De websites van de Nederlandse Publieke Omroep plaatsen een grote hoeveelheid cookies, zonder dat daarvoor op de juiste manier toestemming wordt gevraagd en dat is een schending van de wet. Dat stelt het CBP in een rapport dat gisteren gepubliceerd werd.
Het was overigens niet de bedoeling dat het rapport gisteren al gepubliceerd zou worden. NRC kreeg het nog ongepubliceerde rapport via onbekende weg in handen en schreef daar een artikel over. CBP zag toen geen andere keus dan het rapport dezelfde dag nog officieel te publiceren.
NPO wordt hard aangepakt in het rapport. Dit terwijl NPO wel degelijk allerlei maatregelen heeft genomen in een poging om te voldoen aan privacy- en cookiewetgeving. NPO beschikt over een privacybeleid en over informatiebalk met cookie-informatie op de website. Via die informatiebalk kan de bezoeker kiezen om cookies te accepteren, om meer informatie te krijgen en instellingen voor cookies aan te passen of om het privacy- en cookiebeleid te lezen. NPO onderscheidt in de informatie vijf categorieën cookies en licht die toe: functionele cookies, webstatistieken, advertentiecookies, social media cookies en overige cookies. Onder elke categorie wordt vervolgens aangegeven welke cookies worden gebruikt. Zo worden onder andere Google Analytics, comScore, Facebook, Youtube, Twitter, Doubleclick, AdLantic, Weborama en AppNexus bij naam genoemd.
Dat klinkt allemaal best goed. Toch gaat NPO de mist in, aldus het CBP. Maar wat doen ze nu fout? Ik vat dat hieronder kort samen.
1) De informatiebalk bevat geen nee-knop
Als de bezoeker geen toestemming wil geven voor het plaatsen van cookies, moet hij via de knop ‘instellingen’ alle cookies separaat weigeren. Dat is volgens het CBP onvoldoende duidelijk voor de bezoeker. Doordat er alleen een akkoord-knop is, zou de bezoeker kunnen denken dat er geen cookies worden geplaatst, totdat hij op die knop klikt.
2) Cookies worden al geplaatst voordat de bezoeker een keuze maakt
Sommige cookies worden al bij het laden van de homepage geplaatst, dus voordat de bezoeker kan instemmen of weigeren. Andere cookies worden wel pas geplaatst nadat de bezoeker op ‘akkoord’ heeft geklikt. Het CBP geeft aan dat cookies pas mogen worden geplaatst nadat de bezoeker akkoord is gegaan, dus een deel van de cookies wordt al te vroeg geplaatst.
3) De analytics cookies werken ‘website overkoepelend’ en zijn daarom trackingcookies
Sommige van de analytics cookies werken met steeds dezelfde unieke identifier voor alle NPO websites. Het is daarmee mogelijk om een bezoek aan verschillende NPO websites door de tijd heen te volgen en een profiel van de bezoeker op te stellen. De cookies moeten daarom volgens het CBP als trackingcookies worden gezien, waarvoor altijd toestemming nodig is, ook als het wetsvoorstel ter versoepeling van de cookiewet dat momenteel aanhangig is wordt ingevoerd.
4) De cookie informatie is niet compleet en niet consistent
Sommige specifieke cookies worden nergens genoemd in de cookie informatie die NPO verstrekt. Het gaat dan bijvoorbeeld om de zogenaamde gads, PREF en NID cookies. NPO noemt weliswaar 12 verschillende advertentienetwerken die cookies plaatsen bij naam, maar daarbij wordt alleen het domein genoemd en geen verdere informatie over de identiteit van de partijen en de doeleinden waarvoor zij gegevens verwerken. Ook is niet duidelijk dat de toestemming die gegeven wordt voor 10 jaar geldig is. Doordat de informatie niet voldoende is, kan volgens het CBP ook geen ondubbelzinnige toestemming worden verkregen.
5) De bewerkersovereenkomsten zijn niet volledig
De bewerkersovereenkomst met comScore voor het leveren van de analytics dienst bevat niet de namen van de verschillende cookies, de herkomst (domeinnamen), of de geldigheidsduur. Ook bevat die overeenkomst geen overzicht van de soorten persoonsgegevens die comScore in opdracht van NPO verwerkt. Met de andere aanbieders van diensten heeft NPO in het geheel geen bewerkersovereenkomst gesloten.
NPO stelt zich nog op het standpunt dat er door gebruikmaking van de cookies helemaal geen persoonsgegevens worden verwerkt omdat de IP adressen die worden verzameld geen persoonsgegevens zijn en omdat het laatste octet van de IP adressen wordt verwijderd. Het CBP maakt hier korte metten mee. IP adressen zijn volgens het CBP wel persoonsgegevens, zelfs als het laatste octet wordt verwijderd. Dit omdat het IP adres dan nog steeds verwijst naar een relatief kleine groep gebruikers (255) en omdat de IP adressen gecombineerd kunnen worden met andere gegevens, zoals andere unieke identifiers, datum en tijdstempels en analytische gegevens over websitebezoek.
Het is nog niet duidelijk welke consequenties dit rapport zal hebben voor NPO. Het CBP zou aan de hand van het rapport tot handhaving over kunnen gaan, waarbij gedacht kan worden aan het opleggen van een last onder dwangsom. NPO krijgt dan een termijn om alle websites in orde te maken conform de eisen van het CBP. Doet zij dat niet of niet op tijd, dan verbeurt NPO een dwangsom.
Uit het rapport blijkt dat het CBP streng optreedt tegen schendingen van de cookiewetgeving. Niet alleen de overduidelijke en ernstige schendingen worden aangepakt, maar ook een partij als NPO die duidelijk wel pogingen heeft gedaan om aan de wetgeving te voldoen.
