Ook NPO door CBP op de vingers getikt voor overtreden cookieregelgeving

vrijdag, 25 juli 2014

Het College Bescherming Persoonsgegevens (CBP) heeft opnieuw een organisatie op de vingers getikt voor het overtreden van de cookieregelgeving. In juni 2014 publiceerde het CBP een rapport waarin het oordeelt dat ook de Nederlandse Publieke Omroep (NPO) de cookieregelgeving schendt. Door NPO wordt vóór het plaatsen van cookies geen ondubbelzinnige toestemming gevraagd aan de bezoekers van haar websites. Bovendien worden de bezoekers niet juist, noch volledig geïnformeerd over het gebruik van cookies door NPO. Hierdoor handlet NPO in strijd met de Telecommunicatiewet (Tw) én de Wet bescherming persoonsgegevens (Wbp).

In de Privacy Nieuwsflits van mei 2014 berichtten wij over de publicatie van het eerste rapport van het CBP waarin het oordeelt dat een bedrijf de cookieregelgeving heeft overtreden. Inmiddels is in juni 2014 een tweede rapport verschenen. Het CBP heeft de naleving van de cookieregelgeving dus hoog op de agenda staan!

Cookiegebruik NPO

NPO is houder van 32 websites van publieke omroepen en radio- en televisiezenders waaronder die van Uitzending Gemist, NOS, 3FM en TROS. Bij bezoek aan deze websites worden diverse soorten cookies, waaronder tracking cookies geplaatst op de computer, tablet of smartphone van de bezoeker. Tracking cookies maken het mogelijk het surfgedrag van bezoekers van deze websites te volgen en in kaart te brengen. De cookies worden geplaatst om gepersonaliseerde advertenties aan bezoekers te kunnen tonen en om informatie te kunnen delen via sociale media. Met de door NPO geplaatste cookies worden onder meer IP-adressen en gegevens over het websitebezoek van gebruikers verzameld. Deze gegevens kunnen door NPO met behulp van het aan iedere bezoeker gekoppelde unieke identificatienummer worden herleid tot een individu. Hierdoor is sprake van verwerking van persoonsgegevens door NPO. Voorafgaand aan het plaatsen van de cookies dient NPO hiervoor de ondubbelzinnige toestemming van haar bezoekers te verkrijgen en de bezoekers te informeren over de te plaatsen cookies. Bovendien dient NPO een grondslag te hebben om persoonsgegevens te mogen verwerken. NPO kan alleen een beroep doen op de grondslag ondubbelzinnige toestemming voor de verwerking van persoonsgegevens door middel van cookies.

In het rapport van juni 2014 oordeelt het CBP dat NPO niet voldoet aan het vereiste van voorafgaande toestemming, geen grondslag heeft voor de verwerking van persoonsgegevens en bovendien niet voldoet aan de informatieplicht.

Geen ondubbelzinnige toestemming verkregen

Voor het verkrijgen van ondubbelzinnige toestemming is vereist dat bezoekers actief hun toestemming geven voordat cookies mogen worden geplaatst, bijvoorbeeld door het aanvinken van een ‘tickbox’. Bij een bezoek aan de websites van NPO verschijnt een pop-up scherm met een ‘Akkoord’ knop en een hyperlink naar meer informatie over cookies. Maar nog voordat bezoekers in dit pop-up scherm op ‘Akkoord’ hebben kunnen klikken, worden cookies geplaatst op de computer, tablet of smartphone van de bezoeker. Bovendien blijkt uit het onderzoek van het CBP dat indien een bezoeker van een website van NPO een willekeurig item heeft aangeklikt - nota bene zonder op de ‘Akkoord’ knop te hebben geklikt – deze bezoeker wordt geacht toestemming te hebben gegeven voor alle cookies van alle websites van NPO gedurende tien jaar na zijn bezoek. Hiermee handelt NPO in strijd met het toestemmingsvereiste, waardoor ook persoonsgegevens worden verwerkt zonder grondslag, aldus het CBP.

Niet voldaan aan informatieplicht

Het CBP oordeelt in zijn rapport dat NPO ook niet heeft voldaan aan haar informatieplicht. De informatie aan bezoekers over de gebruikte cookies is volgens het CBP onvolledig, inconsistent en in sommige gevallen feitelijk onjuist. Bovendien wordt er geen informatie verstrekt over een groot aantal cookies die wel worden geplaatst. Daarnaast wordt vermeld dat de gebruikte cookies geen persoonsgegevens bevatten. Dit is onjuist, zo oordeelt het CBP, nu met tracking cookies wel degelijk persoonsgegevens worden verwerkt. Daarenboven wordt op vier websites helemaal geen informatie gegeven over cookies.

Nu NPO niet voldoet aan het toestemmingsvereiste en de informatieplicht en bovendien geen toestemming heeft verkregen voor het verwerken van persoonsgegevens, concludeert het CBP dat NPO in strijd handelt met de cookieregels van de Tw én de Wbp. Het CBP zal de komende periode controleren in hoeverre de overtredingen van NPO voortduren en beslissen over eventuele sancties.

Conclusie: LET OP!

Om te voldoen aan de cookieregelgeving dient voor alle niet functionele cookies (waaronder analytische en tracking cookies) toestemming worden gegeven vóórdat de cookies mogen worden geplaatst.