De Europese privacytoezichthouder EDPS heeft het Europees Parlement op de vingers getikt wegens verschillende privacyovertredingen op een interne website voor het plannen van coronatests. Het gaat onder andere om het illegaal versturen van data naar de Verenigde Staten, onduidelijke cookiemeldingen, het zonder toestemming plaatsen van cookies, een onduidelijk privacybeleid en het niet reageren op inzageverzoeken.

Het onderzoek en de uitspraak van de EDPS volgde na een klacht van noyb, de privacyorganisatie van de bekende activist Max Schrems. Op verzoek van zes Europarlementariërs diende noyb vorig jaar bij de privacytoezichthouder een klacht in over de website. Daarop draaiden trackers van Google Analytics en betaaldienst Stripe. Volgens de EDPS zijn door deze diensten geplaatste trackingcookies als persoonlijke data te beschouwen.

Via deze cookies was er dan ook sprake van gegevensuitwisseling naar de Verenigde Staten, aangezien Google Analytics wordt gehost in de VS. Het Europees Parlement had echter geen documentatie of andere informatie dat het contractuele, technische of organisatorische maatregelen had getroffen om ervoor te zorgen dat naar de VS verstuurde persoonlijke data voldoende is beschermd.

Verder bleek dat het privacybeleid was gekopieerd van het testcentrum van de Brusselse luchthaven Zaventem en stonden daarin verkeerde verwijzingen. Tevens waren de cookiemeldingen onduidelijk en misleidend. Zo werden niet alle cookies genoemd en was er een verschil tussen de verschillende taalversies van de melding. Gebruikers konden daarnaast geen geldige toestemming geven.

Tijdens het onderzoek heeft het Europees Parlement alle cookies al van de website verwijderd. De EDPS heeft nu een reprimande opgelegd en het Parlement een maand de tijd gegeven om het privacybeleid bij te werken en de andere zaken op te lossen.