Cbp onderzoek: NPO overtreedt cookiewet met analytische cookies

    - / 8 July 2014

    Na een relatief lange tijd van stilte stormt het weer in cookieland. Na een waarschuwing van het College bescherming persoonsgegevens (Cbp) aan het adres van adnetwork YD, is nu ook duidelijk geworden dat de Nederlandse Publieke Omroep (NPO) al geruime tijd in de clinch ligt met de privacywaakhond: Het Cbp heeft vandaag – na een vroegtijdige lek door het NRC – het “Rapport definitieve bevindingen” gepubliceerd naar aanleiding van het onderzoek naar de verwerking van persoonsgegevens met cookies door de NPO. Direct na publicatie heb ik de meest nieuwswaardige bevindingen uit het Rapport de wereld in getweet (zie ook hieronder), en nu dus ook een overzichtelijk blogartikel. Het Rapport geeft duidelijk blijk van de visie van het Cbp: Cookies zijn al gauw persoonsgegevens, en gebruik van analytische cookies met tracking mogelijkheden vereist voorafgaande informatie en ondubbelzinnige toestemming. De voorgestelde wetswijziging doet daar niets aan af. Het CBP zal de komende periode controleren in hoeverre de overtredingen voortduren en beslissen over eventuele inzet van sancties.

    Wat was er aan de hand?

    De NPO verzamelt met zogeheten tracking cookies persoonsgegevens van bezoekers van de websites van de Nederlandse publieke omroepen. Zij deed dit zonder eerst ondubbelzinnige toestemming te vragen, nu de cookies al bij het inladen van een webpagina werden geplaatst. Dit gebeurde dus vóórdat de websitebezoeker überhaupt een keuze kon maken om in te stemmen met het gebruik van cookies en/of zijn persoonsgegevens of niet.

    Wat zijn de bevindingen van het Cbp?

    Het Cbp stelt in een flink epistel vast dat de NPO hiermee niet voldoet aan de cookiewet. Gegevens over surfgedrag zijn gevoelige gegevens die een indringend beeld kunnen geven van iemands (communicatie-)gedrag en belangstelling. Internetgebruikers moeten daarom worden geïnformeerd over wie welke persoonsgegevens van hen verzamelt en met welk doel dat gebeurt. De NPO verzamelt gegevens van zijn websitebezoekers om – onder meer – het publieksbereik te meten, maar ook om gepersonaliseerde advertenties te tonen en om het delen van social media mogelijk te maken. Volgens het Cbp schiet de door de NPO geboden informatie echter te kort. Sterker nog: het Cbp concludeert dat de NPO bezoekers onvolledig, inconsistent en in sommige gevallen feitelijk onjuist informeert.

    Lees hier het persbericht.

     

    Overzicht van tweets van @WouterDammers van 8 juli 14:55-16:00:

    • BREKEND: Ook NPO onderwerp van cookietoezicht College Bescherming Persoonsgegevens, onderzoeksrapport in handen v NRC http://www.nrc.nl/nieuws/2014/07/08/cbp-publieke-omroep-schendt-de-privacy-van-onlinebezoekers/ …
    • Rapport van Cbp ondertussen ook gepubliceerd: NPO volgt bezoekers in strijd met cookiewet http://www.cbpweb.nl/Pages/pb_20140708_npo-cookies-publieke-omroep.aspx …
    • “Ondubbelzinnige toestemming vereist (onder meer) [adequate info en] dat hij een duidelijke keuzemogelijkheid heeft.”
    • Cookies mogen pas na een duidelijke wilsuiting worden geplaatst. 5x infobalk en bij 1e x al cookies plaatsen mag niet.
    • ‘Klik hier voor meer informatie over cookies” zorgde al, ontrecht, voor toestemming gebruik van cookies voor 9 sites.
    • Geboden info was onvolledig, inconsistent en in sommige gevallen feitelijk onjuist
    • NPO verkreeg ten onrechte geen toestemming voor analytische tracking cookies. Zou niet anders zijn na cookiewetswijziging vw privacygevolgen
    • Cbp doelt met analytische cookies van NPO op “ComScore (inclusief ScoreCard Research), Google en Mediamath”… (1v2)
    • … Volgens Cbp dus NIET toegestaan zonder info en toestemming. Ook niet na inwerkingtreding van cookiewetswijziging tav analytische cookies. (2v2)
    • In de bewerkersovereenkomst tussen NPO en comScore zou de term “persoonsgegevens” niet voorkomen.
    • NPO heeft standaard (publieke) Google Analytics bewerkersovereenkomst gesloten, zonder specificatie voor omroepen
    • Cbp stelt dat NPO geen andere bewerkersovereenkomsten heeft gesloten voor andere analytische en advertentiecookies op websites
    • Cbp is duidelijk: identifiers in cookies zijn net als IP-adressen aan te merken als persoonsgegevens
    • Anonimiseren van laatste octet van een IP-adres is geen onomkeerbare anonimisering, en adres is dan dus nog steeds een persoonsgegeven
    • Volgens Cbp niet alleen analytische cookies, maar ook tracking, aangezien bezoeker op sites v omroepen (diensten vd info mij) worden gevolgd
    • NPO is voornemens en in staat om bezoekers obv analytische cookies individuele aanbevelingen te doen. Interesseprofielen. Dus tracking.
    • Gewijzigd rechtsvermoeden dat gebruiker dan anders behandeld kan(!) worden, in de vorm van tonen van gerichte aanbevelingen. Aldus het Cbp
    • Mediamath en comScore gebruiken dezelfde unieke identifiers op meerdere websites op internet. Daarom tracking en niet uitgezonderd.
    • Bewerkersovereenkomst maakt dat niet anders. Dus ondubbelzinnige toestemming vereist voor comScore en Mediamath cookies.
    • Google niet IP-adresen anonimiseren en niet verbieden gegevens te combineren met andere diensten = ondubbelzinnige toestemming vereist.

     

    The post Cbp onderzoek: NPO overtreedt cookiewet met analytische cookies appeared first on LAWFOX.
    Terug naar overzicht

    Wouter Dammers

    Wouter Dammers, oud-medewerker ICTRecht en legal partner LAWFOX
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Juridisch advies
    Professionals inhuren
    Academy
    Legal Tech
    Security / Informatiebeveiliging
    Documenten
    Ons team
    Vacatures

     

     
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram