Happy data privacy day!

28 jan, 2022

Happy data privacy day!

Privacy uitdagingen voor 2022 - data privacy day

28 jan, 2022

Happy data privacy day!

In een extra blog speciaal voor data privacy day zoomen we in op 2 recente gebeurtenissen in privacyland. Dit als onze bijdrage voor deze bijzondere dag!

We brengen 2 keynotes rond online privacy:

Een keynote rond de onwettigverklaring van Google Analytics door de Oostenrijkse gegevensbeschermingsautoriteit
Een keynot rond een beslissing van de Belgische gegevensbeschermingsautoriteit omtrent de verwerking van cookies naar aanleiding van een klacht.

Keynote 1: de onwettig verklaring van Google Analytics door de Oostenrijkse gegevensbeschermingsautoriteit

De Oostenrijkse gegevensbeschermingsautoriteit oordeelde recent dat het gebruik van Google Analytics in strijd met de GDPR is. Dit naar aanleiding van een klacht ingediend door NOYB. Niet zozeer de grond op basis waarvan cookies worden verwerkt speelt hier een rol maar het feit dat de cookies ‘in plain text’ worden verwerkt en doorgestuurd in het Google ecosysteem (dus ook naar de Amerikaanse moeder). Bij die ‘doorgifte’ moeten volgens de GDPR en eerdere richtlijnen gepaste maatregelen worden genomen. De Oostenrijkse gegevensbeschermingsautoriteit oordeelt dat Google niet voldoende maatregelen heeft genomen en de verwerking dus niet in lijn ligt met de wetgeving.

Deze beslissing heeft als directe impact dat het gebruik van Google Analytics voor Oostenrijkse organisaties per direct in strijd met de wetgeving is bevonden. Van hen wordt verwacht dat zij (om sancties te vermijden) het gebruik van Google Analytics zo snel als mogelijk stopzetten. Hoewel dit voor Belgische bedrijven en organisaties in andere landen ook een teken aan de wand is is altijd wel de beslissing van de eigen gegevensbeschermingsautoriteit leidend. Zij kunnen er dus voor kiezen proactief te handelen of verdere richtlijnen af te wachten. Nu reeds hebben zowel de Nederlandse, Noorse als Deense gegevensbeschermingsautoriteit aangegeven met de zaak bezig te zijn. De Belgische gegevensbeschermingsautoriteit heeft voorlopig nog niet thuis.

Binnen Infosentry bekijken we samen met onze klanten de mogelijke alternatieven. Vele organisaties nemen een afwachtende houding aan omdat de impact (mogelijks) verregaand is. Het gebrek aan gelijkwaardige Europese alternatieven en andere belangen komen daarbij al snel als reden naar boven. We volgen dit voor hen op en blijven hen hierin adviseren. Aanpassingen die nu of in de toekomst aan de orde zijn zijn (1) het vervangen van Google Analytics en/of (2) het vragen van een specifieke toestemming voor de doorgifte nadat voldoende op de gevolgen en risico’s van die doorgifte is gewezen.

Keynote 2: beslissing Belgische gegevensbeschermings-autoriteit omtrent de verwerking van cookies

De Belgische Gegevensbeschermingsautoriteit heeft met een beslissing op 21 januari 2022 een Belgische website berispt over de verwerking van cookies. Een aantal adviezen/richtlijnen zijn daar uit af te leiden:

De GBA geeft aan dat enkel cookies die (1) de keuze van een gebruiker uitdrukken, (2) voor authenticatie dienen, (3) de inhoud van een winkelmandje bijhouden of (4) de user interface personaliseren mogen bijgehouden worden voor zover die intrinsiek deel uitmaken van de service en logischerwijs door de gebruiker verwacht kunnen worden zonder expliciete toestemming mogen verwerkt worden.
Een landingspagina die toegang biedt tot een meertalige website en die vervolgens cookies plaatst wordt best in het Engels voorzien. De GBA beschouwt het Engels als een wijdverspreide en veelgebruikte taal en daarom meest geschikt om als landingspagina (bij meertalige websites) te voorzien.
Een cookie consent manager volgens de GBA moet ten minste melding maken van: (1) de identiteit van de verwerkingsverantwoordelijke, (2) de doeleinden waarvoor de cookies verwerkt worden, (3) de gevolgen van aanvaarding of weigering en (4) een melding over het recht om toestemming in te trekken. Een eenvoudige verwijzing naar een cookie- of privacyverklaring volstaat niet.
De stellingen omtrent ‘ongewenste gevolgen’ moeten volgens de GBA goed worden overwogen. Hoewel dit bij de verwerking van strikt noodzakelijk cookies relevant kan zijn en volgens de GBA aanvaardbaar is mogen dit soort stellingen in andere gevallen niet als drukkingsmiddel ten aanzien van de bezoeker worden gebruikt om alsnog toestemming te bekomen. Deze stellingen moeten met de nodige voorzichtigheid en nuancering en enkel daar waar nodig worden opgenomen.

Infosentry raadt aan om de cookie consent manager op de website aan te passen en in het geval van meertalige websites een landingspagina voor taalselectie (waarbij deze als cookie wordt opgeslaan) in het Engels te voorzien.

Vragen of nood aan verdere ondersteuning omtrent cookie consent management?

Contacteer ons en onze experten helpen u graag verder!

Contacteer ons

Heeft uw organisatie te weinig zicht op de impact van de geldende verplichtingen rond privacy? Breng uw verplichtingen in kaart a.d.h.v. een Privacy Compliance Assessment.

Ondersteuning bij de implementatie en uitbouw van (privacy) compliance binnen uw organisatie.

Nood aan opvolging en ondersteuning? Op zoek naar een onafhankelijke DPO? Infosentry kan als uw DPO worden aangesteld of de interne DPO ondersteunen.

DPO, GDPR, privacy, Schrems

Cookie	Looptijd	Omschrijving
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_pk_id.cb79863f-1ef6-487d-9ffd-7aa8e2b420db.126d	1 year 27 days	Piwik Pro Cookie - Used to recognize visitors and hold their various properties.
_pk_ses.cb79863f-1ef6-487d-9ffd-7aa8e2b420db.126d	30 minutes	Piwik Pro Cookie - Shows the visitor’s active session. If the cookie doesn’t exist, it means that the session ended more than 30 minutes ago and was counted in the _pk_id cookie.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
stg_last_interaction	1 year	Piwik Pro Cookie - Indicates whether the last visitor’s session is still running or a new session has started.
stg_returning_visitor	1 year	Piwik Pro Cookie - Indicates whether the visitor has been to your site before – they are a returning visitor.
stg_traffic_source_priority	30 minutes	Piwik Pro Cookie - Stores the type of traffic source from which the visitor came to your site.

Cookie	Looptijd	Omschrijving
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	5 months 27 days	Description is currently not available.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Happy data privacy day!

Keynote 1: de onwettig verklaring van Google Analytics door de Oostenrijkse gegevensbeschermingsautoriteit

Keynote 2: beslissing Belgische gegevensbeschermings-autoriteit omtrent de verwerking van cookies

Vragen of nood aan verdere ondersteuning omtrent cookie consent management?

Over Infosentry

Contactgegevens

KMO-Portefeuille