image

"Cookiebanners zonder directe weigerknop overtreden privacyrichtlijn"

donderdag 19 januari 2023, 12:34 door Redactie, 18 reacties

Cookiebanners zonder directe weigerknop zijn in overtreding van de ePrivacyrichtlijn, zo vinden de meeste Europese privacytoezichthouders. Het Europees Comité voor gegevensbescherming (EDPB), een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken, startte in 2021 een taskforce voor klachten over cookiemeldingen. Het gaat dan specifiek om klachten afkomstig van noyb, de door privacyactivist Max Schrems opgerichte organisatie.

Noyb verstuurde begin 2021 honderden klachten naar bedrijven over cookiemeldingen die volgens de organisatie niet aan de regels van de AVG voldoen. De klachten werden automatisch gegenereerd door software die noyb ontwikkelde en verschillende soorten cookiemeldingen kan herkennen. De privacyorganisatie stelt dat veel cookiemeldingen zo zijn opgesteld dat het erg lastig is om op iets anders dan "accepteren" te klikken.

Daarbij stelt noyb dat bedrijven ook van "dark patterns" gebruikmaken, waardoor meer dan negentig procent van de gebruikers op accepteren klikt, terwijl uit onderzoek blijkt dat slechts drie procent van de gebruikers daadwerkelijk akkoord wil gaan. "Het frustreren van mensen om op "oké" te klikken is een duidelijke schending van de AVG-regels", aldus Schrems.

De Cookie Banner Taskforce heeft nu een eerste conceptrapport over de eigen bevindingen gepubliceerd. Dan blijkt dat de meeste Europese privacytoezichthouders vinden dat het even eenvoudig moet zijn om cookies te weigeren als accepteren. Er zijn cookiebanners die op de "eerste laag" alleen een knop bieden om alle cookies te accepteren. Gebruikers die dit niet willen moeten soms meerdere keren klikken om cookies te weigeren. De meeste privacytoezichthouders vinden dat deze cookiebanners in overtreding van de ePrivacyrichtlijn zijn.

Daarnaast vinden alle privacytoezichthouders dat vooraf ingevulde vakjes geen geldige toestemming zijn, zoals vereist door de AVG. Verder is ook "misleidend" link-ontwerp waar sommige cookiebanners gebruik van maken niet oké. Het gaat dan om cookiebanners die een grote acceptatieknop hebben, maar in de tekst een link hebben verborgen om cookies te weigeren. Wat betreft het gebruik van dark patterns stellen de toezichthouders dat ze websites geen norm kunnen opleggen als het gaat om kleur of contrast, en moet de betreffende cookiebanner per geval worden bekeken. Met de bevindingen uit het rapport kunnen privacytoezichthouders de klachten die ze over cookiebanners ontvingen verder afronden.

Reacties (18)
19-01-2023, 12:51 door Anoniem
Ook als ik `cookies' weiger, vind ik ze toch in mijn browser.
19-01-2023, 13:18 door Anoniem
Door Anoniem: Ook als ik `cookies' weiger, vind ik ze toch in mijn browser.
Functionele cookies zijn gewoon toegestaan, daar is ook niets mis mee. Dus zonder toelichting over het soort cookies die je in je browser aantreft kan niemand hier iets mee.
19-01-2023, 13:22 door Anoniem
Het wordt inderdaad tijd dat er iets wordt gedaan aan dit soort ontmoedigingspraktijken. Gewoon twee even grote knoppen naast elkaar met toestaan en weigeren er op. En verder geen misleidende fratsen. Fluitje van een cent om te programmeren. Kan volgende week worden ingevoerd.
19-01-2023, 13:22 door Anoniem
Probleem is primair de handhaving, dat de meeste websites de wet overtreden of in ieder geval duidelijk in een grijs gebied opereren is algemeen bekend: het is de defunding van toezichthouders door overheden wat uiteindelijk het probleem is, en dat is sterk gekmoppeld aan de opkomst van (extreem-) rechtse ideologieen, waarbij regels niet meer worden gehandhaafd als ze een bepaalde groep treffen en juist extra worden gehandhaafd als dat zo uitkomt.
19-01-2023, 13:46 door Briolet
Door Anoniem: Ook als ik `cookies' weiger, vind ik ze toch in mijn browser.

Je zult toch moeten vastleggen dat je de cookies wilt weigeren, anders krijg je die vraag elke keer weer.
19-01-2023, 13:50 door Anoniem
Door Anoniem:
Door Anoniem: Ook als ik `cookies' weiger, vind ik ze toch in mijn browser.
Functionele cookies zijn gewoon toegestaan, daar is ook niets mis mee. Dus zonder toelichting over het soort cookies die je in je browser aantreft kan niemand hier iets mee.
Dat is verhullend en dus misleidend:
nu wordt de suggestie gewekt dat je alle cookies kunt weigeren.
Want wat is `functioneel'?

Persoonlijk vind ik dat hele gedoe over cookies ook flauwenkul, ook omdat het er toe leidt dat je ergens toch maar op gaat klikken.
Als je echt geen cookies wil, moet je de `incognito mode' van je browser gebruiken (en dan maar hopen dat dat werkt) of geen websites bezoeken waar je geen cookies van wil.
19-01-2023, 13:51 door Anoniem
Door Briolet:
Door Anoniem: Ook als ik `cookies' weiger, vind ik ze toch in mijn browser.

Je zult toch moeten vastleggen dat je de cookies wilt weigeren, anders krijg je die vraag elke keer weer.
Lijkt me geen probleem. Anders had ik wel een cookie geaccepteerd.
19-01-2023, 14:23 door Anoniem
Door Briolet:
Door Anoniem: Ook als ik `cookies' weiger, vind ik ze toch in mijn browser.

Je zult toch moeten vastleggen dat je de cookies wilt weigeren, anders krijg je die vraag elke keer weer.

Daar is niet een cookie voor nodig, een local storage item werkt net zo goed... de wet gaat echter over beide varianten (of eigenlijk noemt geen van beide specifiek). Dus die is gewoon van toepassing.
19-01-2023, 14:28 door Anoniem
De volgende vraag is die ik heb. "Alles weiger " weiger je dan ook de "Legitimate interest" vinkjes?
19-01-2023, 15:39 door Anoniem
De wetgeving had zich op browsers moeten richten. Die zijn immers verantwoordelijk als doorgeefluik. Geef gebruikers beheer om cookies te isoleren en verwijderen. Geen meldingen nodig dan.
19-01-2023, 18:35 door Anoniem
Door Anoniem: Probleem is primair de handhaving, dat de meeste websites de wet overtreden of in ieder geval duidelijk in een grijs gebied opereren is algemeen bekend
Moet nog altijd lachen om Tweakers (DPG Media), die waren heilig van overtuigd dat hun cookiemuur aan de wet voldeed. En maar in allerlei bochten (nonsens) wringen dat dat ook echt zo was.
Ondertussen hebben zij het toch maar aangepast, beter is het niet op geworden nu worden +/- 14 cookies (scripts aan) ingeladen bij het bezoeken van de website. Kwaad zullen deze niet kunnen, maar privacy-vriendelijk kan het nooit zijn.
19-01-2023, 23:52 door Anoniem
Door Anoniem: Dat is verhullend en dus misleidend:
nu wordt de suggestie gewekt dat je alle cookies kunt weigeren.
Want wat is `functioneel'?
Soms moet je je bij zo'n vraag even afvragen of een term een algemeen geaccepteerde betekenis heeft, en dat is hier zo. Een functionele cookie is een cookie die nodig is voor het functioneren van een website. Een sessie-cookie bijvoorbeeld.
20-01-2023, 00:18 door Anoniem
Door Anoniem: De volgende vraag is die ik heb. "Alles weiger " weiger je dan ook de "Legitimate interest" vinkjes?
In dat soort cookie-dialogen: nee, die weiger je daarmee niet. De instinker is dat je makkelijk denkt alles geweigerd te hebben, maar dat er nog een flinke batterij cookies is waar je apart bezwaar tegen moet maken.

Ik denk niet dat dat legaal is, maar het gebeurt intussen wel. Gerechtvaardigd belang is namelijk niet iets waarvan een bedrijf zomaar kan roepen dat het dat heeft, het moet het ook onderbouwen. Dat gebeurt in die cookie-popups niet. En ik betwijfel of het geclaimde gerechtvaardigde belang iets anders is dan "ik verdien eraan dus het mag". Als dat een argument zou zijn dan zou je de AVG meteen af kunnen schaffen, want elke bescherming van persoonsgegevens valt dan weg. Dat is dus evident geen argument. Wat is het argument dan wel? Dat zeggen ze niet en ik zie het ook niet.
20-01-2023, 00:55 door Anoniem
Door Anoniem: De volgende vraag is die ik heb. "Alles weiger " weiger je dan ook de "Legitimate interest" vinkjes?
Doorgaans moet je die zelf alsnog uitzetten. Overigens is de interpretatie wel heel erg in het voordeel van de vragende partij. Ik ben wel benieuwd of de interpretatie van het IAB over wat als legitiem belang moet doorgaan bij een rechtbank stand zou houden.
20-01-2023, 06:58 door Anoniem
Nu na een klein beetje programmeer werk ga je er zo omheen.Dus als de cookiewall zou werken dan is de website door geen enkele zoekrobot te benaderen.Nu dit wel het geval is kan een simpel script all overlays vernietingen of verwijderen en kan je de website zo bekijken zonder brol... Nu echter is het niet altijd zo dat de website met een stacktrace af komt en zo alle interne info zoals code zomaar naar buiten gooit. Zo heb ik één site gezien die onmiddelijk na het blockeren van google location : zoveel info ten toon spreide dat als ik een hacker was het wel heel éénvoudig was.

Dat heb je nu éénmaal met die Glovers en die hatebook lovers totaal blinde @@) als je het mij vraagt
20-01-2023, 10:04 door Anoniem
Door Anoniem:
Door Anoniem: Dat is verhullend en dus misleidend:
nu wordt de suggestie gewekt dat je alle cookies kunt weigeren.
Want wat is `functioneel'?
Soms moet je je bij zo'n vraag even afvragen of een term een algemeen geaccepteerde betekenis heeft, en dat is hier zo. Een functionele cookie is een cookie die nodig is voor het functioneren van een website. Een sessie-cookie bijvoorbeeld.
Het woord `alle' of `alles' heeft ook een algemeen geaccepteerde betekenis, en dat wordt dus door websites anders opgevat als het om cookies gaat?! Even nog los van het feit dat de website dus bepaalt wat nodig is voor het functioneren van die website, en dat is ook interpretabel.
21-01-2023, 13:22 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dat is verhullend en dus misleidend:
nu wordt de suggestie gewekt dat je alle cookies kunt weigeren.
Want wat is `functioneel'?
Soms moet je je bij zo'n vraag even afvragen of een term een algemeen geaccepteerde betekenis heeft, en dat is hier zo. Een functionele cookie is een cookie die nodig is voor het functioneren van een website. Een sessie-cookie bijvoorbeeld.
Het woord `alle' of `alles' heeft ook een algemeen geaccepteerde betekenis, en dat wordt dus door websites anders opgevat als het om cookies gaat?! Even nog los van het feit dat de website dus bepaalt wat nodig is voor het functioneren van die website, en dat is ook interpretabel.
Bij de websites die het goed doen (dat zijn er nog veel te weinig) zie ik bijvoorbeeld staan:

[Alles accepteren] [Zelf instellen] [Weigeren].

of:

[Alles accepteren] [Alleen noodzakelijk] [Voorkeuren aanpassen]

Bij de tweede formulering is volgens mij geen enkel misverstand mogelijk. De eerste vergt voldoende leesvaardigheid om op te merken dat bij weigeren het woord "alles" ontbreekt, en het vermogen om te bedenken dat men dat niet heeft gebruikt omdat men ook werkelijk niet bedoelt dat het om alles zou gaan. Als dat iets is waar je de genoemde suggestie in ziet dan denk ik dat je die suggestie zelf produceert. Vul als je een tekst leest eens niet in wat er niet expliciet staat, en bedenk dat wat je dan overhoudt precies kan zijn wat men bedoelt te zeggen.
21-01-2023, 14:25 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Dat is verhullend en dus misleidend:
nu wordt de suggestie gewekt dat je alle cookies kunt weigeren.
Want wat is `functioneel'?
Soms moet je je bij zo'n vraag even afvragen of een term een algemeen geaccepteerde betekenis heeft, en dat is hier zo. Een functionele cookie is een cookie die nodig is voor het functioneren van een website. Een sessie-cookie bijvoorbeeld.
Het woord `alle' of `alles' heeft ook een algemeen geaccepteerde betekenis, en dat wordt dus door websites anders opgevat als het om cookies gaat?! Even nog los van het feit dat de website dus bepaalt wat nodig is voor het functioneren van die website, en dat is ook interpretabel.
Bij de websites die het goed doen (dat zijn er nog veel te weinig) zie ik bijvoorbeeld staan:

[Alles accepteren] [Zelf instellen] [Weigeren].

of:

[Alles accepteren] [Alleen noodzakelijk] [Voorkeuren aanpassen]

Bij de tweede formulering is volgens mij geen enkel misverstand mogelijk. De eerste vergt voldoende leesvaardigheid om op te merken dat bij weigeren het woord "alles" ontbreekt, en het vermogen om te bedenken dat men dat niet heeft gebruikt omdat men ook werkelijk niet bedoelt dat het om alles zou gaan. Als dat iets is waar je de genoemde suggestie in ziet dan denk ik dat je die suggestie zelf produceert. Vul als je een tekst leest eens niet in wat er niet expliciet staat, en bedenk dat wat je dan overhoudt precies kan zijn wat men bedoelt te zeggen.
Inderdaad worden er per website allerlei verschillende termen gebruikt die impliciet of expliciet aangeven dat je alle cookies kunt weigeren -- waar dat in de praktijk dus niet het geval is...
Dat noem ik dus misleidend.

Aangezien ik, net als veel andere mensen, geen zin heb er een hele studie aan te wijden wat voor cookies ik dan wel of niet zou willen, en ook niet de illusie dat dit dan ook 100% werkt zoals ik wil omdat ik niet kan controleren wat al die cookies dan precies doen, accepteer ik meestal alle cookies of gebruik de `incognito modus' van mijn browser er vanuitgaande dat dat redelijk effectief is tegen cookies.

Achteraf schijnt het hele idee van cookies weigeren achterhaald te zijn, maar dat zal op termijn toch niet worden teruggedraaid.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.