Autoriteit Persoonsgegevens: ‘cookiewall’ in strijd met AVG

Een zogeheten ‘cookiewall’ (cookiemuur) betekent dat een websitebezoeker geen toegang krijgt tot een website wanneer hij/zij de cookies niet accepteert. Op grond van de Algemene verordening gegevensbescherming (AVG) is een cookiewall niet toegestaan. Onlangs maakte de Autoriteit Persoonsgegevens bekend dat websites toegankelijk moeten blijven bij weigeren van tracking cookies. In het geval van een cookiewall kan een organisatie namelijk géén geldige toestemming krijgen van de bezoekers of gebruikers voor het plaatsen van tracking cookies.

De kans is groot dat de website van jouw bedrijf ook cookies plaatst. Toch zijn veel ondernemers zich niet bewust dat hun website cookies plaatst en welke regels daarvoor gelden. Je moet websitebezoekers namelijk altijd informeren over het plaatsen van cookies via een cookieverklaring. Voor het plaatsen van sommige cookies heb je toestemming nodig. Wij zetten voor je op een rijtje welke cookies er zijn en hoe je toestemming vraagt.

Welke soorten cookies zijn er?

Er zijn drie soorten cookies:

Functionele cookies

Deze cookies zijn noodzakelijk voor een goede werking van de website. Bijvoorbeeld om de inhoud van een winkelwagentje te kunnen onthouden. Voor het plaatsen van deze cookies hoef je géén toestemming te vragen.

Analytische cookies

Analytische cookies analyseren het surfgedrag van je bezoekers en verbeteren de kwaliteit en effectiviteit van je website. Diensten zoals Google Analytics plaatsen analytische cookies. Let op: je moet hiervoor expliciete toestemming van de bezoekers krijgen, tenzij je hebt ingesteld dat de gegevens in Google Analytics worden geanonimiseerd. Hoe je die toestemming vraagt, lees je hieronder.

Tracking cookies

Deze cookies volgen het internetgedrag van bezoekers door de tijd heen. Uit de informatie over bezochte websites kunnen persoonlijke interesses worden afgeleid. Op basis daarvan kunnen gerichte advertenties worden getoond aan je bezoekers. Tracking cookies verzamelen meestal persoonsgegevens en daarom zijn deze cookies privacygevoelig. Je bent daarom verplicht toestemming te vragen aan je bezoeker voor het plaatsen van dit soort cookies.

Hoe vraag je toestemming voor cookies?

De vuistregel luidt: wanneer cookies gevolgen hebben voor de privacy van bezoekers moet je toestemming vragen vóórdat je cookies plaatst. Je bezoeker moet een duidelijke keuze hebben om toestemming te geven of te weigeren. Wanneer bezoekers de cookies weigeren, mag je dus geen cookies op hun apparaat plaatsen. De website moet wel gewoon toegankelijk blijven. Zogenaamde ‘cookiewalls’ op websites (geen toestemming betekent geen toegang) zijn in strijd met de AVG.

Als je toestemming vraagt moet je duidelijk laten weten:

• welke informatie je verzamelt;
• waarom je de informatie verzamelt;
• hoe je de informatie verzamelt;
• wat je met de verzamelde informatie doet (bijvoorbeeld aan welke soort bedrijven je de informatie doorgeeft en hoe lang je de informatie bewaart).

Als je om toestemming vraagt, moet de websitebezoeker die expliciet geven. Dat betekent dat hij een actieve handeling moet verrichten om toestemming te geven. Je mag dus niet uitgaan van het principe ‘wie zwijgt, stemt toe’. Ook mag je geen gebruikmaken van vooraf aangevinkte hokjes. Je moet altijd kunnen aantonen dat je toestemming hebt gekregen voor het plaatsen van cookies.’

Hulp bij cookies

Weet jij niet of jouw website cookies gebruikt en waarvoor? Als klant van Privacy Zeker helpen wij je. Wij bekijken welke cookies jouw website plaatst en stellen, indien van toepassing, een cookieverklaring op maat op voor jouw organisatie. Neem contact op voor hulp bij cookies.

Privacytoezichthouder kondigt boetes aan

Het jaar 2018 was een mijlpaal voor privacybescherming. Dat zei de Autoriteit Persoonsgegevens (AP) onlangs, op de dag dat ze haar jaarverslag over 2018 publiceerde. Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht. De toezichthouder bevordert dat organisaties, maar ook mensen zelf, hun verantwoordelijkheid nemen om persoonsgegevens te beschermen. In 2018 hebben 27.000 mensen de AP telefonisch benaderd over de privacywet. Ter vergelijking, in 2017 waren dat er maar 9.500. Daarnaast kwamen er ruim 11.000 privacyklachten, 4.000 tips en 21.000 datalekmeldingen binnen.

In 2018 veel aandacht voor voorlichting

Voorzitter Aleid Wolfsen: “Wij hebben er in 2018 bewust voor gekozen om ons vooral te richten op voorlichting, normuitleg en normoverdracht in de eerste periode nadat de nieuwe privacywet ging gelden. In 2019 blijven we voorlichting geven om de naleving van de privacywetgeving te bevorderen. Tegelijkertijd gaan we steviger inzetten op handhaving nu organisaties bekender zijn met de nieuwe privacywet.”

Eerste boetes komen er dit jaar aan

De boodschap van de toezichthouder is duidelijk, 2019 is een jaar dat privacyschenders echt moeten oppassen. In 2019 is het menens en gaat de AP serieus handhaven. Ook in een interview met het FD benadrukt Wolfsen dat de privacywaakhond klaar is om zijn tanden te laten zien. Aleid Wolfsen: ‘Er lopen nu meerdere onderzoeken, die zijn serieus en we lopen ook tegen serieuze overtredingen aan. Gelooft u mij: de eerste boetes komen er dit jaar aan.’ In een interview met het AD geeft Aleid Wolfsen aan wat de grote prioriteiten zijn: overheid, datalekken, de zorgsector en datahandel.

Zorgen over privacy

Nederlanders maken zich zorgen over hun privacy. De Autoriteit Persoonsgegevens liet een onderzoek doen waaruit bleek dat maar liefst 94% van de mensen zich zorgen maakt over de bescherming van hun persoonsgegevens. Mensen maken zich vooral zorgen over misbruik van hun identiteitsbewijs, het volgen van hun online zoekgedrag en wifitracking. Bij uitstek situaties waarin mensen de grip op hun persoonsgegevens kwijt zijn.

Huilend aan de lijn

Dat mensen zich zorgen maken over hun privacy merken ze ook bij de klachtenlijn van de Autoriteit Persoonsgegevens. In het AD vertelt Aleid Wolfsen dat hij eens per drie weken meeluistert bij de klachtenlijn. Zo hoort hij wat er leeft bij mensen die vrezen dat hun persoonsgegevens niet veilig zijn. Aleid Wolfsen: ‘Dan komt er echt van alles voorbij. Laatst hing een vrouw echt huilend aan de lijn. Ze had onmin met iemand uit de buurt, die ook in het plaatselijke ziekenhuis werkte, en tot haar grote schok confronteerde die buurtgenoot haar met haar eigen medische gegevens. Dat kan niet.’

Iedereen moet aan de privacywetgeving voldoen

In het interview in het FD spreekt Aleid Wolfsen ook over het midden- en kleinbedrijf als reactie op de uitspraak van MKB Nederland dat in het mkb 99% de wet niet naleeft. De reactie van Wolfsen is duidelijk: ook mkb’ers lopen risico op sancties. Iedereen moet voldoen aan de privacywetgeving. 

Bronnen:

Artikel in het FD en het AD.

Nieuwsbericht en jaarverslag 2018 van Autoriteit Persoonsgegevens

Autoriteit Persoonsgegevens past boetebeleidsregels aan

De privacytoezichthouder (Autoriteit Persoonsgegevens) kan zeer hoge geldboetes uitdelen aan organisaties die de AVG overtreden. Onlangs heeft de Autoriteit Persoonsgegevens (AP) de boetebeleidsregels aangepast, omdat de oude regels betrekking hadden op overtredingen van eerdere privacywetgeving.

De boetebeleidsregels geven inzicht in de manier waarop AP de hoogte van een boete berekent. De maximale boete bedraagt maximaal € 20 miljoen of 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen. De hoogte van de boete verschilt per type overtreding. Daarnaast hangt het ook af van de ernst, omvang en duur van de overtreding.

Twee categorieën overtredingen

De AVG kent twee categorieën overtredingen en bijbehorende maximale boetes. De AP stelt het volgende:

• Organisaties hebben onder de AVG bepaalde verplichtingen, zoals de verplichting van het bijhouden van een verwerkingsregister. Komt een organisatie (één van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal € 10 miljoen. Of een boete van maximaal 2% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

• Overtreedt een organisatie de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen? Dan kan de AP een boete opleggen van maximaal € 20 miljoen. Of een boete van maximaal 4% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

De volledige boetebeleidsregels vind je hier.

De boetes moeten volgens de EU doeltreffend, evenredig en afschrikkend zijn. Dit betekent dat de boete zijn doel moet bereiken, maar nog wel in verhouding moet staan tot de overtreding van de AVG. Daarnaast zijn de boetes bedoeld ter afschrikking. Dit blijkt ook wel uit de hoogte van de boetes.

Bron: Autoriteit Persoonsgegevens

PSD2: het gemak en de risico’s van deze nieuwe betaalwet

Onlangs is de nieuwe Europese richtlijn Payment Service Directive 2, oftewel de PSD2, in werking getreden. Deze Europese wet voor betaaldiensten maakt het mogelijk dat consumenten kunnen betalen met een andere app dan die van hun bank. Hierdoor kan je als consument makkelijker, veiliger en goedkoper (grensoverschrijdend) betalen. Klinkt handig, zou je denken. Maar (commerciële) partijen die die nieuwe betaaldiensten aanbieden hebben daarvoor wél toegang nodig tot je betaalrekening en je gegevens. Wat zijn de gevolgen van deze nieuwe wet? 

Waarom deze betaalwet?

De PSD2 is ontstaan om traditionele banken van meer concurrentie te voorzien. De gedachtegang is simpel: als naast banken ook andere partijen betaaldiensten mogen ontwikkelen, zal het bankieren automatisch verbeteren en goedkoper worden. Naast meer concurrentie komt er ook meer innovatie. Het is de verwachting dat technologiebedrijven en winkelketens met digitale huishoudboekjes op de markt komen en apps waarmee makkelijk kan worden betaald tijdens het online shoppen. Om dat te doen hebben deze nieuwe betaaldiensten dus wel toegang nodig tot je betaalrekening.

Toestemming

Uiteraard kunnen deze nieuwe betaaldiensten niet zomaar bij de betaalgegevens van hun gebruikers. Daarvoor moet je als gebruiker eerst toestemming geven. Nadat je toestemming hebt gegeven moeten banken de betaaldiensten toegang geven tot bankgegevens.

Hoe er om die toestemming gevraagd zal worden lijkt op de manier die we kennen uit de AVG. De toestemming moet namelijk uitdrukkelijk zijn en vooraf moet duidelijk zijn waar je precies toestemming voor geeft. De kaders moeten duidelijk worden gecommuniceerd. Na het geven van deze toestemming kan je bijvoorbeeld een webshop toegang verlenen voor het doen van betalingen. Bij het afrekenen hoef je niets meer te doen. De webshop betaalt zichzelf namelijk voor jou. Je dient overigens voor elke keer dat je een andere partij voor je wil laten betalen, toestemming te geven. Daarnaast mogen alleen de gegevens worden gebruikt die nodig zijn om de actie uit te voeren.

Er zijn ook risico’s

Toch is het niet geheel zonder risico’s. Een partij inzicht geven in jouw betaalrekening laat het bedrijf dus zien wat jouw betaalverkeer naar andere partijen is. Bij welke winkels wordt er gekocht, hoeveel en hoe vaak en waar? Kan daar op ingespeeld worden met slimme marketing strategieën? Zijn die gegevens in veilige handen? Het roept een hoop vragen op.

Daarnaast is het zo dat ondanks dat je geen toestemming hebt gegeven, fragmenten van jouw betalingsverkeer toch bekend worden bij partijen waarvan je dit niet weet. Een vriend of vriendin waarnaar jij geld overmaakt kan namelijk wél toestemming hebben gegeven. Zodoende weet deze commerciële partij toch te achterhalen dat jij een uitgave hebt gedaan of er een hebt ontvangen.

Partijen kunnen niet zomaar met toestemming aan de slag gaan met betaalgegevens. Hiervoor moet namelijk een vergunning worden verleend door De Nederlandsche Bank (DNB). DNB meldt dat twintig bedrijven inmiddels al een vergunning hebben aangevraagd. Toch biedt dat geen garantie. Omdat dit Europese wetgeving betreft, kan een partij deze vergunning ook elders hebben gekregen. Als deze partij internationaal met betaalgegevens aan de slag gaat en in een ander land over de schreef gaat, is het lastig te achterhalen wat er met jouw gegevens gebeurt.

Wil je meer informatie over de PSD2? Kijk dan op de website van De Nederlandsche Bank.

Autoriteit Persoonsgegevens over naleving privacyregels bij no-deal Brexit

Hoe kunnen bedrijven zich voorbereiden op de mogelijke gevolgen bij een no-deal Brexit? Met deze vraag worstelen veel ondernemers op dit moment. Vooral ondernemers die persoonsgegevens doorgeven aan het Verenigd Koninkrijk (VK). Bijvoorbeeld bedrijven die de salarisbetaling uitbesteden aan een verwerker in het VK. Maar ook bedrijven die gebruik maken van de diensten van een cloud provider die gevestigd is in het VK.

Derde land

In geval van een no-deal Brexit is het VK geen EU-lidstaat meer, maar een ‘derde land’ in de zin van de Europese privacywetgeving (AVG). Dit betekent dat er dan voor de internationale doorgifte van persoonsgegevens gebruik moet worden gemaakt van de AVG-privacyregels die gelden voor het doorgeven van persoonsgegevens buiten de EU.

Privacyregels

De Europese privacytoezichthouders verzamelen zich in de European Data Protection Board (EDPB). Ook de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens (AP), is hier onderdeel van. De Autoriteit Persoonsgegevens geeft op haar website meer duidelijkheid over de juiste naleving van de privacyregels bij een vertrek van het VK uit de Europese Unie.

Wanneer je data doorgeeft aan het VK moet je het volgende doen om je voor te bereiden op een no-deal Brexit:

Afbeelding afkomstig uit: Instructies voor de doorgifte van gegevens onder de AVG in het geval van een no-dealbrexit (Autoriteit Persoonsgegevens) gepubliceerd op 13 februari 2019.

Voor meer informatie verwijzen we je door naar de volgende documenten:

Instructies doorgifte gegevens naar het VK bij een no-deal Brexit

Intructies BCRs bij een no-deal Brexit

De regering van het VK heeft aangegeven dat het ook in geval van een no-dealbrexit mogelijk blijft om persoonsgegevens vrij vanuit het VK naar de EU-lidstaten te versturen.

Wat als er wel een deal wordt gesloten?

Er is ook een scenario denkbaar waarin er wel een deal wordt gesloten. In geval van een uittredingsovereenkomst wordt er een overgangsperiode van twee jaar overeengekomen. Dit betekent dat er gedurende twee jaar na de Brexit niks verandert in de internationale doorgifte van persoonsgegevens. 

Heb je naar aanleiding van dit bericht nog vragen? Als klant van Privacy Zeker kun je altijd terecht bij de helpdesk met privacy-experts. Neem contact op.