Alles over de nieuwe privacywet (AVG)

Consumentenbond: 'Twee op drie sites overtreden privacywetten'

07 juni 2018 06:15 Aangepast: 07 juni 2018 12:47
Sinds 25 mei moeten bedrijven en organisaties aan de nieuwe privacywet voldoen. Beeld © ANP

Bijna 70 procent van de 150 websites die de Consumentenbond onderzocht, overtreedt de nieuwe privacywetgeving. Veel sites plaatsen tracking cookies nog voordat bezoekers daar toestemming voor hebben gegeven. En dat mag niet, stelt de bond.

Sinds 25 mei moeten alle organisaties voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Die verordening zorgt dat de privacy van consumenten beter wordt beschermd. Volgens de nieuwe wet mogen er alleen maar trackende cookies worden geplaatst als een consument actief toestemming geeft daarvoor. 

Volgens de Consumentenbond voldoet slechts 31 procent van de gecheckte 150 websites aan de AVG. In het onderzoek is er voornamelijk gekeken naar webwinkels, veelbezochte sites en sites die gevoelige informatie verwerken. Het gaat dan vooral om financiële, gezondheids- of datingsites.

Van Nationale Nederlanden tot Nespresso

Van de 150 sites plaatsen 78 sites bij het openen van de pagina zonder te vragen marketing- en/of advertentiecookies. Die zijn meestal van advertentienetwerken van Google of Facebook. De sites tonen daarna wel een cookiemelding die geaccepteerd kan worden, maar bepaalde cookies werken dan al.

Bij 19 sites van de 78 stelt de Consumentenbond vast dat er zelfs vijf of meer commerciële trackers worden geplaatst zonder toestemming vooraf, waarmee het gedrag van de sitebezoeker tegen de regels in wordt gevolgd. Het gaat dan bijvoorbeeld om Reddit.com (45 commerciële tracking cookies), hoteldeal.nl (40), Bever (17), Booking.com (12), Nespresso (8), Fietsenwinkel.nl (8), Decathlon (8), Domino's (7), OKcupid (7), Eneco (6) of Nationale Nederlanden (5). Een uitgebreider overzicht is hier te vinden

Hoe interpreteer je de wet?

Er zijn nog flinke onduidelijkheden over hoe de nieuwe privacywet geïnterpreteerd moet worden, zo blijkt. Verschillende bedrijven uit het onderzoek van de Consumentenbond geven aan volledig aan de wet te voldoen, terwijl blijkt dat de Consumentenbond de wet op een andere manier interpreteert en dus zegt dat ze illegaal  cookies plaatsen voordat er toestemming is gevraagd.

Maar, zeggen verschillende van die sites, het plaatsen van die cookies is helemaal niet tegen de wet. "Bij alle persoonsgegevens die we verwerken houden we ons aan de privacywetgeving", stelt een woordvoerder van Nationale Nederlanden. "Die cookies zijn functioneel op basis van gerechtvaardigd belang en we hebben ze nodig om de site te laten draaien."

Eneco denkt er hetzelfde over. "Wij hebben juist voor het ingaan van de AVG alles nog gecheckt en we voldoen aan de wet. De cookies die voor het acceptatiescherm worden geplaatst worden niet aan klantdata gekoppeld en vallen ook niet in de categorie marketingcookies", reageert een woordvoerder.

'Bedrijven rekken grens op'

De Consumentenbond ziet dat anders. Er zijn verschillende soorten cookies. Sommige vertellen je hoeveel mensen er op een website komen, waar ze vandaan komen. "Dat zijn functionele cookies en die mogen geplaatst worden", zegt Gerard Spierenburg van de Consumentenbond.

"Maar met marketingcookies wordt gekeken waar een bezoeker naar kijkt en worden producten gekoppeld aan persoonsgegevens. We snappen dat dat goed is voor die bedrijven en dat ze mensen van dienst willen zijn, maar volgens ons moet je daar wel degelijk toestemming voor vragen. Nu wordt de grens tussen functionele- en marketingcookies opgerekt door die bedrijven", vervolgt Spierenburg.

Ook Domino's is opgenomen in de lijst van de bond. Niet helemaal terecht, denkt een woordvoerder van het bedrijf. "Domino's leeft de wetgeving strikt na en heeft hard gewerkt om aan de laatste wet- en regelgeving te voldoen. Op basis van wat we te horen hebben gekregen over het onderzoek van de consumentenbond, gaan we de website nader onderzoeken. Indien nodig passen we het aan."

'Slikken of stikken' 

Volgens de nieuwe wetgeving moet je verschillende typen cookies los van elkaar kunnen toestaan. In het onderzoek van de Consumentenbond voldoet slechts een derde van de onderzochte sites aan die regel. Een aantal sites, zoals Coolblue, Dominos, Knab en XS4All, heeft de optie om commerciële cookies te weigeren verstopt, stelt de bond.

En dan is er nog de categorie 'slikken of stikken'. 26 van de 150 sites plaatsen vooraf geen trackingcookies, maar maken het verplicht om in een keer alle cookies te accepteren. Dat is niet AVG-proof, stelt de bond. Het gaat volgens de bond dan onder meer om de sites van Albert Heijn, Buienradar, Bol.com, Hema, Funda, Ikea, Marktplaats, Volkskrant, Telegraaf en ook RTL Nieuws.

'De bezoeker heeft wél een keuze' 

Ook die bedrijven zijn het niet eens met de Consumentenbond. “We geven bezoekers de mogelijkheid om geen cookies te accepteren als ze niet strikt functioneel of analytisch zijn”, zegt een woordvoerder van Bol.com. “Qua marketingcookies heeft de klant een keuzemogelijkheid. Daarom is de tekst van de consumentenbond dat de klant alle cookies moet accepteren ook niet juist: de bezoeker heeft een keuze.” Bol.com vindt dan ook dat ze ten onrechte worden bestempeld als niet-AVG-proof. De Consumentenbond heeft na een controle Bol.com naar toch onder 'AVG-compliant' geplaatst, al geven ze aan dat de opties nog 'verstopt' zijn.

Grote vraag is wie er nu gelijk heeft. Op die vraag is er voorlopig geen antwoord, zegt AVG-specialist Menno Weij van Solv Advocaten. “De Consumentenbond doet z’n werk en komt op voor consumenten. Zij interpreteren de wet op hun manier. Maar Bol.com is ook niet gek, die hebben hierover nagedacht en dit vast goed uitgezocht”, zegt Weij. Hij denkt dan ook dat beide partijen niets te verwijten is: er is simpelweg nog teveel ruimte voor interpretatie binnen de wet. 

“Het is jammer dat er, twee jaar na invoering van de wet, nog zoveel onduidelijk is op dit cruciale aspect van de wet”, zegt Weij. Het is voor iedereen beter als daar snel duidelijkheid over komt. Volgens hem ligt de bal bij de handhavers, zoals privacywaakhond AP en de ACM. “De bedrijven zullen kijken waar de ruimte zit, dat is ook logisch. Uiteindelijk zal de rechter moeten oordelen wat er wel of niet klopt.”

Vrije keuze

RTL laat weten dat een cookiemuur wellicht niet de meest klantvriendelijke optie is, maar dat ervoor wordt gekozen omdat RTL haar diensten gratis wil blijven aanbieden. Een woordvoerder geeft aan dat het bedrijf zich aan de wet houdt als het gaat om de plaatsing van cookies en dat het een vrije keuze is voor consumenten om de cookies wel of niet te accepteren. 

Daarnaast wijst de woordvoerder erop dat consumenten volledig en transparant worden geïnformeerd over wat voor gegevens verzameld worden en met welk doeleinde. "Voor het verwerken van de met de profileringscookies verkregen persoonsgegevens geldt dat dit ook op grond van de AVG nog steeds is toegestaan en dat er niet altijd specifieke toestemming nodig is."

Deze kapper heeft een stuk minder werk aan de privacywet

Omdat deze kapper niks digitaal bewaart, hoeft ze minder te veranderen.
`