12 februari 2025

Privacy

Toezichthouders

Eprivacy

Striktere handhaving en onderzoek naar cookies

De AP heeft de afgelopen jaren meerdere organisaties aangeschreven over hun cookiebeleid. Daarbij wordt veelal specifiek gevraagd naar de werking van bepaalde cookies, of hiermee persoonsgegevens worden verwerkt en op welke grondslag dit gebeurt. Niet al deze informatieverzoeken hebben (nog) geleid tot handhaving. Wel onderstreept dit de aanhoudende aandacht van de AP voor naleving van de cookiewetgeving.

Ook in België speelt een interessante casus. De Belgische privacy toezichthouder de Gegevensbeschermingsautoriteit (GBA) heeft aangekondigd een klacht in behandeling te nemen over de cookies van DPG Media naar aanleiding van een klacht van NOYB, de privacy organisatie van Max Schrems (die het eerder al succesvol opnam tegen Spotify en Meta).

Wat kunt u nu doen?

Om  tegemoet te komen aan de interpretatie van de AP, zijn er een aantal belangrijke take-aways voor de cookie-inrichting van een website:

  1. Bied een ‘Alles weigeren’-knop op de eerste laag
    De AP benadrukt dat gebruikers net zo makkelijk cookies moeten kunnen weigeren als accepteren. Dit betekent – aldus de AP – dat een ‘Alles weigeren’-knop direct zichtbaar moet zijn bij het eerste cookie consent banner scherm.

  2. Controleer welke cookies u vóór en na toestemming plaatst
    Alleen functionele cookies en cookies met geringe privacy gevolgen kunnen voor toestemming worden geplaatst. Hieronder vallen ook affiliate of performance cookies, mits ze enkel worden gebruikt om de effectiviteit van een getoonde advertentie te meten en te bepalen welke affiliate recht heeft op een beloning. En ook A/B test cookies kunnen worden uitgesloten, mits ze puur worden ingezet om de effectiviteit van bepaalde variaties van online uitingen tegen elkaar af te zetten.

  3. Ook analytische cookies kunnen toestemming vereisen
    De AP ziet ook het gebruik van sommige analytics cookies als privacygevoelig. Veel organisaties plaatsen analytische cookies voordat een gebruiker toestemming heeft gegeven. Maar als die cookies een unieke identifier hebben, waarmee gebruikers over tijd en meerdere domeinen gevolgd kunnen worden, vindt de AP dit meer dan een ‘geringe’ inbreuk op de privacy en vindt dan dat ook voor deze cookies toestemming moet worden gevraagd. Dat geldt bijvoorbeeld voor visual website optimizer, hotjar en kan ook gelden voor Google Analytics. Meer informatie hierover staat in dit eerdere artikel van DMCC: Google Analytics en toestemming.

Over de auteurs

  • Jitty van Doodewaerd

    Jitty van Doodewaerd is directeur privacy bij de DMCC Group. In deze functie ondersteunt zij opdrachtgevers uit velerlei maatschappelijke sectoren bij privacyvraagstukken. Haar aanpak is realistisch en pragmatisch met kennis van de dagelijkse gang van zaken in (commercieel) datagebruik. Van Doodewaerd was onderdeel van de Big Data expertgroep van het ministerie van Economische Zaken en was verantwoordelijk voor de belangenbehartiging van marketing branchevereniging DDMA. Zij was lid van de Legal Affairs Committee van de Federation for European Direct and Interactive Marketing (FEDMA) en de Privacy Commissie van VNO-NCW.

    DMCC

Gerelateerd nieuws

De noodzaak van digitale autonomie en soevereiniteit

De gemeente Amsterdam lijkt een eerste stap gezet te hebben richting digitale autonomie en soevereiniteit, onder meer om de afhankelijkheid van big-tech bedrijven te verminderen. Hoe haalbaar en praktisch is deze beweging voor de (rijks)overheid? Daar laat ik graag mijn licht over schijnen.

Data & Privacy

Cyber Resilience Act: cyberbeveiligingsvereisten voor softwareleveranciers

De Cyber Resilience Act (“CRA”) reguleert cyberbeveiliging op productniveau en stelt in het kort beveiligingseisen aan producten met digitale elementen. Met de CRA introduceert de EU als eerste wereldwijd wetgeving die een minimaal beveiligingsniveau voor dergelijke producten verplicht stelt.

Data & Privacy

Vertrouwen krijgen in data en datakwaliteit door middel van data lineage

Data wordt in grote hoeveelheden en soorten aangemaakt, geanalyseerd, rondgestuurd en gebruikt voor uiteenlopende doeleinden. Denk hierbij aan foto’s delen op social media, maar ook aan registratie van persoonsgegevens door overheidsinstanties. Bij gebruik van data is de oorsprong en kwaliteit hiervan niet altijd bekend. Maar ook wanneer data aangemaakt wordt, is er niet altijd zicht op hoe deze data gebruikt gaat worden. Voor een digitaler wordende rechtsstaat is het noodzakelijk om als maatschappij en overheid vertrouwen te kunnen hebben in data en de kwaliteit ervan—data lineage kan daaraan bijdragen, aldus een nieuw WODC-rapport.

Data & Privacy

Hoe ‘Big Tech’ onze democratie ondermijnt

Techgiganten zoals Google, Apple en Microsoft bepalen steeds meer de digitale wereld waarin we leven. Reijer Passchier waarschuwt: ‘Er zijn dringend maatregelen nodig om deze invloed in te perken.’
Meer nieuws