De Autoriteit Persoonsgegevens (AP) heeft onbedoeld analytische en trackingcookies geplaatst op de eigen vacaturewebsite werkenbij.autoriteitpersoonsgegevens.nl. Hierdoor zijn persoonsgegevens van bezoekers verzameld, terwijl dit niet had mogen gebeuren. Het incident legt pijnpunten bloot in de controlemechanismen van de toezichthouder zelf.
Door een technische fout bij een externe leverancier werd Google Analytics per ongeluk geactiveerd, waardoor analytische en trackingcookies werden geplaatst. Hierbij zijn IP-adressen en technische gegevens over gebruikte webbrowsers verzameld. Hoewel de AP stelt dat de gegevens door een tweede fout niet zijn opgeslagen in het Google-account van de leverancier, kan dit niet met volledige zekerheid worden gegarandeerd. De AP heeft Google gevraagd om alle verzamelde data te verwijderen.
Daarnaast werden functionele cookies van Cloudflare geplaatst in opdracht van videodienst Vimeo, bedoeld om de videodienst te beschermen tegen overbelasting. Deze cookies volgden wie op welk moment een video bekeek. De AP heeft de video na ontdekking direct offline gehaald en de leverancier verzocht de verzamelde gegevens te verwijderen.
De AP kan niet uitsluiten dat persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) zijn geëxporteerd zonder passende waarborgen. Volgens Google wordt cookie-informatie binnen 18 maanden geanonimiseerd of verwijderd, maar het is mogelijk dat gegevens elders langer worden bewaard. Ook Cloudflare geeft aan dat gegevens na verloop van de bewaartermijn worden verwijderd of vernietigd, maar concrete termijnen ontbreken.
De AP erkent dat de controle op de vacaturewebsite onvoldoende was. Het proces is aangescherpt met extra controles bij hoogrisicoverwerkingen voordat iets online gaat. Daarnaast biedt de toezichthouder excuses aan voor de late communicatie naar betrokkenen.
De AP adviseert verwerkingsverantwoordelijken om soortgelijke situaties te voorkomen:
Evalueer regelmatig afspraken met leveranciers en stel deze bij indien nodig.
Controleer vóór publicatie of alle instellingen juist zijn en fouten kunnen worden voorkomen.
Gebruik methodieken zoals OTAP (Ontwikkeling, Test, Acceptatie, Productie) voor meer controle.
Controleer of een gegevensverwerking echt noodzakelijk is en in lijn is met het verwerkingsregister en de privacyverklaring.
Zorg voor een helder cookiebeleid dat voldoet aan wet- en regelgeving.
Het incident met de vacaturewebsite is niet de eerste keer dat de AP de eigen regels niet naleeft. Eind vorig jaar werd bekend dat in twee nieuwsbrieven per ongeluk een trackingpixel was meegestuurd. Deze pixel registreerde of een nieuwsbrief werd geopend, wat in strijd is met het beleid van de AP.
Met de recente gebeurtenissen rijst de vraag in hoeverre de AP in staat is om strenge handhaving op het gebied van privacyregels te combineren met het zelf naleven van diezelfde regels.
