Een onderzoek van de NOS met uitkomst naar verwachting afgelopen vrijdag: Veel websites plaatsen zonder toestemming cookies met impact op de privacy.
Geautomatiseerd heeft de NOS 10.000 internetadressen gecontroleerd, om enkele uitkomsten steekproefsgewijs te controleren. In 1341 gevallen werden er al cookies geplaatst zonder toestemming.
Toestemming benodigd voor privacy gevoelige cookies
Echter, onder de AVG dient er sprake te zijn van een grondslag om gegevens te mogen verwerken. In het geval van cookies, betekent dit dat er toestemming benodigd is van de bezoeker. Is er géén toestemming, dan mogen er geen cookies of tracking mechanismen worden geplaatst die herleidbaar zijn tot een persoon danwel impact hebben op de privacy.
Third parties
Hier gaan veel sites de fout in. (Google) Analytics mag bijvoorbeeld, indien ip-adressen geanonimiseerd zijn. Deze zijn dan immers niet meer herleidbaar tot een persoon. Websites bevatten veelal echter ook toepassingen welke cookies plaatsen, denk aan een LinkedIn, Twitter of Facebook Widget invoegen op een website, social sharing via third parties.
Onderzoek door Autoriteit Persoonsgegevens
Onder de cookie-wetgeving leek het gedoogd te worden om cookies al bij eerste bezoek, zonder dat er toestemming is gegeven vanuit de bezoeker, cookies te plaatsen. De AVG wetgeving maakt hier expliciet korte metten mee, waarmee de Autoriteit Persoonsgegevens kan handhaven. De privacy toezichthouder liet door NOS dan ook optekenen op korte termijn zelf een onderzoek te beginnen naar de naleving van privacyregels door websites.
Cookies: werk aan de winkelwebsite
Werk aan de winkel dus voor veel website-houders, die nog niet conform AVG wetgeving handelen. De grootste impact? Correct inregelen door de website eigenaar en/of programmeur, als ook verlies van bruikbare data voor marketeers en het kennen van de software dat je gebruikt.
Het correct inregelen past bij de AVG motto's Privacy by Default als ook Privacy by Design.
Dat kennis en kunde omtrent de AVG wetgeving niet altijd hand in hand gaat, bewees AVG Cloud Register via een onderzoek. Zelfs websites die je willen helpen bij de AVG wetgeving, kunnen zelf nog wel eens de plank mis slaan. Denk -op moment van schrijven- aan gebrek van correcte https-implementatie of 42 cookies serveren zonder toestemming. De impact op de privacy, strookt in onderstaande gevallen daarmee niet met de domeinnamen.
Privacy perfect cookies
Hoe kun je het dan goed doen, als zelfs de professionals de plank mis kunnen slaan? Weet welke software je gebruikt en ken de implicaties en valkuilen ervan. In bovenstaande gevallen wordt respectievelijk Wordpress en Drupal gebruikt. Open source systemen als deze hebben echter grotere kans (negatieve) invloed te hebben op de privacy. Leg je (Wordpress) website eens een keer extra langs de website privacy checklist of werk desnoods samen met (AVG compliant) partners die je op technisch of juist theoretisch vlak aanvullen.
Alhoewel bijvoorbeeld Google Tag Manager (GTM) een marketeer een vrijbrief kan geven om scripts en daarmee privacy schendende trackers te introduceren, kan ook met GTM een privacy vriendelijke omgeving worden gecreeërd, door GTM triggers toe te passen.
Hulp nodig bij een privacy compliant website? Wij leveren websites op middels het LightBolt CMS, waarbij niet enkel pagespeed en technical SEO, maar ook privacy en security in de basis c.q. by design is getackeld.
