Menu
De Groote – De Man
cookies op je website wat mag wel en niet van de GBA

9 op 10 bedrijven niet in orde met cookiebeleid [ONDERZOEK]

Publicaties
25 mei 2020

Meer dan 90% van de bedrijven met een website is niet in orde met hun beleid rond cookies en riskeert dus zo een boete bij controle. Dat blijkt uit een onderzoek dat het Privacy team van De Groote – De Man uitvoerde bij meer dan 200 websites uit vijf verschillende sectoren. Lees hier wat de inbreuken zijn en de mogelijke gevolgen.

Cookies zijn onderhevig aan een strenge en complexe privacyregelgeving. Een onderzoek van De Groote – De Man toont aan dat maar liefst 90% van de bedrijven met een website niet in orde is met hun cookiebeleid. Dat wil ook zeggen dat zij op dit moment een boete riskeren als ze controle zouden krijgen van de Gegevensbeschermingsautoriteit.

Ons onderzoek over cookies

Ons team Privacy & IT krijgt dagelijks advies- en bijstandsvragen van bedrijven over de correcte implementatie van de regelgeving. Dat zette ons ertoe aan om een steekproef te organiseren die een beeld geeft van hoe bedrijven in ons land omgaan met cookies. Ons team controleerde hiervoor het cookiebeleid bij meer dan 200 websites uit de sectoren van Media, Telecom, Finance, e-Commerce en Marketing. De focus lag daarbij op de manier waarop bedrijven cookies plaatsen bij bezoekers die op hun website surfen.

De resultaten zijn frappant: minder dan 10% van deze websites zou op dit moment een controle van de Gegevensbeschermingsautoriteit ongeschonden doorstaan.

Controles op cookies zijn prioriteit voor GBA

En die controles komen er. De Gegevensbeschermingsautoriteit kondigde eind 2019 aan dat controles op cookies en het bijhorende beleid een van hun topprioriteiten is voor de komende 5 jaar.

Lees meer over het vijfjarenplan van de GBA hier

Bovendien voegde de GBA al meteen daad bij woord. De eerste boete was er meteen een van 15.000 euro voor een website na inbreuken met betrekking tot cookies.

Lees hier meer over deze boete en de inbreuken

Algemene tendens

Wij hebben het onderzoek bewust gericht op zeer diverse ondernemingen, zowel op vlak van de sector waarin ze opereren als de grootte van de onderneming. Ongeacht hun grootte of sector blijkt de overgrote meerderheid de regels rond cookies niet correct na te leven, waaronder ook grote spelers die internationaal opereren.

Cookies zijn overal

Haast elke website plaatst cookies. Ondanks een tendens bij privacy puriteinen om cookies in zijn geheel te bannen, blijkt dit maar het geval voor 0,5% van de onderzochte websites. Dat betekent dat we welgeteld 1 website tegenkwamen die geen gebruik maakte van cookies.

Hieruit concluderen we dat het haast onmogelijk is om een commerciële website te hebben zonder cookies of vergelijkbare technologieën toe te passen.

Inbreuken voornamelijk over ’toestemming’

De meest voorkomende inbreuken hebben te maken met het niet, of niet op de juiste manier, vragen van de toestemming van de websitebezoeker voor het gebruik van cookies. De websitebezoeker moet uitdrukkelijk, specifiek en geïnformeerd toestemming kunnen geven voor er cookies worden geplaatst.

Geen toestemming voor essentiële cookies

Uitzondering op dit principe zijn de essentiële cookies. Dergelijke cookies zijn noodzakelijk zijn voor de goede werking van de website en vereisen geen toestemming. Wel moet u de bezoeker hierover vooraf informeren. Dit geeft voor sommige websites meteen een ‘handige’ voedingsbodem voor discussie: welke cookie is noodzakelijk voor het goed functioneren, en welke is dat niet?

Geen ‘uitdrukkelijke’ toestemming van bezoeker

Meer dan 60% van de 200 onderzochte websites blijkt geen uitdrukkelijke toestemming te vragen aan websitebezoekers voor het gebruik van cookies die niet strikt noodzakelijk zijn. Veruit het vaakst komt voor dat bedrijven werken met het principe van ‘impliciete toestemming’. Dat wil zeggen dat ze het verder navigeren op de website zonder toestemming aan te vinken, beschouwen als een geïmpliceerde vorm van toestemming.  Nochtans heeft de Gegevensbeschermingsautoriteit impliciete toestemming uitdrukkelijk verworpen. Het is – volgens de Europese privacyregelgeving – verplicht dat de toestemming van de websitebezoeker bestaat uit een actieve handeling van de websitebezoeker. Denk maar aan het klikken op de knop ‘cookies toestaan’.

voorbeeld cookiebanner met uitdrukkelijke toestemming

Wel toestemming nodig voor analytische cookies

Analytische cookies geven websiteontwikkelaars en marketeers van bedrijven informatie over hoe websitebezoekers omgaan met de website. Zo kan de website bijgestuurd worden waar nodig. Google Analytics is een zeer gekend voorbeeld van dergelijke software/cookies. Relatief nieuw is het uitdrukkelijke standpunt van de Gegevensbeschermingsautoriteit dat zogenaamde analytische cookies niet noodzakelijk zijn voor het goed functioneren van de website. Voor deze cookies is dus wel degelijk uitdrukkelijke toestemming nodig.

Uit ons onderzoek blijkt dat 60% van de onderzochte websites alvast cookies plaatst die niet essentieel zijn, voor of zonder dat de websitegebruiker hier actief toestemming voor heeft gegeven.  

Geen ‘specifieke’ toestemming van de bezoeker

Van de websites die geslaagd uit voorgaande vragen kwam, bleek 35% enkel een algemene toestemming vragen.

Dit betekent dat de website in het algemeen vraagt of de bezoeker toestemming wil geven voor het gebruik van cookies. Nochtans moet deze toestemming gespecificeerd zijn. De bezoeker moet exact weten welke soort cookies er geplaatst worden (functioneel, analytisch, marketing/advertising) en voor elk van deze soort cookies toestemming kunnen geven.

Vooraf aangevinkte cookies

Bovendien stellen we ook vast dat cookies ook vooraf reeds staan aangevinkt, zonder de expliciete toestemming van de bezoeker. Vooraf bepaalde cookies aanvinken die de bezoeker vervolgens al dan niet moet uitvinken, mag dus niet. Tenzij het uiteraard gaat om de categorie van essentiële cookies, daar moet de bezoeker niets kunnen aan-of uitvinken.

Geen ‘geïnformeerde’ toestemming van de bezoeker

Alle websites die tot dit niveau van het onderzoek geraakten, informeren bezoekers op een bepaalde manier over het gebruik van cookies. Sommige hebben een aparte cookieverklaring, anderen integreren dit in de algemene privacyverklaring. Maar bij 50% van deze bedrijven voldeed de gegeven informatie niet aan de vereisten.

Zo moeten, onder andere, volgende zaken zeker vermeld worden:

  • De doeleinden van de cookies (waarvoor gebruikt u de info)
  • De levensduur van de cookies (hoe lang blijven ze staan bij de gebruiker)

geinformeerde toestemming cookies voorbeeld

Mogelijke oorzaken

Uit ons onderzoek bleek dat minstens 90% van de websites niet slaagde voor onze controle. Maar waar zou dit aan kunnen liggen? Onze experts zien meerdere oorzaken.

Complexe regelgeving met internationale verschillen

De complexiteit van de wetgeving heeft zeker impact op het hoge percentage. Het feit dat de regelgeving in de lidstaten van Europa diverse (kleine) verschillen kent, helpt hier zeker ook niet aan. Dit verklaart wellicht waarom bijvoorbeeld ook grote spelers, actief in verschillende landen ook niet volledig in orde zijn met de regels.

Dit probleem zou grotendeels verholpen kunnen worden bij de inwerkingtreding van de ‘Europese e-Privacyverordening’. Deze zou alvast de verschillen tussen de Europese lidstaten wegwerken. Het ontwerp zit echter nog steeds vast in het Europees regelgevend proces en het is voorlopig dus nog afwachten tot wanneer deze verordening wordt gefinaliseerd.

Gebrek aan diepgaande kennis van regelgeving

Het valt op dat nagenoeg elke website wel elementen bevat van de wetgeving. Zo had meer dan 90% van de geanalyseerde websites wel een cookiebanner of een tekst die het gebruik van cookies uitlegde, de zogenaamde cookieverklaring. Bij nader onderzoek van die banners of van de verklaring blijkt echter dat deze teksten niet volledig voldoen aan de wettelijke vereisten. Ze zijn dode letter, onvolledig of gewoonweg tegenstrijdig met hoe het er in de werkelijkheid aan toe gaat.

De inbreuken die we vaststelden, kunnen volgens ons dan ook grotendeels te wijten zijn aan een gebrek van kennis van de bestaande regels. Wij voelen ons dus gesterkt in dit oordeel omdat het onderzoek uitwijst dat bijna alle websites tot op bepaalde hoogte inspanningen hebben geleverd met betrekking tot het gebruik van cookies.

Angst voor minder statistische en marketing informatie

Als laatste oorzaak vermoeden wij dat bij een kleine minderheid de (grotendeels onterechte) angst leeft dat bezoekers bij een duidelijke keuze niet akkoord zullen gaan met analytische of marketing cookies. En dat zij bijgevolg dan niet langer over de nuttige informatie beschikken die deze cookies geven. Zij zien, met andere woorden, geen voordeel om het cookiebeleid volledig volgens de regelgeving te implementeren.  Nochtans is de transparantie die een correct cookiebeleid vereist een belangrijke factor waarmee zij rekening moeten houden. Er  zijn vele voorbeelden waarbij de reputatie van bedrijven nadelig werd beïnvloed door een gebrek aan transparantie over privacy. En vice versa.

Het lijkt ons duidelijk dat veel bedrijven, al dan niet bewust, nog een lange weg af te leggen hebben wanneer het op cookies aankomt. Wij hopen met dit onderzoek aandacht te vestigen op deze problematiek, zodat bedrijven tijdig stappen kunnen nemen om hun beleid op punt te stellen. Zeker gezien de aangekondigde controles en procedures die de Gegevensbeschermingsautoriteit heeft aangekondigd.

Wilt u graag bij de 10% horen die wel door een cookiecontrole raakt?

Contacteer ons team Privacy & IT als u nog vragen heeft over dit onderzoek of uw cookiebeleid. Wij lichten uw cookiebeleid door en zorgen dat alles zo snel mogelijk op punt staat.

Contact

 

Geschreven door

Steven De Grave

Steven De Grave is Associate Partner en verantwoordelijk voor de afdeling Data, Tech & Entertainment.