Cookies en toestemming: hoe zit het ook alweer?

LET OP: update 14 januari 2022 onderaan de blog

 

Cookies, we komen ze tegen op vrijwel alle websites. Toch roept dit abstracte verschijnsel bij veel mensen vragen op. Wat zijn het precies? Hoe zet je cookies in? Waar moet je rekening mee houden bij het plaatsen van cookies op je website vanuit privacyperspectief? In dit artikel leggen wij uit hoe je cookies op jouw website kan inzetten zónder daarbij inbreuk te maken op de privacy van de websitegebruikers.

Cookies

Een cookie is een klein tekstbestandje dat een website op de harde schijf van je computer zet op het moment dat je een website bezoekt. De belangrijkste functie van cookies is om websitegebruikers van elkaar te onderscheiden. Er zijn verschillende soorten cookies, deze zijn hieronder kort weergegeven.

Functionele cookies

Functionele cookies zijn cookies die technisch noodzakelijk zijn om een website goed te laten werken. Een voorbeeld hiervan is een cookie die gebruikt wordt om de inhoud van een winkelwagentje te onthouden.

Affiliate cookies

Met affiliate cookies kan bepaald worden via welk kanaal en welke advertentie een klant een bepaald product of dienst heeft gevonden. Op deze manier kunnen adverteerders beloond worden.

Analytische cookies

Analytische cookies analyseren het gebruik van de website en brengen dit in kaart. Dergelijke cookies dragen bij aan het verbeteren van de kwaliteit en/of de effectiviteit van de website. Een voorbeeld van een analytische cookie is de Google Analytics-cookie.

Google Analytics: Met behulp van Google Analytics krijg je meer inzichten in statistieken en kan je het gebruik van je website optimaliseren, met als doel het genereren van meer conversies. Google Analytics maakt voor het verzamelen van dergelijke data gebruik van analytische cookies.

Tracking cookies

Tracking cookies leggen op persoonsniveau gegevens vast en volgen soms ook het gedrag van websitegebruikers over meerdere websites.

Social media button: Social media buttons bestaan uit tracking cookies. Deze buttons zorgen ervoor dat websitegebruikers artikelen van een website kunnen delen. Door websitegebruikers in staat te stellen om zelf te bepalen of zij tracking cookies voor social media accepteren, wordt de button (en daarmee ook tracking cookies) pas geactiveerd op het moment dat een gebruiker actief op een button klikt.

Toestemming noodzakelijk

Het plaatsen van cookies kan juridische consequenties hebben, omdat ze worden gebruikt voor verschillende doeleinden. Een verkeerde toepassing van cookies kan bijvoorbeeld leiden tot een privacyinbreuk. De vraag is of bescherming van de privacy van de websitebezoekers, zonder verlies van functionaliteit én zonder toestemming van de bezoeker, mogelijk is. Het antwoord is ‘ja’. Hieronder leggen wij uit hoe dat zit.

Programma’s als Google Analytics maken gebruik van identifiers. Deze identifiers worden aangemerkt als persoonsgegeven in de zin van de Algemene Verordening Gegevensbescherming (AVG). De cookies die deze programma’s plaatsen, vallen onder de Telecommunicatiewet (Tw). De hoofdregel met betrekking tot het plaatsen van cookies is dat toestemming nodig is van de websitebezoeker. Dit is het toestemmingsvereiste. Toestemming moet op grond van de AVG vrij gegeven, specifiek en ondubbelzinnig zijn. Verder bepaalt de AVG dat toestemming gegeven moet zijn op basis van de juiste informatie (het moet dus duidelijk zijn waar precies toestemming voor gegeven wordt). Tenslotte moet het intrekken van toestemming net zo gemakkelijk zijn als het geven ervan.

Geen toestemming

Uitzonderingen op het toestemmingsvereiste zijn mogelijk. Zo kunnen analytische en statistische cookies zonder toestemming worden gebruikt, indien ze zo worden ingesteld dat data alleen wordt vastgelegd en/of verwerkt om het gebruik van de website te analyseren. Tracking cookies kunnen niet worden uitgesloten van het toestemmingsvereiste, aangezien ze altijd impact hebben op de privacy van websitebezoekers. Dit betekent het volgende:

  • Alleen cookies met betrekking tot statistische en analytische doeleinden vallen onder de uitzonderingsgrond. Cookies mogen dus niet worden gebruikt om verschillende websitebezoekers anders te behandelen.
  • De cookies mogen geen of zeer geringe gevolgen hebben voor de privacy van de websitebezoeker.

Het plaatsen van analytische en statistische cookies kan onder voorwaarden dus zonder toestemming van de websitegebruiker, maar dat betekent niet dat uw organisatie alles met de verworven data mag doen. Voor verwerking is alsnog een grondslag nodig op basis van de AVG, zoals een algemeen, vitaal of gerechtvaardigd belang. Het is verder belangrijk dat u als verwerkingsverantwoordelijke een verwerkersovereenkomst afsluit met Google, waarin is vastgelegd dat Google alleen als verwerker optreedt bij de verwerking van persoonsgegevens van uw websitebezoekers (zie hiervoor het instellingenmenu van Google Analytics).

Cookiebanner

Aangezien de toestemming voor verwerking van persoonsgegevens specifiek moet zijn, volstaat het niet om met één knop toestemming te vragen voor verschillende soorten cookies met verschillende doeleinden. Het plaatsen van een cookiebanner is een mogelijkheid om toestemming te vragen aan websitegebruikers voor de verschillende typen cookies.

Websites die alleen gebruikmaken van uitgezonderde cookies hoeven geen cookiebanner te plaatsen. In dat geval is het wel aan te raden om in bijvoorbeeld een cookie-statement te informeren over de soorten cookies die op de website worden gebruikt.

Wat moet u doen?

Organisaties worden geacht de impact op de privacy van websitegebruikers zoveel mogelijk te minimaliseren. Het vermijden van onnodige verwerking van persoonsgegevens is mogelijk zonder verlies van functionaliteit van uw website.

Persoonsgegevens in URL

Google Analytics meet standaard alle URL’s op uw website, dus ook URL’s waar persoonsgegevens in voorkomen, zoals links om in te loggen. Om privacyinbreuk te voorkomen, raden wij aan om ervoor te zorgen dat persoonsgegevens niet meer voorkomen in URL’s. Dit werkt beter dan het bouwen van een tool die zorgt dat Google Analytics geen persoonsgegevens in URL’s meet.

Niet-direct herleidbare identifiers

Verder biedt Google Analytics maatwerk, maar daarmee gaan vaak persoonsgegevens richting Google Analytics. Wees u ervan bewust dat ook niet-direct herleidbare identifiers gezien moeten worden als persoonsgegeven.

Pseudonimiseren IP-adressen

Tenslotte biedt Google de mogelijkheid om IP-adressen van websitebezoekers te pseudonimiseren. Echter, ook gepseudonimiseerde IP-adressen zijn persoonsgegevens.

Vragen?

Heeft u vragen of opmerkingen, of wilt u meer weten? Neem dan contact met ons op. Wij helpen u graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

UPDATE D.D. 14-01-2022 – Autoriteit Persoonsgegevens wijst op mogelijk verbod Google Analytics

Het gebruik van Google Analytics is mogelijk binnenkort in Nederland verboden, zo stelt de Autoriteit Persoonsgegevens (AP) naar aanleiding van de uitspraak van de Oostenrijkse privacytoezichthouder. Gisteren stelde de Datenschutzbehörde (DSB) dat het gebruik van Googles statistiekenprogramma in strijd met de AVG is. Volgens de DSB wordt erbij het gebruik van Google Analytics persoonlijke data naar Google in de Verenigde Staten verstuurd, waaronder user identifiers, ip-adressen en browserparameters

De uitspraak van de Oostenrijkse privacytoezichthouder volgde op een klacht van privacyorganisatie noyb. De organisatie, opgericht door privacyactivist Max Schrems, heeft bij privacytoezichthouders in heel de Europese Unie klachten over onder andere Google Analytics ingediend. De Nederlandse Autoriteit Persoonsgegevens heeft twee klachten over het gebruik van Google Analytics in Nederland ontvangen en is daarop een onderzoek gestart.

Op dit moment gelden er verschillende regels voor het gebruik van Googles statistiekenprogramma. “Gebruikt u Google Analytics, dan verwerkt u met de analytische cookies persoonsgegevens van uw websitebezoekers. Dat heeft dus gevolgen voor hun privacy. U moet hierbij in principe zowel voldoen aan de Telecommunicatiewet (uw bezoekers informeren en om toestemming vragen) als aan de Algemene verordening gegevensbescherming (AVG)”, zo laat de AP weten.

De onderzoeken van de Nederlandse privacytoezichthouder lopen nog en zullen begin dit jaar worden afgerond. Pas dan kan de Autoriteit Persoonsgegevens zeggen of Google Analytics is toegestaan of niet. De Nederlandse privacytoezichthouder heeft echter op de informatiepagina over cookies een waarschuwing geplaatst: “Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan.” Noyb stelde gisteren al dat de uitspraak van de DSB gevolgen voor heel veel websites in de EU zal hebben.

Privacy in de spotlight: Een phishingmail. Wat nu?

De afgelopen periode is het onderwerp steeds vaker in het nieuws geweest: Phishingmails. Phishing is een vorm van internetfraude, wat bestaat uit het oplichten van mensen door ze via een valse e-mail te lokken naar websites om persoonlijke en gevoelige gegevens ‘binnen te hengelen’.

Hoe ziet een phishingmail er uit?

Een phishingmail ziet er uit als een gewone e-mail, waarin cybercriminelen zich voordoen als bijvoorbeeld je bank, overheidsinstelling, postbedrijf, webwinkel of een collega. Er wordt een verzoek gedaan om op linkjes te klikken, bijlages te openen, geld over te maken of gegevens in te vullen. Op die manier kunnen ze zorgen voor de verspreiding van virussen of geldsommen aftroggelen. Via een phishingmail kan een cybercrimineel ook toegang krijgen tot je systemen, met de persoonlijke gegevens die daarin te vinden zijn. Het systeem wordt dan als ware gehackt. Dit kan leiden tot een potentieel datalek.

Makers van phishingmails gaan steeds professioneler te werk, waardoor de kans op een hack via zo’n mail ook bij jouw organisatie kan voorkomen. Het kan lastig zijn om te bepalen wat je moet doen op het moment dat jouw organisatie te maken krijgt met phishing.

Een phishingmail. Wat nu?

Probeer allereerst kalm te blijven. Het volgende stappenplan kan je helpen om de situatie weer onder controle te krijgen.

1. Doe vooronderzoek

Probeer zo snel mogelijk vast te stellen of er sprake is van een beveiligingsincident. Gaat het om phishing, of toch iets anders? Schakel met je IT-afdeling en check of meerdere medewerkers dezelfde e-mail hebben ontvangen.

2. Beperk de schade

Het is van belang om de schade zoveel mogelijk te beperken. Dit kan gedaan worden door de link uit de phishingmail direct te laten blokkeren door de IT-afdeling. Ook moet de oorspronkelijke phishingmail door IT verwijderd worden. Stuur vanuit de organisatie een bericht naar alle medewerkers over de phishingmail, met instructies om nergens op te klikken en het eigen wachtwoord direct te wijzigen.

3. Verzamel de feiten

De volgende stap is om te achterhalen welke medewerkers wel op de link hebben geklikt en gegevens hebben verstuurd. Kortom: de impact vaststellen. Kan de IT-afdeling dit niet zelf, dan raden wij aan om zo snel mogelijk een externe partij in te schakelen.

Stel de feiten vast door een aantal vragen te stellen. Bijvoorbeeld:

  • Hoeveel medewerkers binnen de organisatie hebben de e-mail ontvangen?
  • Hoeveel medewerkers hebben op de link geklikt?
  • Wat voor gegevens bevat de phishingmail? Bevat deze alleen inhoud om inloggegevens te achterhalen, of ook inhoud om persoonsgegevens of andere gevoelige gegevens op te vragen?  
  • Bevat het gehackte e-mailaccount van de medewerker(s) veel gevoelige e-mails en/of persoonsgegevens?
  • Is het uit te sluiten dat de hacker toegang heeft gekregen tot andere gevoelige informatie?

4. Overleg met je FG en doe eventueel een (voor)melding bij de Autoriteit Persoonsgegevens

Wanneer het beveiligingsincident is vastgesteld, de feiten zijn onderzocht en duidelijk is dát er persoonsgegevens zijn gelekt, moet besloten worden of er gemeld gaat worden bij de Autoriteit Persoonsgegevens. Wanneer het langer duurt om de juiste feiten vast te stellen, kan er altijd overwogen worden om een voormelding te doen bij de Autoriteit Persoonsgegevens.

Overleg altijd met je Functionaris Gegevensbescherming. Om je zo goed mogelijk te helpen in dit soort situaties heeft Lumen Group een ‘Datalek Loket’ in het leven geroepen. Het Datalek Loket is te bereiken via 030 – 889 65 75 en via e-mailadres datalekloket@lumengroup.nl.

5. Tref maatregelen

Denk na over hoe in de toekomst dergelijke incidenten minder snel kunnen voorkomen. Zorg er ervoor dat je internetbeveiligingssoftware up to date is.  Ook is het aan te raden om alle e-mailaccounts met 2-factor authenticatie te beveiligen. Daarmee is er een extra verificatie van de identiteit bij het inloggen op de mailbox nodig, en is het account moeilijker te hacken via een phishingmail.

Bovenstaande maatregelen nemen niet weg dat de meeste incidenten en datalekken worden veroorzaakt door menselijk handelen. Zorg daarom voor voldoende bewustwording onder je medewerkers. Dit kan  gedaan worden door bewustwordingssessies gericht op phishing uit te voeren, zoals bijvoorbeeld een nep phishingsmail te versturen of door medewerkers een ‘herken de phishingmail’-test te laten doen.

Betere privacy voor oud-leerlingen met Wet register onderwijsdeelnemers

Het wordt mogelijk om langer dan één jaar oud-leerlinggegevens te verkrijgen voor evaluatie van het gegeven basisschooladvies. PO/SO scholen vragen al jaren de resultaten op van hun oud-leerlingen bij VO/VSO scholen. Dit is een belangrijke gegevensstroom waarbij PO/SO scholen een beeld krijgen of het door hun gegeven schooladvies juist is. Hierdoor kan ook de kwaliteit van het basisschoolonderwijs worden geëvalueerd.  Vooralsnog is deze gegevensoverdracht alleen mogelijk voor het eerste VO/VSO leerjaar van de oud-leerling. De wettelijke grondslag hiervoor ligt in artikel 5 Inrichtingsbesluit WVO.

PO/SO scholen hebben behoefte naar een verruiming van deze termijn. In de praktijk is gebleken dat er ook na het eerste leerjaar vaak nog gegevens worden verstrekt. Soms worden zelfs volledige dossiers of rapporten gedeeld, terwijl dit wettelijk gezien eigenlijk niet mag en niet in het belang van de privacy van de leerlingen is. Privacygevoelige gegevens worden in grote aantallen gedeeld en opgeslagen, wat de kans op bijvoorbeeld datalekken vergroot. 

Nieuwe wet: De Wet register onderwijsdeelnemers

In de nieuwe Wet register onderwijsdeelnemers wordt de termijn voor de gegevensoverdacht uitgebreid naar drie leerjaren, waardoor scholen in staat worden gesteld de kwaliteit van de advisering te verbeteren. De grondslag hiervoor is artikel 20 van de nieuwe wet Register Onderwijsdeelnemers. Dit is mede omdat er sinds 2014-2015 meer gewicht wordt toegekend aan het door de PO/SO school gegeven schooladvies. Het wetsvoorstel is op 19 februari 2019 aangenomen door de Eerste Kamer. Er wordt gestreefd naar een inwerkingtreding met ingang van 1 januari 2020.

Hoe werkt de wet in de praktijk?

De positie van individuele oud-leerlingen worden in het eerste, twee én derde leerjaar van het VO/VSO via het register onderwijsdeelnemers door DUO geleverd aan scholen voor PO of SO. PO/SO scholen krijgen dus de gegevens voortaan geautomatiseerd uit BRON verstrekt. Hierdoor hoeven scholen onderling geen gegevens meer uit te wisselen. Dit levert een groot voordeel op het gebied van informatiebeveiliging en privacy op.

Naast basisgegevens worden het leerjaar en het niveau van de leerling (schoolsoort, leerweg, uitstroomprofiel VSO) verstrekt. Onder de basisgegevens vallen in ieder geval: Identificerende gegevens, inschrijvingsgegevens, opleidingsgegevens, resultaatgegevens en overige basisgegevens. Daarnaast wordt ook het registratienummer van de VO- of VSO-school verstrekt. Uit het wetsvoorstel wordt duidelijk dat het enkel over de gegevens van de eerste drie leerjaren van het VO of het VSO kan gaan. Dit is, vergeleken met de huidige situatie, een flinke verbetering voor PO/SO scholen.

Wat is de bewaartermijn voor de teruggekoppelde gegevens?

Er is gekozen voor een bewaartermijn van vijf jaren voor de teruggekoppelde gegevens.

Levert deze nieuwe manier van gegevensoverdracht niet veel risico’s op voor de privacy van de leerlingen?

Ten aanzien van de uitbreiding van de gegevenslevering is een DPIA uitgevoerd (data protection impact assessment). Daaruit is gebleken dat de nieuwe regelgeving voldoet aan de vereisten van doelbinding en dataminimalisatie. Er is gekeken naar of er geschikte alternatieven voorhanden zijn om  het beoogde doel, namelijk het verbeteren van de kwaliteit van schooladvies, te bereiken. Het is gebleken dat dit niet het geval is.

Toekomstige ontwikkelingen

Omdat de wet nog niet inwerking is getreden, weten wij ook  nog niet precies hoe het in de praktijk zal gaan uitvallen. Wij houden de actualiteiten in de gaten en zullen updates geven waar nodig.

Privacy in de spotlight: ‘AVG-tooling’

Lumen Group vervult inmiddels al voor veel organisaties de functie van Functionaris Gegevensbescherming / Data Protection Officer. Hierdoor hebben wij een goed beeld van de privacy-volwassenheid bij onze klanten. Wij weten daarom ook welke hulpmiddelen daadwerkelijk helpen bij een structurele implementatie van de AVG/GDPR en om te groeien in privacy-volwassenheid. Eén van die hulpmiddelen is een zogenaamde ‘AVG-tooling’. In deze blog zullen wij uitleggen welke voordelen tooling heeft voor een organisatie.

Wat is AVG-tooling?

In feite creëert tooling een AVG-werkprogramma met daarin diverse relevante templates en documenten, zoals het privacybeleid en het register van verwerkingsactiviteiten. Binnen het werkprogramma zijn diverse activiteiten/werkzaamheden opgenomen die moeten worden verricht om aan de AVG te voldoen. Deze werkzaamheden kunnen worden toegewezen aan specifieke personen. Zij krijgen vervolgens (automatisch) bericht over wat, wanneer en hoe zij deze taken moeten uitvoeren.

Daarnaast beschikt de tooling over een dashboard waarin altijd een actueel overzicht van alle statussen zijn te zien. Daarmee is het mogelijk om uiteindelijk naleving van de AVG-vereisten aan te tonen. Met één klik op de knop wordt inzichtelijk wat er nog gedaan moet worden.

Wat zijn de voordelen van AVG-tooling?

Het gebruik van tooling zorgt ervoor dat het inzichtelijk en overzichtelijk is waar nog niet aan de AVG vereisten wordt voldaan. Daardoor is het makkelijker om de werkzaamheden toe te wijzen en op een efficiënte en effectieve manier uit te voeren. Ook zorgt het ook voor efficiëntere bijeenkomsten met de bestuurder en/ of raad van toezicht.

Een ander voordeel van tooling is dat continu kan worden voldaan aan de aantoonbaarheidsverplichting die de AVG kent. Binnen de workflow is namelijk ook de zogenoemde PDCA-cyclus opgenomen. Daardoor krijgen actiehouders automatisch een bericht toegestuurd met de benodigde acties. Dit zorgt er uiteindelijk ook voor dat aan de vanuit de AVG verplichte risico-gebaseerde aanpak wordt voldaan.

Tot slot is er ook een groot voordeel voor de Privacy Officer, en uiteindelijk ook de Functionaris Gegevensbescherming. Door het overzicht dat de tooling brengt is het makkelijker voor de FG/ DPO om te monitoreren en de juiste (toezichts)acties uit te voeren. Daarnaast merken wij, in onze hoedanigheid als FG, dat onze klanten die een dergelijke tooling gebruiken ook daadwerkelijk (een stuk) verder zijn in een implementatie van de AVG/GDPR in vergelijking tot klanten die geen tooling gebruiken.

Welke opties zijn er voor AVG-tooling?

Indien u of uw organisatie overweegt om tooling aan te schaffen, dan is het raadzaam om hierover advies te vragen. Wij hebben ervaring met diverse soorten tooling en kunnen u dan ook een passend advies verzorgen. Zowel wij, als onze klanten, hebben goede ervaringen met de AVG-tooling van EasyPrivacy en YourSafetyNet.

Wilt u meer weten? Nemen dan gerust contact met ons op. Wij zijn bereikbaar via telefoonnummer 030 – 889 65 75 en via e-mailadres info@lumengroup.nl.