Autoriteit Persoonsgegevens gaat in 2024 vaker controleren op cookiebanners

De Autoriteit Persoonsgegevens zegt in 2024 vaker te gaan controleren of websites cookiebanners op de juiste manier inzetten. De extra controles zijn mogelijk door extra budget van het ministerie van Binnenlandse Zaken.

De Nederlandse toezichthouder gaat dit jaar vaker controleren of websites 'op de juiste manier toestemming vragen voor (tracking-)cookies of andere volgsoftware'. De AP benadrukt enkele belangrijke aspecten van cookiebanners, zoals dat ze informatie moeten geven over het doel van de cookies en dat ze vinkjes niet automatisch aan mogen zetten. "In de praktijk gebruiken organisaties regelmatig misleidende cookiebanners, waarop bijvoorbeeld bepaalde knoppen zijn verborgen", schrijft de toezichthouder. Organisaties die de wet overtreden, riskeren een boete.

De extra controles zijn mogelijk dankzij extra budget van het ministerie van Binnenlandse Zaken. Het gaat om een half miljoen euro dat de Autoriteit jaarlijks ontvangt van 2024 tot en met 2026, specifiek bedoeld voor extra toezicht op cookies en online tracking. Na 2026 ontvangt de toezichthouder structureel 350.000 euro per jaar. De toezichthouder bevestigt nu het geld te gebruiken voor de extra controles. Als zelfstandig bestuursorgaan beslist de AP zelf waar de prioriteiten liggen, al is het niet voor het eerst dat de toezichthouder extra geld krijgt vanuit de overheid voor een expliciete taak. Eerder gebeurde dit voor een algoritmetoezichthouder.

IT-banen

Reacties (92)

rigbuilder 6 februari 2024 15:05

Ik snap idd niet waarom elke websitebeheerder hier mee moet worden opgezadeld. Pak die browser ontwikkelaars aan zodat ze zorgen voor ingebakken AVG functionaliteiten.

Achterlijke en gedateerde wetgeving...

locke960 @rigbuilder • 6 februari 2024 15:55

Dat hebben die browser ontwikkelaars lang geleden gedaan. Die hebben destijds de "Do Not Track" http header bedacht. Simpel, eenvoudig en goedkoop te implementeren voor browser ontwikkelaars en websitebeheerders. En eenvoudig te gebruiken voor gebruikers.

Dat werd massaal genegeerd door websites. Ze hebben *allemaal* de keuze gemaakt een dure oplossing te implementeren, welke ze ook nog eens expres irritant en onduidelijk maken voor de gebruiker. In veel gevallen is de oplossing zelfs niet legaal.

Dus:
- wetgeving: duidelijke bedoeling
- browsers: simpele, duidelijke oplossing welke aan de wet voldoet.
- websites: massaal en moedwillig schending van de wet en/of kwaadwillige naleving.

StefanJanssen @rigbuilder • 6 februari 2024 15:32

De wetgeving geeft niet aan dat je perse als website bouwer een banner moet tonen. Alleen dat de gebruiker toestemming moet geven. Dit zou dus ook prima via de browser kunnen, maar de webstandaarden omvatten dit nog niet.

Guru Evi @StefanJanssen • 6 februari 2024 16:32

De webstandaarden omvatten dit juist wel, maar de AVG aanvaardt dit niet. Nog niet zo lang geleden dat er hier een artikel was waar websites werden achtervolgt omdat de EU/AVG de headers van DNT niet snapte en waarschijnlijk ook nog nooit van GPC of HTTP headers gehoord heeft.

Daarnaast is dit allemaal op te lossen als gebruiker, als je cookies niet wilt zijn er genoeg extensies die ze wissen zodra je van een site weggaat, alsook privacy mode, TOR en VPN.

ZwolschBalletje @Guru Evi • 6 februari 2024 17:03

Daarnaast is dit allemaal op te lossen als gebruiker, als je cookies niet wilt zijn er genoeg extensies die ze wissen zodra je van een site weggaat, alsook privacy mode, TOR en VPN.

Maar dat is nou net niet wat de AVG probeert te bereiken. Want de AVG gaat (oa) om het beschermen van de privacy van mensen die geen idee hebben hoe je een plug-in installeert.

Wat jij beschrijft is een opt-out: standaard wordt je privacy geschonden, maar er zijn plug-ins en andere opties die je kunt inzetten om dat te voorkomen.
De AVG is heel helder: voor niet-noodzakelijke doelen moet je de bezoeker opt-in bieden: de bezoeker wordt niet gevolgd, tenzij die daarvoor kiest. Je zou dus juist een plug-in moeten installeren die aangeeft dat je wél gevolgd wilt worden en gepersonaliseerde advertenties wilt zien.

De ‘do-not-track’ functie die in browsers werd aangebracht was een goede stap in de juiste richting, als de websites zich ook aan zo’n wens van de gebruiker hadden gehouden. Dat deden ze niet, en daardoor heb je nu losse meldingen die ze per website registreren (die nog steeds van een paar standaard-leveranciers kunnen komen trouwens).

[Reactie gewijzigd door ZwolschBalletje op 22 juli 2024 21:58]

Guru Evi @ZwolschBalletje • 6 februari 2024 17:49

Ik begrijp de bedoeling, echter, zoals ik zeg, de AVG etc. heeft een minimale functie in een internationaal probleem.

Om achter mensen te gaan die meestal een menselijke fout in implementatie of zoals ik eerder aantoonde, een interpretatie die technisch goed is maar waar de AVG niet akkoord mee gaat omdat een ambtenaar oliedom is (sorry, maar ze kunnen zich echt niet de beste techneuten veroorloven) werkt averechts. Mensen zetten hun websites gewoon op buiten de EU, buiten het bereik van 'slechte' wetgeving.

Dit geld dat nu verspeelt wordt (500k euro) om achter zelfstandigen te gaan die 80% niet afweten wat een cookie is en nog minder gebruik maken van die cookies om mensen te volgen (denk je echt dat het de eigenaar van markdietsriolering.nl kan schelen welke websites jij bezoekt), kan veel beter worden gebruikt in preventie tegen internationale systemen waar de AVG toch niet kan aankomen, sponsor dan een online privacy klas, maak iets voor kinderen in de scholen, reclameborden of organiseer iets voor mensen in bejaardencentrums.

Mijn schoonmoeder heeft nu ook juist een brief in de postbus (niet e-mail) ontvangen van een advocaat in Canada die zogezegd $11M van een ver familielid hebben die onlangs gestorven is, wat kan ik er aan doen, bij de AVG aangifte doen dat ze haar naam en adres hebben (en leeftijd, want ze weten wel welke leeftijdsgroepen een betere uitkomst hebben). Dat zal Canada wel worst wezen, er zijn al maanden berichten van die specifieke websites. Echter moet ik haar uitleggen dat alhoewel de website er mooi uitziet (en het ziet er warempel uit als een echte advocaten website), het toch wel een scam is.

Dus hier is (in mijn opinie) waar dit geld voor gebruikt moet worden:
- Achter echte scammers en privacy schending gaan, niet de zelfstandige die niets van cookies afweet
- Mensen opleiden om die scams te herkennen en de juiste acties te nemen om zich (internationaal) te beschermen
- Een dienst of meerdere diensten steunen die de privacy van websites doorlicht en plugins voor browsers bouwen (er zijn er genoeg)
- Open source producten en OSINT projecten steunen met developers om het gemakkelijker te maken voor de 'gewone' mens om aanbiedingen en websites en links te doorlichten, vb. een privacy Linux distro of app containers om te banken

Je privacy terugharken als je het al verloren bent is onmogelijk, de paswoorden, de e-mails, de informatie zwerft open rond op het web. Je kan enkel maar procederen tegen mensen die zich aan de wet (proberen) houden en die zijn dan de pineut omdat de overheid "iets" moet doen, en dan mooie cijfers dat ze 1000 mensen veroordeeld hebben voor miljoenen euros terwijl het probleem zich gewoon vergroot.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 21:58]

bzzzt @Guru Evi • 7 februari 2024 09:10

Dit geld dat nu verspeelt wordt (500k euro) om achter zelfstandigen te gaan die 80% niet afweten wat een cookie is en nog minder gebruik maken van die cookies om mensen te volgen (denk je echt dat het de eigenaar van markdietsriolering.nl kan schelen welke websites jij bezoekt),

Het zal Mark met z'n riolering niet veel kunnen schelen, maar bedrijven als Facebook, Google en ander advertentietuig wel. Mark bouwt z'n site ook niet zelf, zijn websitebouwer hoort gewoon te weten dat het volstampen met 'analytics' aan regels gebonden is.

StefanJanssen @Guru Evi • 6 februari 2024 19:25

De Do Not Track header wordt voornamelijk gebruikt om gebruikers beter te fingerprinten. Als dit op de juiste manier geïmplementeerd wordt is dit wel een legale manier om dit te doen.
Dit betekent onder andere dat de DNT header een opt out moet zijn binnen alle browsers. Als website eigenaar kun jij dit niet garanderen, maar je kan een lijst met browsers bijhouden waar het op die manier is geïmplementeerd en aan de hand van die lijst wel of niet de cookiebanner tonen.

Guru Evi @StefanJanssen • 7 februari 2024 00:14

Zoals gezegd vindt de AVG dit niet voldoende. Je hebt gelijk (technisch gezien), maar de idioten bij AVG hebben beslist dat een cookie banner de enige manier is om dit “wettelijk” te doen.

Daarnaast kun je mensen gemakkelijker fingerprinten met een cookie banner, omdat dit een menselijke input nodig heeft, zoals eerder aangetoond, er is een percentage dat discrimineert tussen de opties (dus daar heb je al een 80/20 opdeling van de bevolking) en aan de patronen en begeleiding van de muis (omdat er meestal geen functionele toetsenbord optie is) kun je iemand gemakkelijk her-identificeren zonder cookies te zetten.

Er zijn veel problemen technisch gezien met een cookie banner, het is enorm bagger voor mensen die hulpmiddelen (lezers, braille etc) nodig hebben, het is een “pop up”, het is meestal niet inbegrepen tijdens het design van de site, het maakt tracking praktisch gezien verplicht (want nu moet je ook bijhouden wie wat geklikt heeft) waar voordien volledig anoniem zero-log websites mogelijk was.

R4gnax

Cookie
Autoriteit Persoonsgegevens
Privacy

@Guru Evi • 7 februari 2024 00:57

Zoals gezegd vindt de AVG dit niet voldoende. Je hebt gelijk (technisch gezien), maar de idioten bij AVG hebben beslist dat een cookie banner de enige manier is om dit “wettelijk” te doen.

De AVG voorziet er in dat je bij het gebruik van elektronische diensten binnen de informatiemaatschappij het zgn. recht van bezwaar middels gestandardiseerde protocollen via eletronische weg geautomatiseerd uit zou moeten mogen oefenen.

Dit staat voor verwerking onder de grondslag toestemming, gelijk aan het weigeren van toestemming.
En in het geval van het gebruik van gegevens voor de doeleindes direct marketing en/of profilering onder andere grondslagen zoals gerechtvaardigd belang, geldt dat er onherroepelijk zonder verdere tussenoverwegingen aan het bezwaar gehoor gegeven moet worden.

Het enige wat het niet regelt is toestemming wel geven.
Maar éénieder die à priori geautomatiseerd laat weten: "ik ga je toch geen toestemming geven," hoef je het niet alsnog te vragen. (Sterker nog; dat mag je niet eens. Bij herhaling om toestemming blijven etteren is ook wederrechtelijk.)

Die wetgeving is er allemaal al sinds dag één dat de AVG / GDPR van kracht werd.
Het probleem is zoals vanouds: handhaving; handhaving; handhaving.

[Reactie gewijzigd door R4gnax op 22 juli 2024 21:58]

Guru Evi @R4gnax • 7 februari 2024 02:18

dat mag je niet eens. Bij herhaling om toestemming blijven etteren is ook wederrechtelijk

Ja, maar om de toestemming (of geen toestemming) bij te houden moet je de gebruiker toch identificeren en bijhouden (privacy gegevens) wat ze eerder al gezegd hebben.

Daarmee dat ik zeg: de wetgeving is bagger door mensen die niets van de problemen noch de technologie afweten en dan krijg je zo’n wetgeving waar je de identiteit van een persoon moet bijhouden om te zorgen dat je weet dat een specifieke persoon niet wilt dat je hun identiteit bijhoudt.

En ik weet dat die wetgeving er al is sinds de GDPR, een evenredige gekke wetgeving die nergens buiten de EU geldt maar waar de EU wel beweert dit wereldwijd te kunnen handhaven.

Opnieuw, een regering kan de wetgeving niet handhaven op internationaal vlak, elke wetgeving die geldt op internationaal vlak is ongeldig. De EU kan geen wetten opmaken die geldig zijn in de VS of de VK of Oekraïne of China en op het internet kun je met een knop je hele infrastructuur verhuizen naar een ander land. Schaf de domme wetten af, leer mensen aan hoe ze de technologie kunnen gebruiken en de waarden en rechten en risico’s en laat mensen dan zelf beslissen.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 21:58]

Ed Vertijsment @Guru Evi • 7 februari 2024 09:13

Ja, maar om de toestemming (of geen toestemming) bij te houden moet je de gebruiker toch identificeren en bijhouden (privacy gegevens) wat ze eerder al gezegd hebben.

Dat kan prima, dat is een cookie met een andere grondslag.

Opnieuw, een regering kan de wetgeving niet handhaven op internationaal vlak, elke wetgeving die geldt op internationaal vlak is ongeldig. De EU kan geen wetten opmaken die geldig zijn in de VS of de VK of Oekraïne of China en op het internet kun je met een knop je hele infrastructuur verhuizen naar een ander land.

Het is prima mogelijk om op te treden tegen activiteiten van bedrijven die actief zijn op de Europese markt, waar de infrastructuur staat is wat dat betreft minder belangrijk dan waar de bedrijfsactiviteiten zich plaatsvinden.

Forte @rigbuilder • 6 februari 2024 15:45

Als ontwikkelaar zelf is het echt mijn hoop dat dit gewoon netjes afgevangen gaat worden in de browser. Het is echt een tijdrovend proces, als ontwikkelaar en ook als online marketeer met bijv GTM, om dit goed in te regelen. Ook meerdere sessies gehad met mensen die juridisch de details beter weten en ook onder hen merk ik soms dat de regels door eenieder anders geïnterpreteerd wordt.

Ed Vertijsment @Forte • 7 februari 2024 09:15

Ik heb sobs het vermoeden dat de regels voor bepaalde belanghebbende moeilijker zijn om te accepteren dan om te begrijpen.

aikebah @Forte • 7 februari 2024 09:51

Als ontwikkelaar is het echt mijn hoop dat die mede-ontwikkelaars eens gaan stoppen met inbouwen van invasieve user tracking in websites en ophouden met achter de tracker-commercie aan te lopen. Dan zijn we in no-time af van alle cookie opt-in pop-ups, want zijn er geen 'user consent required' en 'user opt out required' cookies meer over om de user mee lastig te vallen.

Edit: en daar waar ze dat wel doen gewoon inbakken in de logica dat een DoNotTrack header een volledige opt-out is en alleen bij afwezigheid van DNT nog om een gebruikersvoorkeur gaan bedelen (omdat afwezigheid van DNT geen expliciete opt-in is)

[Reactie gewijzigd door aikebah op 22 juli 2024 21:58]

Alxndr

@rigbuilder • 6 februari 2024 16:42

Maar een website hoeft helemaal niet te tracken en te volgen. Je kan prima een site maken zonder dat je ook maar iets met de AVG te maken hebt...

Als de beheerder geld wil gaan verdienen door commerciële data te gaan verzamelen (voor reclames etc), dan kiest die daar zelf voor en mag hij ook zelf zorgen dat het allemaal netjes verloopt.

Hoe is het volgens jou precies eerlijker om dit op het bord van de browser ontwikkelaars te gooien? Hoe moet een browser weten waar een 1st party cookie voor gebruikt wordt door een website? Want een 1st party cookie kan net zo onwenselijk zijn als die van een 3rd party - het ligt er maar net aan waar het voor wordt gebruikt.

Remzi1993 @Alxndr • 6 februari 2024 19:31

Maar een website hoeft helemaal niet te tracken en te volgen. Je kan prima een site maken zonder dat je ook maar iets met de AVG te maken hebt...

Inderdaad, bijvoorbeeld mijn eigen website: remzi.info (helemaal geen cookies van mijzelf alleen van mijn static hoster die wilt tracken omdat ik het gratis gebruik)

TheAncientDovah @rigbuilder • 7 februari 2024 00:36

Dat is makkelijker gezegd dan gedaan. Hoe een browser werkt is uiteindelijk voornamelijk afhankelijk van protocollen en standaarden. Die standaarden worden met honderden partijen samen afgesproken, geen simpel proces dus.

SilentDecode 6 februari 2024 15:00

En omdat het toch allemaal niet gaat zoals het zou moeten gaan, omdat die dingen nog steeds erg vervelend zijn:

Installeer Ghostery in je browser. Dan ben je tenminste van die verschrikkelijk irritante banners af.

CH4OS @SilentDecode • 6 februari 2024 15:04

Ghostery ben ik niet helemaal fan meer van nu het commercieel geworden is. Ik gebruik dan liever Pi-Hole icm uBlock Origin.

Voor automagisch afhandelen van de cookie consent (de banners waar het in dit artikel over gaat), gebruik ik tegenwoordig Consent-O-Matic.

[Reactie gewijzigd door CH4OS op 22 juli 2024 21:58]

SilentDecode @CH4OS • 6 februari 2024 15:05

Ik gebruik dan liever Pi-Hole icm uBlock Origin.

PiHole haalt de banners niet weg. PiHole doet niets met banners namelijk. Gezien daar dit bericht over gaat, heb ik het daar specifiek op gehouden.

Maar ja, ik heb ook (natuurlijk) PiHole in m'n netwerk.

CH4OS @SilentDecode • 6 februari 2024 15:07

Dat weet ik, maar Ghostery is vooral bekend als ad blocker, vandaar dat ik zei dat ik liever Pi-Hole icm uBlock Origin gebruik. Voor de cookie consent banners, waar het hier in het artikel over gaat, gebruik ik dus Consent-O-Matic.

ShatterNL @SilentDecode • 6 februari 2024 15:02

Het enige probleem wat ik dan ervaar met Ghostery, is dat sommige websites dan slechter, of zelfs helemaal niet werken. (weet even niet concreet meer welke, maar het waren wellicht dingen als een Facebook / YouTube)

freewayorange12 @SilentDecode • 6 februari 2024 15:04

Een cookiefilterlijst aanzetten in je adblocker werkt doorgaans ook best goed, maar ik kan niet wachten tot die belachelijke banners vervangen worden door een setting in je browser.

Nee, gare nieuwssite, ik wil geen toestemming geven aan jou en je 800 partners om mij te tracken.

nottofret @freewayorange12 • 6 februari 2024 19:19

De nieuwssite, ok, maar de 800 partners, nee. Waarom kunnen die geen utm gebruiken? Die is niet persoonsgebonden.

Guru Evi @nottofret • 7 februari 2024 00:18

Ben je daar zeker van? UTM is van Google, wat ze jouw aanbieden is volstrekt niet wat ze verzamelen.

Ik heb met UTM servers gewerkt voor het een deel van Google was. De logs/db konden wel degelijk gebruikt worden voor identificatie alhoewel de statistieken (wat de klant aangeboden wordt) een aggregatie zijn. Maar wij konden gewoon die statistieken snijden en versnipperen en aggregeren met andere bronnen hoe de klant dat wou.

Toen gebruikten we al UTM op MSN.##, Start.## en andere grote websites doorheen de gloednieuwe Europese TLDs (en ook ICQ (uh-oh) advertenties) die de jongeren van vandaag niet meer herkent. Tracking van een individu was nooit interessant voor de adverteerders, maar wel voor de staat. Adverteerders wouden gewoon een SQL cube dat 24u nodig had voor een week aan advertentie (Lang geleden)

[Reactie gewijzigd door Guru Evi op 22 juli 2024 21:58]

StefanJanssen @SilentDecode • 6 februari 2024 15:08

Ghostery blokkeert alleen de consent banner toch? Bij een juiste implementatie zou je de website dan niet kunnen gebruiken (of zonder cookies). Meestal is dit niet het geval en worden er dus gewoon cookies geplaatst.

Zelf gebruik ik: Consent-O-Matic
Hiermee kun je zelf aangeven welke dingen je wel en niet toelaat en dan zal de extensie voor jou op die toggles klikken in de achtergrond. Werkt heel goed.

Oon

@SilentDecode • 6 februari 2024 15:12

Ik zou ver wegblijven van Ghostery:

quote: https://en.wikipedia.org/wiki/Ghostery
Since July 2018, with version 8.2, Ghostery shows advertisements of its own to users.

Bedrijven die denken dat dat soort shit acceptabel is moet je mijden, gewoon lekker uBlock Origin gebruiken.

MueR Admin Discord @Oon • 6 februari 2024 17:14

Since July 2018, with version 8.2, Ghostery shows advertisements of its own to users. Burda claims that the advertisements do not send personal data back to their servers and that they do not create a personal profile. This was a program call Ghostery Rewards and has been discontinued.

Doe dan ook even de volledige alinea om aan te geven dat Ghostery Rewards al lang de nek om is gedraaid.

Oon

@MueR • 7 februari 2024 07:15

Dat is alleen totaal niet relevant voor mijn punt. Een bedrijf dat een adblocker maakt en zoiets bedenkt is niet te vertrouwen. Is gewoon dezelfde reden als dat Brave en AdBlock Plus niet te vertrouwen zijn.

En wat mij betreft hoeft het ook niet goed gepraat te worden zodat je Ghostery kunt gebruiken, want Ghostery doet niks dat uBlock Origin niet kan

winkbrace @Oon • 7 februari 2024 07:19

Nee, dat is stemmingmakerij door bewust een halve waarheid te vertellen.

w-jv 6 februari 2024 16:31

draai het nou eens om.
zet standaard 'alleen functionele cookies' aan, en als je dan de rest ook wil, kun je die ergens aanvinken.
(zonder pop-up ellende)
scheelt zoveel wegklikken.
te logisch? ik weet het.

eborn @w-jv • 6 februari 2024 17:29

Maar het punt is dat 99.9% van de gebruikers die rest niet wil. De niet-functionele cookies zijn eigenlijk enkel van belang voor de eigenaar van de website of de grote partijen die graag van iedereen zoveel mogelijk 'anonieme' informatie verzamelen.

Google Analytics valt momenteel nog onder een soort van gedoogconstructie. Maar de vraag is voor hoe lang nog. Het valt me vaak op dat een eigenaar van een website statistieken wil, om er vervolgens nooit iets mee te doen. Wij geven dit ook duidelijk aan bij (vooral kleinere) websites: weet je zeker dat je het nodig hebt?

JakkoFourEyes @eborn • 6 februari 2024 19:36

Maar het punt is dat 99.9% van de gebruikers die rest niet wil.

Dan is het toch juist goed dat het een opt-in is?

eborn @JakkoFourEyes • 7 februari 2024 12:47

Zeker, maar dan wordt het ook amper nog interessant voor aanbieders om hier tijd en geld in te investeren. Als niemand je tracking cookies accepteert (en waarom zou je?) dan ga je dus een duur systeem inrichten, terwijl zo'n systeem maar in een fractie van de gevallen aangesproken wordt. Statistische informatie is dan helemaal onbruikbaar, want met maar 0.1% van de gebruikers die hiervoor toestemming geeft kun je amper een goed beeld krijgen. Helemaal bij de kleinere websites.

Ik hoop dat uiteindelijk de doodsteek wordt voor het nutteloos verzamelen van gegevens, maar ik heb er een hard hoofd in.

JakkoFourEyes @eborn • 7 februari 2024 17:38

maar dan wordt het ook amper nog interessant voor aanbieders om hier tijd en geld in te investeren

Ik hoor alleen maar positieve dingen hierin

Erwin1967 @eborn • 6 februari 2024 22:48

Ik vond de statistieken altijd leuk om te zien dat je website (over mijn stamboom) bezocht werd door mensen uit de gehele wereld. Tegenwoordig is alles commercieel.

jesse! 6 februari 2024 15:01

Valt dit niet grotendeels te automatiseren?
Scriptje dat websites opent en kijkt of er bepaalde tracking cookies geplaatst worden.
Dat zou al niet mogen toch? Omdat er geen toestemming gegeven is.

Gros van de websites toont alleen een informatie banner over cookies en vraagt geen toestemming. Of "bij het gebruik van de website plaatsen wij cookies"
Maar voor je dat kan lezen zijn de cookies al geplaatst en je kan ze niet makkelijk weer verwijderen.

Luminair @jesse! • 6 februari 2024 15:04

Gros van de websites toont alleen een informatie banner over cookies en vraagt geen toestemming. Of "bij het gebruik van de website plaatsen wij cookies"

Die zie ik inderdaad ook af en toe, en het is best ironisch; want als je cookies niet gebruikt om mensen te tracken hoef je zo'n banner helemaal niet neer te zetten. Maar als ze dat wél doen, dan is een informatieve banner natuurlijk niet hetzelfde als consent geven.

jesse! @Luminair • 6 februari 2024 15:08

Ja, maar ze plaatsen vervolgens wel de tracking cookies.

StefanJanssen @jesse! • 6 februari 2024 15:08

Dat zal vast automatisch kunnen, aangezien men ook automatisch die banners kan aanklikken om alle permissies uit te zetten zoals bij Consent-O-Matic

CAPSLOCK2000

Privacy
Autoriteit Persoonsgegevens
Cookie

@jesse! • 6 februari 2024 17:14

Lijkt mij een goed plan, ik denk dat een hoop van die sites zelf niet eens beseffen dat ze fout zitten. Ze hebben hun leverancier om een banner gevraagd en die hebben ze gekregen, wat er op de achtergrond gebeurt weten de meeste mensen niet. Een simpele geautomatiseerde waarschuwingen zal een hoop mensen al aan het denken zetten en hun leverancier vragen om er eens naar te kijken.

Een hele hoop mensen zullen dat ook niet doen maar je moet ergens beginnen. Zolang deze wet zo massaal geschonden wordt is het ook niet realistisch dat de AP al die websites een boete gaat geven. Alles wat we kunnen doen om het makkelijker te maken voor iedereen die van goede wil is (de meerderheid) moeten we aangrijpen zodat de AP zich kan richten op de partijen die niet meewerken.

Het vinden van overtredingen is makkelijk, uitzoeken wie je moet aanschrijven zou wel eens het lastige deel kunnen zijn. Dan nog, ook al lukt dat maar bij een deel, dan kan het nog de moeite waard zijn. Iedere overtreding minder is winst.

Ed Vertijsment @jesse! • 7 februari 2024 09:19

Gros van de websites toont alleen een informatie banner over cookies en vraagt geen toestemming. Of "bij het gebruik van de website plaatsen wij cookies"
Maar voor je dat kan lezen zijn de cookies al geplaatst en je kan ze niet makkelijk weer verwijderen.

In bepaalde gevallen mag dit iirc, daar zitten dan voorwaarden aan.

Gulpen 6 februari 2024 15:08

Cookiebanners/toestemming zijn mijns inziens het grootste digitale gedrocht ooit door de politiek bedacht. Het is een naar compromis tussen 'een poging doen privacy te beschermen' en 'alles altijd een vrije keus te laten'. Liever zou ik nooit meer toestemming hoeven te geven, maar dat gewoon goede wettelijke privacybescherming geregeld is.

Het zou b.v. beter zijn als data-vergarende bedrijven een actieve informatieplicht zouden hebben. Als je weet hoeveel data continu doorverkocht wordt, heeft eigenlijk niemand ook maar enig idee wie / waar / hoeveel informatie over je heeft verzameld - en je kunt praktisch weinig tot niets doen om daar ooit achter te komen. Liever ontvang ik elk jaar op 1 januari een e-mail van elk bedrijf dat ooit (tot personen herleidbare) informatie over mij heeft verzameld. Dan kan ik ze meteen per ommegaande laten weten of ze het moeten vernietigen. Bezit je privé data zonder een gebruiker daar over te informeren? Dan is dat wat mij betreft even strafbaar als het bezit van kinderporno. Vind je dat te ver gaan? Sta dan even stil bij hoe waardevol al dit soort persoonlijke data nu al is, laat staan in een toekomstige wereld vol AI.

[Reactie gewijzigd door Gulpen op 22 juli 2024 21:58]

R4gnax

Cookie
Autoriteit Persoonsgegevens
Privacy

@Gulpen • 7 februari 2024 01:01

Het zou b.v. beter zijn als data-vergarende bedrijven een actieve informatieplicht zouden hebben.

Hebben ze ook. Artikel 13 en 14 van de AVG/GDPR. Lees maar na.
Iedere ontvanger van jouw gegevens, of ze nou direct opgevraagd zijn bij jou of verkregen zijn via een derde, is verplicht ten laatste op het moment voordat ze beginnen deze gegevens actief te verwerken jou in te lichten over hun identiteit, welke gegevens ze van je hebben, wat ze er mee van plan zijn, voor hoe lang, etc. etc. alsmede dat je een recht van bezwaar hebt om die verwerking tegen te houden en informatie over hoe je dat recht uit kunt oefenen.

Alleen houdt bijna geen enkel commercieel bedrijf zich er aan.
Het ontbreekt aan daadkrachtige handhaving die doorpakt en aan afdoende afschrikkende represailles.

[Reactie gewijzigd door R4gnax op 22 juli 2024 21:58]

Gulpen @R4gnax • 8 februari 2024 02:11

Interessant

memphis 6 februari 2024 15:12

Zo zijn er sites die:
1) alleen een accepteren vinkje kennen
2) een akkoord of 2 (of zelfs meer) klikken verder een heel submenu met wat je niet wilt
3) direct op het op het 1e venster een lijst aan wat je wel en niet wilt met wel 1 button om alles goed te keuren maar geen button om alles te negeren
4) bij het niet accepteren voor bv het weergeven van media je alsnog cookies moet toestaan
5) een duidelijke JA of NEE klikbaar

Het mag duidelijk zijn dat het afwijzen van cookies zo lastig mogelijk gemaakt wordt dat je maar gewoon akkoord gaat. En ook al klik je alles uit staat Ghostery nog steeds volop te bliepen. Maar weinig sites die het echt normaal doen.
En er is ook een gevaar met maar op alles akkoord klikken want een melding "wil je dit virus installeren" zal net zo snel een akkoord krijgen. Als je tegen cookies bent lijkt het mij dat je dat de browser moet kunnen vertellen en die dat dan bij alle sites voor je verder regelt.

moonlander 6 februari 2024 15:04

Misschien moeten ze eens onderzoeken na het nut van die cookiebanners. Want iedereen klikt op "Accepteer alles". Zelfs mensen die wel privacy bewust zijn zie ik klikken op die "Accepteer alle" knoppen. Echt een handje vol mensen die weigert.

[Reactie gewijzigd door moonlander op 22 juli 2024 21:58]

Quintiemero @moonlander • 6 februari 2024 15:22

Dat is precies het punt. Bij goede banners met ook een knop alles weigeren, zonder verdere dark patterns, zul je zien dat de meeste mensen de cookies niet meer accepteren. Zo zijn er meerdere organisaties die, na een compliant cookiebanner te hebben gebruikt, een dusdanige terugkeer zagen dat ze maar zijn gestopt met de tracking cookies.

Forte @moonlander • 6 februari 2024 15:28

Ik ben verantwoordelijk voor een website met gemiddeld 500k bezoekers per dag. Ongeveer 20% weigert de cookies. Minder dan 1% wijzigt zelf de instellingen tussen wel/niet marketing, voorkeuren en statistiek. Er is dus best een grote groep die ze weigert, maar het gros accepteert ze gewoon. Kijkend naar de gemiddelde interactietijden is dat echt milliseconden, dus men leest het ook niet.

FreezeXJ @Forte • 6 februari 2024 15:40

Tuurlijk lees je dat niet, er staat niks nuttigs in, je weet al lang welke keuze je default maakt, en ik kom niet op een site voor de cookies, reclame of andere aanbiedingen, ik kom voor content, en wil zo snel mogelijk klaar zijn met alle troep die me weerhoudt van die content. Daarnaast wil ik niet overal X-duizend vinkjes moeten zetten, dus ik kies waar mogelijk voor 'block alle shit', en als die optie er niet zit, dan is de site ook snel weg. Vaak met een clickje op 'behind-the-overlay', want cookies krijg ik toch wel, first-party kan/mag ik toch niet blocken.
Gewoon om de zoveel tijd de boel weggooien werkt beter, en ik neem even aan dat ik toch gevolgd word zonder koekjes op basis van browser/host/IP profiling.

cornedor @Forte • 6 februari 2024 15:56

Heeft jullie cookie melding een optie om te weigeren die de zelfde opmaak en kleur heeft als de optie om te accepteren?

Forte @cornedor • 6 februari 2024 16:04

Wij gebruiken de implementatie van Cookiebot en ziet er als deze uit (wel met eigen branding dan). Dit is gekoppeld aan Google Tag Manager en Consent Mode om alle tags wel/niet te laden.

ShadLink @Forte • 6 februari 2024 16:30

De weigeren en aanpassen knoppen moeten dezelfde kleur als de accepteren knop hebben. In dat voorbeeld is het nog steeds een Dark Pattern.

Forte @ShadLink • 6 februari 2024 16:44

Dat is niet wat de EU wetgeving zegt, Cookiebot is volledig GDPR compliant volgens de nu geldende EU wetgeving. Dat het een dark pattern is of kan zijn laat ik even in het midden. Met een website van dit formaat willen we geen verrassingen en hebben we dus gekozen voor een tool die zelf Europees is, voldoet aan de EU wetgeving, actief meedoet aan de discussies erover en door meerdere grotere EU partijen wordt gebruikt.

aikebah @ShadLink • 7 februari 2024 10:10

Die hoeven echt niet gelijke kleur te hebben, maar de layout zoals die daar staat is wel een dark-pattern om andere reden: de radiobuttons van de opt-ins staan uit, maar de gehighlite knop zet ze alsnog aan.
Opt-out sliders er uit weg en pas tonen bij een 'allow selection' keuze, of 'allow selection' keuze highliten alszijnde 'deze knop komt overeen met de button status die je nu in beeld ziet'

Guru Evi @cornedor • 6 februari 2024 16:36

Je wilt vooral niet dezelfde opmaak en kleur voor accepteren en weigeren.

Het probleem is dat volgens de wetgeving, als je niet alles wilt aanvaarden, moet je een keuze kunnen geven van wat je wel aanvaardt en ook duidelijk maken wat verplicht is, want bepaalde dingen zijn nu eenmaal niet mogelijk (zoals mijn paswoord herinneren) zonder cookies of localstorage.

Daarnaast geldt dezelfde wetgeving niet overal, in de meeste landen heb je geen cookiewetgeving, dus sites moeten zich er niet aan houden, en in andere landen zoals California in de VS hebben ze een andere cookiewetgeving dus moeten zij zich aan een ander model houden.

Quintiemero @Forte • 6 februari 2024 17:32

En waarschijnlijk kost het bij jullie meer moeite om te weigeren dan om te accepteren.

Ed Vertijsment @Forte • 7 februari 2024 09:22

Interessant, kan je delen wat voor categorie website het is?

Erwin1967 @moonlander • 6 februari 2024 22:46

Het probleem is door de overheid zelf gecreëerd. In het kader van bewustwording worden gebruikers opgezadeld met gedrochten om cookies te accepteren. En om het nog vervelender te maken worden nu extra zaken bedacht zodat gebruikers nog meer geïrriteerd raken. Iedereen weet dat alles wordt vastgelegd en gevolgd. Kijk maar eens hoeveel linkjes worden geraadpleegd door bv de hoofdpagina van Tweakers. Het is werkelijk bizar. Iedereen weet dat dit gebeurt, iedereen klikt op Accept all, dus waarom mensen nog lastigvallen met een zinloos vinkje?

GameNympho 6 februari 2024 15:11

Persoonlijk wil ik wel weten of die cookies nodig zijn? Wat is de achterliggende reden en is die te onderbouwen?
Waarom wordt toch G Analytics toegepast?
Alles in naam van?

Forte @GameNympho • 6 februari 2024 15:33

Meten = weten. Als je bijvoorbeeld een webshop runt en je ziet dat je 500 bezoekers hebt en maar slechts 5 bestellingen doet, dan weet je dat je aan de bak moet om dat percentage te verbeteren. Zonder data is het moeilijk om een goede website te draaien. Er zijn genoeg Analytics alternatieven die meer privacyvriendelijk zijn dan Google, maar die vragen best aanzienlijke bedragen en voor veel websites is dat dus niet rendabel.

cornedor @Forte • 6 februari 2024 15:57

Daarnaast wordt het ook veel gebruikt om te zien of advertenties wel rendabel zijn. Als jij heel veel geld in een advertentie stopt, maar bijna niemand koopt uiteindelijk wat, dan heeft die advertentie geen nut. Werkt een andere advertentie wel goed, dan weet je dat je daar "goed" bezig bent.

JakkoFourEyes @cornedor • 6 februari 2024 19:44

Click through rate heeft toch niet per se te maken met cookies? Als jouw click through rate hoog is, maar het aantal bestellingen laag, heb je je antwoord ook toch?

JakkoFourEyes @Forte • 6 februari 2024 19:41

Als je bijvoorbeeld een webshop runt en je ziet dat je 500 bezoekers hebt en maar slechts 5 bestellingen doet, dan weet je dat je aan de bak moet om dat percentage te verbeteren.

Maar daar heb je toch geen tracking cookies voor nodig? Dat zou je best kunnen meten aan de hand van de access logs en sessies.

Forte @JakkoFourEyes • 6 februari 2024 22:15

Klopt, op meerdere manieren is dit te meten. Google Analytics is de "gratis" industriestandaard voor dit soort data analyses en wordt daarom snel in een website gegooid, simpelweg omdat het ook gewoon erg goed in elkaar zit. Zelf een analytics systeem bouwen valt vaak niet in de scope van een project omdat dit best data en arbeids intensief kan zijn. Alternatieven tot Google Analytics zijn vaak prijzig omdat je niet "betaald" met de data.

Zeker mee eens dat Google Analytics wat minder snel in elke website gegooid zou moeten worden. Maar vrees dat er eerst een goed, gratis en privacyvriendelijk alternatief moet komen.

StefanJanssen @GameNympho • 6 februari 2024 15:33

Cookies waarvoor toestemming gevraagd wordt zijn niet nodig. Cookies die gebruikt worden voor je winkelwagentje bijvoorbeeld kun je gewoon gebruiken als website zonder toestemming te hoeven krijgen

Forte @StefanJanssen • 6 februari 2024 15:40

Hier wringt de schoen ook vaak wat mij betreft. Men gooit in dit soort nieuws vaak alle cookies op een hoop, terwijl een groot deel van de cookies simpelweg de werkzaamheid van een website of app mogelijk maken. Niet elke cookie is kwaadaardig en niet elke cookie is er dus op uit om jou te volgen en oneindig van spam te voorzien.

caphex 6 februari 2024 15:02

Ik vraag me toch werkelijk af wat de gemiddelde gebruiker überhaupt vindt van die cookiebanner. Volgens mij vindt het grootste deel het alleen maar lastig en klikt daarbij het sowieso gewoon zo snel mogelijk 'weg' met de vaak grote knop 'accepteer alles'.

StefanJanssen @caphex • 6 februari 2024 15:10

En elke implementatie waarbij de "Accepteer alles" veel duidelijker is dan de "Weiger alles" optie is in overtreding.

Haribo112 @StefanJanssen • 6 februari 2024 15:29

Mijn favoriet is altijd nog "Everyone's the acceptor" , een of andere slechte automatische vertaling. Kwam ik zelfs tegen op de site van HP Enterprise.

SambalBij @caphex • 6 februari 2024 15:27

Dat gebeurt inderdaad. En daar gaat de AP nu hopelijk eens tegen optreden. De knop 'accepteer niks' moet net zo duidelijk en makkelijk te klikken zijn als de knop 'accepteer alles'

Dus niet een grote knop 'accepteer alles' en een klein knopje 'instellingen' waarna je 1000 schuifjes per stuk moet uitzetten om de cookies per afzonderlijke tracking-hufter te kunnen uitzetten.

JurGor @caphex • 6 februari 2024 16:25

Precies dit. Het zijn irritante banners, precies net zo irritant als reclamebanners, dus de snelst mogelijke manier om er vanaf te komen is de manier waarop het gaat.

Daarom moet dit niet via stomme banners gaan, maar ingebakken zijn in de browser. Maak de browser AVG proof, dan zijn de websites AVG proof zonder stomme banners.

Luminair 6 februari 2024 15:05

Persoonlijk zou ik van het AP wel willen weten of ze nu wel of niet Google Analytics als illegaal gaan verklaren. Ik heb er een hekel aan dat veel cliënten dat willen implementeren, en zou graag een brede, "Nee" kunnen zeggen op die verzoeken.

Op dit item kan niet meer gereageerd worden.

Autoriteit Persoonsgegevens gaat in 2024 vaker controleren op cookiebanners

Lees meer

Over boetes aan burgers en burgemeesters

IT-banen

Reacties (92)

Sorteer op:

Weergave: