Wat kunnen we leren uit de fouten van Jubel?

Analytics and Data visualisation
B2B, B2C
Conversion, Traffic
Jubel en cookie compliancy

De eerste Belgische Cookie boete: wat leren we uit zes fouten die Jubel maakte?

De Belgische Gegevensbeschermingsautoriteit (GBA), vroeger gekend als de Privacycommissie, legde de website jubel.be een sanctie op omwille van zijn cookiebeleid. Dat berichtte De Standaard eind vorig jaar. Jubel.be is een website gespecialiseerd in juridisch nieuws, duiding en informatie. Het cookiebeleid van de website voldeed volgens de GBA echter niet aan de normen opgelegd door de Belgische cookiewetgeving, zoals die volgt uit de Europese ePrivacyrichtlijn en al evenmin aan de GDPR-wetgeving, die ondertussen al bijna twee jaar van kracht is. Het is echter de allereerste keer dat een Belgische website ook een effectieve sanctie kreeg opgelegd.

De boete van 15 000 euro is slechts een deel van de kosten die deze sanctie met zich meebracht. Reken daar nog eens de juridische kosten en technische ontwikkelingskosten bij, en we komen al snel aan een bedrag dat makkelijk tot 3 keer hoger is.

Jubel was geen website die totaal niet in orde was, integendeel: zij hadden Cookiebot geïnstalleerd. Alleen hadden zij de pech om bij de eerste websites te zijn die werden uitgekozen door de GBA voor een controle.

Het inspectieverslag is publiek beschikbaar en uit interesse hebben we dit vanuit een technisch standpunt volledig ontleed. Het geeft ons een beter idee van welke gebreken er naar boven kwamen bij Jubel.be en hoe we hieruit kunnen leren voor onze eigen website en die van onze klanten.

Verder waren er ook heel wat opmerkingen in het verslag over een gebrek aan de juiste juridische teksten, foute woordkeuze, verkeerde vertalingen ... Hiervoor werken we samen met onze legal partner Sirius Legal voor onze CookieScan projecten.

Kunnen we van hun fouten leren om zelf zulke boetes te vermijden? Maar misschien minstens even belangrijk: hoe zorgen we ervoor dat er geen belangrijke gegevens verloren gaan?

Eerste probleem: CCPA i.p.v. GDPR

CCPA staat California Consumer Privacy Act en verwijst naar de Californische wetgeving. Tijdens de eerste inspectie van GBA op de website van Jubel werd deze wetgeving vertoond i.p.v. de Europese. Dit werd natuurlijk niet per ongeluk verkeerd geïmplementeerd door de developers. Je kan in veel plug-ins IP-herkenning van de bezoeker instellen en in functie van het land zal deze de juiste wetgeving tonen.

Kleine kanttekening: waarschijnlijk voerde de inspecteur bij GBA zijn inspectie incognito of achter een firewall uit, want zijn IP-adres werd niet herkend als Europese locatie. Daardoor komt Cookiebot default op CCPA uit. Pech voor Jubel en de eerste grote trigger voor een verder onderzoek.

Oplossing: zorg er voor dat CCPA niet standaard actief is voor Belgische websites. 

Tweede probleem: Geen Opt-In

In de eerste versie van de site werden cookies gebruikt zonder toestemming van de gebruiker. In een latere versie waren de vakjes om toestemming te geven op voorhand aangeduid. Dit zijn twee praktijken die vaak voorkomen, maar niet mogen volgens de regels. Je hoeft geen techneut te zijn om te zien of dit fout staat. 

Oplossing: kies altijd voor Opt-in als cookie consent methode en zorg ervoor dat enkel de strikt noodzakelijke cookies aangevinkt zijn.

Cookieconsent

Derde probleem: teksten in de verkeerde taal

De Jubel website is beschikbaar in twee talen en de GBA eist dat wanneer een bezoeker in het Nederlands langskomt, deze Nederlandstalige teksten ziet voor alle teksten, dus ook voor de cookie consent banner, het cookiebeheer en de privacy. Hetzelfde geldt voor Franstaligen. Hierbij moet ook nog eens extra aandacht worden besteed aan hoe eenvoudig deze teksten worden geformuleerd. Iedereen moet in staat zijn om de teksten te begrijpen, enkel gebruik maken van ingewikkeld vakjargon is dus uit den boze.

Hou hiermee al rekening tijdens het kiezen van je cookie-oplossing. Veel plug-ins zullen dit niet standaard in hun pakket hebben (maar bv. in een extra licentie) en enkel standaard Engels als taal aanbieden. Ook zal de koppeling van de juiste taal met de juiste cookieteksten extra programmeer- en vertaalwerk vragen om dit te koppelen met je website.

Vierde probleem: Het recht inzake de intrekking van toestemming

Zodra de gebruiker alle cookies heeft goedgekeurd, zou er op de website steeds de mogelijkheid moeten zijn om de toestemming terug in te trekken. Ook dit is bij quasi geen enkele website mogelijk.

Ga op je website zeker de volgende zaken na, dit is misschien al voldoende om een diepere inspectie te vermijden. Voor de eerste vier problemen hoef je alvast geen technische knobbel te zijn.

  1. Clear al je cookies (tip: hiervoor bestaan veel Chrome add-ons) en check of er een cookie consent banner wordt getoond. 
  2. Heb je een website in twee verschillende talen? Test dan of de juiste cookie consent banner wordt getoond.
  3. Bevat je consent banner een link naar een cookieverklaring?
  4. Voorzie minstens twee buttons: één met 'alle cookies toestaan' en één met 'stel voorkeuren in'.
  5. Verifieer dat alle cookies in groep staan en enkel noodzakelijk is aangevinkt.
  6. Verschijnt er een banner of link om cookies aan te passen nadat alle cookies zijn toegestaan?

Vijfde probleem: Google Analytics cookies worden ten onrechte verwezen als strikt noodzakelijk

Hier wringt het schoentje bij de meeste grote sites en dit geeft ons als agency de nodige kopzorgen. Vanaf hier wordt het ook een pak technischer.

Het probleem? Als er geen Google Analytics cookie wordt afgevuurd van bij de start van de sessie, is de kans groot dat we niet meer weten hoe elke nieuwe bezoeker is binnengekomen (organisch, nieuwsbrief, Google Ads campagne ...) ook al heeft hij alle cookies meteen goedgekeurd. 

Hiervoor is nog wel best wat lobbywerk nodig vanuit onze sectoren (marketing, e-commerce …) om toe te werken naar een eventuele verdere versoepeling. Er zijn oplossingen, maar deze vragen extra programmeerwerk en dus uitgebreide technische kennis.

We onderwierpen drie willekeurige sites met een grote jaarlijkse omzet aan de test en keken na of ze aan deze regel voldoen. De uitdaging: er mag geen GA pageview worden afgevuurd als er nog geen consent is gegeven. 

cookieconsent Bol.com
cookieconsent CoolBlue
cookieconsent Telenet

Conclusie: Er zijn heel weinig sites zijn die hieraan voldoen.

Oplossing: Standaard Auto-Blocking. OneTrust blokkeert alle niet strikt noodzakelijke cookies bij laden van de site waardoor geen enkele data wordt doorgestuurd. Deze houdt echter wel bij van waar een bezoeker oorspronkelijk komt en zal deze data alsnog correct doorsturen nadat consent werd gegeven.

Zesde probleem: een cookieverklaring voor elke cookie

De AVG is niet zo streng en vereist enkel een meer granulaire keuze dan simpel “alles” of “niks”. De geschillenkamer oordeelt dat de toestemming in eerste instantie niet per cookie maar per soort cookie verkregen moet worden.

Alle cookies moeten in één van de cookiecategorieën (strikt, functioneel, analytics) ... worden ondergebracht. Manueel is dit veel werk, maar gelukkig zijn er verschillende cookiescan programma’s die dit voor 90% automatisch doen. Uit het vonnis bleek dat Cookiebot hierin tekortkomingen had.

Oplossing: Wij gebruiken hiervoor de cookie encyclopedie van OneTrust. (link https://cookiepedia.co.uk/). Er komen regelmatig cookies bij, die telkens mee in de cookieverklaring moeten worden opgenomen.

Conclusie

Het Jubel vonnis toont aan dat we bij de strengste van de GDPR klas zitten van Europa. Het is niet voldoende om een bestaande plug-in te installeren zonder extra programmeerwerk. Daarbij komt ook dat bijna al onze websites meertalig zijn en de bestaande oplossingen meestal voor één taal zijn gemaakt.

We hebben verschillende oplossingen bekeken en CookiePro van Onetrust komt hier voorlopig telkens als beste uit. Omdat dit proces toch enige technische en juridische kennis vereist, hebben Grava en Sirius Legal samen een product ontwikkeld om hier samen met de klant een totaaloplossing aan te bieden: de CookieScan. 

Vraag jouw gratis CookieScan aan

Niet helemaal zeker of je website nu al dan niet cookie-compliant is? Dan kan je altijd bij ons terecht voor een gratis CookieScan waarbij we de website doorlichten en een aantal mogelijke pijnpunten blootleggen.

Daarnaast bieden Grava en Sirius Legal ook begeleide workshops en/of volledige CookieScan trajecten waarbij we samen van A tot Z de site onder handen nemen.

Meer weten?
Geef ons een seintje via hello@grava.be of vraag ook jouw eerste gratis CookieScan aan op www.cookiescan.be

Volgend artikel

Digitale marketing in tijden van Corona

Digital Campaigns • 13 maart