Rapport Consumentenbond – Welke websites zijn AVG proof?

Consumentenbond stelt “Meerderheid websites overtreedt privacywet”. Wat klopt er en wat klopt er NIET ?

We hebben heel veel reacties ontvangen op het door de Consumentenbond gepubliceerde artikel. We hadden even tijd nodig voor wat onderzoek en contact met de bond, maar hierbij willen we je informeren wat je er wel en niet mee kan.

We juichen bij CookieInfo toe dat de Consumentenbond wederom een onderzoek doet naar privacy en websites. En dan nu met name toegespitst op cookies en de nu effectieve AVG. We hebben het rapport uiteraard bestudeerd en contact hierover opgenomen met de bond.

Waarom?

We zien dat de uitkomsten van het rapport niet overeenkomen met enkele in het artikel gestelde AVG vereisten.

Wat blijkt? Na contact met de Consumentenbond hebben we gehoord dat de lijst met 150 websites getoetst is aan de volgende 2 kenmerken:

1. Worden er commerciële cookies geplaatst nog voordat je toestemming ervoor kan geven?
2. Word je wel de keuze geboden om deze trackers te weigeren (en toch de site op te gaan?)

Dit is anders dan de punten in hun artikel, waarin de Consumentenbond stelt dat er het volgende onderzocht is:

“Volgens de nieuwe privacywet (AVG) mag een website alleen tracking cookies op jouw apparaat plaatsen als jij daar toestemming voor geeft. En aan die toestemming zijn duidelijke eisen verbonden. Zo moet jij die toestemming vrijelijk, ondubbelzinnig, geïnformeerd en specifiek kunnen geven.

Dit betekent een aantal dingen:

• Een cookiemuur die de hele site blokkeert tot je akkoord geeft is niet langer toegestaan.
• Je moet akkoord kunnen gaan met verschillende typen cookies (als die geplaatst worden) en die keuze moet duidelijk gecommuniceerd worden.
• Dat akkoord moet altijd een optie zijn die je zelf moet aanvinken (opt-in) zijn.
• Je moet je akkoord ook weer kunnen intrekken en dat per cookie of categorie cookies.”

Waar het dan wel om gaat

Omdat de uitkomsten beperkt zijn tot de 2 eerder genoemde punten (alleen 1 & 2 hierboven) moet je heel goed gaan kijken naar de beoordeling of een website volgens de Consumentenbond “AVG Proof” is.

Je kan aan de hand van de resultaten uit het rapport dus niet zomaar concluderen dat een website AVG proof is, omdat de Consumentenbond niet aan het volledige pakket aan AVG vereisten heeft getoetst.

Doe je dit wel, dan blijft er in de lijst van 150 maar 1 website over die wel volledig voldoet aan de AVG. Het zijn in ieder geval niet de websites die vermeld staan bij de updates van 8, 14 en 19 juni.

Wat kun je wel meenemen van het rapport?

Het rapport haalt wel een belangrijk aspect rondom cookies aan, namelijk het laden van marketing en tracking cookies voordat er akkoord is gegeven. Dit is natuurlijk niet de bedoeling en een van de moeilijkere onderdelen als het gaat om het juist “plaatsen” van cookies na gegeven toestemming.

AVG Proof?

Websites die cookies plaatsen die geen Persoonlijk Identificeerbare Informatie (PII) kunnen herleiden, zoals noodzakelijke cookies, hoeven op zich geen cookie melding te plaatsen. Het is wel netjes om je website bezoeker te informeren hierover. Daarnaast kun je bijvoorbeeld Google Analytics privacy vriendelijk instellen, waardoor je deze cookies zonder melding zou kunnen plaatsen. Wel moet je hierover iets melden in je Privacy verklaring, zodat bezoekers wel geïnformeerd worden.

Daarom hebben we de websites uit het rapport van de Consumentenbond met de melding “geen cookiemelding” en met een groen vinkje niet nader onderzocht, er vanuit gaande dat deze geen Persoonlijk Identificeerbare Informatie (PII) verzamelen.

Dan blijven de websites over die volgens de Consumentenbond wel “AVG Proof”zijn.

Een aantal websites is wel heel dichtbij. Echter kun je in sommige gevallen de website niet bedienen of de voorkeuren zijn al vooraf aangevinkt. De mogelijkheid om cookie instellingen te wijzigen is er dan wel, maar de mogelijkheid om de cookie toestemming in te trekken / verwijderen weer niet. Hard gezegd voldoen deze websites dus niet aan de AVG.

De enige website in het overzicht van de Consumentenbond die wel AVG compliant is:
• Alzheimer-Nederland

Vinkjes

“Vooraf aangevinkt zijn” van categorieën cookies is nog een discussie op zichzelf. Lees hier het Standpunt van de Autoriteit Persoonsgegevens met betrekking tot cookies. Toch blijft het een grijs gebied en daarom hebben we ook een aantal mogelijkheden om voor je cookie banner te kiezen uit diverse “consent” opties. Jij als website eigenaar kan hier zelf een keuze in maken. Zorg er in ieder geval voor dat de cookies geplaatst worden nadat er toestemming is gegeven.

En nu?

Tja, dat vroegen we ons hier bij het CookieInfo team ook af. Het rapport van de Consumentenbond illustreert in ieder geval dat het plaatsen van cookies, voóórdat er toestemming gegeven wordt, wel een issue is. Dat hiermee niet conform de AVG gehandeld wordt mag duidelijk zijn. Ondanks de onvolledigheid van het rapport, is er gelukkig wel aandacht voor het gebruik van cookies. En dit in combinatie met het standpunt van de Autoriteit Persoonsgegevens over vooraf aangevinkte cookie keuzes, maakt dit een onderwerp waar nog een hoop over te doen is.

Over de verdere inhoud van het Consumentenbond rapport mag je natuurlijk zelf bepalen welke waarde de uitkomsten van het rapport voor je hebben. Wij informeren je in de tussentijd over hoe je met het gebruik van cookies op je website kunt voldoen aan de AVG en zullen blijven informeren over ontwikkelingen rondom de mogelijkheden en het gebruik van marketing cookies.