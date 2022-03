Nagenoeg alle websites schenden de AVG met de manier waarop ze cookies plaatsen of hier toestemming voor vragen, zo stellen onderzoekers van de universiteit van Zurich op basis van onderzoek naar dertigduizend websites. Maar liefst 94,7 procent van deze websites gaat de fout in. De onderzoekers hebben de browser-extensie CookieBlock ontwikkeld die cookies verwijdert die zonder toestemming van de gebruiker zijn geplaatst.

Uit eerder onderzoek blijkt dat tachtig tot negentig procent van de websites cookies gebruikt voor het tracken van gebruikers. Trackingcookies mogen onder de AVG alleen met toestemming van de gebruiker worden geplaatst. Minder dan de helft van de websites zou echter een cookiebanner tonen en zelfs wanneer die wel wordt getoond maken sites zich schuldig aan overtredingen.

Zo stellen de onderzoekers dat de meeste websites zich niet aan de opt-in vereiste houden en een meerderheid stelt dat de gebruiker toestemming geeft, ook al heeft de gebruiker nog geen actie ondernomen of cookies weigert. Verder is meer dan de helft van de cookiebanners zo ontworpen dat gebruikers alle cookies accepteren.

Voor hun onderzoek kwamen de onderzoekers tot zes verschillende overtredingen als het om cookies gaat, zoals misleidende verlooptijden van cookies, verkeerde categorieën, verschillende doeleinden en verkeerde doeleinden. Van de geselecteerde domeinen blijkt dat bijna 95 procent minstens één overtreding begaat. Zo gaat bijna zeventig procent van de websites ervan uit dat bezoekers toestemming geven voordat die daadwerkelijk is gegeven.

"Onze resultaten laten zien dat het probleem veel ernstiger is dan in eerste instantie werd gedacht", aldus de onderzoekers. Die stellen dat er geen nieuwe wetgeving moet komen, maar dat er juist meer moet worden gehandhaafd. Zolang de handhaving achterblijft suggereren ze het gebruik van CookieBlock. Deze extensie blokkeert cookies waarvoor de gebruiker geen toestemming heeft gegeven. De onderzoekers zullen hun bevindingen tijdens het 22ste Usenix Security Symposium in augustus presenteren (pdf).