Happy data privacy day!
In een extra blog speciaal voor data privacy day zoomen we in op 2 recente gebeurtenissen in privacyland. Dit als onze bijdrage voor deze bijzondere dag!
We brengen 2 keynotes rond online privacy:
- Een keynote rond de onwettigverklaring van Google Analytics door de Oostenrijkse gegevensbeschermingsautoriteit
- Een keynot rond een beslissing van de Belgische gegevensbeschermingsautoriteit omtrent de verwerking van cookies naar aanleiding van een klacht.
Keynote 1: de onwettig verklaring van Google Analytics door de Oostenrijkse gegevensbeschermingsautoriteit
De Oostenrijkse gegevensbeschermingsautoriteit oordeelde recent dat het gebruik van Google Analytics in strijd met de GDPR is. Dit naar aanleiding van een klacht ingediend door NOYB. Niet zozeer de grond op basis waarvan cookies worden verwerkt speelt hier een rol maar het feit dat de cookies ‘in plain text’ worden verwerkt en doorgestuurd in het Google ecosysteem (dus ook naar de Amerikaanse moeder). Bij die ‘doorgifte’ moeten volgens de GDPR en eerdere richtlijnen gepaste maatregelen worden genomen. De Oostenrijkse gegevensbeschermingsautoriteit oordeelt dat Google niet voldoende maatregelen heeft genomen en de verwerking dus niet in lijn ligt met de wetgeving.
Deze beslissing heeft als directe impact dat het gebruik van Google Analytics voor Oostenrijkse organisaties per direct in strijd met de wetgeving is bevonden. Van hen wordt verwacht dat zij (om sancties te vermijden) het gebruik van Google Analytics zo snel als mogelijk stopzetten. Hoewel dit voor Belgische bedrijven en organisaties in andere landen ook een teken aan de wand is is altijd wel de beslissing van de eigen gegevensbeschermingsautoriteit leidend. Zij kunnen er dus voor kiezen proactief te handelen of verdere richtlijnen af te wachten. Nu reeds hebben zowel de Nederlandse, Noorse als Deense gegevensbeschermingsautoriteit aangegeven met de zaak bezig te zijn. De Belgische gegevensbeschermingsautoriteit heeft voorlopig nog niet thuis.
Binnen Infosentry bekijken we samen met onze klanten de mogelijke alternatieven. Vele organisaties nemen een afwachtende houding aan omdat de impact (mogelijks) verregaand is. Het gebrek aan gelijkwaardige Europese alternatieven en andere belangen komen daarbij al snel als reden naar boven. We volgen dit voor hen op en blijven hen hierin adviseren. Aanpassingen die nu of in de toekomst aan de orde zijn zijn (1) het vervangen van Google Analytics en/of (2) het vragen van een specifieke toestemming voor de doorgifte nadat voldoende op de gevolgen en risico’s van die doorgifte is gewezen.
Keynote 2: beslissing Belgische gegevensbeschermings-autoriteit omtrent de verwerking van cookies
De Belgische Gegevensbeschermingsautoriteit heeft met een beslissing op 21 januari 2022 een Belgische website berispt over de verwerking van cookies. Een aantal adviezen/richtlijnen zijn daar uit af te leiden:
- De GBA geeft aan dat enkel cookies die (1) de keuze van een gebruiker uitdrukken, (2) voor authenticatie dienen, (3) de inhoud van een winkelmandje bijhouden of (4) de user interface personaliseren mogen bijgehouden worden voor zover die intrinsiek deel uitmaken van de service en logischerwijs door de gebruiker verwacht kunnen worden zonder expliciete toestemming mogen verwerkt worden.
- Een landingspagina die toegang biedt tot een meertalige website en die vervolgens cookies plaatst wordt best in het Engels voorzien. De GBA beschouwt het Engels als een wijdverspreide en veelgebruikte taal en daarom meest geschikt om als landingspagina (bij meertalige websites) te voorzien.
- Een cookie consent manager volgens de GBA moet ten minste melding maken van: (1) de identiteit van de verwerkingsverantwoordelijke, (2) de doeleinden waarvoor de cookies verwerkt worden, (3) de gevolgen van aanvaarding of weigering en (4) een melding over het recht om toestemming in te trekken. Een eenvoudige verwijzing naar een cookie- of privacyverklaring volstaat niet.
- De stellingen omtrent ‘ongewenste gevolgen’ moeten volgens de GBA goed worden overwogen. Hoewel dit bij de verwerking van strikt noodzakelijk cookies relevant kan zijn en volgens de GBA aanvaardbaar is mogen dit soort stellingen in andere gevallen niet als drukkingsmiddel ten aanzien van de bezoeker worden gebruikt om alsnog toestemming te bekomen. Deze stellingen moeten met de nodige voorzichtigheid en nuancering en enkel daar waar nodig worden opgenomen.
Infosentry raadt aan om de cookie consent manager op de website aan te passen en in het geval van meertalige websites een landingspagina voor taalselectie (waarbij deze als cookie wordt opgeslaan) in het Engels te voorzien.
Vragen of nood aan verdere ondersteuning omtrent cookie consent management?
Heeft uw organisatie te weinig zicht op de impact van de geldende verplichtingen rond privacy? Breng uw verplichtingen in kaart a.d.h.v. een Privacy Compliance Assessment.
Ondersteuning bij de implementatie en uitbouw van (privacy) compliance binnen uw organisatie.
Nood aan opvolging en ondersteuning? Op zoek naar een onafhankelijke DPO? Infosentry kan als uw DPO worden aangesteld of de interne DPO ondersteunen.