Europese Cookiebanner Taskforce moet cookie compliance coördineren

None of Your Business?

NOYB is de belangenorganisatie of drukkingsgroep van de Oostenrijker Max Schrems. Die laatste kennen we natuurlijk als de man die eigenhandig achtereenvolgens het Safe Harbour principe en -afgelopen zomer pas- het Privacy Shield onderuit haalde voor het Europees Hof van Justitie en daarmee een bom legde onder gegevensuitwisseling met de Verenigde Staten en dus met de werking van ons internet in het algemeen.

NOYB heeft de afgelopen jaren een reputatie opgebouwd als de pitbull van het privacyrecht.  Ze voeren actief campagne in gans Europa tegen het al genoemde Privacy Shield, tegen inbreuken op de cookiewetgeving, tegen het gebruik van tracking-ID’s op smartphones door partijen als Google, tegen het verplicht aanmaken van accounts om online goederen of diensten te kopen of te gebruiken, …  Hun acties bestaan uit petities en awareness, maar ook uit klachten bij verschillende gegevensbeschermingsautoriteiten en uit het voeren van rechtszaken en class actions in verschillende EU-lidstaten, ook in België. 

Europese webcrawler spoort cookie-inbreuken op

Afgelopen zomer heeft NOYB een project gelanceerd waarbij zij systematisch het internet afspeuren op zoek naar websites in de EU die inbreuken begaan op de (lokale) cookiewetgeving.  Vervolgens verzenden zij volledig geautomatiseerd klachten naar de bevoegde gegevensbeschermingautoriteiten.   

Veel speurwerk komt hier overigens niet aan te pas, aangezien ergens tussen 60 en 90% van de Europese websites niet voldoen aan de cookieregelgeving… In een eerste golf heeft NOYB deze zomer 560 klachten neergelegd, waaronder ook verschillende tegen Belgische bedrijven.  Ook enkele van onze eigen cliënten – die nog niet eerder cookieadvies aan ons gevraagd hadden – behoorden tot de “gelukkigen”.  Die eerste golf was een voorbode van een aangekondigde actie tegen minstens 10.000 websites in gans Europa in de loop van 2021 en 2022…

Europese Task Force

Het Europese Comité voor Gegevensbescherming (EDPB) is de overkoepelende toezichthouder die het werk van de verschillende nationale gegevensbeschermingsautoriteiten coördineert. Tijdens haar laatste maandelijkse plenaire vergadering heeft die EDPB nu beslist om een “cookiebanner-taskforce” op te richten specifiek om de klachten over cookiebanners die door NOYB zijn ingediend bij verschillende EU-autoriteiten voor gegevensbescherming bij te houden en te beantwoorden. De taskforce moet zorgen voor overleg en samenwerking tussen de lidstaten en het uitbouwen van best practices. In haar persbericht verwijst de EDPB expliciet naar de automatische scans en klachten van NOYB.

Zo’n actie is overigens meer dan welkom, aangezien het handhavingsbeleid én de toepasselijke regels erg uiteen blijven lopen tussen de verschillende lidstaten. Wie in Nederland bijvoorbeeld Google Analytics cookies gebruikt hoeft daarvoor geen toestemming te vragen en hoeft ook geen controles of boetes te vrezen. Wie diezelfde cookies zonder toestemming plaatst in België, Duitsland of Spanje, riskeert een boete van enkele duizenden euro’s. Die ongelijkheid en het concurrentienadeel dat eraan vast hangt voor Belgische online ondernemers heeft Sirius Legal het voorbije jaar overigens op vraag van de ganse Belgische digitale industrie uitgebreid aangekaart bij zowel de Gegevensbeschermingsautoriteit als bij het kabinet van de Staatssecretaris voor digitalisering. Je kan hier meer over lezen in het artikel “Digitale Sector unisono in overleg met de GBA: Analytics cookies zonder voorafgaande opt-in zijn een noodzaak”.

Is jouw website cookie compliant?

De basisregel als het gaat om het gebruik van cookies of andere online trackers is overigens erg simpel: je hebt altijd voorafgaande toestemming nodig van de bezoeker op je website alvorens je mag overgaan tot het plaatsen van een cookie of een andere tracker op zijn of haar device of voordat je mag overgaan tot het opvragen of uitlezen van data uit zijn of haar device (bvb op basis van server side tracking, fingerprints of op welke wijze dan ook…).

Heel vaak stellen we vast dat bedrijven zelf geen weet hebben van of geen controle hebben over de cookies, fingerprints of andere trackers op hun website. Derde partijen zoals social mediaplatformen plaatsen vaak ongevraagd cookies via jouw website, en bedrijven weten vaak niet welke data ermee verzameld wordt, waarvoor die data gebruikt wordt, met wie ze gedeeld worden, etc.  Zonder antwoorden op deze vragen kan je als bedrijf niet de nodige transparantie geven aan de bezoekers op je website.

Ook technisch loopt er vaak iets fout. Het is voor heel wat bedrijven erg moeilijk om door het bos van de talloze Cookie consent management platformen de bomen nog te zien en een juiste keuze te maken voor de ene of de andere tool.

Precies om deze oefening te doorlopen, samen met een volledige technische audit van de gebruikte cookies op je website, heeft Sirius Legal, samen met digital performance marketing agency Grava een gezamenlijke “cookiescan” uitgewerkt, waarbij we je website zowel technisch als juridisch doorlichten én optimaliseren.