Websites moeten netjes om toestemming vragen voor het plaatsen van tracking cookies. En sinds de de nieuwe privacywet (AVG) moeten websites dat ook op een bepaalde manier doen. Slechts 31% van de websites voldoet aan de regels.
Sinds 25 mei moeten alle organisaties voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De AVG is strenger dan de vorige privacywet waar verschillende bedrijven al moeite mee hadden. Wij constateerden een half jaar geleden dat 2 op de 3 websites de coockiewet overtreden. Ze plaatsten tracking cookies (en pixels) zonder toestemming van de bezoeker, dus voordat je op ‘cookies akkoord’ hebt geklikt. Illegale cookies
Doen websites het nu beter? Helaas, dat valt tegen. Enkele dagen ná het ingaan van de AVG zien we dat 52% van de websites (78 van de 150) direct marketing- en/of advertentiecookies plaatst als je de site opent. Dus zonder dat je toestemming hebt gegeven. De sites tonen bezoekers meestal een cookievenster met een OK-knop maar ze hebben de cookies dan al geplaatst. Deze praktijk was al illegaal volgens de vorige cookiewet en is dat nog steeds.
Met een adblocker kun je je weren tegen het plaatsen van cookies. Die blokkeert de meeste volgcookies (en Facebook pixels).
Bij 19 van de 150 sites gaat het zelfs om 5 commerciële trackers of meer:
Website | Type website | Aantal commerciële tracking cookies zonder toestemming |
Reddit.com | Sociaal netwerk | 45 |
Hoteldeal.nl | Reizen | 40 |
Amazon.de/nl | Webwinkel | 18 |
Bever.nl | Webwinkel | 17 |
Booking.com | Reizen | 12 |
Voordeeluitjes.nl | Reizen | 11 |
Nespresso.nl | Webwinkel | 8 |
Paradigit.nl | Webwinkel | 8 |
Fietsenwinkel.nl | Webwinkel | 8 |
Tidal.com | Streaming | 8 |
Decathlon.nl | Webwinkel | 8 |
Dominos.nl | Webwinkel | 7 |
OkCupid.com | Dating | 7 |
Eneco.nl | Energie | 6 |
Delta.nl | Energie | 6 |
Twitch.tv | Entertainment | 6 |
groupon.nl | Webwinkel | 6 |
Nn.nl (Nationale Nederlanden) | Geld / Verzekeringen | 5 |
123inkt.nl | Webwinkel | 5 |
Benieuwd hoe de andere websites scoren? Lees de complete lijst van 150 onderzochte websites (pdf).
Techreuzen
De meestgeplaatste trackers zijn van de advertentienetwerken van Google en Facebook. Die techreuzen weten hierdoor precies welke webpagina’s jij bezoekt. Datingsite OkCupid.com meldt direct en zonder toestemming aan onder meer Facebook dat je aan daten doet. Dat is voor Facebook commercieel interessante (maar wel gevoelige) informatie.
Onze selectie van 150 sites bestond uit populaire websites en sites die gevoelige informatie verwerken. Bijvoorbeeld over je gezondheid of over dating. Het zijn vooral webwinkels die relatief vaak grote ladingen cookies zonder toestemming plaatsen.
Slechts 31% voldoet aan AVG
De AVG breidt de privacybescherming van consumenten verder uit. Volgens de nieuwe privacywet (AVG) mag een website alleen tracking cookies op jouw apparaat plaatsen als jij daar toestemming voor geeft. En aan die toestemming zijn duidelijke eisen verbonden. Zo moet jij die toestemming vrijelijk, ondubbelzinnig, geïnformeerd en specifiek kunnen geven. Dit betekent een aantal dingen:
- Een cookiemuur die de hele site blokkeert tot je akkoord geeft is niet langer toegestaan.
- Je moet akkoord kunnen gaan met verschillende typen cookies (als die geplaatst worden) en die keuze moet duidelijk gecommuniceerd worden.
- Dat akkoord moet altijd een optie zijn die je zelf moet aanvinken (opt-in) zijn.
- Je moet je akkoord ook weer kunnen intrekken en dat per cookie of categorie cookies.
Leggen we de 150 onderzochte websites langs de AVG-meetlat, dan voldoet slechts 31% aan de belangrijkste regels. Tracking cookies worden niet (ongevraagd) geplaatst én er is een goed gecommuniceerde cookiekeuze. Je kunt als bezoeker de commerciële trackers weigeren (en toch de site opgaan).
Weigeroptie verstopt
Een aantal sites heeft wel een optie om de commerciële cookies te weigeren, maar daar is de optie meestal verstopt achter een ‘meer informatie’ link: BVA-Auctions.com, Cameranu.nl, Coolblue.nl, Dominos.nl, Expedia.nl, Icscards.nl, Knab.nl, Lexa.nl. NLziet.nl, Nespresso.nl, XS4ALL.nl.
Slikken of stikken
26 sites (17%) plaatsen vooraf geen trackingcookies, maar maken trackingcookies onontkoombaar omdat je álle cookies moet accepteren. Het is slikken of stikken en ook dat is niet AVG-proof. Het gaat onder andere om Buienradar.nl, Conrad.nl, Funda.nl, Hema.nl, Ikea.nl, Marktplaats.nl, Rtlnieuws.nl, Telegraaf.nl, Ticketmaster.nl, Videoland.nl, Volkskrant.nl, weeronline.nl. Zij plaatsen na je akkoord voor alle cookies (één keuze) alle trackers.
Heldere cookiekeuze
Sommige websites bieden wel een heldere cookiekeuze, zonder dat je geleid wordt naar een Akkoord-knop en zonder dat standaard al ‘alle cookies accepteren’ is aangevinkt. Bijvoorbeeld Kanker.nl dat standaard alleen functionele cookies plaatst (en alleen als je wilt ook statistische). Of Alzheimer-nederland.nl met een cookiekeuzemenu en standaard alleen de functionele cookies aangevinkt.
Consumentenbond.nl
De site van de Consumentenbond heeft al enkele jaren een cookiemelding die je laat kiezen om akkoord te gaan met het cookiebeleid of dit beleid af te wijzen. Je kunt op de niet akkoord knop drukken en toch onze site gebruiken. Het plan is later dit jaar bezoekers akkoord te vragen voor de verschillende categorieën cookies.
Hoe is het onderzoek uitgevoerd?
We hebben op een Windows-pc met browser Firefox en de adblocker Ghostery gekeken naar de aantallen tracking cookies met commercieel doel die we voor en na het accepteren van de cookiemelding binnenkregen. Het gaat hier om cookies, pixels en vergelijkbare volgtechnieken die Ghostery schaart onder de noemer ‘advertising’ trackers.
Update 8 juni
– ah.nl en Bol.com hebben laten weten dat bol.com wel degelijk een keuze aan te bieden om marketingcookies te weigeren. Dit klopt – al is de optie wat verstopt. Dit hebben we bij beide websites in onze lijst met alle 150 websites (pdf). gecorrigeerd.
– knab.nl: laat weten dat de persoonlijke bankieromgeving vrij is van commerciële cookies, en dat de commerciële cookie op de publieke pagina’s een onbedoeld effect was van hun technische oplossing. Deze cookie is inmiddels verwijderd.
– nos.nl: zegt de aangetroffen trackingcookie (Scorecard) alleen voor analysedoeleinden te gebruiken, geanonimiseerd.
Bron: Consumentenbond