Dat heeft de AP deze week bekendgemaakt. Dit zijn de eerste 50 van in totaal 500 organisaties die de AP elk jaar wil waarschuwen dat hun cookiebanner niet op orde is. Ze ontvangen eerst een waarschuwing, als ze niets doen volgt een onderzoek en dan waarschijnlijk een boete. Zo draaien de molens.

De gewaarschuwde aanbieders, waarvan de namen helaas niet worden genoemd, bieden een misleidende banner om cookies te weren, veelal via woorden en/of opmaak die de keuze stuurt, dan wel door het geheel ontbreken van de mogelijkheid om alle niet-essentiële cookies te mijden.

De AP noemt drie veel voorkomende voorbeelden:

• de website al cookies plaatst voordat de bezoeker toestemming heeft gegeven;
• in de cookiebanner de toestemming voor tracking cookies al is aangevinkt;
• bezoekers pas bij de ‘weiger-knop’ komen als ze doorklikken naar een volgend venster.

De Consumentenbond heeft al enkele malen aangetoond dat de manieren waarop aanbieders cookies pogen te plaatsten niet deugen, recent nog en eerder al in 2023. De AP lag al die tijd op één oor. Handhaving was een farce. Pas in 2024 heeft de AP de eerste boetes opgelegd, voor Kruidvat en Coolblue, respectievelijk 600.000 en 40.000 euro groot. Al in 2023 kreeg de toezichthouder 500.000 euro extra per jaar voor een periode van drie jaar voor de strijd tegen volgsoftware en misleidende cookiebanners.

De Oostenrijkse datawaakhond DSB heeft in een klachtzaak in oktober 2024 gesteld dat de optie om te weigeren qua opmaak niet mag verschillen van de optie om cookies te accepteren: dus dezelfde kleur en letter en achtergrond. Deze uitleg geldt dan voor de hele EU, maar bijna niemand weet ervan. (Zie de uitleg van de Oostenrijkers).

Meer voorlichting

Ook geeft de AP de organisaties voorlichting met vuistregels voor cookiebanners en houdt ‘informatiesessies’. Dat alles omdat juist de strenge wetgeving die sinds 2011 heeft geleid tot allerhande trucs om deze te ontlopen, zodat consumenten de banner maar wegklikken en daarmee toestemming gaven voor cookieplaatsing. Daar heeft de AP dus vele jaren bij staan kijken zonder goed op te treden.

De bescherming is als middel erger geworden dan de kwaal, als gevolg van volslagen mislukte wetgeving. Ex-Kamerlid voor D66 Kees Verhoeven (foto boven van Lilian van Rooij) gaf dat ruiterlijk toe in een vraaggesprek dat ik met hem had voor het boek De Privacy Paradox:

Europa probeert de verloren concurrentiestrijd met de VS en China te compenseren met wetgeving waaruit hoge boetes voortvloeien, in plaats van belastinginkomsten van succesvolle bedrijven. Alles zo minutieus, de GDPR is 50.000 woorden, de Californische dataprotectiewet 10.000 woorden en beter te begrijpen...

“Het is inderdaad soms ongelooflijk gedetailleerd, zoals met de veiligheidseisen van NIS 2. Die fout heb ik als Kamerlid zelf gemaakt met de cookiewet. Ik ben ook op een technologisch onderdeeltje gaan zitten, die cookies in plaats van algemeen formuleren dat je mensen niet mag volgen.”

U bekent ruiterlijk fouten, een zeldzaamheid in politiek en media…

“Nou ja, iedereen maakt fouten, dus waarom zou je ze niet gewoon fatsoenlijk bekennen? Leek me leuk en leerzaam. Met de invulling van de cookiewet hadden we veel beter moeten luisteren naar de reclamesector. We dachten ‘lobby is slecht’, we zagen enkel het cowboy-verdienmodel van online gerichte reclame.

In 2011 was ik net Kamerlid, een mannetje van jewelste. Ik kreeg te veel boze sms'jes van belanghebbenden bij online reclame die wij Kamerleden wel even zouden indammen. Maar hun waarschuwingen, hoe lastig ook geuit destijds, zijn wel bewaarheid. We kozen als Kamer een verkeerde oplossing, mensen klikken alle cookiewaarschuwingen gedachteloos weg. Dus we hadden veel beter moeten luisteren, niet zo op de techniek moeten gaan zitten en wetgeving moeten formuleren op basis van principes. We pleegden micromanagement, symboolpolitiek.”

Daisy verzonnen slachtoffer door AP

De AP doet ook aan voorlichting voor consumenten. Zo wordt Daisy opgevoerd, een 32-jarige vrouw die de uitvaart van haar vader geregeld zou hebben en met het zoeken naar passende diensten op internet en vervolgens (uiteraard) geconfronteerd werd met reclames voor uitvaartlocaties, rouwkaarten en bloemen. Dat schendt privacy volgens de AP. Daisy is verzonnen, haar verhaal ook. De foto komt van Getty Images en is gerelateerd aan juwelenverkoop.

Persoonlijk gerichte reclame irriteert maar de vraag is of die ook de privacy ernstig schaadt. De AVG zelf bevat het woord privacy niet, maar behelst ‘databescherming’. In de volksmond is dat gelijk aan privacybescherming, en overtredingen heten dan al snel ‘privacyschending’. De meeste privacyschending veroorzaken gebruikers doorgaans zelf.

*) Netkwesties verzamelt geen persoonsgegevens via cookies. Google Analytics is aangepast door Google waardoor geen persoonsgegevens meer worden verwerkt.