Grote bedrijven zijn creatief in omzeilen van privacywet GDPR

14 juni 2018, 06:00

Chaos in cookie-oplossingen: veel bekende websites niet AVG-proof

Veel grote bedrijven houden zich volstrekt niet aan de net ingevoerde Europese privacywet GDPR. En dat terwijl minister Dekker juist van die grote organisaties zegt te verwachten dat zij helemaal conform de AVG opereren. Een rondgang langs de nodige belangrijke websites leert dat bedrijven vaak heel creatieve oplossingen bedenken, met name via de cookie-melding. Veel websites overtreden daarmee de wet, zeker als ze bezoekers niet toelaten zonder akkoord om cookies te kunnen plaatsen.

Vrijdag 25 mei was er grote paniek. Vanaf die dag moet iedereen aan de de Algemene Verordening Gegevensbescherming (AVG) voldoen. Onder deze Europese privacywet moeten bedrijven veel meer toestemming vragen aan consumenten. Pas na toestemming mogen zij hun data commercieel inzetten. Van plaatselijke amateurvereniging tot bank en van sociaal netwerk tot zoekmachine. Niemand ontkomt aan de GDPR, zoals de AVG in het buitenland heet. Alles wat te maken heeft met het tracken en tracen van mensen, het opnemen van mensen in lijsten, het gebruik van remarketing valt onder die privacy wetgeving. Last minute werd naar alle abonnees nog een groot aantal mails gestuurd met betrekking tot vernieuwde privacy verklaringen.

Grote partijen als eerste in beeld bij handhaving

Minister Sander Dekker van Rechtsbescherming heeft in een interview met NOS aangegeven dat kleine organisaties niet direct bang hoeven te zijn voor de AVG. Volgens hem zal de Autoriteit Persoonsgegevens niet direct boetes uitdelen. Hoewel hij wil dat de Autoriteit Persoonsgegevens goed toeziet op naleving van de wet, moet er ook schappelijk mee omgegaan worden. Minister Dekker geeft wel aan dat kleine organisaties moeten laten zien dat zij zich met de nieuwe privacywet bezighouden: “Gegevens mogen niet in de verkeerde handen vallen.”

“Als grote bedrijven er met de pet naar gooien, dan hebben ze een probleem”

Van grote organisaties verwacht de minister wel dat ze helemaal conform de AVG zijn. “Als grote bedrijven er met de pet naar gooien en jouw of mijn gegevens op straat liggen, dan heb je echt een probleem.” Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, sluit zich bij de woorden van de minister aan. Hoewel de maatregelen minder zwaar worden toegepast dan aangekondigd, geeft hij in diverse interviews wel aan dat de grote partijen als eerste aan de beurt komen bij handhaving. Maar hoe hebben de grote partijen het sinds het ingaan van de AVG opgepakt?

Hoe grote websites de AVG/GDPR schenden

Grote bedrijven zijn erg creatief in het omzeilen van de AVG/GDPR-wetgeving. Zo zijn er bedrijven die een niet functionele website serveren wanneer je niet akkoord wilt gaan met de cookies die zij plaatsen. Dit is uitdrukkelijk verboden. Websites moeten altijd blijven werken, ook al deel je niets. Als je vervolgens denkt dit te omzeilen door op ‘lees meer’ te klikken plaatsen zij cookies. Ook zijn er bedrijven die op hun website wel een uitleg over cookies geven, maar geen mogelijkheid tot uitschrijven aanbieden. Daarbij is het vaak onmogelijk om de website te bekijken als je niet akkoord gaat.

Een ander goed voorbeeld is het alleen aanbieden van opt-in. Wil je dat niet? Dan heb je pech. Daarnaast zijn er bepaalde websites waarbij het onmogelijk is om cookies in de cookiemelding uit te schakelen. Dit kan dan bijvoorbeeld alleen binnen je webbrowser. Heb je de cookies eenmaal verwijderd? In veel gevallen worden er dan alsnog een groot aantal cookies ingeladen. Voorbeelden hiervan zijn Doubleclick, Facebook, hs-analytics en hs-script.

“Geef je geen akkoord? Facebook plaatst alsnog cookies”

Tot slot zijn er ook een aantal websites die alleen de mogelijkheid tot akkoord geven aanbieden. Je hebt in zulke gevallen geen enkele mogelijkheid tot ‘niet akkoord’. Ook dit is in strijd met de AVG/GDPR-wetgeving.

Techreuzen uit Amerika onder vuur

Tot slot zijn er nog de techreuzen uit Amerika: Google en Facebook. Beiden werden op 25 mei direct aangeklaagd door de Oostenrijkse privacy-activist Max Schrems. Volgens hem schenden beide techgiganten de AVG/GDPR-privacywet.

Google en YouTube geven een mededeling en lijken alleen cookies te plaatsen ten behoeve van de toestemming van de websitebezoeker. Als je de ‘Lees meer’-knop gebruikt kan je wel je cookie-instellingen aanpassen. Dit kost wel veel moeite. In de AVG/GDPR staat duidelijk omschreven dat het geven en intrekken van toestemming net zo makkelijk moet zijn. Bekijk hier een voorbeeld.

Bij Facebook lijkt de mededeling niet helemaal juist. Geef je geen akkoord? Ze plaatsen alsnog cookies. Dit lijken functionele én marketing-cookies te zijn.

Netste jongetjes van de klas: AVG-proof websites

Natuurlijk zijn er ook grote partijen die hun website wél AVG/GDPR-proof hebben gemaakt. Marketingblog Frankwatching gaat hierin heel ver. Standaard staan alle cookies uitgevinkt, op de noodzakelijk na. Ook de Consumentenbond en NS hebben de wetgeving goed begrepen. Zij geven de websitebezoeker namelijk de mogelijkheid om ‘niet akkoord’ te gaan met cookies.

“Consumentenbond en NS hebben de privacywet goed begrepen”

De NPO en ING hebben hun website redelijk goed AVG-proof gemaakt. Op de website van de NPO kun je met behulp van een knop namelijk de cookie-instellingen aanpassen. Vervolgens krijg je genoeg informatie om een goede beslissing te nemen. ING vraagt haar websitebezoekers na de eerste pagina of zij een cookie mogen plaatsen. De bezoeker kan dit vervolgens op drie niveaus inregelen: compleet, basis en functioneel. Dit geldt ook voor ABN Amro. Al tonen zij de cookiemelding direct op de eerste pagina.

Conclusie: veel werk aan de winkel

De conclusie na een aantal dagen AVG? Grote bedrijven zijn erg creatief in het omzeilen van de Europese privacywet. Ze gebruiken een cookiewall terwijl dit specifiek door de AVG verboden is. Zelfs als je van mening bent dat de ePrivacy-wetgeving hier later pas antwoord op geeft. AVG/GDPR wijst erop dat mensen de website moeten kunnen bezoeken, ook al hebben ze geen akkoord gegeven voor de opslag van gegevens. Alle functies van een website moeten namelijk werken zoals het hoort.

Verder moet het voor een gebruiker net zo makkelijk zijn om toestemming en géén toestemming voor cookies te geven. Ook hier gaan grote websites de mist in. In deze gevallen laten zij de gebruiker bewust zwemmen om de privacy-instellingen naar hun wens aan te laten passen.

Christian Rietbroek is sinds mei 2018 werkzaam als SEO Consultant bij Online Marketing Bureau Stramark. Hier helpt hij bedrijven om beter gevonden te worden in de zoekmachines. Daarvoor volgde hij de opleiding Communicatie aan de Hogeschool van Rotterdam. Hij heeft door de jaren heen veel ervaring opgedaan in het optimaliseren van websites. Naast SEO heeft Christian ook veel interesse in copywriting, online beveiliging, technologie en privacy.

Categorie
Tags

6 Reacties

    Charlotte

    Ironisch dat precies deze website een verboden cookiewall heeft en jou niet de mogelijkheid biedt de website zonder cookies te bezoeken.


    14 juni 2018 om 10:54
    Loek

    Inderdaad @charlotte. Dat viel me ook direct op bij het openen van marketingfacts.nl!


    14 juni 2018 om 11:12
    Annelies

    @Charlotte @ Loek

    Eens, maar wat is het alternatief?

    Voor veel publishers is dat er niet, dus ik snap wel dat ze de cookiemuren zo lang mogelijk in stand houden.

    Wil je niet gepersonaliseerde advertenties? Die leveren veel te weinig op.

    Wil je gaan betalen om artikelen te lezen? Niet veel mensen willen dit.

    Wil je dat de sites stoppen?


    14 juni 2018 om 12:48
    François Ruiter

    Het was mij ook opgevallen. Ik snap wel dat iedereen graag cookies wil gebruiken, maar door geen opties te geven, zoals deze site, creëer je meer negatieve gevoelens dan positieve…

    Geef de optie om te kiezen welke cookies je wel en niet wilt, dan maakt het al een stuk vriendelijker. Met eenvoudige tooling is dit snel te realiseren.

    Door transparant te zijn en opties te bieden, haal je klanten/gebruikers eerder over om te accepteren, denk ik zelf.


    14 juni 2018 om 15:10
    Annelies

    @François Ruiter

    Eens dat de optie om te kiezen vriendelijker is, en Frankwatching heeft er een mooi open artikel over geschreven.

    Maar daar staat ook in dat het aantal mensen dat toestemming geeft extreem laag is.

    En dat hun business nauwelijks afhankelijk is van de markt van tracking, pixels en profiling.

    Voor veel publishers geldt dat niet.


    14 juni 2018 om 20:04
    jeroenmirck

    Beste Charlotte en Loek, dank voor jullie feedback.

    Wij kijken onze instellingen er nog eens even goed op na.


    14 juni 2018 om 21:28

Marketingfacts. Elke dag vers. Mis niks!