Meerdere politieke partijen overtreden de privacywet door zonder toestemming volgcookies te plaatsen, blijkt uit onderzoek van de NOS. Dankzij zulke cookies kan een partij bezoekers van zijn website later opnieuw bereiken met gepersonaliseerde advertenties, bijvoorbeeld op YouTube of een nieuwssite. Drie van de vier aangesproken partijen beloven dit direct te herstellen.
Meer te lezen over het onderzoek op de blog van Ron Roozendaal:In de meting op 23 oktober 2023, bijna twee weken nadat de AP de politieke partijen gewaarschuwd had, werden de publieke websites bezocht van alle partijen die meedoen aan de verkiezingen op 22 november 2023. Daarbij werd vastgelegd welke cookies worden geplaatst. Van al deze cookies selecteerde ik die cookies van tracking partijen waarvan in ieder geval zeker is dat ze leiden tot tracking. Waar dat niet zeker is, tel ik ze niet mee. Daarom telde ik de cookies mee van prfct.co, adnxs.com, facebook.com, google.com (inclusief youtube.com), twitter.com (X), doubleclick.net en myfonts.net.De resultaten zijn schokkend: zeventien partijen die meedoen aan de verkiezingen plaatsen één of meer tracking cookies van deze partijen.
Meelezende FG’s schrikken nu misschien extra hard, omdat het hier gaat om politiek georiënteerde websites waarmee de tracking dus gegevens over politieke voorkeur zou kunnen opleveren. Maar ik haal uit niets dat daar nadrukkelijk naar wordt gespeurd, hoewel je ook niet kunt uitsluiten dat Google een bezoeker van de site van de BBB classificeert als politiek die kant op neigend.
De Autoriteit Persoonsgegevens had zich al eerder kritisch uitgesproken over deze praktijk, met name omdat zij vreest voor politiek getinte microtargeting (precies, dat). Iets wat diezelfde NOS eerder deze maand ontdekte:
Politieke partijen doen ook deze verkiezingscampagne uitgebreid aan microtargeting op sociale media. Dat is het gericht advertenties sturen naar potentiele kiezers op basis van persoonlijke informatie, zoals hun zoekgeschiedenis.Het gaat hier dan alleen niet om sluwe AI-algoritmes die verborgen patronen en voorkeuren herkennen in allerlei websitegedrag. Het ‘microtargeten’ gebeurt vrij rechttoe rechtaan:
Stel je zoekt op Facebook naar een recept of informatie van je bank, dan kan die informatie gebruikt worden om je gericht een campagnefilmpje of advertentie te laten zien. Ben je geïnteresseerd in het blad Happinez, de VPRO of veganisme dan wil GL-PvdA je graag benaderen.Heel anders dan een full-page advertentie in de Happinez plaatsen of een billboard huren tegenover de ABN Amro lijkt me dat niet, maar omdat het hier gaat om persoonsgegevens is dit ineens een AVG-dingetje.
De Autoriteit Persoonsgegevens reageert geschrokken: “Zonder iemands toestemming volg-cookies gebruiken, is absoluut niet toegestaan. We willen opheldering van deze politieke partijen”, zegt een woordvoerder. Dat zou wel eens tijd worden, want dit speelt al vele jaren en er verandert niets.
Arnoud
Zijn er ook niet heel veel bedrijven die hetzelfde doen?
Dat is een excuus van het type “de auto voor me reed ook door het rode licht.” Van mij mag de AP boetes en dwangsommen gaan uitdelen.
iusmentis bewijst dat tracking cookies niet nodig zijn.
Het is meer dat ik nooit wat hoor van de AP over overtredingen door bedrijven.
‘Maar hun doen het ook’ vind ik niet echt aan valide argument. En daarnaast: verwerken die daarmee ook ook bijzondere persoonsgegevens?
Heeft de websitebouwer hier niet enige verantwoordelijkheid? Dat is tenslotte de expert, die hoort te weten dat het niet mag, maar het toch doet. De websitebouwer zou de partij mee kunnen delen dat het niet mag en als de partij het dan toch doet, komen ze niet meer weg met oeps foutje.
Van al het personeel dat zich met het bouwen, inrichten en beheren van een website bezighouden, mogen we verwachten dat zij de privacyregels in acht nemen en “stop” roepen waar nodig. Dit moet net zo vanzelfsprekend zijn als de verwachting dat het personeel van de afdeling financiën zich aan de fiscale regels houdt. Probleem is dat we deze vanzelfsprekendheid niet zien. In opleidingen wordt hier weinig aandacht aan besteed. Personeel krijgt nauwelijks of geen compliancy-cursus. Leveranciers van toolkits hebben tracking als default aan staan. Documentatie toont wel voorbeelden waar tracking actief is, maar geen voorbeelden zonder tracking.
Is het niet de verwerkingsverantwoordelijke die verantwoordelijk is voor de verwerking? Als het goed is, bouwt de bouwer volgens de specificaties van de klant.
In hoeveel van de opdrachten staat expliciet “voldoet aan de Nederlandse (Europese) wetgeving voor privacy”? Mijn verwachting is: dicht bij 0%! De simpele reden: Geschiktheid voor het beoogde gebruik is een standaard eis aan een product, “voldoet aan de wettelijke eisen” is daar zo’n triviaal onderdeel van dat discussie overbodig is. Gevolg is wel dat privacy in veel gevallen niet expliciet getest wordt bij de oplevering.
Als er serieus gehandhaafd gaat worden komt de benodigde aandacht vanzelf.
In hoeveel van de gevallen besluit de bouwer zelfstandig om volg-cookies toe te voegen? Wat ik bedoelde te zeggen: die tracking-cookies worden geplaatst omdat de klant daarom verzocht heeft (of ‘ie nu wel of niet bekend is met de consequenties). De website-eigenaar bepaalt doel en middelen en is dus verantwoordelijke in de zin van de AVG. Ik zie niet echt welke rol een website-ontwikkelaar heeft om juridisch advies te geven.
Ik denk niet dat een opdrachtgever expliciet vraagt om tracking, maar dat het volgt uit wensen/eisen als: “ik wil advertenties van XXX”, “er moet zo’n trendy SM knop op de pagina” of “ik wil YYY widgets hebben”.
Als zo’n opdrachtgever niet gewezen wordt op de juridische consequenties van zo’n wens dan blijven we het komende decennium aanmodderen. De AP zou wat mij betreft websitebeheerders moeten aanschrijven met “Fix Uw website binnen twee weken of U loopt het risico op een dwangsom.”
Of het impliciet of expliciet is – het blijft op verzoek van de klant. Ik zie niet hoe de opdrachtnemer (i.c. een webbouwer) daar een adviserende taak in zou hebben – het is simpelweg z’n vak niet. Als je juridisch advies wilt, schakel je doorgaans een jurist in.
Een websitebouwer hoeft geen juridisch advies te geven, maar zhij kan wel aangeven waar de wensen van de klant potentiële juridische problemen kunnen opleveren. Het is dan aan de klant om er (n)iets mee te doen.
Volgens mij zit er in je zorgplicht als opdrachtnemer wel degelijk een stukje juridisch advies. Een aannemer die me niet vertelt dat ik (waarschijnlijk) een vergunning nodig heb voor mijn aanbouw, heeft echt wel een probleem. Ik snap dat hij niet de exacte maten weet voor vergunningsvrij bouwen, maar helemaal niets zeggen en gaan bouwen zonder enig gesprek over vergunningen zou echt niet kunnen.
De cookiewet is inmiddels zó ingeburgerd dat ik van een gemiddeld webbouwer echt wel mag verwachten dat die de basisregels kent. Emailmarketeers weten dat je optin nodig hebt en weten de standaardmanieren om deze te krijgen. Webbouwers gebruiken geen beeld dat ze van internet copypasten. Dat zijn echt geen situaties waar je juristen bij nodig hebt.
Fair enough. Toch denk ik dat je de gemiddelde webbouwer overschat qua kennis van de Tw en AVG (ik noem 11.7 a lid 3 sub b Tw, de vereisten die de AVG aan toestemming stelt, de ontwikkelingen qua adequaatheidsbesluiten voor doorgifte buiten de EER). Maar als een verzoek van de klant pareren met een “check even bij JZ of wat je wilt wel mag” voldoet aan de zorgplicht. Overigens zijn er ook zat marketeers die mailen naar adressen waarvoor helemaal niet een correcte opt-in is verkregen, dus ook daar denk ik dat de juridische kennis niet overschat moet worden.
FG = Functionaris Gegevensbescherming.
https://www.ictrecht.nl/juridisch-advies/continue-support/functionaris-gegevensbescherming?utm_term=functionaris%20gegevensbescherming