In hoeverre voldoet het cookiebeleid van de nieuwswebsite aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG)?

De AVG is de belangrijkste privacywet en houdt zich bezig met de bescherming van persoonsgegevens (Autoriteit Persoonsgegevens, z.d.-a). Deze verordening is van toepassing op alle Europese organisaties, die te maken krijgen met het bijhouden en verwerken van persoonsgegevens van Europese burgers. In Nederland worden regels uit de Uitvoeringswet algemene verordening gegevensbescherming toegepast om onderdelen van de AVG uit te kunnen voeren (Expertisecentrum Europees Recht, z.d.). Volgens artikel 5 van de AVG dienen alle organisaties die persoonsgegevens verwerken zich te houden aan de basisprincipes van de AVG (Autoriteit Persoonsgegevens, z.d.-c):

(1) Rechtmatigheid, behoorlijkheid en transparantie: Organisaties zijn gebonden aan de AVG en mogen persoonsgegevens alleen verwerken in overeenstemming met deze regelgeving. Daarnaast moeten organisaties eerlijk en open kunnen toelichten waarom en hoe persoonsgegevens worden verwerkt (Autoriteit Persoonsgegevens, z.d.-c).

(2) Doelbinding: Organisaties moeten duidelijk maken met welk doel persoonsgegevens worden verzameld en persoonsgegevens mogen alleen voor dit doel worden gebruikt (Autoriteit Persoonsgegevens, z.d.-c).

(3) Dataminimalisatie: Organisaties mogen persoonsgegevens alleen verwerken voor een specifiek doel en persoonsgegevens niet meer verwerken dan nodig (Autoriteit Persoonsgegevens, z.d.-c).

(4) Juistheid: Organisaties moeten ervoor zorgen dat persoonsgegevens juist zijn (Autoriteit Persoonsgegevens, z.d.-c).

(5) Opslagbeperking: Indien organisaties afwijken van het oorspronkelijke doel van het verzamelen van persoonsgegevens, dienen deze persoonsgegevens te worden verwijderd (Autoriteit Persoonsgegevens, z.d.-c).

(6)Vertrouwelijkheid en integriteit: Organisaties moeten gegevensverwerking op een beveiligde manier laten plaatsvinden (Autoriteit Persoonsgegevens, z.d.-c).

Cookies en toestemming

Voor cookies met beperkte impact op de privacy is geen expliciete toestemming van de gebruiker nodig. Hierbij gaat het met name om cookies die bijdragen aan een betere werking van de website, zoals analytische en functionele cookies. Wanneer een website echter de privacy schendt, is de website verplicht om toestemming te vragen aan de gebruiker. Vaak betreft het dan tracking cookies. Bij dit proces kunnen persoonsgegevens worden verwerkt, waarbij de AVG van kracht is (Rijksoverheid, z.d.-a).

Als een website gegevens verwerkt die direct betrekking hebben op een individu of die samengevoegd kunnen worden om een persoon te identificeren, dan is het noodzakelijk om een herziening uit te voeren om te voldoen aan de vereisten van de AVG. Een belangrijke vereiste van de AVG is het verkrijgen van toestemming voor het gebruik van cookies. De toestemming moet aan de volgende aspecten voldoen (CookieInfo, z.d.):

(1) Geïnformeerd: Het moet voor de gebruiker duidelijk zijn waarom, hoe en waar persoonlijke gegevens worden gebruikt. Hierbij moet het voor de gebruiker mogelijk zijn om cookies uit te kunnen schakelen (CookieInfo, z.d.).

(2) Interpreteerbaar: Het moet voor de gebruiker niet mogelijk worden gemaakt om de toestemming verkeerd te kunnen interpreteren (CookieInfo, z.d.).

(3) Voorafgaand: Het is noodzakelijk dat de gebruiker voorafgaand aan de eerste verwerking van persoonsgegevens toestemming kan geven (CookieInfo, z.d.).

(4) Intrekbaar: Wanneer de gebruiker al eens toestemming heeft verleend, moet het voor de gebruiker mogelijk worden gemaakt om deze toestemming weer in te trekken (CookieInfo, z.d.).

(5) Vergeetbaar: Op aanvraag van de gebruiker dienen al zijn of haar persoonsgegevens op een juiste manier te worden gewist (CookieInfo, z.d.).

Richtlijnen van cookiebanner

Deze vereisten leiden ertoe dat cookiebanners en -meldingen zich hieraan moeten aanpassen. Hierbij moeten cookiebanners voldoen aan de volgende richtlijnen (CookieInfo, z.d.):

(1) Noodzakelijkheid: Enkel noodzakelijke cookies worden direct geplaatst. Het plaatsen van de overige cookies wordt uitgesteld totdat er toestemming wordt verkregen (CookieInfo, z.d.).

(2) Voorafgaand: Cookies die persoonlijke gegevens bijhouden mogen alleen met voorafgaande toestemming worden geplaatst (CookieInfo, z.d.).

(3) Duidelijkheid: De beschrijving van de cookies is accuraat en gedetailleerd, weergegeven in begrijpelijke en heldere bewoordingen (CookieInfo, z.d.).

(4) Vermelding: Alle cookies worden uitvoerig opgesomd, met inbegrip van gedetailleerde informatie over hun herkomst, tijdsduur en functie (CookieInfo, z.d.).

(5) Categorisatie: De cookies zijn onderverdeeld in duidelijke categorieën, waarbij de gebruiker de mogelijkheid heeft om elke categorie al dan niet te selecteren (CookieInfo, z.d.).

(6) Verantwoording: De cookie categorieën die noodzakelijk zijn en geen persoonsgegevens verwerken mogen al van tevoren zijn geselecteerd. De categorieën die wel persoonsgegevens verwerken moeten door de gebruiker bewust kunnen worden geselecteerd (CookieInfo, z.d.).

(7) Verandering: De gebruiker kan zien welke toestemming er is gegeven en kan deze toestemming dan ook wijzigen of intrekken (CookieInfo, z.d.).

(8) Hernieuwing: Om de 12 maanden hoort de gebruiker opnieuw te worden gevraagd voor toestemming (CookieInfo, z.d.).

Richtlijnen van cookiemelding

Zo moeten ook cookiemeldingen voldoen aan de volgende richtlijnen:

(1) Transparantie: Een cookieverklaring moet de gebruiker duidelijk maken welke cookies aanwezig zijn en hoe deze cookies worden gebruikt (CookieInfo, z.d.).

(2) Verantwoording: De gebruiker moet toestemming kunnen geven met een bewuste actie en cookies daadwerkelijk kunnen weigeren (CookieInfo, z.d.).

(3) Verandering: De gebruiker moet in staat zijn de toestemming te wijzigen of in te kunnen trekken (CookieInfo, z.d.).

(4) Hernieuwing: Om de 12 maanden moet de gebruiker opnieuw toestemming kunnen geven (CookieInfo, z.d.).

Analyse

Met behulp van deze richtlijnen is elke nieuwswebsite uit de samengestelde top 20 nieuwswebsites onderzocht. Bij dit proces is elke nieuwswebsite systematisch beoordeeld op naleving van de richtlijnen met betrekking tot het verlenen van toestemming, cookiebanners en cookiemeldingen.

NOS

De nieuwswebsite van de NOS maakt gebruik van een cookiebanner, die de AVG niet zou overtreden. De cookiebanner geeft aan dat er functionele en analytische cookies worden gebruikt met als doel optimalisatie en het verzamelen van statistieken (NOS, z.d.-b). In de cookieverklaring wordt aangegeven dat statistieken en andere rapportages zijn geanonimiseerd (NOS, z.d.-a). Hieruit kan worden opgemaakt dat de NOS geen gebruik maakt van tracking cookies. De functionele en analytische cookies worden zonder toestemming geplaatst, omdat deze cookies noodzakelijk zijn voor de functionaliteit en optimalisatie van de nieuwswebsite. Een aantal richtlijnen voor een goede cookiebanner zijn hier niet van toepassing, omdat deze richtlijnen gaan over tracking cookies (CookieInfo, z.d.). Opmerkelijk is dat de functionele en analytische cookies uitvoerig worden beschreven en toegelicht in de cookieverklaring, waarbij naam, domein, functie en levensduur van elke cookie worden aangegeven.

DPG Media

DPG Media is de bekendste mediagroep van Nederland en België (DPG Media, z.d.-a). Hieronder vallen vele nieuwsmerken, waaronder de AD en NU.nl (DPG Media, z.d.-b). Indien er op een van de nieuwswebsites van DPG Media toestemming wordt verleend, is deze toestemming van toepassing op alle andere nieuwswebsites van DPG Media. Zo maken een aantal nieuwswebsites uit de top 20 deel uit van DPG Media, waardoor DPG Media als geheel wordt meegenomen in deze analyse. Hierbij maakt DPG Media gebruik van een cookiemelding, die de AVG wel zou overtreden. In de cookiemelding wordt vermeld dat er een gebruikersprofiel wordt gecreëerd, waarin informatie wordt opgenomen, waaronder gegevens over het surfgedrag. Hierbij geeft DPG Media aan dat met deze cookies en het gebruikersprofiel gepersonaliseerde advertenties worden getoond (AD, z.d.; BN DeStem, z.d.; Brabants Dagblad, z.d.; De Gelderlander, z.d.; De Stentor, z.d.; De Volkskrant, z.d.; Eindhovens Dagblad, z.d.; Het Parool, z.d.; Indebuurt, z.d.; NU.nl, z.d.; Tubantia, z.d.; Trouw, z.d.). Hieruit kan worden opgemaakt dat DPG Media gebruikmaakt van tracking cookies (Autoriteit Persoonsgegevens, z.d.-d). Opmerkelijk is dat DPG Media in de cookiemelding aangeeft advertentiepartners te hebben, waarvan sommige partners persoonsgegevens voor meer dan 12 maanden vasthouden voor onder andere het selecteren van advertenties (AD, z.d.; BN DeStem, z.d.; Brabants Dagblad, z.d.; De Gelderlander, z.d.; De Stentor, z.d.; De Volkskrant, z.d.; Eindhovens Dagblad, z.d.; Het Parool, z.d.; Indebuurt, z.d.; NU.nl, z.d.; Tubantia, z.d.; Trouw, z.d.). Volgens de richtlijn over hernieuwing (CookieInfo, z.d.) zou hieruit kunnen worden opgemaakt dat deze partners niet na 12 maanden opnieuw toestemming vragen, omdat deze partners persoonsgegevens voor langer dan 12 maanden vasthouden.

RTL Nieuws

RTL Nieuws hanteert een cookiemelding, die de AVG wel zou schenden. In de cookiemelding wordt aangegeven dat onder andere persoonsgegevens en surfgedrag worden opgeslagen om onder andere advertenties en content te personaliseren (RTL Nieuws, z.d.). Hieruit kan worden afgeleid dat RTL Nieuws tracking cookies inzet (Autoriteit Persoonsgegevens, z.d.-d). In de cookie-instellingen wordt aangegeven waarvoor persoonsgegevens worden gebruikt, waaronder voor gepersonaliseerde advertenties (RTL Nieuws, z.d.). Hoewel er een uitleg wordt verstrekt, zou er een gebrek aan transparantie aanwezig kunnen zijn (CookieInfo, z.d.). Er wordt bijvoorbeeld aangegeven hoeveel leveranciers er voor gepersonaliseerde advertenties worden gebruikt (RTL Nieuws, z.d.), maar hieruit is niet te herleiden om welke leveranciers het precies gaat. Daarnaast wordt er in de privacyverklaring aangegeven dat de toestemming voor het gebruik van persoonsgegevens voor advertenties niet kan worden ingetrokken wanneer de gebruiker gebruikmaakt van gratis of goedkope diensten (RTL Nieuws, 2023). Hierdoor zou de gebruiker niet de mogelijkheid krijgen de toestemming te wijzigen of in te kunnen trekken (CookieInfo, z.d.).

Mediahuis

Mediahuis is een mediabedrijf dat bekende nieuwsmerken zoals De Telegraaf omvat, evenals regionale nieuwsmerken zoals het Noordhollands Dagblad (Mediahuis, z.d.). Als er toestemming wordt gegeven op een van de nieuwswebsites van Mediahuis, is deze toestemming van kracht voor alle andere nieuwswebsites van Mediahuis. Enkele van deze nieuwswebsites behoren tot de top 20, waardoor Mediahuis als geheel wordt betrokken bij deze analyse. Hierbij maakt Mediahuis gebruik van een cookiemelding, die de AVG zou overtreden. In de cookiemelding wordt vermeld dat onder andere persoonsgegevens worden bewaard voor onder andere gepersonaliseerde content en advertenties (De Telegraaf, z.d.; Metro, z.d.; Noordhollands Dagblad, z.d.). Hieruit kan worden opgemaakt dat Mediahuis gebruikmaakt van tracking cookies (Autoriteit Persoonsgegevens, z.d.-d). Opvallend is dat Mediahuis in het cookiebeleid aangeeft partners toe te laten staan cookies te plaatsen voor onder andere gepersonaliseerde advertenties, waarvan sommige partners persoonsgegevens voor een ongelimiteerde duur vasthouden (Mediahuis, z.d.). Volgens de richtlijn over hernieuwing (CookieInfo, z.d.) zou hieruit kunnen worden opgemaakt dat deze partners niet na 12 maanden opnieuw toestemming vragen, omdat deze partners persoonsgegevens voor een ongelimiteerde duur vasthouden.

NRC

De nieuwswebsite van NRC hanteert een cookiebanner, die de AVG zou overtreden. De cookiebanner geeft aan dat persoonsgegevens niet worden verkocht (NRC, z.d.-a). In het privacybeleid wordt aangegeven dat de geplaatste cookies bedoeld zijn voor het laten functioneren van de website (NRC, z.d.-b), waaruit kan worden opgemaakt dat NRC geen gebruik maakt van tracking cookies (Autoriteit Persoonsgegevens, z.d.-d). Hoewel NRC geen tracking cookies gebruikt en daarom sommige richtlijnen voor een goede cookiebanner niet van toepassing zijn, ontbreekt in de cookiebanner een indeling van cookies, zoals bijvoorbeeld in de categorieën noodzakelijk of statistiek (CookieInfo, z.d.).

Hart van Nederland

De nieuwswebsite van Hart van Nederland maakt gebruik van een cookiemelding, die de AVG zou overtreden. In de cookiemelding is aangegeven dat persoonsgegevens met partners worden gedeeld (Hart van Nederland, z.d.), waaruit kan worden opgemaakt dat Hart van Nederland gebruikmaakt van tracking cookies (CookieInfo, z.d.). Opvallend is dat de lijst met partners al staat geselecteerd voordat de gebruiker deze partners kan selecteren (Hart van Nederland, z.d.), waardoor er niet aan de richtlijn over verantwoording wordt voldaan (CookieInfo, z.d.). Bovendien bewaren bepaalde partners persoonsgegevens gedurende langer dan 12 maanden voor onder andere gepersonaliseerde advertenties (Hart van Nederland, z.d.). Volgens de richtlijn over hernieuwing (CookieInfo, z.d.) zou hieruit kunnen worden opgemaakt dat deze partners niet na 12 maanden opnieuw toestemming vragen, omdat deze partners persoonsgegevens voor langer dan 12 maanden vasthouden.

BNR Nieuwsradio

BNR Nieuwsradio hanteert een cookiemelding, die de AVG zou overtreden. In de cookiemelding wordt vermeld dat andere partijen betrokken zijn bij onder andere het personaliseren van content (BNR, z.d.), waaruit kan worden opgemaakt dat de nieuwswebsite gebruikmaakt van tracking cookies (CookieInfo, z.d.). Hierbij kan de gebruiker instellingen veranderen en toestemming geven voor bepaalde cookies. Een aantal partners bewaart echter persoonsgegevens gedurende langer dan 12 maanden voor onder andere gepersonaliseerde advertenties (BNR, z.d.). Volgens de richtlijn omtrent vernieuwing (CookieInfo, z.d.) zou hieruit kunnen worden afgeleid dat deze partners niet opnieuw om toestemming vragen na 12 maanden, omdat deze partners persoonsgegevens voor een langere periode bewaren.