Wereldwijd zijn overheden niet alleen verplicht om zich niet te mengen in de privacy van burgers, maar in sommige gevallen moeten zij dit recht ook actief beschermen. Een grote verantwoordelijkheid dus.
Je zou dan ook denken dat Nederlandse gemeentes na de komst van de Algemene Verordening Gegevensbescherming (AVG) hun best zouden doen om het recht op privacy zo veel mogelijk te beschermen. Al helemaal als je kijkt naar de hoge boetes die de Autoriteit Persoonsgegevens (AP) mag uitdelen bij schending van deze strikte regels. Een recent onderzoek uitgevoerd door de Volkskrant in samenwerking met de Fontys Hogeschool laat daarentegen zien dat meerdere gemeenten dit helemaal niet zo goed hebben geregeld als we hadden verwacht (en gehoopt).
Agressieve cookies
Het onderzoek laat zien dat 28 Nederlandse gemeenten op hun website gebruikmaken van ‘agressieve’ cookies. Cookies zijn kleine tekstbestandjes die worden geplaatst op de computers of smartphones van een individu zodat dit apparaat wordt herkend. Uit deze cookies wordt informatie gehaald voor verschillende doelen.
Niet alle cookies zijn ’agressief’ (lees: privacy schendend). Zo bestaan er functionele cookies die worden geplaatst om een website te laten functioneren, zoals een cookie die aangeeft in welke taal de website moet worden laten zien. Maar de cookies die geplaatst worden bij een bezoek aan de website van één van de 28 gemeenten maken het mogelijk dat partijen zoals Google en Facebook het gedrag van die websitebezoekers kunnen volgen over het hele internet. Op basis van deze tracking cookies kunnen profielen opgesteld worden om bijvoorbeeld gepersonaliseerde reclame te tonen.
De burgers weten van niks – en dat is niet hun eigen schuld.
De bezoekers van de websites van de 28 gemeenten hebben niks door. Dit komt, omdat de gemeenten de AVG-regels niet naleven. Deze regels stellen dat tracking cookies alleen geplaatst mogen worden nadat een websitebezoeker geïnformeerd is over de cookies en hiervoor uitdrukkelijke toestemming heeft gegeven. De informatie moet o.a. vermelden welke cookies precies gebruikt worden, welke persoonsgegevens verwerkt worden en voor hoelang de cookies geplaatst worden. De gemiddelde burger, die weinig tot geen technische kennis heeft en dus niet weet hoe die kan controleren of een website cookies plaatst, kan er zo goed als niet achter komen dat er cookies worden geplaatst.
We hadden niks door
Verder blijkt ook dat de meeste gemeenten niet eens op de hoogte waren van deze ‘agressieve cookies’ op hun websites en dat ‘een externe partij de cookies op de website heeft geplaatst’. Oftewel het besef bij de gemeenten is dus bijzonder klein.
De gemeenten zijn nu flink wakker geschud uit hun onwetendheid en moeten aan de slag om AVG proof te worden. Anders hangen er zeer hoge boetes boven het hoofd. Vooral deze boetes maken het ontzettend belangrijk om niet alleen je website maar ook je interne bedrijfsvoering op orde te hebben. Zo moet je een privacy policy en een cookieverklaring hebben, maar in veel gevallen ook verwerkersovereenkomsten sluiten. Op blended.law vind je talloze producten die jou kunnen helpen met het implementeren van en voldoen aan de nieuwe privacywetgeving.