Meerderheid websites overtreedt privacywet

Sinds 25 mei moeten alle organisaties voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De AVG is strenger dan de vorige privacywet waar verschillende bedrijven al moeite mee hadden. Wij constateerden een half jaar geleden dat 2 op de 3 websites de coockiewet overtreden. Ze plaatsten tracking cookies (en pixels) zonder toestemming van de bezoeker, dus voordat je op 'cookies akkoord' hebt geklikt. 

Update: veel verbeteringen door bedrijven

Voordat je verder leest: veel bedrijven hebben na onze publicatie verbeteringen doorgevoerd. Dit is er gebeurd sinds onze publicatie:

• ABN AMRO heeft laten weten dat het bij bezoek aan de website weliswaar direct de Doubleclick-cookie installeerde, maar dat activatie pas volgde na toestemming. De bank heeft desondanks besloten de Doubleclick-cookie niet meer te plaatsen voordat de klant hier expliciet toestemming voor heeft gegeven. Dit is inmiddels aangepast.
• ANWB.nl en Pharosreizen.nl plaatsten een DoubleClick-cookie voordat je akkoord had gegeven. Die is inmiddels verwijderd. Ook de privacy-instellingen in Google Analytics zijn aangepast. ANWB en Pharosreizen voldoen nu naar eigen zeggen alsnog aan alle wettelijke regels omtrent AVG.
• Dumpert.nl heeft na ons onderzoek de plaatsing van de DoubleClick-cookie aangepast. Deze komt pas binnen na het accepteren van de cookies.
• Wehkamp plaatst niet meer direct de DoubleClick-cookie, maar wacht tot je de OK-knop indrukt. Wehkamp.nl plaatst ook een tracker van Optimizely. Maar inmiddels categoriseren we deze als een ‘analytische cookie’ waarvoor geen toestemming van de bezoeker nodig is. Zie meer uitleg onder het kopje ‘Update 14 juni’. 
• Afterpay.nl heeft na ons onderzoek het plaatsen van tracking cookies aangepast. Je bepaalt nu zelf voor welke soorten cookies je akkoord geeft.
• Kpn.nl, XS4All, Nle.nl en Zara.nl plaatsten een trackingcookie van Optimizely vóór de bezoeker kon instemmen. Inmiddels is duidelijk dat Optimizely ook voor analytische doeleinden gebruikt kan worden. Daarmee is het plaatsen van de cookie zonder toestemming mogelijk niet illegaal. In onze lijst met alle 150 websites (pdf) melden wij nu dat de betrokken websites niet 1 maar 0 commerciele trackers plaatsen vóór de bezoekers kan instemmen met de cookiemelding. KPN en XS4All worden daarmee alsnog 'AVG proof' op de onderzochte punten. 
• XS4ALL heeft de cookiemelding aangepast zodat je nu kunt kiezen tussen ‘akkoord’ en ‘niet akkoord’. 
• Bax-shop.nl: na onze meting op 27 mei is er een nieuw cookievenster, meldt de webshopbeheerder. En dat klopt. Via de link ‘Instellingen’ in de cookiebanner kun je nu trackercategorieen aan en uitvinken.
• ah.nl en Bol.com hebben laten weten dat bol.com wel degelijk een keuze aan te bieden om marketingcookies te weigeren. Dit klopt - al is de optie wat verstopt. Dit hebben we bij beide websites in onze lijst met alle 150 websites (pdf). gecorrigeerd.
• Knab.nl laat weten dat de persoonlijke bankieromgeving vrij is van commerciële cookies, en dat de commerciële cookie op de publieke pagina’s een onbedoeld effect was van hun technische oplossing. Deze cookie is inmiddels verwijderd.
• Nos.nl zegt de aangetroffen trackingcookie (Scorecard) alleen voor analysedoeleinden te gebruiken, geanonimiseerd. 

Illegale cookies

Enkele dagen ná het ingaan van de AVG zien we dat 49% van de websites (74 van de 150) direct marketing- en/of advertentiecookies plaatst als je de site opent. Dus zonder dat je toestemming hebt gegeven. De sites tonen bezoekers meestal een cookievenster met een OK-knop maar ze hebben de cookies dan al geplaatst. Deze praktijk was al illegaal volgens de vorige cookiewet en is dat nog steeds.

Met een adblocker kun je je weren tegen het plaatsen van cookies. Die blokkeert de meeste volgcookies (en Facebook pixels).  

Bij 19 van de 150 sites gaat het zelfs om 5 commerciële trackers of meer: 

Benieuwd hoe de andere websites scoren? Lees de complete lijst van 150 onderzochte websites (pdf).

Techreuzen

De meestgeplaatste trackers zijn van de advertentienetwerken van Google en Facebook. Die techreuzen weten hierdoor precies welke webpagina’s jij bezoekt. Datingsite OkCupid.com meldt direct en zonder toestemming aan onder meer Facebook dat je aan daten doet. Dat is voor Facebook commercieel interessante (maar wel gevoelige) informatie. 

Onze selectie van 150 sites bestond uit populaire websites en sites die gevoelige informatie verwerken. Bijvoorbeeld over je gezondheid of over dating. Het zijn vooral webwinkels die relatief vaak grote ladingen cookies zonder toestemming plaatsen. 

Slechts 31% voldoet aan AVG

De AVG breidt de privacybescherming van consumenten verder uit. Volgens de nieuwe privacywet (AVG) mag een website alleen tracking cookies op jouw apparaat plaatsen als jij daar toestemming voor geeft. En aan die toestemming zijn duidelijke eisen verbonden. Zo moet jij die toestemming vrijelijk, ondubbelzinnig, geïnformeerd en specifiek kunnen geven. Dit betekent een aantal dingen:

• Een cookiemuur die de hele site blokkeert tot je akkoord geeft is niet langer toegestaan.
• Je moet akkoord kunnen gaan met verschillende typen cookies (als die geplaatst worden) en die keuze moet duidelijk gecommuniceerd worden.
• Dat akkoord moet altijd een optie zijn die je zelf moet aanvinken (opt-in) zijn.
• Je moet je akkoord ook weer kunnen intrekken en dat per cookie of categorie cookies.

Leggen we de 150 onderzochte websites langs de AVG-meetlat, dan voldoet slechts 31% aan de belangrijkste regels. Tracking cookies worden niet (ongevraagd) geplaatst én er is een goed gecommuniceerde cookiekeuze. Je kunt als bezoeker de commerciële trackers weigeren (en toch de site opgaan). 

Weigeroptie verstopt

Een aantal sites heeft wel een optie om de commerciële cookies te weigeren, maar daar is de optie meestal verstopt achter een ‘meer informatie’ link: BVA-Auctions.com, Cameranu.nl, Coolblue.nl, Dominos.nl, Expedia.nl, Icscards.nl, Knab.nl, Lexa.nl. NLziet.nl, Nespresso.nl, XS4ALL.nl. 

Slikken of stikken

26 sites (17%) plaatsen vooraf geen trackingcookies, maar maken trackingcookies onontkoombaar omdat je álle cookies moet accepteren. Het is slikken of stikken en ook dat is niet AVG-proof. Het gaat onder andere om Ah.nl, bol.com, Buienradar.nl, Conrad.nl, Funda.nl, Hema.nl, Ikea.nl, Marktplaats.nl, Rtlnieuws.nl, Telegraaf.nl, Ticketmaster.nl, Videoland.nl, Volkskrant.nl, weeronline.nl. Zij plaatsen na je akkoord voor alle cookies (één keuze) alle trackers. 

Heldere cookiekeuze

Sommige websites bieden wel een heldere cookiekeuze, zonder dat je geleid wordt naar een Akkoord-knop en zonder dat standaard al ‘alle cookies accepteren’ is aangevinkt. Bijvoorbeeld Kanker.nl dat standaard alleen functionele cookies plaatst (en alleen als je wilt ook statistische). Of Alzheimer-nederland.nl met een cookiekeuzemenu en standaard alleen de functionele cookies aangevinkt.

Consumentenbond.nl

De site van de Consumentenbond heeft al enkele jaren een cookiemelding die je laat kiezen om akkoord te gaan met het cookiebeleid of dit beleid af te wijzen. Je kunt op de niet akkoord knop drukken en toch onze site gebruiken. Het plan is later dit jaar bezoekers akkoord te vragen voor de verschillende categorieën cookies. 

Hoe is het onderzoek uitgevoerd? 

We hebben op een Windows-pc met browser Firefox en de adblocker Ghostery gekeken naar de aantallen tracking cookies met commercieel doel die we voor en na het accepteren van de cookiemelding binnenkregen. Het gaat hier om cookies, pixels en vergelijkbare volgtechnieken die Ghostery schaart onder de noemer ‘advertising’ trackers.

• Lees ons onderzoek naar 150 onderzochte websites (pdf)

Browser fingerprinting

We hebben ook onderzocht of websites gebruik maken van 'canvas fingerprinting'. Met die techniek kunnen websites je herkennen zonder cookies.

• Lees meer over browser fingerprinting

Meer informatie:

• De nieuwe privacywet AVG: 8 veranderingen
• Zo werken adblockers