Interpretatie GBA boete privacy/cookie pagina’s

Onze Belgische privacycommissie (of beter gezegd GegevensBeschermingsAutoriteit) heeft eind december in alle stilte nog een bommetje gedropt met een nieuwe boete en uitspraak in het kader van de GDPR wetgeving (spijtig genoeg geen spoor ervan op hun website of hun Twitterfeed die tijdens de kerstvakantie niet worden bijgewerkt) .

De juridische verzamelwebsite jubel.be heeft namelijk een inspectie moeten ondergaan in 2019 en heeft nu een boete toegewezen gekregen van 15.000EUR (tot hiertoe de hoogste boete die in België is uitgesproken). Hierbij wordt er duidelijk gesproken over de voorbeeldfunctie van deze website (door de juridische inhoud van de website).

De uitspraak en inspectieverslag is een lijvig document van 43 pagina’s. Na wat leeswerk heb ik hierbij dus de korte samenvatting (met dank aan een avondje met markeerstift).

Ik vrees dat er wat ondernemers en website eigenaars na het lezen van deze blogpost in paniek gaan schieten, dus haal even rustig adem voor je voort gaat lezen en anders vraag je maar een checkup aan bij mij. 😉

Onderstaande zaken heb ik uit het inspectieverslag gehaald en zijn dus voor onze GBA essentieel dat ze correct zijn.

Bevindingen rond privacy statement

• Een privacy pagina op een website moet in dezelfde taal als de website worden aangeboden (dus een NL website een NL privacypagina, 2-talige websites dan ook 2-talige statements).
• Een IP-adres is wel degelijk een persoonsgegeven onderhevig aan de GDPR.
• De privacy pagina moet eenvoudig bereikbaar zijn (bvb link in de footer van ALLE pagina’s) en let erop dat je geen verwarring gaat zaaien (ze hadden een template met US privacy policy als titel gebruikt).
• Identiteit en contactgegevens van de verwerkingsverantwoordelijke (bedrijf achter de website) moeten aanwezig zijn (postadres, email, correcte benaming bedrijf, btwnummer,…). PS: de economische inspectie geeft je ook een opmerking als jouw btwnummer ontbreekt op je FB-pagina van je onderneming (zie FOD economie)!
• Welke GDPR rechten hebben bezoekers en op welke grond worden gegevens verwerkt?
• Via welke manier worden de termijnen bepaald dat gegevens worden bijgehouden?
• Let op voor het gebruik van het woord “anonimisatie” (hier zijn ze zeer strict over). In de meeste gevallen gaat het om “pseudo-anonimisatie” (bijvoorbeeld bij Hotjar of Google Analytics waar een userid wordt aangemaakt).
• Waar kunnen ze eventueel klacht indienen? Heel simplistisch: ben je een Belgisch bedrijf verwijs dan naar de contactgegevens van onze Belgische GegevensBeschermingsAutoriteit (en dus niet naar de NL autoriteiten).

Bevindingen rond gebruik van cookies

• Een cookiewall voor toestemming voor gebruik van cookies mag GEEN reeds aangekruiste vakjes hebben en je moet ook kunnen weigeren dat cookies worden geplaatst.
• Hierbij moet toestemming worden gevraagd voor alle, bepaalde (per categorie van cookie) of geen cookies (alles of niets mag dus niet).
• Let erop dat de cookiewall op een meertalige website steeds in de juiste taal wordt getoond.
• Geef aan hoe cookietoestemmingen kunnen worden ingetrokken (bijvoorbeeld hoe verwijderen van cookies in de verschillende browsers).
• Vertrouw niet blind op een online cookiescan en check zelf de cookies die worden geplaatst (door o.a. Google Analytics, GTM, Adsense, YouTube,…). Kijk ook verder dan je homepage en ga alle cookies juist oplijsten (zeer belangrijk!).
• De GBA is het niet eens met de aangepaste Nederlandse cookiewet over het privacyvriendelijk instellen van Google Analytics (met dank aan hun handleiding) ontkomen aan de cookie toestemmingsverplichting.
• Gebruikte cookies moeten geregeld opnieuw nagekeken worden (en geef dit ook aan met een “laatste aangepaste datum”).
• Er wordt naar de Planet49 uitspraak verwezen rond hoe toestemmingen voor cookies kunnen bekomen worden.

Vermijden van tracking door derden?

Kijk eens zelf na hoeveel cookies “onschuldige” services als Addthis of het embedden van een YouTube video achterlaten op jouw website voor je bezoekers. Beide heb ik eenvoudig uit mijn website kunnen slopen.

1. Social sharing buttons met rechtstreekse links ipv. likeknoppen of AddThis trackingrommel.

2. YouTube tracking rommel eruit halen door alle YouTube embeds te vervangen naar het youtube-nocookie.com domein. In WordPress eenvoudig te doen via het toevoegen van deze filter in je functions.php van je theme.

Manier van inspectie en verweer

Altijd interessant om de tijdlijn ook eens te zien:

• 27/02/2019: interne beslissing om inspectie te doen
• 12/03/2019: 1ste inspectie website
• 26/03/2019: brief naar website over inspectie
• 29/04/2019: 2de inspectie website
• 29/04/2019: brief naar website over inspectie
• 29/05/2019: 3de inspectie website
• 03/06/2019: Inspectiedienst maakt eindverslag op
• 28/06/2019: Aangetekende zending met mogelijkheid van verweer
• Tijdens de hoorzittingen in oktober en november zijn de 3 laatste jaarrekeningen opgevraagd voor het bepalen van de boete (FYI: omzet 2018 was 1,7 miljoen EURO).
• 25/11/2019: Hoorzitting met de verdediging
• 17/12/2019: Bekendmaking beslissing

De verwerkingsverantwoordelijke heeft nu een boete opgelegd gekregen van 15.000EUR (wat overeenkomst met 0,88% van de laatste jaaromzet). Als we dit afstemmen op de werkuren die er in dit dossier zijn gegaan, dan weet ik niet of het zelfs maar break-even was. 😉

En neen het argument van “andere websites doen het ook zo” pakte alvast niet blijkt uit het verslag.

Wil je zeker zijn dat je geen fouten maakt, vraag gerust een korte (betalende) checkup aan om je actiepunten en gebruikte cookies op te lijsten. 😉