Een van de meest zichtbare (en irritante) uitingen van de Algemene Verordening Gegevensbescherming (General Data Protection Regulation – GDPR) van de EU is de “cookie-banner” die verschijnt wanneer u voor het eerst veel sites bezoekt. Deze zijn ontworpen om bezoekers de mogelijkheid te geven om te beslissen of ze gevolgd willen worden, en zo ja door wie. Maar houden bedrijven zich aan de voorwaarden die genoemd worden in hun cookie-banners?
Elk bedrijf dat internetsites in de EU exploiteert, zou deze in theorie of iets dergelijks moeten gebruiken, of een GDPR-boete riskeren tot 4% van de wereldwijde omzet. Omdat wij per definitie tegen elke inbreuk op de privacy van onze bezoekers zijn, plaatsen wij geen cookie-banners, en zéker geen cookies.
Cookiebanners kunnen vervelend zijn, maar ze geven gebruikers in ieder geval enige controle over hoeveel ze online worden gevolgd. Maar doen ze dat? Weinigen van ons hebben de vaardigheden of de tijd om te controleren of onze wensen worden gehonoreerd door elke site. Gelukkig hebben drie onderzoekers in Frankrijk – Célestin Matte, Nataliia Bielova, Cristiana Santos – beide, en hebben ze de eerste rigoureuze studie van dit gebied uitgevoerd. Ze hebben een goede samenvatting geschreven van hun volledige proefschrift.
Een eerste scan van 22.949 websites uit de EU-domeinen, evenals .org en .com, liet 1.426 sites zien met cookiebanners op basis van het Interactive Advertising Bureau Europe Transparency and Consent Framework, de belangrijkste industriestandaard voor dit gebied. Daarvan heeft het team van onderzoekers 560 websites van .uk, .fr, .it, .be, .ie en .com domeinen onder de loep genomen om mogelijke GDPR-inbreuken te detecteren.
Tot hun grote verbazing vonden ze vier soorten overtredingen in cookiebanners, verspreid over 305 websites – 54% van de steekproef:
1. Toestemming opgeslagen vóór een keuze.
De cookiebanner slaat een positieve toestemming op vóórdat de gebruiker zijn keuze met de banner heeft gemaakt. Wanneer adverteerders om toestemming vragen, reageert de cookiebanner daarop met de positieve toestemming, hoewel de gebruiker niet op een banner heeft geklikt en nog geen keuze heeft gemaakt.
2. Geen manier om u af te melden.
De banner biedt geen manier om toestemming te weigeren. Het meest vóórkomende geval is een banner die de gebruikers informeert over het gebruik van cookies op de site.
3. Voorgeselecteerde keuzes.
De banner geeft de gebruiker de keuze tussen één of meer doeleinden of leveranciers, maar sommige doeleinden of adverteerders zijn vooraf geselecteerd: vooraf aangevinkte vakjes of schuifregelaars zijn ingesteld op “accepteren”.
4. Niet respecteren van een keuze.
De cookiebanner slaat een positieve toestemming op in de browser, hoewel de gebruiker expliciet toestemming heeft geweigerd.
Dat is een behoorlijk sombere gang van zaken. De GDPR is bedoeld om controle te geven aan degenen die websites in de EU bezoeken, en toch negeert meer dan de helft van de laatst onderzochte websites de keuzes van gebruikers. Een persoon die zich niet bereid heeft getoond om de GDPR op deze manier te negéren, is de privacy-campagnevoerder Max Schrems. In de loop der jaren heeft hij meerdere juridische uitdagingen met betrekking tot privacy en de GDPR gelanceerd en gewonnen. Nu richt zijn privacyorganisatie noyb.eu zijn aandacht op respectloze cookiebanners:
noyb.eu identificeerde talloze schendingen van de Europese en Franse cookieprivacywetten waar (sites als) CDiscount, Allociné en Vanity Fair allemaal een afwijzing van cookies door gebruikers veranderen in een “neptoestemming”. De non-profit organisatie noyb.eu heeft vandaag drie formele [GDPR] klachten ingediend bij de Franse autoriteit voor gegevensbescherming (CNIL).
Tot 565 “neptoestemmingen” per gebruiker. Ondanks dat gebruikers de moeite nemen om talloze cookies op de Franse eCommerce-pagina CDiscount, de filmgids Allocine.fr en het modeblad Vanity Fair te “weigeren”, hebben deze webpagina’s digitale signalen verzonden naar trackingbedrijven die beweren dat gebruikers ermee hebben ingestemd online te worden gevolgd. CDiscount heeft “neptoestemming”-signalen gestuurd naar 431 trackingbedrijven per gebruiker, Allocine naar 565 en Vanity Fair naar 375, zoals de analyse van de gegevens nu laat zien.
Schrems wijst erop dat een bedrijf dat gebruik maakt van “neptoestemming” Facebook is, dat graag cookies plaatst nadat mensen duidelijk bezwaar hebben gemaakt tegen alle tracking. Dat betekent dat de schaal van de mogelijke inbreuk op de GDPR aanzienlijk is. Het zal nog enige tijd duren voordat CNIL haar beslissing geeft, maar op basis van zowel de staat van dienst van Schrems als de feiten van de zaak, lijkt het waarschijnlijk dat hij opnieuw zal zegevieren.
Hoewel de oorspronkelijke uitspraak alleen van toepassing is op Frankrijk, wordt deze waarschijnlijk gevolgd door gegevensbeschermingsautoriteiten in andere EU-landen. Als een van de hierboven genoemde websites een resultaat betwist dat daar tegenin gaat, kan er een verwijzing zijn naar de hoogste rechtbank van de EU, wiens beslissing definitief is en van toepassing is op de hele regio. Dat is op zijn beurt waarschijnlijk van invloed op online privacywetten over de hele wereld, zoals de GDPR al doet.