De Autoriteit Persoonsgegevens (AP) startte in 2024 5 onderzoeken naar cookiebanners van Nederlandse websites. In alle gevallen overtraden de organisaties met deze websites de wet. Na ingrijpen van de AP pasten de organisaties de cookiebanners aan, zodat hun websites wél aan de wet voldoen.
Sinds 2024 controleert de AP vaker of organisaties op websites op de juiste manier toestemming vragen voor het plaatsen van (tracking) cookies of andere volgsoftware. De AP onderzocht, naar aanleiding van klachten, veelbezochte websites in verschillende sectoren, zoals de financiële sector, de media en de horeca.
AP-voorzitter Aleid Wolfsen: ‘Je bezoekt een website bijvoorbeeld voor informatie, of om iets te kopen. Dat moet je vrij kunnen doen. Als bedrijven of andere organisaties bezoekers van hun website willen volgen en hun data willen verkopen aan bijvoorbeeld adverteerders of datahandelaren, dan moeten ze daar toestemming voor vragen. Dat moet duidelijk en met open vizier gebeuren, zonder trucs waardoor bezoekers moeilijk ‘nee’ kunnen zeggen. Wij zien nog te vaak dat organisaties dit soort methodes toch gebruiken. Hierdoor worden websitebezoekers zonder dat ze dat willen gevolgd, en kunnen hun data verhandeld worden.’
De 5 onderzochte organisaties vroegen wel toestemming voor het plaatsen van cookies en andere volgsoftware, maar niet op een goede manier. De knop om cookies te weigeren zat bijvoorbeeld verstopt, of de toestemming was al vooraf aangevinkt. In sommige gevallen plaatsten de websites al cookies voordat de bezoeker toestemming had gegeven, of zelfs nadat de bezoeker cookies had geweigerd.
Voor het gebruiken van cookies die bezoekers over verschillende websites volgen, moeten organisaties altijd toestemming vragen. Maar een cookiebanner is niet altijd verplicht. Als een website alleen strikt noodzakelijke (functionele) cookies gebruikt, hoeft de organisatie geen toestemming te vragen. Bijvoorbeeld als een webshop cookies alleen gebruikt om te onthouden welke producten er in het winkelmandje van de bezoeker zitten.
Wolfsen: ‘Het is dus heel makkelijk: volg je bezoekers niet, en je hoeft je ook niet druk te maken over het vormgeven van een cookiebanner. En je irriteert je bezoekers er niet mee.’
Voor organisaties die toch cookies of vergelijkbare technieken willen gebruiken, heeft de AP een aantal vuistregels opgesteld die organisaties helpen aan de regels te voldoen.
Wolfsen: ‘Met name kleinere organisaties zijn zich vaak van geen kwaad bewust. Zij krijgen een cookiebanner van de websitebouwer aangeleverd en gaan ervan uit dat het goed zit. Helaas is dat vaak niet zo. En niet de websitebouwer, maar de eigenaar van de website is daarvoor verantwoordelijk. Check dus altijd de vuistregels op de website van de AP als je een website laat bouwen. En bespreek dit vooraf met je websitebouwer.’
De AP gaat de komende jaren structureel controleren hoe het staat met de cookiebanners in Nederland. Dat doen we door constant en automatisch de cookiebanners van 10.000 websites te scannen om te checken of die duidelijk genoeg zijn. Organisaties die niet voldoen aan de wet, krijgen eerst een waarschuwing en de kans om de cookiebanner aan te passen. Bij ernstige overtredingen of als een organisatie weigert de cookiebanner aan te passen, is de kans groot dat de AP handhavend optreedt met boetes of andere sancties.
