Een van de meest zichtbare (en irritante) uitingen van de Algemene Verordening Gegevensbescherming (General Data Protection Regulation - GDPR) van de EU is de "cookie-banner" die verschijnt wanneer u voor het eerst veel sites bezoekt. Deze zijn ontworpen om bezoekers de mogelijkheid te geven om te beslissen of ze gevolgd willen worden, en zo ja door wie. Maar houden bedrijven zich aan de voorwaarden die genoemd worden in hun cookie-banners?
Elk bedrijf dat internetsites in de EU exploiteert, zou deze in
theorie of iets dergelijks moeten gebruiken, of een GDPR-boete
riskeren tot 4% van de wereldwijde omzet. Omdat wij per definitie
tegen elke inbreuk op de privacy van onze bezoekers zijn, plaatsen wij
geen cookie-banners, en zéker geen cookies.
Cookiebanners kunnen vervelend zijn, maar ze geven gebruikers in ieder
geval enige controle over hoeveel ze online worden gevolgd. Maar doen
ze dat? Weinigen van ons hebben de vaardigheden of de tijd om te
controleren of onze wensen worden gehonoreerd door elke site. Gelukkig
hebben drie onderzoekers in Frankrijk - Célestin Matte, Nataliia
Bielova, Cristiana Santos - beide, en hebben ze de eerste rigoureuze
studie van dit gebied uitgevoerd. Ze hebben een
goede samenvatting
geschreven van hun volledige
proefschrift.
Een eerste scan van 22.949 websites uit de EU-domeinen, evenals .org
en .com, liet 1.426 sites zien met cookiebanners op basis van het
Interactive Advertising Bureau Europe Transparency and Consent
Framework, de
belangrijkste industriestandaard voor dit gebied.
Daarvan heeft het team van onderzoekers 560 websites van .uk, .fr,
.it, .be, .ie en .com domeinen onder de loep genomen om mogelijke
GDPR-inbreuken te detecteren.
Tot hun grote verbazing vonden ze vier soorten overtredingen in
cookiebanners, verspreid over 305 websites - 54% van de steekproef:
1. Toestemming opgeslagen vóór een keuze.
De cookiebanner slaat een positieve toestemming op vóórdat de
gebruiker zijn keuze met de banner heeft gemaakt. Wanneer
adverteerders om toestemming vragen, reageert de cookiebanner daarop
met de positieve toestemming, hoewel de gebruiker niet op een banner
heeft geklikt en nog geen keuze heeft gemaakt.
2. Geen manier om u af te melden.
De banner biedt geen manier om toestemming te weigeren. Het meest
vóórkomende geval is een banner die de gebruikers informeert over het
gebruik van cookies op de site.
3. Voorgeselecteerde keuzes.
De banner geeft de gebruiker de keuze tussen één of meer doeleinden of
leveranciers, maar sommige doeleinden of adverteerders zijn vooraf
geselecteerd: vooraf aangevinkte vakjes of schuifregelaars zijn
ingesteld op "accepteren".
4. Niet respecteren van een keuze.
De cookiebanner slaat een positieve toestemming op in de browser,
hoewel de gebruiker expliciet toestemming heeft geweigerd.
Dat is een behoorlijk sombere gang van zaken. De GDPR is bedoeld om
controle te geven aan degenen die websites in de EU bezoeken, en toch
negeert meer dan de helft van de laatst onderzochte websites de keuzes
van gebruikers. Een persoon die zich niet bereid heeft getoond om de
GDPR op deze manier te negéren, is de privacy-campagnevoerder Max
Schrems. In de loop der jaren heeft hij meerdere juridische
uitdagingen met betrekking tot privacy en de GDPR gelanceerd en
gewonnen. Nu richt zijn privacyorganisatie noyb.eu zijn aandacht op
respectloze cookiebanners:
noyb.eu identificeerde talloze schendingen van de Europese en Franse
cookieprivacywetten waar (sites als) CDiscount, Allociné en Vanity
Fair allemaal een afwijzing van cookies door gebruikers veranderen in
een "neptoestemming". De non-profit organisatie noyb.eu heeft vandaag
drie formele [GDPR] klachten ingediend bij de Franse autoriteit voor
gegevensbescherming (CNIL).
Tot 565 "neptoestemmingen" per gebruiker. Ondanks dat gebruikers de
moeite nemen om talloze cookies op de Franse eCommerce-pagina
CDiscount, de filmgids Allocine.fr en het modeblad Vanity Fair te "weigeren",
hebben deze webpagina's digitale signalen verzonden naar
trackingbedrijven die beweren dat gebruikers ermee hebben ingestemd
online te worden gevolgd. CDiscount heeft "neptoestemming"-signalen
gestuurd naar 431 trackingbedrijven per gebruiker, Allocine naar 565
en Vanity Fair naar 375, zoals de analyse van de gegevens nu laat zien.
Schrems wijst erop dat een bedrijf dat gebruik maakt van "neptoestemming"
Facebook is, dat graag cookies plaatst nadat mensen duidelijk bezwaar
hebben gemaakt tegen alle tracking. Dat betekent dat de schaal van de
mogelijke inbreuk op de GDPR aanzienlijk is. Het zal nog enige tijd
duren voordat CNIL haar beslissing geeft, maar op basis van zowel de
staat van dienst van Schrems als de feiten van de zaak, lijkt het
waarschijnlijk dat hij opnieuw zal zegevieren.
Hoewel de oorspronkelijke uitspraak alleen van toepassing is op
Frankrijk, wordt deze waarschijnlijk gevolgd door
gegevensbeschermingsautoriteiten in andere EU-landen. Als een van de
hierboven genoemde websites een resultaat betwist dat daar tegenin
gaat, kan er een verwijzing zijn naar de hoogste rechtbank van de EU,
wiens beslissing definitief is en van toepassing is op de hele regio.
Dat is op zijn beurt waarschijnlijk van invloed op online
privacywetten over de hele wereld,
zoals de GDPR al doet.
Afdrukken Doorsturen