Franse toezichthouder geeft miljoenenboete aan Google en Amazon wegens cookies

De Franse privacywaakhond CNIL heeft miljoenenboetes uitgedeeld aan Google en Amazon, omdat de bedrijven op hun Franse websites advertentiecookies hebben geplaatst zonder vooraf om toestemming te vragen en zonder daarbij voldoende informatie te verschaffen.

Het gaat om twee afzonderlijke boetebesluiten. In het kader van het ene boetebesluit krijgt Google LLC 60 miljoen euro boete, waar voor Google Ireland nog eens een boete van 40 miljoen euro bijkomt. Het andere boetebesluit gaat over een boete van 35 miljoen euro voor Amazon Europe Core.

In het geval van Google constateerde de CNIL op 16 maart tijdens een online onderzoek op Google.fr dat er automatisch cookies op de computer van een bezoeker van deze site werden geplaatst zonder dat er ook maar enige handeling van de bezoeker voor nodig was. Meerdere van deze cookies werden voor advertentiedoeleinden gebruikt, stelt de toezichthouder.

Bij Amazon gaat het om een soortgelijke situatie. De Franse privacywaakhond voerde tussen 12 december 2019 en 19 mei 2020 diverse onderzoeken uit op de website Amazon.fr. Daarbij constateerde de CNIL dat er automatisch cookies op de computer van een bezoeker werden geplaatst zonder dat de bezoeker daar invloed op had. Ook hier werden verscheidene van deze cookies voor advertentiedoeleinden gebruikt, meldt de toezichthouder.

Volgens de privacywaakhond is in beide gevallen sprake van inbreuk op de Franse Data Protection Act. Het gaat daarbij met name om twee overtredingen: het plaatsen van cookies zonder vooraf toestemming te vragen en een gebrek aan informatie aan de websitebezoeker over het plaatsen van de cookies.

Volgens de CNIL was bijvoorbeeld de informatie die Amazon gaf, te algemeen en konden websitebezoekers er niet goed uit opmaken dat de cookies voor advertenties werden geplaatst. De toezichthouder neemt het Google onder meer kwalijk dat het mechanisme om advertentiecookies te blokkeren, deels niet goed werkte. Gebruikers konden advertentiepersonalisatie weliswaar deactiveren, maar een van de advertentiecookies werd alsnog opgeslagen op de computers van de gebruikers en bleef actief.

Door Joris Jansen

Redacteur

10-12-2020 • 11:53

88 Linkedin

Submitter: wildhagen

Reacties (88)

Wijzig sortering
Waar ik me dus zorgen om maak is de intentie van zulke, inmiddels bulkend van het geld en daardoor machtige bedrijven, die steeds meer ons dagelijks leven binnendringen, zonder dat we hieraan kunnen ontkomen. Leuk dat ze boetes krijgen, maar vanwege hun gegeven macht én het gegeven dat de hele wereld zich afhankelijk van deze bedrijven heeft gemaakt denk ik niet dat het ook maar één steek zal uithalen.

Dergelijke acties geven overduidelijk het signaal af dat deze bedrijven gewoon stinkende schijt hebben aan ons, ze uiteindelijk doen waar ze zin in hebben, en geenszins rekening zullen houden met wie dan ook. En het trieste is: niemand gaat ze stoppen. Met name Google is inmiddels zó verweven in het leven van miljarden mensen, dat er geen ontkomen meer aan is. Ga je online, ben je meteen in de greep van dergelijke bedrijven. Om eraan te ontkomen zul je je volledig uit het digitale leven terug moeten trekken. En ook dat is praktisch onmogelijk geworden, hoe graag en hoe hard je het ook probeert.

Boetes uitdelen is niets anders meer dan symboliek. Ik maak me dus ook ongerust over de houding die dergelijke bedrijven hebben. Ze doen erg hard hun best om alles wat zij doen (en willen) ons door de strot te rammen. En dat gaat steeds verder.

We zullen het ermee moeten doen. Money talks. En deze bedrijven hebben téveel geld om nog effectief tegen dergelijke acties op te kunnen treden. En bedankt hè? |:(
Zelf ontwijk ik Google middels DuckDuckGo.
Misschien niet de compleetste zoekmachine, voor mij voldoende.
In Android ingesteld: Firefox, genoemde DDG en alle meuk van Google uitgeschakeld.
Heb de indruk dat het "rustig" is in mijn omgeving.
Ook ik gebruik DuckDuckGo met veel plezier. Soms vind ik zelfs sneller relevante links omdat er geen tiental sponsored links in staan. Echter, ik denk niet dat dit veel helpt met je anonimiteit: vrijwel alle websites die je bezoekt hebben ook tracking cookies, en consequent alle tracking cookies weigeren (bij sommige sites is dat 30 keer klikken) doe ik zelf ook niet. Daarnaast weet ik niet of dit ook daadwerkelijk werkt.
Ik snap je sentiment ens soms deel ik deze. Echter is het heus nog mogelijk om de schade te beperken. Er zijn zat open source ontwikkelaars die dit ook ervaren en tools ontwikkelen om dit te counteren of om op zijn minst de giganten te misleiden met nep info.

Toegegeven, je bent ook afhankelijk van hoe jou omgeving ermee omgaan (om niet te spreken over jezelf).

Als jij 70% van de meta data die over jou verzameld wordt kunt counteren of vervalsen heb je toch al een behoorlijke winst
Boetes uitdelen is niets anders meer dan symboliek. Ik maak me dus ook ongerust over de houding die dergelijke bedrijven hebben. Ze doen erg hard hun best om alles wat zij doen (en willen) ons door de strot te rammen. En dat gaat steeds verder.
Het is belangrijker om zorgen te hebben over de houding van anderen dan 'dergelijke bedrijven'!
Bijvoorbeeld de houding van AP, ACM, Overheid en Parlement. Maar ook - en dat kunnen diezelfde organisaties zijn - degenen die hun site zo inrichten dat je voor hun informatie niet om de Techreuzen heen kan.
Gisteren surfte ik bij https://www.landschapoverijssel.nl/mosbeek.
Het filmpje daarop kon ik rechtstreeks bekijken. Er was echter nog een filmpje over de Mosbeek, maar dat kon ik alleen zien door naar Youtube te gaan.

Landschap Overijssel dwingt zijn lezers dus, en in mijn ogen volkomen onnodig, in de armen van Big Tech.

[Reactie gewijzigd door Black Tern op 11 december 2020 11:23]

Het is gewoon irritant aan het worden. Men leest niet eens meer de melding en klikt gewoon op OK. Dan kan je disclaimer nog zo groot zijn om alles uit te leggen, maar ik ken niemand die dat ooit gaat doorlezen.

En dan heb je nog sites waar je het kan aanpassen. Maar wie zegt dat dat klopt...
En dan heb je ook nog sites waarbij je alle keuzes uitschakelt, en dat het dan bijna 2 minuten duurt om alles door te voeren.

Nee, ik accepteer tegenwoordig alles in incognito modus. Niet dat dat waterdicht is, maar ik ben er wel klaar mee.

En tweakers met hun cookiewall mag ook niet!
"....niet waterdicht...."?

Incognito modus doet helemaal niets tegen de Googles van deze wereld. Het enige dat het doet is dat er in de browser zélf niets van je surfgedrag te zien is.

Databoeren, je eventuele werkgever en je provider kijken gewoon mee net als in gewone modus.
Incognito modus doet helemaal niets tegen de Googles van deze wereld.
Misschien wat meer toelichting? De theorie is volgens mij: elke tab heeft eigen cookies, cookies worden verwijderd bij sluiten tab/sessie. Dus google heeft volgt je alleen binnen een tab.

In de praktijk (voor zover ik begrijp) word je op meer manieren gevolgd dan alleen cookies: (zie evercookie) zoals local storage, canvas en zelfs fingerprinting (deze laatste wordt niet op je machine opgeslagen dus is niet te verwijderen).

Dus voor mij blijft de vraag: hoe effectief is incognito modus in de praktijk om tracking te voorkomen? Of moet je een TOR browser gebruiken om fingerprinting tegen te gaan?
Ja precies, als ik op de cookiemelding op "accepteer alles" klik of alles uitsluit dan maakt het niks uit. Volgen kan men ook echt wel zonder cookie.
Ik kwam vandaag op een site die me een venster met van die aan/uit-schakelaartjes liet zien waarbij alle niet-functionele cookies op uit stonden. Op het moment echter dat ik ok klikte, zag ik nog net dat alle opties op aan sprongen net voor het venster verdween. Hoogst irritant inderdaad, en wat mij betreft ook illegaal.
In de meeste gevallen is wel/niet vertroebeld waardoor niet toestaan eigenlijk het tegenovergestelde betekent, wat met creatief presenteren wordt bereikt.
Daarnaast steunen alle gangbare browsers deze infrastructuur om ongemerkt personen te identificeren. Als gebruiker kun je amper iets doen. Firefox en Chrome hebben een compleet gesloten management. Een URL zou gewoon aan een permissie policy gekoppeld kunnen zijn. Lokaal schrijftoegang? Laat maar zien wat er precies gebeurt, en dan niet achteraf maar op het moment dat het gebeurt. Wil een website dat niet laten weten: rood vlaggetje. Ook het opslaan en benaderen van dezelfde informatie door verschillende partijen klopt niet en kan gewoon gesignaleerd worden.

[Reactie gewijzigd door blorf op 10 december 2020 19:23]

Anoniem: 100047
10 december 2020 12:21
Oke.... die Fransen doen het beter dan onze eigen autoriteit persoonsgegevens. Na een onderzoek van een half jaar deze boetes aan twee (!) megabedrijven.

Edit: hoezo een paar -1'tjes? Dat onnodig downmodden hangt mij langzamerhand de strot uit. Mod zoals het hoort, niet omdat je iemand wel of niet mag.

[Reactie gewijzigd door Anoniem: 100047 op 10 december 2020 16:22]

Het ligt iets complexer dan dat. Allereerst gaat het hier niet over AVG waar de AP toezicht op houdt, maar om de Franse implementatie van de ePrivacy Directive. In Nederland zou dat de telecomwet zijn, daar is de ACM, en niet de AP, de toezichthouder.

Daarnaast is dit een aardige omweg om een boete op te leggen, onder de AVG zou het zo niet zo makkelijk kunnen. Dat heeft te maken met het "one-stop shop" mechanisme. Doordat Google Ierland verantwoordelijk is voor (een groot deel van) het verwerken van persoonsgegevens in de EU, is het uiteindelijk de Ierse toezichthouder die de klacht moet afhandelen. (Grofweg, volgens mij lopen er nog rechtszaken over de vraag wat een nationale toezichthouder zelf nog mag doen.) Met andere woorden, tenzij de AP een slim trucje uithaalt, zoals hier door de Fransen is gedaan, zijn zij altijd afhankelijk van het (falende) toezicht van de Ierse toezichthouder.
Daarnaast is dit een aardige omweg om een boete op te leggen, onder de AVG zou het zo niet zo makkelijk kunnen. Dat heeft te maken met het "one-stop shop" mechanisme. Doordat Google Ierland verantwoordelijk is voor (een groot deel van) het verwerken van persoonsgegevens in de EU, is het uiteindelijk de Ierse toezichthouder die de klacht moet afhandelen. (Grofweg, volgens mij lopen er nog rechtszaken over de vraag wat een nationale toezichthouder zelf nog mag doen.)
De AVG/GDPR bevat geloof ik hiervoor een ontsnappingsluik waar een nationale toezichthouder waar de klacht vandaan komt, het stokje van de verantwoordelijke toezichthouder geforceerd af en over kan nemen indien die laatste niet competent geacht wordt.

De strubbeling zal dan vooral liggen bij de vraag: "Wat houdt (in)competentie hier in?"
Als je de Nederlandse AP als voorbeeld neemt, zou een steekhoudend argument inzake incompetentie bijv. kunnen zijn dat de AP zelf toegeeft met een stevig budget- en personeelstekort te zitten waardoor daadkracht en slagkracht enorm ingeperkt zijn.
Anoniem: 100047
@Darses10 december 2020 14:01
Het gaat mij erom, en al die andere discussies in andere topics, dat samenwerking in de EU tegenwoordig een must is. Zolang dit niet tussen de oren komt van de betreffende afdelingen dan krijg je niets voor elkaar. Anders dan kleine kruimeldieven vangen terwijl de grote jongens ongestraft blijven.
samenwerking in de EU
Samenwerken en EU in 1 zin... Als parafrase op Ghandi: dat lijkt me een goed idee. In de praktijk is de EU toch meer conform de slogan van de Tegenpartij: samen voor ons eigen.
Ben ik wel met je eens, maar we zitten wel aan elkaar vast. Wij hebben met zijn allen de monsters zoals Facebook, Google, Apple enz. gecreëerd en ze zullen toch getemd moet worden.
Je reactie ging specifiek over de AP. Die heeft er gewoon niet zoveel mee te maken.
Je bent nu echter niet in andere topics.. Mensen gaan niet je post geschiedenis bekijken alvorens ze op je reageren.
Het is makkelijk om af te geven op de AP maar in dit geval treft de deze toezichthouder toch minder blaam dan u wellicht denkt. Het is namelijk de Autoriteit Consument en Markt (ACM) die voornamelijk verantwoordelijk is voor handhaving van de wetgeving met betrekking tot cookies. Voor zover ik kan nagaan betreffen het hier boetes op grond van Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, een Franse wet waarin de e-Privacyrichtlijn is geïmplementeerd. De relevante bepalingen uit die richtlijn zijn hier in Nederland gecodificeerd in de Telecommunicatiewet en het is de ACM die belast is met de controle en hanving op de naleving daarvan.

[Reactie gewijzigd door meestertje op 10 december 2020 13:48]

Zoals eerder vermeldt: samenwerken.
Is dit niet overgedragen aan het Agentschap Telecom?
Als het AP alleen meldingen van megabedrijven zouden prioriteren (waar veel geld te halen is) zouden ze ook hier snel klaar zijn...
Dat klopt, want ze zijn onderbemand, geen budget en...
Misschien eerder denken aan herverdelen: minder bij de politiek, meer bij de controlerende instanties. Aangezien we een deel van de overheid naar de EU geschoven hebben kunnen we ook toe met 75 kamerleden ipv. 150. Zo ook voor een serie beleidsmederwerkers over alle ministeries heen omscholen en toekennen aan de controlerende instanties etc. Als die hun werk goed doen dan komen er meer boetes binnen en is er weer ruimte voor andere initiatieven. Dit staat haaks op het beleid van de afgelopen 10+ jaar waarbij er veel gesneden is in de controlerende instaties met de problemen van nu.
Misschien wel een goed idee inderdaad en ook wachtgeld afschaffen voor politici (en dat budget naar controlerende instanties), toch een onzin regeling als je ziet hoe makkelijk (in ieder geval de bekende politici) weer aan het werk komen erna.
Anoniem: 100047
@K-aroq10 december 2020 13:56
Ik krijg een maandelijkse voorschot op mijn belasting, ik ben al ambtenaar ;)
waar zou je geld weghalen om het te betalen?
Uit de inningen van de boetes die uitgeschreven zijn voor de data-verwerkers die de AVG overtreden?
Zijn er veel overtredingen en worden grote barrières opgeweropen door mega-bedrijven die met hun hakken in het zand gaan staan om een boete aan te vechten, dan ligt er bij een fikse boete een vette vis in het verschiet om een eerdere investering in de capaciteit en slagkracht van de AP goed te maken. Matigt het aantal overtredingen, omdat men merkt dat het menens geworden is, dan bouwt men de dienst weer af.

Uiteraard is e.e.a. niet compleet zo simpel op te lossen, aangezien er bijv. een oplossing moet komen die de perverse prikkel tot het binnenhalen v/h eigen budget weg te nemen. Maar in de basis is het een degelijke insteek die wel kan werken.

[Reactie gewijzigd door R4gnax op 10 december 2020 17:48]

Ik heb veel liever dat de EU veel duidelijkere afspraken afdwingt over hoe die vreselijke cookie voorkeur dialogs zich gedragen. Google en Facebook lachen zich hier krom om en hebben deze boetes al lang ingecalculeerd.

Eigenlijk wil ik die cookie dialogs helemaal niet meer zien en wil ik dat wettelijk wordt afgedwongen, tegen enorme boetes, dat ik niet meer per default gevolgd/geprofileerd word (of dat zelf uit moet zetten op elke site die ik bezoek). En als ik dat dan wel wil, dat ik het zelf makkelijk zonder miljoenen opties kan inschakelen.
Spijtig genoeg is dat wel degelijk opgenomen in de wetgeving. By default moet men jouw met 1 klik op de knop alles kunnen laten weigeren behalve de noodzakelijke cookies (bijv. een cookie die je cookievoorkeuren opslaat). Spijtig genoeg houden de meeste websites zich daar niet aan en hebben ondertussen enkele websites er zelfs een sport van gemaakt om het je zo lastig mogeljk te maken.

Wat ontbreekt is dus niet de regelgeving, maar wel de handhaving ervan.
Die zijn er maar ik ken vrij weinig websites die zich eraan houden.
Het moet net zoveel kliks zijn om alle cookies te accepteren als om ze te weigeren en de site moet met beide opties blijven werken.
Ik ben het met je eens, eigenlijk zou het functionele buiten beschouwing gelaten moeten worden. Dan valt het ook echt op als een site ineens om cookies vraagt.
Het probleem is denk ik dat bijna iedere website afhankelijk is van banners die op hun beurt weer draaien op cookie tracking.
Ik gok dat die zich dus gedwongen voelen om cookies te vragen omdat ze anders niet kunnen bestaan.
Er zijn vast minder agressieve exchanges maar ik verwacht dat die ook minder opleveren. Als eigenaar van een website moet dus het verlies in bezoek (bijna 0, iedereen accepteert blind) opwegen tegen het verlies in omzet per bezoeker.
100 miljoen boete lacht ook Google niet om.
Het probleem is meer dat de meeste toezichthouders zwak zijn.
ik zou er gewoon nog een bannertje/button bij bedenken, sommige websites zijn functioneel zo waardeloos geworden. melding cookies, melding stats, melding reclame, resize/blur ... waarom moet dat zo moeilijk gemaakt worden? onderaan de streep veranderd er niets - men klikt ok, want wil functionele pagina.
waarom moet dat zo moeilijk gemaakt worden? onderaan de streep veranderd er niets - men klikt ok, want wil functionele pagina.
Moeilijk gemaakt ja, eens.
Iedereen klikt op ja, nee, ik niet.
Waar het kan, pas ik op elke website mijn voorkeuren aan, maar het is niet overal even makkelijk en lang niet elke site heeft een zelfde definitie van 'noodzakelijk'.
Bij de een zijn stats noodzakelijk, website werkt anders prima zonder.
Weer andere sites zien YouTube als noodzakelijk, andere weer niet. Etc.

Wat met zou moeten doen is drie knoppen verplichten. Alles accepteren, aanpassen, alles afwijzen. Makkelijk en doeltreffend.
Waarbij alles afwijzen de default is. Het systeem moet altijd opt-in zijn in plaats van opt-out naar mijn mening.
Het systeem is al opt-in, alleen willen de grote jongens dat nog niet begrijpen. Er zijn grofweg twee uitzonderingen op die opt-in verplichting: "strikt noodzakelijke" cookies en privacy vriendelijke website analytics. Zie ook Artikel 11.7a Telecommunicatiewet.
Maar dat is dus niet zo. Ik kom nog regelmatig sites tegen waarbij in de cookie opties alles al is aangevinkt.

Dit terwijlt het EU Hof op 1 oktober 2019 al heeft bepaald dat vooraf aangevinkte cookiemelding geen expliciete toestemming is en dus niet mag.

nieuws: EU-Hof: vooraf ingevuld vinkje bij cookiemelding is geen expliciete t...
Ik zou persoonlijk dit veel liever via de browser zelf regelen. 1 keer instellen in de browser dat je alleen functionele cookies wil en dat firefox of chrome ed dit doorzetten naar de website. Geen cookiemuur die je zelf moet aanklikken. Wil je een uitzondering toelaten? Dit ook via de browser instellen.
Tja... Die header wordt niet gerespecteerd: https://en.wikipedia.org/wiki/Do_Not_Track
Tracking prevention i.c.m. het blokkeren van advertenties werkt in mijn browser (Edge) prima.
In Firefox is dat kwestie van 'I don't care about cookies' addon installeren.
Dat zou inderdaad het allerbeste zijn, maar dat willen de grote jongens niet, die willen het zo moeilijk mogelijk maken om die tering zooi te weigeren, we moeten kost wat t kost onze data bij hun droppen.
Dat ze er daarna toch niks zinnigs mee weten te doen, interesseert ze ook niet, als ze maar data hebben. Databert Duck syndroom
Volgens mij is het nu in Europa al verplicht dat bij aanpassen de standaard instelling bij alles uit is, bepaalde de noodzakelijke cookies.
Iets meer handelingen dan op een knop alles afwijzen klikken, maar je ziet heel snel dat bij aanpassen alles al uit staat. Dus dat gebruik ik nu regelmatig.
Klopt. En op een enkele uitzondering daargelaten, houden de meeste websites zich daar dan weer wel netjes aan.
Maar het is nog wel een extra klik, vaak extra gescroll en die optie 'aanpassen' is meestal niet zo dominant aanwezig. Sterker nog, ze doen vaak behoorlijk goed hun best die 'aanpassen' optie en 'aangepaste opties opslaan' te verstoppen, dit in tegenstelling tot de 'alles accepteren'...

Het mag dan allemaal volgens de regels zijn, maar de human factors mag nog wel een rondje draaien.
Het ergste zijn de sites die als je op ‘aanpassen’ klikt er stiekem toch enkele niet functionele aanzetten. Maar ik ben het eens met de derde knop, dat maakt het een stuk makkelijker.
Er zijn sommige sites waarbij de keuzeschermen schijnbaar meer ontwikkeling hebben gezien dan de rest van de site. Zie ook https://www.youtube.com/watch?v=NQ6-DP6DIiU . Ik heb zelf ook ervaring met dergelijke schermen waar het minutenlang blijft "laden" als je een aangepaste configuratie (aka, don't track me) wil toepassen. Hoezo, er moet iets geladen worden? Net niet... toch?
Dat moet niet en mag zelfs niet. Het is spijtig dat er zo weinig websites zijn die zich correct aan de wetgeving houden. In principe moet je op een site met 1 klik kunnen aangeven dat je enkel de noodzakelijke cookies wenst en niets anders. In de praktijk lukt dat evenwel niet.
ik zou er gewoon nog een bannertje/button bij bedenken, sommige websites zijn functioneel zo waardeloos geworden. melding cookies, melding stats, melding reclame, resize/blur ... waarom moet dat zo moeilijk gemaakt worden? onderaan de streep veranderd er niets - men klikt ok, want wil functionele pagina.
Ik denk daarom dat de 'last' moeten verplaatsen. Nu moet iedere bezoeker van zo'n website zelf een beslissing maken waar de meesten niet toe in staat zijn. Normale mensen lezen die lappen tekst niet door en al zouden ze het wel doen dan snappen ze alle implicaties niet. Daarbij werkt de website niet. Vrijwel iedereen denkt dan "ach, dat kleine stukje privacy kan ik wel missen, ik klik op OK".
Vanuit het individu is dat misschien begrijpelijk, maar als groep geven we zo allemaal toe. Bij iedereen die mee doet wordt het voor de rest moeilijker om nog te weigeren, zo gaat dat in de kudde.

Het liefst zou ik de meeste vormen van tracking gewoon helemaal verbieden, of er nu toestemming voor gegeven is of niet. Ik kan alleen geen manier vinden om dat goed te omschrijven. Het wordt al snel veel te breed of veel te smal, er zijn namelijk ook gewenste en nuttige vormen van tracking, zoals de GPS-functie op een sport-horloge.

Mijn oplossing is dat alle cookiewaarschuwingen en andere vormen van toestemming vooraf moeten worden beoordeeld door een toezichthouder. Die toezichthouder kijkt wat ze vragen, hoe ze het vragen en wat ze er mee van plan zijn. Daarbij wordt er op gelet dat er de tekst duidelijk is en geen addertjes onder het gras heeft. Ten tweede wordt er gecontroleerd dat het geen cookie-wall of opt-out of ander verboden mechanisme gebruikt. Om te zorgen dat bedrijven er serieus mee om gaan moeten ze zelf betalen voor het onderzoek.
Als er via een pop-up om toestemming wordt gevraagd of iets dergelijks dan moet het oordeel van de toezichthouder daar duidelijk in staan. Misschien wel samen met een privacy score. Het doel is dat we de eigen interpretatie weg halen zodat mensen zichzelf niet voor de gek kunnen houden met de gedachte dat het allemaal wel meevalt. Met zo'n score weet iedereen dat het niet in orde is. Dan kun je nog steeds beslissen om je daar niks van aan te trekken, maar je hoeft niet meer met jezelf te onderhandelen over de vraag hoe (on)veilig iets is.

Dat gaat niet helemaal voorkomen dat er bedrijven zijn die alles van je willen weten. Maar het maakt het een stuk duurder om de grenzen van de wet op te zoeken. Waarschijnlijk wordt je aanvraag dan een paar keer teruggestuurt en lopen de kosten op. Organisaties die juist hun best doen om zo min mogelijk bij te houden hebben het makkelijk en zeilen snel door zo'n onderzoek heen.
Het liefst zou ik de meeste vormen van tracking gewoon helemaal verbieden, of er nu toestemming voor gegeven is of niet. Ik kan alleen geen manier vinden om dat goed te omschrijven. Het wordt al snel veel te breed of veel te smal, er zijn namelijk ook gewenste en nuttige vormen van tracking, zoals de GPS-functie op een sport-horloge.
Die manier is er al en werkt al goed.

Deze ligt in de wijze waarop de AVG/GDPR 'toestemming' definieert. Om daarvoor te kwalificeren moet deze vrijelijk gegeven zijn. Voor de beslissing of toestemming vrijelijk gegeven is of niet, moet in het bijzonder gekeken worden of de verwerking van gegevens waarvoor toestemming verlangt wordt, strikt noodzakelijk is voor de levering van een product of dienst in kwestie. Is dat niet het geval, dan redeneert men dat er sprake is van een dwangmiddel en toestemming per definitie niet vrijelijk gegeven is.

Neem bijv. cookie-muren die toestemming om gegevens te verwerken voor o.a. het plaatsen van advertenties vereisen voordat toegang verleend wordt. Deze zijn weliswaar niet direct verboden, maar hebben vanwege deze insteek van de wet simpelweg effectief geen enkel nut. Het is namelijk onmogelijk om via zo'n constructie toestemming die voldoet aan de wettelijke definitie, te verkrijgen.

Technisch gezien betekent dit dat je als burger vrolijk alles mag accepteren waar zo'n soort cookie-muur om vraagt, en zodra je bewijs ziet dat er gebruik gemaakt van wordt, je het desbetreffende bedrijf voor het gerecht kunt dagen en een schadevergoeding kunt eisen. Het is eerlijk gezegd frappant dat nog niemand er een bedrijfsmodel van gemaakt heeft, want er zijn genoeg 'doelwitten' om op die manier van te plukken.


(Ter aanvulling op bovenstaande: in de voorafgaande overwegingen van de wetstekst staat ook dat er in situaties waar er sprake is van een evident scheve machtsverhouding zoals tussen staat en burger; of werknemer en werkgever, in principe nooit sprake van een verwerking op basis van de grondslag toestemming zou moeten kunnen zijn, aangezien daar altijd een zekere mate van dwang of mogelijke represailles aanwezig is.)

[Reactie gewijzigd door R4gnax op 10 december 2020 17:30]

Ik zou nog verder willen gaan en zeggen "nooit mensen tracken voor reclame/profilering, ook niet als ze er wel toestemming voor hebben gegeven", maar ik kan geen praktische omschrijving vinden die sluitend is zonder een hoop "bijvangst".

In theorie hebben we al een hoop rechten maar in praktijk loop ik nog steeds tegen cookiemuren aan en lange en slecht begrijpbare teksten. Ik zou een procedure bij de ACM kunnen beginnen maar dat is veel werk voor mij met weinig kans op een bevredigende uitkomst. Als het al succes heeft dan wordt er waarschijnlijk een minimale aanpassing gedaan mar blijft de cookiemuur of andere overtreding de facto in stand. En zelfs als deze ene site z'n leven betert dan zet dat nog geen zoden aan de dijk gezien het grote aantal sites op internet dat zo iets doet.

Daarom wil ik de procedure aanpassen van "achteraf beoordelen als er geklaagd wordt" naar "altijd vooraf beoordelen". Net zoals je een APK-keuring doet voor je met je auto de weg op gaat en niet pas nadat je een ongeluk hebt gehad.
Ik zou nog verder willen gaan en zeggen "nooit mensen tracken voor reclame/profilering, ook niet als ze er wel toestemming voor hebben gegeven"
Reclame en profilering zijn vrijwel nooit een kernbenodigdheid tot het leveren van de dienst "webpagina serveren." Daarmee kun je er nooit via een cookie-muur die toestemming vereist voordat toegang verleend wordt, toestemming voor geven. (Let op: rendabiliteit is geen onderdeel van 'benodigdheid'.)

Daarnaast bestaat onder de AVG/GDPR het recht van bezwaar. Normaal moet bij het indienen van bezwaar tot verwerking een balans opgemaakt worden tussen het belang van de verwerker en de privacy van de betrokkene. Maar, voor direct marketing en profiling bestaat een uitzondering en moet de verwerker bij ontvangen van bezwaar onherroepelijk en onmiddelijk alle verwerking voor die doeleinden staken.

Daarnaast is vastgesteld dat het bij elektronische diensten ondersteund moet zijn om middels vastgestelde standaarden geautomatiseerd dit bezwaar in te dienen en zijn dataverwerkers danzkij bovenstaande dus gehouden onmiddelijk hieraan gehoor te geven.

Concreet: de Do-Not-Track header is een reeds bestaande wijze om jouw wens te bereiken die inachtneming van al het bovenstaande op juridisch bindende wijze er toe leidt dat jouw gegevens nooit voor targeted ads en profiling gebruikt mogen worden.

(En uiteraard houdt niemand zich hier aan...)

[Reactie gewijzigd door R4gnax op 10 december 2020 17:42]

Ik maak gebruik van openen in private window, forget browsing history en heb net het grootste deel van de koektrommel leeggegooid. Nee, ik klik zeker blind geen ok
Nou, nou, poe, poe, miljoenen boete voor bedrijven die miljarden omzetten...

Ik denk niet dat ze hier echt heel erg van wakker zullen liggen. Natuurlijk moeten de boetes proportioneel zijn en zo maar toch het is een beetje al pogen een mens te doden met een speld.

Misschien zou het beter zijn om deze bedrijven bijvoorbeeld te bestraffen door alle belasting deals die gesloten zijn te annuleren (dat doet een stuk meer pijn) of om bijvoorbeeld alle omzet gedurende de periode dat ze willens en wetens de fout in gingen af te nemen. Ook dat merken ze een stuk meer dan een paar miljoen euro boete.

Een bedrijf dat omzet en winsten meet in tientallen miljarden zal echt heel erg weinig last hebben van een paar miljoen boete. Je zult ze veel harder moeten aanpakken als je wil dat ze zich aan de regels houden. Het is een beetje zo als senior partners van bepaalde accountancy bedrijven die hun assistent opdracht geven aan het einde van de dag de boete even te betalen voor het fout parkeren en die kosten vrolijk declareren als zijnde de kosten van het zaken doen in het centrum van de stad.
Op dat niveau is een paar honderd euro per dag echt helemaal niet meer belangrijk. Dat zelfde geld voor een bedrijf als Google of Amazon dat echt niet meer in de stres schiet als ze een paar miljoen boete moeten betalen om welke reden dan ook.
Wat denk je dat er gebeurd wanneer ze opnieuw dezelfde fout maken? Of hoe zou jij je voelen als je voor de rechter verschijnt en die geeft je onmiddelijk de zwaarste boete die kan opgelegd worden? Waarom willen we toch zo vaak dat we zelf zacht worden aangepakt, maar een ander kan niet hard genoeg aangepakt worden?
Er zit een groot verschil tussen een persoon die door rood fietst en een bedrijf die tegen de wet in geld verdient door onaangekondigd advertentie cookies te plaatsen.

Als ik meer zou verdienen met door rood rijden dan dat ik aan boetes zou moeten betalen zou ik het zelf niet heel erg vinden om een beetje meer te betalen.
Inderdaad. Iemand die door rood rijdt brengt levens in gevaar, in tegenstelling tot iemand die geld verdient.
Google net worth obv oude cijfers: 280b

Dussss... dit is vergelijkbaar met iemand met een bank acc van $28000 over meerdere jaren overtreding een boete van $6.80 geven. (niet precies maar het illustreert wat er loos is) Dat voelt bijna als een contributie om het maar gewoon te mogen doen.
Heeft het er niet mee te maken dat ze maar een x percentage als boete mogen geven of alleen over de omzet die in het betreffende land is gehaald?
Boetes zullen pas nut hebben wanneer het een percentage van de omzet zal zijn.
Bij deze boete lachen ze zich kapot.
Dit geldt alleen voor Frankrijk. Nog tien landen en je praat over 600 miljoen.

Ben het wel met je eens dat die belastingdeals geschrapt mogen worden (sowieso). Anders wil ik ook wel even bellen met de belastingtelefoon voor wat korting :)
Als elk land ter wereld zo zou opkomen voor haar burgers zoals Frankrijk en Duitsland doen, dan kom je toch per vergrijp elk jaar opnieuw op twintig miljard uit.

Dan beginnen zelfs de aandeelhouders van Alphabet toch wel snel te klagen dat er 'niet veel' van hun winst overblijft.
Facebook en Google: Oh no! Anyway....

Tijd dat ze die meuk gewoon eens een weekje offline gooien tot ze zich aan de regels houden.
Kunnen ze niet zomaar doen, omdat je dan de bedrijfsvoering van bedrijven in gevaar brengt. Sommige zijn enorm afhankelijk van Google/Facebook omdat dit hun core business is. Beetje hetzelfde verhaal zoals bij Apple die ontwikkelaarsaccount van unreal engine niet mocht blokkeren, omdat dan de 3d/game ontwikkelaars het dupe ervan zijn.
Dit is HET grote probleem, waardoor bedrijven en landen wegkomen met onacceptabel gedrag. Wij zijn zo afhankelijk geworden dat alle macht bij grote bedrijven ligt.

Voorbeeld: waarom kan China alles doen? Gelden mensenrechten niet voor dat soort landen? Omdat bedrijven en overheden afhankelijk zijn geworden van China.
Hetzelfde geldt voor grote bedrijven.
Hoe dan ook kun je het niet maken een oplossing in te zetten die anderen dupeert.
Een boete wordt toch veel vaker gevoeld door meerderen dan enkel degene die het betreft? Zelfs als pa er één krijgt voor te hard rijden is de rest van het gezin ook gedupeerd. Krijgen de kids geen nieuwe bal.
Maar het gezin heeft wel nog te eten. Er wordt alleen een luxedingetje achterwege gelaten. Dat is niet duperen.
Dan zijn het dus nutsbedrijven geworden. In dat geval maar veel meer onder controle van de overheid brengen, net zoals KPN, de post, de Gasunie etc.

Overigens, ik gaf een bal als voorbeeld, nu een armer gezin, pa krijgt een boete waardoor er deze week geen warm eten op het menu staat of de orthodontie niet door kan gaan. Beter voorbeeld?

[Reactie gewijzigd door TheDutchChief op 11 december 2020 08:20]

Dan mag de boete gespreid betaald worden.
Doen ze niet... Ten eerste is dit de eerste boete uit de serie, zie het als een waarschuwing. Als ze nu doodleuk doorgaan, dan volgen er grotere boetes, en wellicht uit meerdere landen. Ieder EU-land heeft als het goed is z'n Data Protection wetgeving staan, en allemaal zouden ze (dankzij EU-richtlijnen) ongevraagde cookies illegaal moeten vinden. Nee, een paar miljoen nu is niks, maar elk jaar een paar keer een paar miljoen is toch een dure hobby, zelfs voor Google.

Offline zetten is in dit geval een te zware actie, en overbodig. Het is effectiever om dan de afnemers (de daadwerkelijke klanten van de bedrijven) te verbieden ermee in zee te gaan. Die bedrijven zijn veel kleiner, vaak lokaal, en daarmee raak je de grote jongens ook in de portemonee. Als je je advertenties niet meer via Google of Amazon kunt plaatsen, who you gonna call?
Het schrikt hopelijk ook andere websites af. En hopelijk kun je weer meer sites bezoeken zonder per se alle cookies te moeten accepteren. Tweakers.net, anyone?

Nu staat DPG (Tweakers, kranten) op sommige sites eindelijk toe een selectie te maken, maar dat heeft ook veel tijd gekost. Ondertussen schreef de Volkskrant vrolijk dat de cookiemelding op hun eigen website niet was toegestaan, maar dat viel onder de uitgever en niet de redactionele verantwoordelijkheid van de krant.
Volgens mij moet tweakers dan ook offline gegooid worden volgens jouw redenatie.
Inderdaad, de infrastructuur voor alle gebruikers ontwrichten is de oplossing. 8)7

[Reactie gewijzigd door Burkle op 10 december 2020 12:00]

Facebook? Staat toch echt Amazon in het artikel...
Er wordt in de kop gewezen naar Google en Facebook, maar inhoudelijk in het artikel gaat het over Google en Amazon?
Politiekers en justitie begrijpen nog steeds niet dat boetes gewoon worden doorgerekend aan de gewone burger. Die denken dat ze zulke bedrijven een slag toebrengen.
en wie is 'de klant'? Is dat de gewone burger? Ik betaal niet aan google en amazon.
Iedereen betaalt aan iedereen en de laatste in de rij is de consument. Jij en ik en ook weer iedereen.
Je kan het zo bekijken: Als de brandstof voor het vervoer van levensmiddelen of andere producten, duurder wordt, zal je ook als fietser dit verschil bijbetalen. Niet rechtstreeks aan de brandstof, maar wel aan de prijzen van de vervoerde producten. Iedereen betaalt iedereen.

[Reactie gewijzigd door Pepsichoco op 13 december 2020 12:15]

dus de winkel waar ik nu niet meer kan kopen is niet de laatste?
Grappig, dat Tweakers dit plaatst, terwijl de website van Tweakers ook niet conform de regels werkt: je kunt alleen maar cookies accepteren, anders kom je niet verder.

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee