GENT – 90% procent van de bedrijven met een website riskeert een privacyboete voor inbreuken tegen de regels rond cookies. Dat blijkt uit onderzoek van Gents advocatenkantoor De Groote – De Man. Zij gingen bij meer dan 200 websites na op welke manier zij omgaan met cookies en stelden vast dat de meeste websites de privacyregels niet correct naleven.
Het onderzoek focuste zich op de manier waarop bedrijven cookies plaatsen bij bezoekers die op hun website surfen. Daaruit blijkt dat 90% van de websites de privacy regelgeving niet correct naleeft. Een van de meest voorkomende inbreuken is dat websites ofwel geen toestemming vragen om cookies te plaatsen of dat ze dit doen op de verkeerde manier. Hierdoor riskeren zij een hoge boete bij een controle van de Belgische Gegevensbeschermingsautoriteit.
Toestemming van de websitebezoeker
Meer dan 60% van de 200 onderzochte websites vraagt geen uitdrukkelijke toestemming aan bezoekers om cookies te plaatsen. Het gaat daarbij over cookies die niet noodzakelijk zijn voor het functioneren van de website. Dat zijn bijvoorbeeld cookies die de statistieken over bezoekersgedrag bijhouden of cookies die zorgen dat de bezoeker later gerichte reclame te zien krijgt. De regelgeving vereist nochtans dat websitebezoekers via een ‘klik’, of een andere actieve handeling, eerst hun toestemming moeten geven voor de cookies die ze aanvaarden.
Zo is een van meest voorkomende inbreuken dat websites cookies plaatsen bij websitebezoekers die verder surfen zonder iets aan te klikken. Websites beschouwen dit verder surfen als ‘impliciete toestemming’, maar dat is wettelijk niet toegelaten. Ook worden er vaak al standaard niet-essentiële cookies geplaatst, voordat een bezoeker zijn toestemming heeft kunnen geven.
Ook grote spelers zoals Coolblue
Het onderzoek werd uitgevoerd bij meer dan 200 bedrijven uit de sectoren Media, Telecom, Finance, E-commerce en Marketing. Ongeacht sector of grootte van het bedrijf, blijkt de overgrote meerderheid de regels rond cookies niet correct na te leven. Zo ook bijvoorbeeld technologiewebshop Coolblue. Zij beschouwen verder surfen op de website als impliciete toestemming voor het plaatsen van niet-essentiële cookies. De Gegevensbeschermingsautoriteit is hierin nochtans zeer strikt. Ook bij verder navigeren op een website is uitdrukkelijke toestemming nodig voor cookies die niet strikt noodzakelijk zijn.
Bedrijven wellicht niet bewust van inbreuken
Het onderzoek werd uitgevoerd door advocatenkantoor De Groote – De Man. Hun experten in privacy krijgen dagelijks advies- en bijstandsvragen van bedrijven en besloten daarom de steekproef te organiseren. Dat het merendeel van de bedrijven niet in orde is volgens de wetgeving, wijst volgens advocaat Ingrid De Poorter niet meteen op een bewuste inbreuk.
“Het lijkt erop dat veel bedrijven zich niet bewust zijn van het feit dat ze een inbreuk plegen. De meeste websites melden namelijk wel degelijk dat ze cookies plaatsen en hebben zelfs een cookiebeleid. Ze missen echter bepaalde elementen in hun beleid die verplicht zijn. De meeste bedrijven beseffen dus ook niet dat ze risico lopen op een boete’’, aldus Ingrid De Poorter.
Hoge boetes bij controle
Bedrijven die de privacyregels niet volledig naleven kunnen een fikse boete krijgen, tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Bovendien kondigde de Gegevensbeschermingsautoriteit eind 2019 aan dat controles op cookies een van hun prioriteiten is de komende jaren. Eerder dit jaar kreeg een website na controle ook al een boete van 15.000 euro voor gelijkaardige inbreuken met cookies.
Alle resultaten en inbreuken van het onderzoek zijn te lezen op de website van De Groote – De Man.