‘In een goed cookiebeleid smelten technologie en de wet samen’

De GDPR zet regels uit voor dataverzameling in de digitale omgeving. Doordat het technologische luik een totaal andere tak van sport is dan het juridische luik, kan een bedrijf problemen ervaren met de naleving van de GDPR.  

De General Data Protection Regulation (GDPR) is een overkoepelende term voor regels die betrekking hebben op de verwerking van persoonsgegevens door bedrijven en overheidsinstanties. Het wordt ook wel eens naar voren geschoven als een paradepaardje van de Europese Unie om de privacy van zijn burgers beter te garanderen.

De EU was op dit vlak namelijk een pionier en steeds meer landen vertalen de wetgeving naar een lokale versie, weet Lisa De Smet, hoofdadviseur gegevensbescherming bij Cranium: “We zien meer en meer wetgevingen voorbijkomen die duidelijk geïnspireerd zijn op de GDPR.”

Dat blijkt voordelen met zich mee te brengen voor Europese bedrijven die zich graag globaal willen positioneren. “Het helpt voor Europese bedrijven om handel te drijven met landen waar een soortgelijk wettelijk kader van toepassing is, omdat het zekerheid biedt dat het niveau van bescherming in dat land ook goed zit.”  

Cookiebeleid in een gedwongen huwelijk

Het cookiebeleid is een afstammeling van de GDPR, dat in een gedwongen huwelijk zit met e-privacywetgeving. Een juist cookiebeleid houdt met andere woorden rekening met zowel de GDPR- als e-privacyregels. Dat maakt het volgens De Smet ingewikkeld: “De cookiewetgeving is een zeer specifieke wetgeving, waarin je twee types wetgeving combineert. Daar stopt het nog niet want voor de cookiewetgeving is de IT nog een belangrijk onderdeel.”

De cookiewetgeving is een zeer specifieke wetgeving, waarin je twee types wetgeving combineert.

Lisa De Smet, hoofdadviseur gegevensbescherming bij Cranium

De Smet wijst haar collega’s uit de juridische tak erop dat zij zich beter ook wapenen met technologische kennis. De wet en technologie moeten volgens haar samenspelen om in orde te zijn met het cookiebeleid en de bredere GDPR. “Een netjes uitgeschreven cookiebeleid dat juridisch gezien in orde is, betekent niets als het niet lukt om gegevens uit de opslag te houden van bezoekers die cookies niet accepteren.”

Cookies niet accepteren moet door de hervorming van de e-privacywet overigens eenvoudiger worden voor gebruikers. Sommige websites verplichten gebruikers om cookies te accepteren om van een bepaalde dienstverlening te genieten. In de nieuwe set van regels mag dat alleen nog als de gebruiker een waardig alternatief krijgt voorgeschoteld, waarin geen cookies worden gebruikt.

Verder zal software een belangrijkere rol naar zich toegeschoven krijgen, om komaf te maken met vervelende pop-ups. Het idee is om gebruikers de mogelijkheid te geven via hun browser bepaalde categorieën van cookies standaard te aanvaarden of weigeren. De plannen uit 2021 zijn nog steeds niet goedgekeurd.

lees ook

Europese Raad concretiseert e-privacyplannen: welke nieuwe regels mag je verwachten?

België is mild

Dat er nog regelmatig boetes vallen voor een verkeerd cookiebeleid, is in de ogen van De Smet dan ook niet zo vreemd. “De boetes moeten nog steeds één van de grootste drijfveren zijn om alles volgens de regels van de wet in te stellen.”

Toezicht op de regels ligt in handen van verschillende, landelijke instanties. Klachten over het cookiebeleid van een Belgische organisatie, gaan naar de Gegevensbeschermingsautoriteit (GBA). Aan overtredingen hangen in principe boetes vast, maar volgens De Smet deelt de GBA die boetes momenteel niet hard uit. “Door problemen aan de top van de GBA valt de handhaving voor België momenteel best mee. Daardoor komt het in de realiteit vaak tot een minnelijke schikking en niet tot een effectieve boete.”

Zichtbaar in orde

De situatie bij de GBA zal zich na verloop van tijd terug stabiliseren, waardoor het opnieuw risicovol wordt om met de regels te spelen. Bedrijven die deze tijd nuttig invullen om hun cookiebeleid opnieuw te bekijken, krijgen nog een tip van De Smet: “Zorg er als onderneming voor dat je aan de voordeur in orde bent. Ik spreek dan over alle zaken die in het zicht van de gebruiker zijn.”  

“Ik wil daaraan toe voegen dat het voor bedrijven eveneens belangrijk is om te focussen op “awareness”, zodat gegevensbescherming gaat leven in de organisatie en deel uitmaakt van hun DNA in plaats van een term die enkel op papier bestaat. Hierdoor wordt de naleving van de GDPR efficiënter en effectiever.”

Door de Digital Markets Act en de Digital Services Act is de GDPR weer helemaal actueel. Dat maakt het interessant om ervoor te zorgen dat zowel je juridische als technologische kennis op pijl zijn. Het pakket regels wordt eigenlijk breder en breder dus ga aan de slag nog voordat je door het bos de bomen niet meer ziet.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.