Vier op de tien grootste websites houden zich niet aan de AVG. Onwil, onkunde of nalatigheid?

More To Explore

De AVG, hoe zat het ok alweer?

Sinds mei 2018 geldt in de gehele EU dezelfde privacywetgeving, de General Data Protection Regulation (GDPR). In Nederland noemen we deze privacywetgeving de Algemene verordening gegevensbescherming, ook wel AVG.

De inwerkingtreding van de AVG had grote gevolgen voor het juridisch correct gebruik van cookies en data tracking. De Autoriteit Persoonsgegevens (AP) zou streng gaan toezien op de naleving van de wet en door e-commerce professionals werd daarom met spanning gekeken welke impact de wetgeving zou hebben op de online marketing inspanningen.

Onderzoek: Wat doet 39% na vijf jaar AVG nog altijd fout?

De 100 grootste e-commerce websites zijn door ons één voor één bezocht om te beoordelen of zij voldoen aan de voorschriften van de AVG. Alle onderzochte websites hebben een cookiebeleid en er is dus geen gebrek aan transparantie.

 

Wel blijken de regels omtrent de cookiewall nog altijd niet eenduidig te worden geïnterpreteerd. Door de in- en uitgaande network requests te bekijken, hebben we een beeld gekregen welke data van een bezoeker wordt ontvangen en verzonden (zowel voor- als na het geven van cookie consent). 

Maar liefst 39% van de grootste en toonaangevende websites in Nederland voldoet niet aan de privacywetgeving. Zo wordt bijvoorbeeld data gedeeld met derden zoals Meta (Facebook) nog voordat er toestemming is gegeven voor het verzamelen van marketing gerelateerde data. 

In 39% van de gevallen klopt het beschreven cookiebeleid dus niet met wat er technisch daadwerkelijk gebeurt op de site. Het lijkt geen opzet maar eerder nalatigheid, achterstallig onderhoud of een gebrek technische kennis. 

Strenger toezicht en oplopende boetes liggen op de loer

 Inmiddels zijn we meer dan vijf jaar en 2,7 miljard euro aan Europese boetes verder. Vorig jaar werd het hoogste bedrag aan boetes opgelegd, bijna 45% van het totaal tot nu toe.

In Nederland hebben onder andere de Belastingdienst, Booking.com, DPG Media, Gemeente Enschede, Tennis Bond KNLTB, Menzis, Transavia en UWV boetes opgelegd gekregen.
 
In vergelijking met de rest van Europa worden in Nederland relatief weinig maar gemiddeld hoge boetes opgelegd. Maar dat lijkt te gaan veranderen. De aankomende drie jaar krijgt echter de Autoriteit Persoonsgegevens (AP) een half miljoen euro extra per jaar om strenger dan voorheen toezicht te houden op cookies en online tracking. Op basis van de resultaten van het onderzoek loopt vier op de tien grote webshops het risico op een boete omdat men niet voldoet aan de AVG.  
 
Nu de AP strenger gaat controleren en handhaven wordt het nog belangrijker om cookieconsent en de techniek daaromtrent goed voor elkaar te hebben. Maar waar te beginnen als je dacht dat je alles al goed deed?

Betrouwbare cookieconsent in drie stappen

 Controleer het opgestelde beleid

In het beleid voor cookies staat beschreven hoe je omgaat met cookies en hoe ze technisch behoren te werken. Zorg dat het beleid up-to-date is en vraag hiervoor indien nodig juridisch advies. In de meeste gevallen was in ons onderzoek op het beleid niets aan te merken.

Technische audit

Laat je site auditen om te zien of de data tracking en cookies technisch werken zoals in het beleid beschreven. Zijn er geen verouderde cookies en is de tag manager up to date? Zorg er voor dat iemand met de juiste kennis (extern of intern) de technische werking van alle cookies inricht conform het opgestelde beleid.

Monitoring

Zorg voor een structurele en regelmatige check op de data die je deelt met derden. Development, nieuwe site releases, nieuwe technologiepartners en nieuwe pixels mogen geen invloed hebben op de juridisch juiste werking.

Als organisatie moet je er dus continu voor waken dat je in overeenstemming met je eigen privacy beleid blijft handelen. Is de verwerking van data (door bijvoorbeeld GA4, Google Ads en Facebook) in overeenstemming met de verwerkersovereenkomst(en)? Elke wijziging aan de website dient altijd gecontroleerd te worden zodat je niet onbewust de AVG overtreedt en potentiële financiële schade en / of imago schade ondervindt.

Dit is te bereiken door een regelmatige en handmatige audit. Meer zekerheid en garantie bieden gespecialiseerde tools die proactief monitoren. Voorbeelden hiervan zijn Code Cube of Harvest Consent Monitor.

 

Conclusie

Ook al denkt men al te voldoen aan de AVG, in de praktijk blijkt dit vaak niet het geval te zijn. Als dat ook voor jou geldt, ben je in goed gezelschap want zo’n 40% van de websites uit de Twinkle Top 100 heeft de zaken niet volledig op orde.

Gezien het verhoogde budget de aankomende drie jaar voor de Autoriteit Persoonsgegevens en het aangekondigde strengere toezicht op cookies en online tracking, wordt het hoog tijd voor een goede audit en de eventueel noodzakelijke technische aanpassingen.

 ==========================================

Over de auteurs:

Harm Linssen is partner bij Relevant Online. Gerben Wiering is marketing consultant en mede eigenaar van Okerblauw.

Consent Mode is creating attribution challenges

Seeing strange spikes in Google Analytics lately? You’re not alone. Are you lately also seeing strange spikes in Google Analytics, like unassigned traffic or “not