Grote bedrijven zijn creatief in omzeilen van privacywet GDPR

Chaos in cookie-oplossingen: veel bekende websites niet AVG-proof

Veel grote bedrijven houden zich volstrekt niet aan de net ingevoerde Europese privacywet GDPR. En dat terwijl minister Dekker juist van die grote organisaties zegt te verwachten dat zij helemaal conform de AVG opereren. Een rondgang langs de nodige belangrijke websites leert dat bedrijven vaak heel creatieve oplossingen bedenken, met name via de cookie-melding. Veel websites overtreden daarmee de wet, zeker als ze bezoekers niet toelaten zonder akkoord om cookies te kunnen plaatsen.

Vrijdag 25 mei was er grote paniek. Vanaf die dag moet iedereen aan de de Algemene Verordening Gegevensbescherming (AVG) voldoen. Onder deze Europese privacywet moeten bedrijven veel meer toestemming vragen aan consumenten. Pas na toestemming mogen zij hun data commercieel inzetten. Van plaatselijke amateurvereniging tot bank en van sociaal netwerk tot zoekmachine. Niemand ontkomt aan de GDPR, zoals de AVG in het buitenland heet. Alles wat te maken heeft met het tracken en tracen van mensen, het opnemen van mensen in lijsten, het gebruik van remarketing valt onder die privacy wetgeving. Last minute werd naar alle abonnees nog een groot aantal mails gestuurd met betrekking tot vernieuwde privacy verklaringen.

Grote partijen als eerste in beeld bij handhaving

Minister Sander Dekker van Rechtsbescherming heeft in een interview met NOS aangegeven dat kleine organisaties niet direct bang hoeven te zijn voor de AVG. Volgens hem zal de Autoriteit Persoonsgegevens niet direct boetes uitdelen. Hoewel hij wil dat de Autoriteit Persoonsgegevens goed toeziet op naleving van de wet, moet er ook schappelijk mee omgegaan worden. Minister Dekker geeft wel aan dat kleine organisaties moeten laten zien dat zij zich met de nieuwe privacywet bezighouden: “Gegevens mogen niet in de verkeerde handen vallen.”

“Als grote bedrijven er met de pet naar gooien, dan hebben ze een probleem”

Van grote organisaties verwacht de minister wel dat ze helemaal conform de AVG zijn. “Als grote bedrijven er met de pet naar gooien en jouw of mijn gegevens op straat liggen, dan heb je echt een probleem.” Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, sluit zich bij de woorden van de minister aan. Hoewel de maatregelen minder zwaar worden toegepast dan aangekondigd, geeft hij in diverse interviews wel aan dat de grote partijen als eerste aan de beurt komen bij handhaving. Maar hoe hebben de grote partijen het sinds het ingaan van de AVG opgepakt?

Hoe grote websites de AVG/GDPR schenden

Grote bedrijven zijn erg creatief in het omzeilen van de AVG/GDPR-wetgeving. Zo zijn er bedrijven die een niet functionele website serveren wanneer je niet akkoord wilt gaan met de cookies die zij plaatsen. Dit is uitdrukkelijk verboden. Websites moeten altijd blijven werken, ook al deel je niets. Als je vervolgens denkt dit te omzeilen door op ‘lees meer’ te klikken plaatsen zij cookies. Ook zijn er bedrijven die op hun website wel een uitleg over cookies geven, maar geen mogelijkheid tot uitschrijven aanbieden. Daarbij is het vaak onmogelijk om de website te bekijken als je niet akkoord gaat.

Een ander goed voorbeeld is het alleen aanbieden van opt-in. Wil je dat niet? Dan heb je pech. Daarnaast zijn er bepaalde websites waarbij het onmogelijk is om cookies in de cookiemelding uit te schakelen. Dit kan dan bijvoorbeeld alleen binnen je webbrowser. Heb je de cookies eenmaal verwijderd? In veel gevallen worden er dan alsnog een groot aantal cookies ingeladen. Voorbeelden hiervan zijn Doubleclick, Facebook, hs-analytics en hs-script.

“Geef je geen akkoord? Facebook plaatst alsnog cookies”

Tot slot zijn er ook een aantal websites die alleen de mogelijkheid tot akkoord geven aanbieden. Je hebt in zulke gevallen geen enkele mogelijkheid tot ‘niet akkoord’. Ook dit is in strijd met de AVG/GDPR-wetgeving.

Techreuzen uit Amerika onder vuur

Tot slot zijn er nog de techreuzen uit Amerika: Google en Facebook. Beiden werden op 25 mei direct aangeklaagd door de Oostenrijkse privacy-activist Max Schrems. Volgens hem schenden beide techgiganten de AVG/GDPR-privacywet.

Google en YouTube geven een mededeling en lijken alleen cookies te plaatsen ten behoeve van de toestemming van de websitebezoeker. Als je de ‘Lees meer’-knop gebruikt kan je wel je cookie-instellingen aanpassen. Dit kost wel veel moeite. In de AVG/GDPR staat duidelijk omschreven dat het geven en intrekken van toestemming net zo makkelijk moet zijn. Bekijk hier een voorbeeld.

Bij Facebook lijkt de mededeling niet helemaal juist. Geef je geen akkoord? Ze plaatsen alsnog cookies. Dit lijken functionele én marketing-cookies te zijn.

Netste jongetjes van de klas: AVG-proof websites

Natuurlijk zijn er ook grote partijen die hun website wél AVG/GDPR-proof hebben gemaakt. Marketingblog Frankwatching gaat hierin heel ver. Standaard staan alle cookies uitgevinkt, op de noodzakelijk na. Ook de Consumentenbond en NS hebben de wetgeving goed begrepen. Zij geven de websitebezoeker namelijk de mogelijkheid om ‘niet akkoord’ te gaan met cookies.

“Consumentenbond en NS hebben de privacywet goed begrepen”

De NPO en ING hebben hun website redelijk goed AVG-proof gemaakt. Op de website van de NPO kun je met behulp van een knop namelijk de cookie-instellingen aanpassen. Vervolgens krijg je genoeg informatie om een goede beslissing te nemen. ING vraagt haar websitebezoekers na de eerste pagina of zij een cookie mogen plaatsen. De bezoeker kan dit vervolgens op drie niveaus inregelen: compleet, basis en functioneel. Dit geldt ook voor ABN Amro. Al tonen zij de cookiemelding direct op de eerste pagina.

Conclusie: veel werk aan de winkel

De conclusie na een aantal dagen AVG? Grote bedrijven zijn erg creatief in het omzeilen van de Europese privacywet. Ze gebruiken een cookiewall terwijl dit specifiek door de AVG verboden is. Zelfs als je van mening bent dat de ePrivacy-wetgeving hier later pas antwoord op geeft. AVG/GDPR wijst erop dat mensen de website moeten kunnen bezoeken, ook al hebben ze geen akkoord gegeven voor de opslag van gegevens. Alle functies van een website moeten namelijk werken zoals het hoort.

Verder moet het voor een gebruiker net zo makkelijk zijn om toestemming en géén toestemming voor cookies te geven. Ook hier gaan grote websites de mist in. In deze gevallen laten zij de gebruiker bewust zwemmen om de privacy-instellingen naar hun wens aan te laten passen.