Autoriteit Persoonsgegevens plaatste per ongeluk ongevraagde trackingcookies

O wee als je als organisatie ongevraagd cookies plaatst. Dan kan zomaar eens de Autoriteit Persoonsgegevens achter je aan komen. Maar ook de toezichthouder maakt wel eens fouten. Zo geeft de AP nu aan per ongeluk trackingcookies te hebben geplaatst op een vacaturesite.

De Autoriteit Persoonsgegevens benoemt die situatie in een blogpost, al is het bij een dergelijke 'overtreding' niet verplicht die publiek te melden. De AP lijkt de waarschuwing deels te gebruiken om te laten zien hoe makkelijk cookies verkeerd kunnen worden geplaatst en hoe bedrijven zelf kunnen voorkomen dat ze dat doen.

De Nederlandse privacytoezichthouder heeft tussen 20 en 23 januari van dit jaar cookies geplaatst via de website werkenbij.autoriteitpersoonsgegevens.nl. Die pagina wordt door een extern bedrijf voor de toezichthouder gemaakt en onderhouden, maar de AP is een zogeheten verwerkingsverantwoordelijke. Op de site stond drie dagen lang een video over de AP die op Vimeo wordt gehost. Daarop is normaal gesproken een do-not-trackoptie ingeschakeld, maar er werden alsnog twee cookies door Cloudflare geplaatst. Die waren bedoeld om de dienst te beschermen tegen overbelasting. "De AP heeft de video na ontdekking direct laten verwijderen van de werkenbij-website en ervoor gezorgd dat de cookies niet langer geplaatst worden", schrijft de toezichthouder.

De AP moet toegeven niet zeker te zijn wat er gebeurd is met de cookies. "Het is niet duidelijk naar welke landen de persoonsgegevens mogelijk zijn geëxporteerd en of deze landen passende waarborgen hebben genomen", schrijft de toezichthouder. In principe verwijdert Google dergelijke informatie binnen 18 maanden, maar, zegt de AP, 'de informatie kan op andere plekken mogelijk langer worden bewaard'.

De waakhond heeft tot slot een aantal aanbevelingen voor bedrijven 'om te voorkomen dat u als organisatie dit ook overkomt'. Zo zouden bedrijven afspraken met leveranciers periodiek moeten evalueren, een proces moeten opstellen voordat er zaken online gaan en controleren of 'een gegevensverwerking wel hoort plaats te vinden'.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 28-03-2025 15:35
37 • submitter: wildhagen

28-03-2025 • 15:35

37

Submitter: wildhagen

Lees meer

AP waarschuwt 50 organisaties om 'misleidende' cookiebanner
AP waarschuwt 50 organisaties om 'misleidende' cookiebanner Nieuws van 15 april 2025
Gemeente Leiden: bezoekersmonitor voldoet aan privacywetgeving
Gemeente Leiden: bezoekersmonitor voldoet aan privacywetgeving Nieuws van 25 maart 2025
AP deed in 2024 amper onderzoek op eigen initiatief ondanks eerdere beloftes
AP deed in 2024 amper onderzoek op eigen initiatief ondanks eerdere beloftes Nieuws van 21 maart 2025
AP kreeg vorig jaar veel meer datalekmeldingen door bulkmeldingen
AP kreeg vorig jaar veel meer datalekmeldingen door bulkmeldingen Nieuws van 21 maart 2025
AP: nieuw Wetboek van Strafvordering biedt onvoldoende bescherming persoonsdata
AP: nieuw Wetboek van Strafvordering biedt onvoldoende bescherming persoonsdata Nieuws van 13 maart 2025
Belastingdienst schond privacywet met Risico Analyse Model-database
Belastingdienst schond privacywet met Risico Analyse Model-database Nieuws van 7 maart 2025
Consumentenbond: groot deel nieuwssites heeft gebrekkige cookiebanner
Consumentenbond: groot deel nieuwssites heeft gebrekkige cookiebanner Nieuws van 6 maart 2025
AP stopt met geïntensiveerd toezicht op gemeente Eindhoven
AP stopt met geïntensiveerd toezicht op gemeente Eindhoven Nieuws van 27 februari 2025
Bunq ontkent bij overheid NL te dreigen met opzeggen van kritische klanten
Bunq ontkent bij overheid NL te dreigen met opzeggen van kritische klanten Nieuws van 24 februari 2025
Meer producten en artikelen
Privacy Autoriteit Persoonsgegevens Cookie Tracking

Reacties (37)

-Moderatie-faq
37
37
29
2
0
8
Wijzig sortering

Sorteer op:

Weergave:
dyrc 28 maart 2025 15:43
benieuwd of ze zichzelf ook 40.000 euro boete geven?

verder mooi dat ze het als voorbeeld gebruiken en er transparant over zijn, fijn dat ze er zijn!
AuteurTijsZonderH Nieuwscoördinator @dyrc28 maart 2025 15:47
Totaal niet vergelijkbaar natuurlijk.
Coolblue ging er automatisch van uit dat bezoekers ermee instemden.
En
In de cookieverklaring gaf het bedrijf aan dat het ervan uitging dat bezoekers akkoord waren. Daarnaast had Coolblue de vakjes voor toestemming voor het gebruik van cookies vooraf aangevinkt.
Lijkt me nogal een verschil met 'een van onze leveranciers heeft iets drie dagen fout gedaan'.
dyrc @TijsZonderH28 maart 2025 15:53
Ligt eraan wat we willen vergelijken, het plaatsen zonder een toestemming (cookiewall) hadden we toch verboden met z'n allen?

Dan is het alleen nog de "we wisten het niet" vs "we doen het bewust fout", wat wel neerkomt op dezelfde fout.
Met het volgen van de wet kom je niet weg met een "we wisten het niet". De resulterende situatie is dan wel vergelijkbaar?

m'n 40k boete voorbeeld is wel een stukje chargeren (voor de vrijdagmiddag buhne), maar de spelregels hebben we met z'n allen nou eenmaal krom in elkaar gezet (for some reason...).

*en de AP heeft bij mij een grote gunfactor en ze moeten bergen werk verzetten met een beperkte bezetting, deze krijgen ze van mij cadeau. Maar plat beschouwd is het wel ergens grappig dat dus echt niemand de boel schoon kan houden met deze kromme regelset

[Reactie gewijzigd door dyrc op 28 maart 2025 15:54]

Floort
@dyrc28 maart 2025 16:05
Er is een groot verschil tussen Coolblue en de AP. Bij de AP was de verwerking bijvoorbeeld niet de bedoeling en voor een belangrijk deel in twee dagen nadat ik het heb gemeld weer uitgezet. Coolblue heeft van de AP een waarschuwing gekregen, waarna de overtreding niet is beeindigd en pas daarna is de AP een onderzoek gestart om een boete op te leggen.

Er is niet genoeg aandacht voor hoe er gereageerd wordt op fouten. Of: hoe er gereageerd wordt zegt soms ook een hoop over of het wel een fout was of misschien bewust.
kodak
@Floort28 maart 2025 19:06
Als een toezichthouder niet zeer snel zou reageren is kennelijk zorgelijker dan wanneer ze redelijk laks reageren dat anderen al maanden tot jaren niet voldoen. En daar is toch redelijk wat aandacht voor.
Floort
@TijsZonderH28 maart 2025 16:25
Ik denk dat 'een van onze leveranciers heeft iets drie dagen fout gedaan' ook niet echt een redelijke samenvatting is. Spielwork had de site al ruim vantevoren online staan met ook andere tracking cookies. Ergens voor livegang is het wel het een en ander opgeschoont (geen Facebook pixel meer). Maar de AP heeft bij het live zetten van de pagina onvoldoende gecontroleerd of alles goed was. Onvoldoende is een interessante formulering: hebben ze wel gecontroleerd en dit gemist? Of niet gecontroleerd? Of eerder wel gecontroleerd maar geen hercontrole uitgevoerd of Spielwork alles netjes heeft opgelost?
Maar hoe dan ook: ik denk dat de AP de verantwoordelijkheid een gepaste hoeveelheid bij zichzelf neerlegt. De leverancier is immers geen expert, de AP wel. En de AP blijft eindverantwoordelijke.

En hoewel het niet de bedoeling is, vind ik deze crowdsourcing van de AP ook wel vermakelijk. Ik heb weer de kans om wat bij ze te melden en de AP heeft de kans om te laten zien hoe je transparant moet zijn. En de AP wordt er langzaamaan steeds beter in.
CivLord @Floort29 maart 2025 08:13
Ik denk dat je hier het een en ander omdraait.
De leverancier is immers geen expert, de AP wel.
De leverancier is expert in het bouwen van websites en leveren van internetdoensten. De AP is expert in privacy.
Wanneer de AP vanuit haar expertise zeg:"Geen traking cookies." mag je verwachten dat de levernacier voldoende expertise heeft om aan deze eis te voldoen.
Maar de AP heeft bij het live zetten van de pagina onvoldoende gecontroleerd of alles goed was. Onvoldoende is een interessante formulering: hebben ze wel gecontroleerd en dit gemist? Of niet gecontroleerd? Of eerder wel gecontroleerd maar geen hercontrole uitgevoerd of Spielwork alles netjes heeft opgelost?
Wanneer je met een professionele partij in zee gaat en een heldere opdracht geeft, mag je er van uit gaan dat het geleverde product/ dienst aan de eisen voldoet, zonder zelf de expertise te moetn bezitten om alles te kunnen controleren.
Heb jij de exprertise om bv. een auto compleet te controleren op veiligheid, voordat je er mee gaat rijden. Vind jij dat wanneer je door een contructiefout een ongeluk met je auto krijgt jíj de schuldige partij bent omdat jij onvoldoende hebt gecontroleerd of de auto wel in orde was?

Ik ben zelf altijd erg critisch over de AP, maar het moet wel reëel blijven.
Floort
@CivLord29 maart 2025 08:35
Volgens de AVG is de AP wel verwerkingsverantwoordelijke, zelfs als de leverancier liegt of beloftes doet over aspecten die ze niet kunnen garanderen. Het is de verantwoordelijkheid van de AP om een goede leverancier uit te kiezen of zorgen voor aanvullende maatregelen om gebrek aan expertise bij de leverancier op te vangen.

Maar als je kijkt naar aansprakelijkheid en de AP zou bijvoorbeeld schade oplopen door beloften die de leverancier niet nakomt kan de AP vast proberen die schade te verhalen op de leverancier.

Maar betrokkenen of de AP als toezichthouder mogen hier de AP als verwerkingsverantwoordelijke aanspreken op de verwerking. Onder de AVG mag je er niet zomaar vanuit gaan dat leveranciers leveren wat je vraagt. Verwerkingen moeten aantoonbaar compliant zijn (grove samenvatting van artikel 5 AVG).

[Reactie gewijzigd door Floort op 29 maart 2025 08:46]

CivLord @Floort29 maart 2025 09:19
Als aanbieder van de uiteindelijke dienst (de vacaturepagina op de eigen site) is de AP door de AVG aangewezen als verwerkingsverantwoordelijke. Dat dit specifiek in de AVG moet gebeuren, betekent dat het niet automatisch uit de normale regels van het civiel recht volgt dat de AP in deze gevallen verantwoordelijk is voor de totale verwerking van persoonsgegevens in de gehele keten.
Dit is vooral gedaan om één aanspreekpunt te hebben, zodat verschillende partijen niet naar elkaar kunnen wijzen wanneer een derde mogelijke schade wil verhalen, of wanneer een toezichthouder een boete uitdeelt. De verwerkingsverantwoordelijke kan dan de schade/ boete verhalen bij de dienstverlener die de fout veroorzaakt heeft. Die dienstverlener komt er niet mee weg door te zeggen dat zij niet de verwerkingsverantwoordelijke zijn en dus wettelijk gezien totaal geen verantwoordelijkheid/ aansprakelijkheid kunnen hebben (daar hebben ze de kleine lettertjes in hun contract voor).

Dat de AP verwerkingsverantwoordelijke is is duidelijk. Maar jij suggereert dat de AP nalatig is geweest.
Dus, nogmaals mijn eerdere voorbeeld: Als bestuurder ben jij verantwoordelijk voor je auto. Wanneer je door een constructiefout van je auto een ongeluk krijgt, ben jij dan nalatig geweest en dus schuldig?
Floort
@CivLord29 maart 2025 10:02
Volgens mij suggereer ik niks. De AP zelf schrijft dat ze zelf verantwoordelijk zijn en dat er onvoldoende controle heeft plaatsgevonden.

Ik krijg de kriebels van analogieën. Het gaat hier niet om een fabrikagefout die door iedereen over het hoofd gezien is, dit lijkt meer op het ontbreken van een APK. Maar je kan beter wegblijven bij analogieën. En als je gewoon kijkt naar de AVG, specifiek bijvoorbeeld naar artikel 5 en 28(3)(h) zal je zien dat de verantwoordelijkheid van de verwerkingsverantwoordelijke verder gaat dan alleen het aanspreekpunt zijn. Het is een echte verantwoordelijkheid waaraan je proactief moet kunnen aantonen dat je eraan voldoet. Vertrouwen op afspraken is echt onvoldoende.

Dat wil niet zeggen dat men onderling niets op elkaar kan verhalen als het toch fout gaat. Daar zijn we het over eens.

[Reactie gewijzigd door Floort op 29 maart 2025 10:03]

CivLord @Floort29 maart 2025 10:47
Mijn voorbeeld is geen analogie. Een analogie is wanneer je bv. het illegaal downloaden van een liedje gelijkstelt aan het stelen van een appel. De een kan dan gelijkenissen vinden waardoor beiden even slecht zijn, de ander kan dan vercshillen vinden waardoor beiden totaal onvergelijkbaar zijn.
Ik geef een voorbeeld waarbij hetzelfde wettelijke begrip, verantwoordelijkheid, in een vergelijkbare situatie dezelfde rol speelt: Wanneer mag je op de expertise van een dienstverlener vertrouwen die de werkzaamheden uitvoert waar deze zijn bestaansrecht op baseert, en wanneer ben je zelf nalatig wanneer je op deze expertise vertrouwt.
Maar wanneer jij een APK meer op deze situatie vindt lijken: Het is niet het ontbreken van een APK het is het uit laten voeren van een APK door een gerenomeerd garagebedrijf, waarbij dat garagebedrijf steken heeft laten vallen.
En nu nogmaals een heel eenvoudige vraag waar jij steeds op weigert te antwoorden: Ben jij schuldig aan nalatigheid wanneer je niet persoonlijk het werk van het garagebedrijf controleert, wanneer een fout van dat garagebedrijf een ongeluk veroorzaakt?
Floort
@CivLord29 maart 2025 11:27
Ik heb geen verstand van auto's en verkeersveiligheid. Ik ben niet de juiste persoon om aan te vragen hoe het werkt met APK en aansprakelijkheid. Ik vermoed dat je waarschijnlijk gelijk hebt als het over auto's gaat. Ik zeg je dat je in deze specifieke casus niet juist zit als het over de AVG gaat. Ga er maar vanuit dat de AP en ik meer weten over wat er feitelijk wel en niet gebeurd is dan wat er publiek bekend is. Lees dat de AP schrijft "Er heeft onvoldoende controle plaatsgevonden voordat een video online werd gezet. We hebben het proces aangescherpt door onder andere bij hoogrisicoverwerkingen controle te laten plaatsvinden voordat zaken online gaan.". Op basis van wat ik weet dat de AP gepubliceerd heeft én op basis van wat ik geleerd heb tijdens de afhandeling van mijn melding zeg ik ook dat de AP hier gelijk in heeft.
Het staat je vrij om daar op basis van de aanname dat de AVG hetzelfde werkt als veiligheid van auto's het niet mee eens te zijn.
Dograver 28 maart 2025 16:01
Laat ik voorop stellen dat het een goede zaak is dat er voor bepaalde zaken toezichthouders zijn, maar het kan dus iedereen overkomen. Zelfs het orgaan wat zich dus bezig houdt met bescherming en bewaking van persoonsgegevens heeft dus mogelijk gegevens gelekt.

De AP moet toegeven dat het niet zeker weet wat er gebeurd is met de cookies. "Het is niet duidelijk naar welke landen de persoonsgegevens mogelijk zijn geëxporteerd en of deze landen passende waarborgen hebben genomen", schrijft de toezichthouder.

Maar stel (en ook een oprechte vraag), dit was mij als bedrijf of instelling overkomen. Door een foutje "van de stagiair" omdat het ene vinkje per ongeluk niet goed stond. Heb ik 3 dagen lang een ongevraagde trackingcookie gehad. Ik constateer dat, doe mijn plicht en meld ik dit bij de AP. Zijn ze dan ook coulant? Wordt mijn fuck-up dan ook gebruikt als persbericht? Of krijg ik dan een gepeperde rekening van duizenden euro's want ik zat fout?

[Reactie gewijzigd door Dograver op 28 maart 2025 16:03]

Floort
@Dograver28 maart 2025 16:12
Jouw angst is een belangrijke reden waarom ik de AP heb gepushed om dit te publiceren. Het is namelijk een terechte angst dat de AP soms wat meer aandacht lijtk te hebben voor makkelijke overtredingen en wat minder inzicht lijkt te tonen dat je soms organisaties die transparant zijn over hun fouten en verbetermaatregelen misschien beter kan aanmoedigen dan bestraffen omdat degene die niet transparant zijn misschien wel erger zijn. Ik hoop dat ik, ook de de AP, transparantie en herstel van fouten kan normaliseren door met goede voorbeelden te komen.

Wat dat betreft is de Gemeente Den Haag misschien nog wel een beter voorbeeld. Die zijn, nadat het verwijderen van de gegevens niet gelukt is, naar de AP gestapt om de AP te vragen te handhaven op de ontvangers die weigeren de gegevens te wissen. Zie de drie linkjes onderaan deze pagina voor die voorbeelden.
Quintiemero @Floort28 maart 2025 16:21
Wat ik mij bij ‘videocookies’ nog wel eens afvraag is dat als je een video wilt bekijken je dan vaak alsnog alle cookies moet accepteren om de video te bekijken. Het lijkt mij dat niet alle cookies nodig zijn om alleen Video of Youtube cookies te bekijken.
vickypollard @Quintiemero28 maart 2025 16:23
Die zijn ook niet nodig, maar ze worden wel geplaatst. Daarom zitten al die players achter een cookie overlay. Iets als de YouTube 'nocookie' embed plaatst alsnog cookies, maar dan pas als je de video gaat afspelen. Heel erg 'nocookie' van Google :D

[Reactie gewijzigd door vickypollard op 28 maart 2025 16:24]

Quintiemero @vickypollard28 maart 2025 16:25
Ooh dus dan accepteer je wel alleen de noodzakelijke cookies die nodig zijn om de video af te spelen?

Edit: alhoewel, bij nu.nl moet je volgens mij gewoon weer de algemene cookiebanner aanpassen.

[Reactie gewijzigd door Quintiemero op 28 maart 2025 16:25]

vickypollard @Quintiemero28 maart 2025 16:25
Nee, YouTube ramt je browser gewoon vol met alle cookies die ze maar willen plaatsen.
DrWaltman @Quintiemero29 maart 2025 01:59
Helaas is de keuze bij dog sites beperkt. Aan de andere kant, ik ga ze sowieso niet accepteren.
DrWaltman @Quintiemero28 maart 2025 19:20
Ik vraag me ook enorm af waarom dit nodig is, het antwoord is waarschijnlijk gewoon 'geld'. Technisch nergens voor nodig, maar omdat die cookies verplicht zijn werken embedded youtube video's bij mij niet. Nou ja, dan niet.
vickypollard @Dograver28 maart 2025 16:12
Ik constateer dat, doe mijn plicht en meld ik dit bij de AP.
Als je geen zeer gevoelig bedrijf hebt (medisch o.i.d.), waarom?
Zijn ze dan ook coulant?
Waarschijnlijk wel, want a) het was niet je bedoeling en b) je hebt het meteen opgelost.
Wordt mijn fuck-up dan ook gebruikt als persbericht?
Nee
Of krijg ik dan een gepeperde rekening van duizenden euro's want ik zat fout?
Nee

AP strooit niet random rond met boetes. Als je goede wil toont om zaken op te lossen en niet in eerste instantie kwaadwillend bezig was, is er weinig aan de hand.

[Reactie gewijzigd door vickypollard op 28 maart 2025 16:13]

JeroenH 28 maart 2025 15:51
We hadden het hele concept van tracking cookies nooit moeten laten gebeuren. Maar ja, nu is het te laat en levert het alleen maar gedoe op.
blorf @JeroenH28 maart 2025 16:18
Sites die eraan doen vlaggen zou een goed begin zijn.
Browser: "deze pagina probeert een bestaande cookie van een andere pagina te benaderen. Doelbestanden van beide pagina's zijn ge-isoleerd. URL's krijgen een +1 'tracker'.
Het wordt waarschijnlijk nog wel lastig om een browser te vinden die niet 'nat' is en dat verbergt en/of maatregelen dwarsboomt.

[Reactie gewijzigd door blorf op 28 maart 2025 16:28]

latka @blorf28 maart 2025 17:23
Cookies zijn al per site/pad gescoped. Die tracking cookies komen bijv. van Google.com en de pagina waar je naar kijkt bevat een iframe, image of font die gehost wordt op de google site. Combineer dit met de referer en google krijgt te horen wie het was (eigen cookie) en de URL waar je naar kijkt. Het is niet dat een tracking cookie betekent dat de site aan het hacken is om andere cookies te zien (dat zou computervredebreuk zijn).
blorf @latka28 maart 2025 17:42
Een tracking cookie betekent dat 2 pagina's samenwerken om informatie mbt je aanwezigheid aan reclame-entiteiten te verstrekken. Een browser kan ervoor zorgen dat ze dat niet van elkaar kunnen weten omdat cookies per url afzonderlijk worden opgeslagen en pagina's met een andere url die niet kan bereiken.
drfisheye @JeroenH30 maart 2025 13:36
Het concept 'tracking cookies' bestaat wel juridisch, maar niet technisch; we hadden dat dus niet niet kunnen laten gebeuren. Technisch gezien bestaan er alleen 'cookies' die een lange houdbaarheid kunnen hebben en die kunnen voor goede dingen (bewaren van je inlog) en slechte dingen worden gebruikt (tracking zonder toestemming). Third party cookies, waarmee je over sites heen kan worden gevolgd, hadden we inderdaad kunnen voorkomen; die hadden nooit hoeven te bestaan. Veel andere web technieken zijn gelimiteerd tot de first party (het domein van de url) en dat had met cookies ook gekund. Gelukkig gaan browsers, met name Safari, steeds verder in het blokkeren van third-party cookies.
Floort
28 maart 2025 15:54
Wat leuk! Iets meer informatie hierover heb ik vorige week gepubliceerd. Ik ben al een tijdje bezig om organisaties aan te moedigen om als verweringen misgaan ook netjes betrokkenen te informeren en informatie die onbedoeld/onrechtmatig is verzameld en verstrekt ook weer op te ruimen. Het is heel goed dat de AP er steeds meer voor uit durft te komen dat ook zij regelmatig foutjes maken op dit vlak. Hoewel de AP wel haar best gedaan lijkt te hebben om het publiek te maken op een manier die zo min mogelijk opvalt. Normaalgesproken zitten security.nl en Tweakers heel vlot erbovenop als de AP iets publiceert op de website, maar dit heeft een week gekost. Misschien dat de AP hier voor de volgende keer nog aan kan werken.
Eis-T 28 maart 2025 17:44
Bedankt voor het voluit schrijven van Autoriteit Persoonsgegevens! Weer een verwarring met Acces Points en Analysis Paralysis de wereld uit :)
Tweakers++
ArmEagle 28 maart 2025 16:24
Ik snap niet helemaal wat er hier nou technisch is gebeurd.
Op de site stond drie dagen lang een video over de AP die op Vimeo wordt gehost. Daarop is normaal gesproken een do-not-trackoptie ingeschakeld, maar er werden alsnog twee cookies door Cloudflare geplaatst. Die waren bedoeld om de dienst te beschermen tegen overbelasting.
  • 1. Vimeo wordt genoemd. Maar deze zou met DNT geladen worden.
  • 2. Cloudflare wordt genoemd.Wat heeft dit met Vimeo te maken?
  • 3. Cloudflare cookies lijken mij toch al snel functioneel?
  • 4. Wat heeft Google met het verwijderen van deze cookies te maken? Bedoelen ze vanuit de Chrome browser?
gr0bi @ArmEagle28 maart 2025 19:34
Heb recentelijk eenzelfde situatie gehad. Ook met vimeo. Vimeo gebruikt blijkbaar Cloudflare voor een aantal zaken en plaatst automatisch 2 cookies. Één die checked of het om een bot gast of niet en eentje voor iets met load balancing. Even platgeslagen gezegd. Beide volgens de policy van vimeo necessary cookies on hun service te kunnen borgen.
Floort
@gr0bi28 maart 2025 20:06
Dat is precies wat er hier aan de hand was. Het is goed om ook een voorbeeld te hebben van hoe je er mee om moet gaan als er per ongeluk iets fout gaat met cookies.
gr0bi @Floort28 maart 2025 20:09
Yes al klinkt dit ook wel een beetje als een cookie die wellicht niet zo spannend is en daadwerkelijk functioneel zou kunnen zijn.

Het voelt ook wel een beetje alsof de AP dan de boosdoener is nu terwijl ze een Volkswagen diesel leasen welke sjoemelsoftware blijkt te hebben. Om maar een metafoor te gebruiken.
Floort
@gr0bi28 maart 2025 20:24
Het belangrijkste punt is niet dat de gevolgen zo groot zijn. Maar erg of niet, betrokkenen moeten geïnformeerd worden over de verwerking. En als de verwerking niet mag of niet de bedoeling was, moeten de persoonsgegevens ook worden verwijderd in de hele keten. Dat gebeurt veel te weinig. Zo weinig dat er weerstand ontstaat bij organisaties die het opzich wel goed willen doen maar het wel eng is om als enige zichtbaar het goede te doen.
gr0bi @Floort28 maart 2025 20:34
Snap je en snap je ook weer niet. Vind dat erg complexe materie om goed over na te kunnen denken. Het voelt een beetje als symptoombestrijding zonder iets aan de bron te doen zeg maar.
Floort
@gr0bi28 maart 2025 20:48
Ja, natuurlijk eerst de spullen op de website zelf goed zetten voordat je de gegevens gaat verwijderen. Anders is het dweilen met de kraan open.
Floort
@ArmEagle28 maart 2025 16:28
Het ging om cloudflare cookies die meekwamen omdat de Vimeo cookies werden geladen. Het is onduidelijk wie de verwerkingverantwoordelijke wat in dit geval dius worden ze beide genoemd.
Er zijn daarnaast ook gegevens verzonden naar Google Analytics (inclusief bijbehorende cookies). Deze verstrekking viel niet onder een contract van de AP of leverancier met Google. Ze zijn dus afhankelijk van de medewerking van Google om te zorgen dat de gegevens gewist worden.
drfisheye 30 maart 2025 13:27
Onduidelijk artikel. Google Analytics wordt helemaal niet genoemd, terwijl dat het enige echte probleem was. De Vimeo video zorgde voor twee functionele cookies, en die zijn gewoon toegestaan. Het ene cookies was bovendien een sessie cookie, die dus verdwijnt bij het sluiten van je browser en die andere had een geldigheid van 30 minuten. Beide dus niet geschikt om een gebruiker te volgen. Dat AP vervolgens excuses gaat maken voor (zelfverklaarde) functionele cookies terwijl die gewoon zijn toegestaan maakt het allemaal nog onduidelijker.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq