen week zijn ruim 500 websites aangesproken op het onrechtmatige gebruik van hun cookiebanners waarmee zij inbreuk maken op de Algemene Verordening Gegevensbescherming (AVG). Dit werd gedaan door de privacy organisatie None Of Your Business (NOYB), die zich onder leiding van Max Schrems inzet voor de privacybelangen van burgers. Indien deze websites hun cookiebanners niet binnen één maand verbeteren, dient NOYB een formele klacht in bij de verantwoordelijke toezichthouder wat de organisaties achter de websites een flinke boete kan opleveren. Waarom deze websites met hun cookiebanners de AVG overtreden en hoe jij er als organisatie voor kan zorgen dat je voldoet aan de Europese wet- en regelgeving lees je in onderstaand blog.
Vrijwel elke website op het internet gebruikt cookies. Op grond van de AVG, de e-Privacy Richtlijn, en de indirecte omzetting daarvan in artikel 11.7a van de Nederlandse Telecommunicatiewet, is het verplicht om toestemming te vragen voor het gebruik van cookies die een inbreuk maken op de privacy van internetgebruikers en hen hier vervolgens over te informeren. Het gaat hierbij vooral om tracking cookies, dit zijn cookies die gebruikers kunnen volgen over het internet. De manier waarop toestemming moet worden gevraagd is vormvrij, maar gebeurt over het algemeen door middel van een cookiebanner. Deze cookiebanner wordt vaak zo ingericht dat er zo veel mogelijk gebruikers toestemming geven voor het plaatsen van (tracking)cookies. Met de verzamelde (persoons)gegevens kunnen organisaties veel geld verdienen, onder andere door het plaatsen van gepersonaliseerde advertenties.
Om dit te bereiken worden zogenaamde ‘nudging’ en ‘dark pattern’ technieken toegepast. Zo kan de plek van de cookiebanner op de website en de kleuren die bij het design gebruikt worden een groot verschil maken in het toestemmingspercentage. Denk hierbij aan een grote groene ‘accepteer alle cookies’ knop. Deze knop ben je als gebruiker veel sneller geneigd aan te klikken dan een verstopte kleine grijze ‘weiger cookies’ knop (als deze er al is). Uit het artikel van de NOYB blijkt dat deze handelswijze ervoor kan zorgen dat tot wel 90% van de gebruikers toestemming geeft voor cookies terwijl maar 3% dit ook daadwerkelijk wil. Het is nog een grijs gebied in hoeverre het gebruik van nudging en dark pattern technieken zijn toegestaan.
Volgens de NOYB is een van de belangrijkste toestemmingsregels bij het gebruik van cookies dat het weigeren van cookies voor de internetgebruiker net zo simpel moet zijn als het accepteren ervan. Met betrekking tot een cookiebanner betekent dit volgens hen dat de gebruiker een net zo duidelijke ‘ja’ als ‘nee’ optie moet krijgen. Toch heeft 81% van de door NOYB onderzochte websites geen knop in de cookiebanner om cookies direct te kunnen weigeren. Om dit soort onrechtmatig gebruik van cookiebanners tegen te gaan heeft NOYB een systeem ontwikkeld dat verschillende soorten onwettige cookiebanners herkent en automatisch klachten genereert. Indien de websites die een klacht hebben ontvangen niet binnen één maand hun instellingen aanpassen zal NOYB een formele klacht indienen bij de verantwoordelijke privacy toezichthouder. 500 websites hebben al een klacht ontvangen. Het doel van NOYB is om dit jaar 100.000 websites aan te pakken. De boetes die deze websites riskeren kunnen oplopen tot 20 miljoen euro.
Ook de Franse toezichthouder (CNIL) heeft niet stilgezeten als het gaat om onrechtmatige cookiebanners. Nadat de CNIL vorig jaar nieuwe richtsnoeren over het gebruik van cookies uitgaf is er recentelijk naar 20 websites van grote ondernemingen een formele waarschuwing gestuurd. Passen zij hun cookiebanners alsnog niet aan, dan riskeren zij een boete die kan oplopen tot maar liefst 4% van hun jaaromzet. Daarnaast is ook in Nederland de aandacht gevestigd op onrechtmatige cookiebanners. Uit een cookiescan uitgevoerd door de Consumentenbond bleek in maart dit jaar nog dat van de 100 getoetste Nederlandse websites 41 websites het moeilijker maakten om cookies te weigeren dan om deze te accepteren. Dit komt doordat zij dan gebruik maken van ingewikkelde keuzemenu’s.
Riskeer jij als organisatie liever geen boete en wil je voldoen aan de huidige Europese wet- en regelgeving? Considerati kan je helpen. Dit doen wij door de cookiebanner, cookie-instellingen en cookie verklaring op jouw website te toetsen tegen de toestemmings- en transparantie eisen uit de AVG en de Telecommunicatiewet. Wij geven praktisch advies over hoe jij jouw cookiebanner zo privacyvriendelijk mogelijk kan inrichten. Met maar liefst 100 gecheckte websites op de teller zijn wij expert en weten wij precies welke cookiebanners wel en niet zijn toegestaan!