Ook al heb je tracking cookies afgewezen, de kans is groot dat je data nog steeds worden verzameld. Dat blijkt uit het onderzoek van Amit Zac, universitair docent aan de Faculteit der Rechtsgeleerdheid van de Universiteit van Amsterdam. 65 procent van de websites die hij en zijn collega’s testten, negeert de keuze om cookies te weigeren.
Websites zijn wettelijk verplicht om toestemming te vragen voor het verzamelen van persoonlijke gegevens. Daarmee moet de privacy van Europeanen online beschermd worden. Zac onderzocht in hoeverre sites zich aan de toestemmingsvereisten houden. Dat deed hij samen met Ahmed Bouhoula, Karel Kubicek, Carlos Cotrini en David Basin van de afdeling Computerwetenschappen aan de ETH Zürich.
Ze creëerden daarvoor een analysetool op basis van machine learning-methoden, waarmee ze honderdduizend sites in Europa konden onderzoeken. Ongeveer 90 procent van de sites bleek niet te voldoen aan ten minste één vereiste.
Naïeve en opzettelijke overtredingen
Zacs onderzoek maakt onderscheid tussen twee soorten overtredingen. ‘Naïeve’ en opzettelijke overtredingen. Een voorbeeld van een naïeve overtreding is om helemaal geen toestemming te vragen voor het verzamelen van cookies. Uit het onderzoek van Zac bleek dat op 32 procent van de websites die door Europese gebruikers wordt bezocht helemaal dat niet doet.
Een opzettelijke back-end schending is geniepiger en gebeurt achter de sluier van compliance, waardoor deze veel moeilijker te detecteren is. Het betekent dat sites je antwoord negeren. ‘Als je klikt op “weiger alle cookies”, gebruiken ze nog steeds tracking cookies, ook al heb je die expliciet geweigerd’, legt Zac uit. Dat blijkt bij 65 procent van de geteste websites zo te zijn.
‘Websites verzamelen ook vaak informatie voordat je antwoord hebt gegeven, of registreren het sluiten van het pop-upscherm als het geven van toestemming. De wet staat dat in de meeste gevallen niet toe. Er is expliciete toestemming nodig voor het verzamelen van persoonlijke gegevens.’
Daarnaast gebruiken bedrijven ‘dark patterns’. ‘Het klassieke voorbeeld is het gebruik van kleuren. De goed zichtbare en heldere kleuren worden gebruikt voor de acceptatieknop en de lichte en minder voor de knop die cookies afwijst.’
Nieuwe technologie nodig
De onderzoekers concluderen dat op dit moment het cookie-systeem niet werkt. ‘We willen kleine en middelgrote spelers helpen om zich aan de regels te houden door ze nuttige technologie aan te bieden. Beleidsmakers moeten deze naïeve bedrijven ook helpen, want niet iedereen overtreedt de wet opzettelijk.’
Bij de bedrijven waarbij opzet in het spel is, is een andere aanpak nodig. ‘We hebben nieuwe technologie nodig om dit op een veel grotere schaal aan te pakken. Dat is de volgende stap. Ik wil de juiste mensen in Nederland benaderen en tegen ze zeggen: we hebben hier de methoden om de naleving van de wet te stimuleren.’
De onderzoekspaper van Amit Zac is hier te vinden.