Over Google’s ‘privacy washing’ en de boete aan AS Watson voor het cookiegebruik via website Kruidvat.nl Onlangs kwamen twee opvallende gevallen aan het licht die aantonen dat het toestemmingsvereiste niet altijd wordt nageleefd. Zo heeft de Nederlandse Autoriteit Persoonsgegevens (AP) AS Watson B.V., het moederbedrijf van de Nederlandse drogisterijketen Kruidvat, beboet met €600.000 voor het zonder de vereiste toestemming plaatsen van tracking cookies op Kruidvat.nl. Tegelijkertijd zijn er zorgen over Google’s Privacy Sandbox, die volgens critici ook niet volledig voldoet aan de regels voor toestemming. In dit artikel bespreken we deze twee recente gevallen. Daarnaast gaan we in op de toekomstige regelgeving rondom cookies en het daaruit volgende toestemmingsvereiste. We sluiten af met enkele praktische tips voor bedrijven.

De Cookiewetgeving

Van richtlijn naar een verordening Momenteel vallen cookies onder de AVG en de e-Privacy Richtlijn. In Nederland is de e-Privacy Richtlijn geïmplementeerd via de Telecommunicatiewet. Maar de in 2002 aangenomen e-Privacy Richtlijn is aan vervanging toe. De opvolger is al sinds lange tijd in beeld: de e-Privacy Verordening. De exacte ingangsdatum van deze verordening is nog onzeker; de lidstaten zijn momenteel nog steeds bezig met onderhandelingen over enkele artikelen. De komst van de e-Privacy Verordening zal in Nederland de relevante bepalingen in de Telecommunicatiewet vervangen. Een verordening is in tegenstelling tot een richtlijn namelijk direct toepasbaar in alle EU-lidstaten, dus zonder omzetting in een nationale wet. De nieuwe cookieregels De e-Privacy Verordening zal het gebruik van cookies eenvoudiger en gebruiksvriendelijker maken. Cookies die slechts een beperkte impact op de privacy hebben, kunnen nog steeds zonder toestemming worden geplaatst. Voor tracking cookies blijft echter toestemming vereist. De huidige strenge regels leiden tot een overvloed aan verschillende cookie-meldingen waar gebruikers mee te maken krijgen. Om dit gebruiksvriendelijker te maken, worden browserontwikkelaars en mobiele operators aangemoedigd om een ’tracking consent optie’ toe te voegen. Hierdoor kunnen gebruikers hun privacy-instellingen slechts één keer in hun browser instellen in plaats van op elke website afzonderlijk. Wel zo makkelijk! Veel browsers hebben hier al op ingespeeld. Zo blokkeren Safari en Firefox standaard third-party tracking cookies. Deze cookies worden geplaatst door bedrijven die niet direct betrokken zijn bij de website die je bezoekt, meestal voor gerichte advertentiedoeleinden. Google kondigde ook aan het gebruik van third-party tracking cookies in Chrome standaard te bannen, maar heeft dit plan onlangs herzien. Meer hierover lees je hieronder.

Toestemmingsvereiste

Websites moeten hun bezoekers informeren over het gebruik van cookies. Daarnaast moet voor het gebruik van cookies toestemming verkregen worden. Uitzonderingen op deze eis zijn cookies die strikt noodzakelijk zijn voor de werking van de website of analytische cookies met beperkte impact op de privacy. Analytische cookies helpen bijvoorbeeld bij het verzamelen van bezoekersstatistieken om de websiteprestaties te verbeteren. Tracking cookies volgen en analyseren het surfgedrag van gebruikers over een langere periode, en hebben daarom gevolgen voor de privacy. Voor tracking cookies en analytische cookies met gevolgen voor de privacy is wel toestemming vereist. De toestemming voor het gebruik van deze cookies moet vrijelijk, specifiek, geïnformeerd en ondubbelzinnig worden gegeven. Dit is een streng vereiste. Het gebruik van standaard aangevinkte vakjes of stilzwijgen telt bijvoorbeeld niet als geldige toestemming, iets waar veel bedrijven de mist mee ingaan. Ook Kruidvat ging hier de fout in.

De overtreding van Kruidvat.nl

De AP ontdekte dat Kruidvat.nl tracking cookies plaatste zonder geldige toestemming van bezoekers. Bovendien waren de vakjes voor tracking cookies standaard aangevinkt in de cookiebanner, wat in strijd is met de AVG. Het onderzoeksrapport van de AP wijst uit:

Bij een bezoek aan Kruidvat.nl werden op de apparatuur van de betrokkene cookies geplaatst voordat de betrokkene daarvoor toestemming had gegeven.
In de cookiebanner werd standaard het vinkje “akkoord” geselecteerd, zodat de betrokkene standaard (by default) geacht werd akkoord te gaan met het plaatsen van reclame cookies. De cookiebanner was daarnaast complex en vereiste dat bezoekers meerdere stappen doorliepen voordat cookies geweigerd konden worden, wat hun keuze niet echt ‘vrij’ maakte.

Deze bevindingen leidden de AP tot de conclusie dat AS Watson zich met haar website Kruidvat.nl schuldig maakte aan onrechtmatige gegevensverwerking. Als gevolg hiervan werd een boete van €600.000 opgelegd.

Google’s Privacy Sandbox: verbetering of Privacy washing?

Ook Google lijkt kritiek te krijgen op naleving van het toestemmingsvereiste. Het bedrijf introduceerde de Privacy Sandbox als een privacy vriendelijk alternatief voor third-party cookies in haar Chrome-browser, met als doel deze cookies volledig te elimineren. Gebruikers konden deze nieuwe functie activeren met de knop “Turn on ad privacy features”. Critici beweren echter dat deze zogenaamde ‘ad privacy feature’ niet zo privacy vriendelijk is als beweerd. In plaats van third-party tracking cookies te elimineren, verschuift het de tracking naar first-party tracking binnen Chrome zelf, beheerd door Google. Door dit een ‘privacy functie’ te noemen, zouden gebruikers worden misleid, waardoor er geen sprake is van vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming. Max Schrems, een vooraanstaand privacy-advocaat en activist, uitte zijn zorgen: “People are increasingly critical of the fact that big tech companies are making billions from invasive ad tracking technologies. Instead of actually improving the situation, Google is responding with a kind of unlawful ‘privacy washing’ by introducing a new tracking system.” (lees hier meer) Onlangs besloot Google om third-party cookies toch niet volledig te verbannen. In plaats daarvan zal het bedrijf expliciete toestemming vragen aan Chrome-gebruikers voor het gebruik van deze cookies. Ondertussen werkt Google door aan alternatieven voor third-party cookies met haar Privacy Sandbox, hopelijk dit keer wel privacy-proof.

Advies voor de praktijk

In de praktijk blijkt dat veel bedrijven nog steeds moeite hebben met de correcte toepassing van de wettelijke cookieregels. Het gebruik van vooraf aangevinkte toestemmingsvakjes en onduidelijke cookiebanners komt vaak voor, ondanks dat dit in strijd is met de wet. Dit soort praktijken leiden tot onrechtmatige gegevensverwerking en kunnen resulteren in aanzienlijke boetes en reputatieschade. Het is belangrijk dat bedrijven hun cookiebeleid regelmatig herzien en ervoor zorgen dat zij voldoen aan de geldende regelgeving om dergelijke fouten te voorkomen. Dit zijn enkele belangrijke lessen:

Duidelijke informatie: Zorg ervoor dat je cookiebanner duidelijke informatie geeft over het doel van de cookies en welke gegevens worden verzameld.
Actieve toestemming: Gebruik geen vooraf aangevinkte vakjes; Gebruikers moeten actief toestemming geven.
Eenvoudige opt-out: Maak het voor gebruikers gemakkelijk om cookies te weigeren.

Conclusie

De boete aan AS Watson voor het onrechtmatige gebruik van tracking cookies benadrukt het belang van naleving van de wettelijke regels. Bedrijven moeten transparant zijn over hun gebruik van cookies en ervoor zorgen dat toestemming op een correcte manier wordt verkregen. Dit voorkomt niet alleen juridische gevolgen maar helpt ook om klantvertrouwen te behouden. AS Watson heeft inmiddels de nodige aanpassingen doorgevoerd en zorgt ervoor dat in de cookiebanner van haar website Kruidvat.nl alleen strikt noodzakelijke cookies standaard zijn aangevinkt. Hopelijk zal Google de kritiek ook serieus nemen en zal zij met haar Privacy Sandbox een echte ‘Privacy feature’ bieden. Trek gekregen in een koekje na het lezen van dit artikel? Maak je geen zorgen, daarvoor heb je geen toestemming nodig! Het boetebesluit van de AP over AS Watson is hier te lezen.

Zoeken