Menu

De vaakst voorkomende inbreuken op de cookiewetgeving

Zowat elke website vandaag gebruikt cookies. Veelal is dat voor marketingdoeleinden, maar even vaak gaat het om meer onschuldige redenen, zoals bijvoorbeeld de praktische bruikbaarheid van een website garanderen. Het probleem met het gebruik van cookies is dat in een meerderheid van de gevallen de geldende wetgeving niet nageleefd wordt.

14-12-2020 - door Bart Van den Brande

Een studie van de Universiteit van de Cote d’Azur en de Universiteit van Minho uit 2019 toonde aan dat maar liefst 54% van de door hen onderzochte websites een inbreuk begaan op de Europese cookie- en privacyregelgeving.Iets meer dan de helft mag misschien nog een voorzichtig positief resultaat zijn, maar dat is zonder rekening te houden met het feit dat alle onderzochte websites gebruikmaakten van tools die menen volledig in overeenstemming te zijn met de regels. Het ging over consent management tools die alle doen blijken het Transparency and Consent Framework (TCF) van het Interactve Advertising Bureau Europe te respecteren.2 IAB Europe is een Europese vereniging die opkomt voor de belangen van actoren actief in de digitale marketing en advertentiewereld. TCF is een standaard in de industrie voor rechtsgeldige cookiebanners. Dus als de helft van alle website en onlinedienstverleners die zegt in overeenstemming te zijn met de regelgeving, niet conform is, dan is het nog maar de vraag hoe het gesteld is met alle websites die dit niet doen uitschijnen.

De studie toonde een aantal van de meest gemaakte inbreuken aan: opt-out cookiebanners, registratie van een ‘toestemming’ voor effectief een keuze gemaakt werd, geen rekening houden met weigering, geen mogelijkheid tot intrekking van de keuze.

Maar liefst 46,5% van de inbreukmakende websites maakte gebruik van een optout cookiebanner. De keuzes voor cookies waren dus al vooraf aangeklikt. Sinds de bevestiging door het Europees Hof van Justitie (EHJ) in het Planet49-arrest kan er geen twijfel meer over bestaan dat opt-in de regel dient te zijn. De betrokkene moet dus steeds een actieve keuze maken. Zonder deze keuze kan er namelijk geen sprake zijn van een rechtsgeldige toestemming. Vervolgens sloeg 12% van de inbreukmakende websites een toestemming op zonder dat er een keuze was gemaakt, 7,7% hield geen rekening met de gemaakte keuze van de betrokkene en 6,8% bood geen mogelijkheid aan de betrokkene om zijn keuze in te trekken.

Daarnaast bestaan er nog een aantal inbreuken die niet in de studie aan bod kwamen, maar in de praktijk wel regelmatig voorkomen. Sommige websites plaatsen nog steeds cookiemuren waar toestemming wordt afgedwongen om toegang te krijgen tot de site. Dergelijke toestemming zal nooit rechtsgeldig zijn, aangezien er geen sprake kan zijn van een werkelijk vrije keuze. Een groot aantal websites plaatst cookiebanners die louter ter informatie dienen van de websitebezoeker. Vaak staat er een tekst in de zin van ‘door verder te surfen aanvaard je alle cookies’. Ook dergelijke wijze van werken kan niet tot een rechtsgeldige toestemming leiden.

Ten laatste is er nog de grijze zone van het zogenaamde ‘nudging’, ‘dark patterns’ en ‘persuasive design’. Dit zijn allemaal technieken die tot doel hebben de gebruiker te manipuleren en onbewust te leiden tot een gewenste activiteit. In het kader van cookies zal dit veeleer het geven van toestemming zijn. Er zijn al een aantal studies die de effectiviteit hiervan aangetoond hebben.Het zal telkens van de specifieke context afhangen of deze techniek al dan niet inbreuk maakt. Het is daarom nuttig om een aantal specifieke technieken kort te duiden.

Een voorbeeld van zulke manipulatie zijn de cookiebanners die in een binaire keuze voorzien: aanvaard alle cookies of kies zelf je cookies. De knop om te aanvaarden wordt vervolgens groot weergegeven en in een kleur gezet, de ‘knop’ om zelf je cookies te kiezen is slechts een kleinere aanklikbare regel tekst. Zo’n werkwijze zal allicht niet tot een werkelijke vrije toestemming kunnen leiden. De bezoeker wordt namelijk misleid door de cookiebanner, zijn aandacht wordt getrokken naar de knop om te aanvaarden, terwijl de keuze om cookies zelf in te stellen opzettelijk obscuur wordt gehouden.

Stel dat er nog steeds dezelfde binaire keuze is, maar beide knoppen worden op dezelfde wijze weergegeven. In dat geval heeft de betrokkene een duidelijke en vrije keuze om de cookies al dan niet te aanvaarden of zijn voorkeuren in te stellen. Het feit dat de keuze om specifieke cookies aan te duiden slechts beschikbaar wordt na een eerste keuze, doet hier geen afbreuk aan.

Meer informatie? Bekijk hier onze publicatie 'De cookieregelgeving voor overheden en bedrijven: handleiding'  

1. MATTE e.a., “Do Cookie Banners Respect my Choice?”.

2. Dit is hetzelfde protocol dat het Franse adtech bedrijf Vectaury beweerde te volgen voor hun sterke waarschuwing van de CNIL.

3. UTZ e.a., “(Un)informed Consent”; NOUWENS e.a., “Dark Patterns after the GDPR”.

 

Ook interessant