Cookies op je website plaatsen? Het is niet verboden, maar – zeker sinds vorig jaar de AVG van toepassing is geworden – wel aan strikte regels gebonden. Maar een meerderheid van de werkenbij-sites van grote bedrijven houdt zich daar niet aan, blijkt uit recent onderzoek van Jelmer Koppelmans en Jelmer Zuidema.
Een meerderheid van de grote werkenbij-sites houdt zich niet aan de strikte regels rondom cookies.
De twee bekeken daarvoor de carrièresites van de 50 grootste bedrijven van Nederland. Ze bezochten elke site handmatig in 3 sessies. Voor elke sessie werd een nieuw incognito-venster geopend, wat daarna weer gesloten werd. Tijdens die sessies werd (voor zover de cookiewall dat toeliet) minimaal 1 keer doorgeklikt naar een willekeurige andere pagina.
Weinig expliciete toestemming
En wat bleek? Van de 10 grootste bedrijven waren er 7 die zogeheten tracking-cookies plaatsten, zonder dat je daar als gebruiker ondubbelzinnig toestemming voor geeft. Een aantal bedrijven uit die top-10 plaatst bijvoorbeeld tracking-cookies van Facebook, Google, LinkedIn, Adobe en Twitter, zonder dat een websitebezoeker dat expliciet toestaat. De grootste overtreder plaatst zo zelfs 20 (!) tracking-cookies – zonder toestemming van de gebruiker.
Bij 2 van de 10 bedrijven móét je de tracking-cookies wel accepteren.
Daarnaast gebruiken 2 van de 10 bedrijven een cookiewall, op de verkeerde manier, waarbij je de tracking-cookies wel móét accepteren. Bovendien zijn er slechts 2 bedrijven waarbij een websitebezoeker zijn toestemming tot het plaatsen van cookies kan wijzigen of intrekken, al moet dat voor eentje van hen ook nog eens via een externe website. Een lichtpuntje was er trouwens ook: alle bedrijven uit de top-10 (die cookies gebruiken) hebben wel een (verplichte) cookie-policy.
Toestemming intrekken blijkt lastig
Gekeken naar alle 50 onderzochte bedrijven, blijkt dat bijna twee derde (32/50) tracking-cookies plaatst zonder dat de websitebezoeker daar uitdrukkelijk toestemming voor heeft gegeven. Van deze 50 maakt ongeveer een kwart (13) gebruik van een cookiewall op hun werkenbij-site, van wie het overgrote gedeelte het op de juiste manier doet. Er is slechts 1 bedrijf dat geen mogelijkheid biedt tot gebruik van de site zónder het accepteren van tracking-cookies. Daarnaast zijn er wel 2 bedrijven die toch cookies plaatsen, zelfs nadat de websitebezoeker uitdrukkelijk heeft aangegeven hiervoor géén toestemming te geven.
De regel dat websitebezoekers hun toestemming moeten kunnen intrekken of wijzigen werd het meest overtreden.
Het grootst aantal overtredingen werd begaan op de regel dat websitebezoekers hun toestemming moeten kunnen intrekken of wijzigen, net zo makkelijk als ze dat hebben gegeven. Maar liefst 37 bedrijven maken het niet mogelijk om die toestemming in te trekken of te wijzigen. Maar, zo voegt Koppelmans ter nuancering toe: ‘over het algemeen is deze overtreding ook het minst zwaar, aangezien websitebezoekers makkelijk zelfs cookies kunnen verwijderen.’
Verschillende soorten cookies
Uitdrukkelijke toestemming voor het gebruik van tracking-cookies op je site was een van de meest in het oog springende maatregelen van de in mei 2018 van toepassing verklaarde AVG (of GDPR). Cookies zijn kleine tekstbestanden die op je computer, tablet of smartphone worden geplaatst als je een site bezoekt. Er bestaan verschillende soorten cookies:
- Essentiële cookies, die noodzakelijk zijn om een website te laten functioneren.
- Functionele cookies, die informatie over je keuzes en voorkeuren op een website bijhouden.
- Analytische cookies, die informatie verzamelen over het gedrag van websitebezoekers en de prestaties van de website
- Marketing-cookies, die het surfgedrag van websitebezoekers volgen en op basis daarvan een gebruikersprofiel samenstellen.
In dit onderzoek gaat het echter om de laatste soort cookies: tracking-cookies, ofwel: over het algemeen: Third-party cookies, wat betekent dat de cookies geplaatst worden door een derde partij vanaf een ander domein. Zulke tracking-cookies stellen grote advertentienetwerken in staat om van elke gebruiker een profiel te maken, doordat ze je internetgedrag kunnen meten. Zo weten ze precies wanneer je welke site bezoekt, vanaf welk apparaat, en hoe vaak je die site bezoekt.
Dankzij tracking-cookies kunnen grote advertentienetwerken van elke gebruiker een profiel maken.
Aan de andere kant snappen de netwerken (voor de meeste websites) ook wat voor soort content op die pagina’s staat. Ze brengen daarmee voor elke gebruiker in kaart wie welke interesses heeft, zodat ze daarmee gepersonaliseerde advertenties kunnen voorschotelen. De twee grootste partijen hierin zijn Facebook en Google. En dat is big business; dit jaar wordt er voor 333,25 miljard dollar uitgegeven aan online advertising, zo is de verwachting.
De AVG is best strikt
Die tracking-cookies zijn dus veel geld waard. En verboden zijn ze ook zeker niet. Zolang de websitebezoeker maar uitdrukkelijk toestemming heeft gegeven dat je ze mag verzamelen, zoals het in de AVG staat. In essentie schrijft de AVG over tracking-cookies vier dingen:
- Tracking-cookies mogen pas geplaatst worden nadat daarvoor ondubbelzinnig toestemming is gegeven door de websitebezoeker. En dus niet eerder. Dat betekent dat je niet iets mag opschrijven à la: ‘Door gebruik te maken van onze website, ga je akkoord met ons gebruik van cookies’.
- Er moet een cookie-policy aanwezig zijn, die onder andere duidelijk beschrijft welke (tracking-)cookies geplaatst worden en waarom.
- De toestemming om tracking-cookies te plaatsen moet je net zo makkelijk kunnen intrekken of aanpassen als je het gegeven heeft. Er heerst hierover nog wat onduidelijkheid. Natuurlijk kan een gebruiker zelf cookies verwijderen via de browser, maar dat is niet zo makkelijk als toestemming geven om de tracking-cookies te plaatsen.
- Als laatste moet de websitebezoeker de mogelijkheid hebben om een website te bezoeken zonder de tracking-cookies te accepteren, aldus de AP recentelijk. Hiermee vallen websites met een cookiewall, zonder de mogelijkheid om tracking-cookies niet te accepteren, dus door de mand.
Inmiddels is wel gebleken dat veel bedrijven op hun corporate website nog niet voldoen aan deze regels (1, 2, 3). Maar dat geldt dus net zozeer voor de carrièresites, aldus Koppelmans en Zuidema.
Kwade bedoelingen?
Of er altijd sprake is van kwade bedoelingen laten de twee overigens in het midden. ‘De wetgeving rondom (tracking-)cookies mag dan al wel een tijdje oud zijn, er is voldoende ruimte voor interpretatie. Daarnaast is er nog weinig jurisprudentie over. Dat maakt het voor bedrijven lastig om te voldoen aan de wet. Daarnaast veranderen websites continu, en is een groot gedeelte afhankelijk van third-parties, die allemaal zelf weer cookies kunnen plaatsen.’
‘Er is nog weinig jurisprudentie over. Dat maakt het voor bedrijven lastig om te voldoen aan de wet.’
Koppelmans en Zuidema noteerden in hun onderzoek alle tracking-cookies die ze tegenkwamen:
- Tijdens de eerste keer de carrièresite openen;
- Na het doorklikken naar een willekeurig andere pagina;
- Na het accepteren van de cookiewall of cookie notice;
- Waar mogelijk, nadat de toestemming voor het plaatsen van tracking-cookies was ingetrokken.
Google Analytics-cookies werden daarbij niet meegeteld als tracking-cookies.
Lees ook:
