Websites van Binnenlandse Zaken, het Waalse Gewest en diverse steden en gemeenten hebben privacyregels overtreden, net als honderden andere Belgische websites met een vind-ik-leukknop van Facebook. Dat blijkt uit een onderzoek van Knack in samenwerking met de KU Leuven.
Op 29 juli 2019 velde het Hof van Justitie van de Europese Unie in de zaak-Fashion ID een mijlpaalarrest over de vind-ik-leukknop van Facebook. Websites die zo’n knop hebben geïntegreerd, zijn volgens het Hof mee verantwoordelijk voor de gegevensoverdracht die daarmee gepaard gaat: ze sturen automatisch data over hun bezoekers door naar Facebook. Van de rechtbank moeten ze hen onder meer inlichten over het doel daarvan.
Willem Debeuckelaere, oud-voorzitter van de Privacycommissie, wees Knack op het belang van het arrest: ‘Dit heeft grote gevolgen voor tal van Belgische websites die zo’n knopje aanbieden. Tot voor kort konden zij nog proberen aan te voeren dat Facebook de verantwoordelijke is. Maar nu stelt het Hof duidelijk dat ook zijzelf een verantwoordelijkheid dragen. Eigenlijk hebben wij dat al in 2015 gezegd, maar toen werd er wat lacherig op gereageerd.’
Ook als je niet op de vind-ik-leukknop klikt, wordt de informatie over je surfgedrag naar Facebook doorgestuurd.
‘De boodschap van het Fashion-ID- arrest is inderdaad dat Facebook-knopjes niet onschuldig zijn’, zegt David Stevens, de nieuwe voorzitter van de Gegevensbeschermingsautoriteit (GBA, de nieuwe naam van de Privacycommissie). ‘Zo’n knopje lijkt leuk, maar het inlassen op je website brengt verplichtingen met zich mee.’
‘Websites moeten hun bezoekers het gebruik van de vind-ik-leukknop uitleggen. Ze moeten ook expliciet melden dat Facebook de cookies kan uitlezen die het op hun computer plaatst. Wie die verplichting niet nakomt, riskeert een geldboete. Zeker voor bedrijven kan die serieus oplopen – tot 20 miljoen euro of zelfs tot 4 procent van hun wereldwijde omzet. Alle Belgische sites met zo’n vind-ik-leukknop moeten dus actie ondernemen. Maar op het eerste gezicht lijkt er sinds het Fashion ID-arrest nog niet veel gebeurd.’
Een vind-ik-leukknop is niet meer dan een afbeelding van een duimpje die zich in feite op de Facebook-server bevindt. Stevens: ‘Op het moment dat jij een website met zo’n knop bezoekt, maakt jouw computer een verbinding met die server. En die leest op zijn beurt de cookies op je computer uit. Facebook weet dan dat jij die website bezoekt. Zo kan de netwerksite je gericht advertenties sturen. Je hoeft dus niet eens op de knop te klikken: de informatie over jouw surfgedrag wordt automatisch doorgestuurd. Vaak beseffen website-eigenaars niet eens dat dat gebeurt.’
Stevens gaat nog verder: websites moeten niet alleen hun bezoekers correct informeren, ze moeten ook een geldige toestemming vragen. ‘Naast het Fashion-ID-arrest en de algemene privacyregels (de General Data Protection Regulation of GDPR, nvdr) heb je nog de e-Privacy-richtlijn van de Europese Unie: die stelt dat voorafgaande toestemming nodig is om cookies uit te lezen wanneer die niet noodzakelijk zijn voor het goede functioneren van de site of het leveren van de dienst. En begin oktober velde het Hof van Justitie nog een ander belangrijk arrest, in de zaak-Planet 49, dat de regels over toestemming bevestigt. De toestemming moet actief, geïnformeerd, vrij en specifiek zijn.’
Een woordvoerster van Facebook reageert dat het bedrijf ‘nauw samenwerkt met zijn partners om te verzekeren dat ze kunnen blijven profiteren van zijn sociale plug-ins en andere businesstools in volledige overeenstemming met de wet’.
682 Belgische websites
Hoeveel Belgische websites bieden een vind-ik-leukknop aan? Met die vraag klopte Knack aan bij de Onderzoeksgroep Computerbeveiliging en Industriële Cryptografie (COSIC) van de KU Leuven. Onderzoeker Günes Acar schreef speciaal een script dat .be-websites met een vind-ik-leukknop opzocht in het HTTP Archive-overzicht van 4,3 miljoen websites. Het zocht homepagina’s en subdomeinen op. Interne pagina’s van websites liet het buiten beschouwing, omdat je die onmogelijk allemaal kunt scrapen. Het resultaat is een lijst met 682 Belgische websites die in september nog altijd de vind-ik-leukknop van Facebook gebruikten.
Daarna nam Knack de proef op de som. Van 200 websites onderzochten we in detail het privacy- en cookiebeleid, als dat er al was. Wat blijkt? Vier op de vijf onderzochte sites vermeldden helemaal niet dat ze gegevens doorstuurden naar Facebook. Hun eigenaars hebben dus de privacywetten overtreden.
De informatie over jouw surfgedrag wordt automatisch doorgestuurd. Vaak beseffen website-eigenaars niet eens dat dat gebeurt.
Opmerkelijk is dat zelfs overheidswebsites in de fout zijn gegaan. Zo vermeldde 112.be, een website van Binnenlandse Zaken, niet dat ze info naar Facebook doorstuurde. Idem voor trafiroutes.wallonie.be, een website van het Waalse Gewest met verkeersinformatie. Ook de sites van de stad Bergen en de gemeente Berlare, van de toeristische dienst van Poperinge en het Gallo-Romeins Museum in Tongeren overtraden de regels, net als de site wegcode.be van Vias institute (het voormalige Belgisch Instituut voor de Verkeersveiligheid) en de webstek van Kind & Gezin.
Respecteerden de privacyverplichtingen evenmin: de websites van de Balie Provincie Antwerpen en het Institute for European Studies (VUB), de vacaturesite van de bank Argenta, de site van het christelijke opinieweekblad Tertio en die van Neos vzw (het netwerk van ondernemende senioren), Domestic Services (‘Huishoudhulp met dienstencheques, nr. 1 in België’) en de populaire Showbizzsite (showbizzsite.be). Ook de website van een parenclub in de provincie Antwerpen had een vind-ik-leukknop: veel bezoekers van zulke sites willen vast niet dat Facebook hun bezoek registreert.
Knack nam vorige week contact op met alle genoemde sites. Domestic Services paste daarop zijn privacy- en cookiebeleid aan. De Showbizzsite bekijkt intern hoe ze haar beleid in overeenstemming kan brengen met de laatste rechtspraak. De stad Bergen gaat haar gebruikersvoorwaarden aanpassen. Argenta laat weten dat zijn websites voldoen aan de nieuwe privacyvereisten en dat een update van zijn vacaturesite al op de planning stond. Neos zal ‘de nodige stappen zetten’. Berlare en de Balie Provincie Antwerpen kondigen aan de vind-ik-leukknop op hun website te zullen verwijderen. Alle andere genoemde sites hebben dat meteen gedaan.
Flagrante cases bestraffen
De stad Poperinge merkt in haar reactie op dat ze noch door de hogere overheid, noch door de Vereniging van Vlaamse Steden en Gemeenten (VVSG) was geïnformeerd over het recente Fashion ID-arrest. Moet de GBA niet proactiever communiceren wanneer nieuwe Europese rechtspraak een belangrijke impact heeft op België? Op haar site staat zelfs geen persbericht over het arrest. ‘Ik vind niet dat wij als Belgische toezichthouder te weinig gedaan hebben om kennis rond het Fashion-ID-arrest te verspreiden’, reageert voorzitter David Stevens. ‘Wij of onze voorgangers zijn niet tekortgeschoten, want de GBA zegt dit eigenlijk al sinds 2015. Maar er is inderdaad nog veel werk.’
‘Het nieuwe directiecomité van de GBA is eind april benoemd. Op dit moment bereiden we ons strategisch plan voor de komende zes jaar voor. Onlineprivacy en awarenesscampagnes zijn twee prioriteiten die daarvan ongetwijfeld deel zullen uitmaken. In elk geval kan elke burger die zich gegriefd voelt, bijvoorbeeld omdat hij onvoldoende werd geïnformeerd over de doorgifte van zijn gegevens, via onze website heel eenvoudig een klacht indienen.’
Stevens voegt er nog aan toe dat de GBA al onderzoek voert naar cookiegebruik. ‘Als er flagrante inbreuken worden vastgesteld, gaan we die ongetwijfeld bestraffen. Meldingen als “Door onze website verder te gebruiken, gaat u akkoord met cookies” kunnen niet door de beugel. Zo een alles-of-nietskeuze is géén geldige toestemming.’
Fout opgemerkt of meer nieuws? Meld het hier
