Chat with us, powered by LiveChat

De eerste veroordeling van een website voor schending van de GDPR is een feit

Op 17 december 2019 werd voor het eerst een website veroordeeld wegens het niet-naleven van de Algemene Verordening Gegevensbescherming (‘AVG’), ook wel gekend als de ‘GDPR’.

 

Het gaat om de juridische website Jubel.be die door de Gegevensbeschermingsautoriteit werd veroordeeld tot betaling van een boete van 15.000 euro, ofwel een kleine 10 % van haar jaaromzet. Reden van deze veroordeling is te vinden in het feit dat Jubel.be niet correct zou zijn omgesprongen met het gebruik van cookies op haar website en het verkeerd informeren van haar websitebezoekers.

 

Wat zijn cookies? Cookies zijn kleine tekstbestandjes die bij het bezoeken van websites op je computer kunnen worden bewaard. In dit tekstbestand wordt informatie opgeslagen, zoals bijvoorbeeld je taalvoorkeur voor een website. Wanneer je de website later opnieuw bezoekt, wordt deze cookie opnieuw verstuurd naar de website. Op die manier herkent de website jouw browser en kan bijvoorbeeld je taalvoorkeur worden onthouden.

 

Jubel.be gebruikte op haar website onder andere cookies die ter beschikking worden gesteld door Google (‘Google Analytics’) om het gebruik van een website te monitoren en de toegang ertoe te verbeteren, zonder dit te melden aan haar bezoekers. Bovendien werd bij het bezoeken van de website louter de suggestie gemaakt aan bezoekers om de cookies te accepteren (het hokje stond op voorhand al aangevinkt om de cookies te aanvaarden), wat niet mag. De Gegevensbeschermingautoriteit is, in navolging van het Europees Hof van Justitie, namelijk de mening toegedaan dat elke websitebezoeker actief zijn toestemming moet verlenen over het gebruik van cookies door zelf het hokje aan te vinken, ook wel ‘opt-in’ genaamd.

 

De beslissing van de Gegevensbeschermingsautoriteit is op zijn minst opmerkelijk te noemen. De gegevens die worden bewaard door de cookies van Google Analytics werden door iedereen namelijk geacht anoniem te zijn. Er wordt alleen bijgehouden hoe lang een website wordt bezocht en op welke pagina’s iemand surft, maar er wordt geen informatie opgeslagen over de identiteit van de bezoeker (het IP-adres). De laatste drie cijfers van het IP-adres van de websitebezoeker worden door Google immers altijd verwijderd, zodat de identiteit van de website-bezoeker niet-traceerbaar is en deze ten allen tijden zijn anonimiteit gewaarborgd ziet.

 

De Gegevensbeschermingsautoriteit achtte dit evenwel niet voldoende en legt in haar beslissing van 17 december 2019 het verbod op om deze vorm van cookies te gebruiken, zonder expliciete toestemming van de websitebezoeker. Het wissen van drie cijfers van het IP-adres kan volgens de Gegevensbeschermingautoriteit niet worden gelijkgesteld met een anonieme vergaring van data.

 

Naar aanleiding van deze beslissing zullen vele websites het gebruik van cookies op hun website en cookiepolicy moeten herzien. Mr. Tom Hermans, gelicenseerd Data Protection Officer en mr. Keoma Hendrickx staan u graag bij in deze materie.

 

Om de volledige beslissing van de Gegevensbeschermingsautoriteit te lezen, klik hier.