De Autoriteit Persoonsgegevens gaat komend jaar vaker controleren of websites op de juiste manier om toestemming vragen voor het plaatsen van cookies. In praktijk komt het namelijk regelmatig voor dat bedrijven en organisaties misleidende cookiebanners op hun website plaatsen. Als de overtreding ernstig genoeg is, kan de toezichthouder besluiten om een boete op te leggen.
De privacywaakhond kondigt de extra controles aan in een persverklaring.
Cookies zijn er in allerlei soorten en maten
Je kent het vast wel: je bezoekt een website en ineens duikt er een cookiebanner op. Of je akkoord gaat dat er cookies op je apparaat worden geplaatst. Dat is nodig om ervoor te zorgen dat de website technisch goed werkt, of om het gedrag van bezoekers in kaart te brengen. Dit soort cookies worden respectievelijk functionele en analytische cookies genoemd.
Er is een type cookie waar de dataverzamelingsdrang een stuk verder gaat: dat zijn de zogeheten tracking cookies. Deze cookies volgen je online gedrag op de voet. Ze leggen onder meer vast welke zoekopdrachten je invoert, welke websites je bezoekt, hoe lang je daar blijft rondhangen, wat voor apparaten je gebruikt om mee te surfen, je IP-adres, locatiegegevens, en ga zo maar door.
Deze informatie verkopen website-eigenaren door aan beheerders van advertentienetwerken, die op hun beurt persoonlijke en gerichte advertenties aanbieden aan internetgebruikers. Het is een verdienmodel waar jaarlijkse vele miljarden mee worden verdiend. Maar het is niet bepaald goed voor je online privacy.
Wolfsen: ‘Wat je op internet doet is heel persoonlijk’
Voordat websites tracking cookies mogen plaatsen op het apparaat van bezoekers, moeten zij dan ook expliciet om toestemming vragen. En daar gaat het in praktijk nogal eens mis. Partijen die cookies plaatsen hebben de wettelijke plicht om bezoekers te informeren over welke gegevens ze verzamelen (artikel 7 AVG en artikel 11.7a vierde lid Telecommunicatiewet). Zo zijn ze in staat om een weloverwogen keuze te maken over het al dan niet accepteren van cookies.
Wat de Autoriteit Persoonsgegevens regelmatig hoort en ziet, is dat organisaties misleidende manieren bedenken om toestemming te krijgen voor het plaatsen van cookies. Vinkjes voor het accepteren van cookies staan automatisch aan, de weigerknop is lastig te vinden, en knoppen en URL’s om cookies af te wijzen krijgen afwijkende kleuren. Dit laatste noemen we ook wel dark patterns.
“Met volgsoftware of tracking cookies kunnen organisaties meekijken naar jouw internetgedrag. Dat mag niet zomaar, want wat je op internet doet is heel persoonlijk”, vertelt AP-bestuursvoorzitter Aleid Wolfsen. “Een organisatie mag dat alleen bijhouden als je er expliciet mee akkoord gaat. En je moet de mogelijkheid hebben om deze volgsoftware te weigeren, zonder dat dit nadelig voor je uitpakt.”
Staatssecretaris geeft half miljoen euro voor toezicht en handhaving op cookies
Om ervoor te zorgen dat organisaties de wet- en regelgeving op het gebied van cookies beter naleven, gaat de Autoriteit Persoonsgegevens dit jaar vaker controleren of ze op de juiste manier om toestemming vragen voor het plaatsen van cookies. De toezichthouder kan dan besluiten om een onderzoek in te stellen, of te handhaven door een boete op te leggen.
Dit voornemen komt niet zomaar uit de lucht vallen. Demissionair staatssecretaris van Digitalisering Alexandra van Huffelen beloofde afgelopen jaar om een half miljoen euro extra uit te trekken voor toezicht en handhaving op cookies en online tracking.
Ook Britse toezichthouder komt in actie tegen misleidende cookiebanners
Ook buiten Nederland treden nationale privacytoezichthouders steeds strenger op tegen misleidende cookiebanners. De Information Commissioner’s Office (ICO) schreef in november 2023 drieënvijftig van de honderd grootste websites in het Verenigd Koninkrijk aan met het verzoek om iets aan hun pop-upmeldingen te doen. Achtendertig organisaties voerden daarop aanpassingen door.
Komend jaar gaat de Britse toezichthouder nog eens honderden partijen aanschrijven. Om sneller en effectiever te werk te gaan, ontwikkelt ICO een ‘AI-oplossing’ om websites te identificeren die foutieve cookiebanners gebruiken.
