De AVG, hoe zat het ok alweer?
Sinds mei 2018 geldt in de gehele EU dezelfde privacywetgeving, de General Data Protection Regulation (GDPR). In Nederland noemen we deze privacywetgeving de Algemene verordening gegevensbescherming, ook wel AVG.
De inwerkingtreding van de AVG had grote gevolgen voor het juridisch correct gebruik van cookies en data tracking. De Autoriteit Persoonsgegevens (AP) zou streng gaan toezien op de naleving van de wet en door e-commerce professionals werd daarom met spanning gekeken welke impact de wetgeving zou hebben op de online marketing inspanningen.
Onderzoek: Wat doet 39% na vijf jaar AVG nog altijd fout?
De 100 grootste e-commerce websites zijn door ons één voor één bezocht om te beoordelen of zij voldoen aan de voorschriften van de AVG. Alle onderzochte websites hebben een cookiebeleid en er is dus geen gebrek aan transparantie.
Wel blijken de regels omtrent de cookiewall nog altijd niet eenduidig te worden geïnterpreteerd. Door de in- en uitgaande network requests te bekijken, hebben we een beeld gekregen welke data van een bezoeker wordt ontvangen en verzonden (zowel voor- als na het geven van cookie consent).
Maar liefst 39% van de grootste en toonaangevende websites in Nederland voldoet niet aan de privacywetgeving. Zo wordt bijvoorbeeld data gedeeld met derden zoals Meta (Facebook) nog voordat er toestemming is gegeven voor het verzamelen van marketing gerelateerde data.
In 39% van de gevallen klopt het beschreven cookiebeleid dus niet met wat er technisch daadwerkelijk gebeurt op de site. Het lijkt geen opzet maar eerder nalatigheid, achterstallig onderhoud of een gebrek technische kennis.
Strenger toezicht en oplopende boetes liggen op de loer
Inmiddels zijn we meer dan vijf jaar en 2,7 miljard euro aan Europese boetes verder. Vorig jaar werd het hoogste bedrag aan boetes opgelegd, bijna 45% van het totaal tot nu toe.
Betrouwbare cookieconsent in drie stappen
Controleer het opgestelde beleid
In het beleid voor cookies staat beschreven hoe je omgaat met cookies en hoe ze technisch behoren te werken. Zorg dat het beleid up-to-date is en vraag hiervoor indien nodig juridisch advies. In de meeste gevallen was in ons onderzoek op het beleid niets aan te merken.
Technische audit
Laat je site auditen om te zien of de data tracking en cookies technisch werken zoals in het beleid beschreven. Zijn er geen verouderde cookies en is de tag manager up to date? Zorg er voor dat iemand met de juiste kennis (extern of intern) de technische werking van alle cookies inricht conform het opgestelde beleid.
Monitoring
Zorg voor een structurele en regelmatige check op de data die je deelt met derden. Development, nieuwe site releases, nieuwe technologiepartners en nieuwe pixels mogen geen invloed hebben op de juridisch juiste werking.
Als organisatie moet je er dus continu voor waken dat je in overeenstemming met je eigen privacy beleid blijft handelen. Is de verwerking van data (door bijvoorbeeld GA4, Google Ads en Facebook) in overeenstemming met de verwerkersovereenkomst(en)? Elke wijziging aan de website dient altijd gecontroleerd te worden zodat je niet onbewust de AVG overtreedt en potentiële financiële schade en / of imago schade ondervindt.
Dit is te bereiken door een regelmatige en handmatige audit. Meer zekerheid en garantie bieden gespecialiseerde tools die proactief monitoren. Voorbeelden hiervan zijn Code Cube of Harvest Consent Monitor.
Conclusie
Ook al denkt men al te voldoen aan de AVG, in de praktijk blijkt dit vaak niet het geval te zijn. Als dat ook voor jou geldt, ben je in goed gezelschap want zo’n 40% van de websites uit de Twinkle Top 100 heeft de zaken niet volledig op orde.
Gezien het verhoogde budget de aankomende drie jaar voor de Autoriteit Persoonsgegevens en het aangekondigde strengere toezicht op cookies en online tracking, wordt het hoog tijd voor een goede audit en de eventueel noodzakelijke technische aanpassingen.
==========================================
Over de auteurs:
Harm Linssen is partner bij Relevant Online. Gerben Wiering is marketing consultant en mede eigenaar van Okerblauw.
