Waar komen al die "weiger"-knoppen vandaan!
Steeds meer websites hebben een optie toegevoegd om "nee" te zeggen tegen cookies en andere tracking - zoals voorzien door de GDPR. Waar komt deze trend vandaan?
In maart 2021 heeft noyb het web gescand op illegale cookiebanners en meer dan 700 klachten ingediend in heel Europa. Een laatste scan toont een gedetailleerde beoordeling na 1,5 jaar: meer dan 50% van de sites hebben hun banners verbeterd, in veel gevallen zonder dat noyb ooit contact heeft opgenomen
Achtergrond en gegevensverzameling Met speciaal ontwikkelde software heeft noyb in maart 2021 meer dan 3.600 websites gescand en gegevens verzameld over de vraag of de toestemmingsbanners op deze sites in strijd waren met de GDPR. Op basis van deze gegevens werden meer dan 700 klachten ingediend tegen de meest bezochte pagina's waarvan de banners GDPR-schendingen hadden, zoals geen "weiger"-knop of misleidende ontwerpen. Dit leidde tot een massale heroverweging bij veel aanbieders van bannersoftware en websites. Standaardinstellingen werden als preventieve maatregel gewijzigd in een meer GDPR-conforme versie, zelfs als er niet eens een klacht was ingediend
"Deze golf van klachten heeft een enorm preventief effect gehad. We horen van bedrijven dat ze hun standpunt over cookiebanners al hebben gewijzigd na de aankondiging van onze handhavingsgolf - zelfs als ze zelf geen klacht hebben ontvangen." - Max Schrems, voorzitter van noyb
Deze golf van klachten ging gepaard met andere handhavingsmaatregelen van de gegevensbeschermingsautoriteiten; zo heeft de Franse CNIL richtsnoeren ingevoerd en Google verplicht een "weiger"-knop in te voeren, wat ook werd gezien als een signaal aan veel bedrijven om hun banners aan te passen en in Frankrijk tot belangrijke meetbare verbeteringen leidde
Aanzienlijke verbeteringen In oktober 2022, anderhalf jaar later, werd de scan herhaald en werden vergelijkingswaarden berekend voor 1.631 websites. Deze laten aanzienlijke verbeteringen voor de gebruikers zien: 56% van alle gescande pagina's is in de afgelopen anderhalf jaar ten goede veranderd en is gestopt met het gebruik van misleidende kleuren voor links en knoppen en vooraf aangevinkte subcategorieën. De meest voorkomende overtreding was ook de meest vervelende: 82% (1.377) van alle websites had in maart 2021 geen knop om alle cookies te weigeren. Gebruikers moesten in submenu's duiken om een verborgen "afwijzen" optie te vinden. 574 (41%) van de gescande websites hebben na onze klachtengolven nu een knop "weigeren" ingevoerd. Het totale aantal ingestelde cookies is ook met ongeveer 10% gedaald - in tegenstelling tot recente trends.
"We hebben gezien dat websites al na een paar maanden van illegaal ontwerp veranderen. Na 1,5 jaar zie je een gedragsverandering, zelfs bij sites waarmee we nooit contact hebben opgenomen. We zien een klassiek algemeen preventie-effect." - Ala Krinickytė, advocaat gegevensbescherming bij noyb
Waarschuwing verhoogt de naleving Van deze 1.631 websites heeft de noyb er 483 een ontwerpklacht gestuurd en hen tot 60 dagen de tijd gegeven om hun overtredingen te herstellen. In deze groep werd bijna de helft van alle overtredingen opgelost. Meer dan de helft heeft nu een "afwijzingsknop", meer dan 70% heeft geen vooraf aangevinkte categorieën meer en tweederde heeft misleidende kleuren en links veranderd
Afschrikking werkt. Naast de websites die een klacht ontvingen, werden ook andere websites die geen waarschuwing van noyb ontvingen meer GDPR-compliant. 543 van de 1.148 websites in deze steekproef die geen klacht hadden ontvangen, verbeterden hun cookiebanners. 78 voldoen nu volledig aan de GDPR. Het totale aantal ingestelde cookies en die met persoonsgegevens daalde ook aanzienlijk
"De meeste mensen houden zich normaal gesproken aan de wet. Bij gegevensbescherming is dat niet altijd het geval - maar dat kan worden bereikt door publiekelijk merkbare handhaving." - Ala Krinickytė, advocaat gegevensbescherming bij noyb
Meer klachten gepland. In de komende maanden zal noyb blijven streven naar het wegwerken van misleidende cookiebanners en het project uitbreiden naar sites die gebruik maken van Consent Management Platforms (CMP's). In een volgende stap is noyb zijn software verder aan het ontwikkelen om ook tegen andere privacyschendingen soortgelijke acties te starten.
Momenteel wacht noyb nog steeds op de eerste beslissingen in de klachten die in augustus 2021 zijn ingediend, hoewel in veel van de zaken aanzienlijke vooruitgang is geboekt. De Europese Raad voor gegevensbescherming (EDPB) heeft een taskforce om de gegevensbeschermingsautoriteiten voor deze zaken te coördineren, dus we mogen hopen op een gecoördineerde aanpak
Methodologie
- Per 03/24/2021 werden 3.672 websites onderzocht die Onetrust als CMP gebruiken en GDPR-schendingen vertoonden
- Deze scan diende als basis voor de twee klachtengolven, waarbij alleen de meest bezochte websites per topleveldomein werden onderzocht. Daarnaast werden ook klachten ingediend tegen 20 hooggeplaatste sites, ongeacht het gebruikte CMP. Al deze kregen aanvankelijk een ontwerp-klacht en 60 dagen de tijd om de instellingen te wijzigen. Als de banner niet in overeenstemming met de wet werd gewijzigd, diende noyb formeel een klacht in
- Op 10/4/2022 werd de scan herhaald volgens hetzelfde principe. Daarbij werden 2.137 webpagina's gevonden. 1.631 pagina's waren zowel in de eerste als in de tweede scan vertegenwoordigd en worden daarom voor deze vergelijking gebruikt. Omdat sommige websites niet meer bestaan, een andere CMP provider gebruiken of een andere OneTrust versie die niet door onze software kan worden gedetecteerd, is het aantal afgenomen.