Vandaag heeft Ron Roozendaal een blogpost geschreven over politieke partijen die onrechtmatig allerlei tracking cookies gebruiken op hun websites. En ik moet eerlijk bekennen dat ik er een beetje moe van wordt. Alleen al bij politieke partijen blijft de AP keer op keer op keer op keer bezig met zelfs een waarschuwingsbrief tot gevolg. Zelfs als hele concrete overtredingen worden aangereikt is handhaving door de AP niet zichtbaar aanwezig. En het speelt heus niet alleen bij politieke partijen, maar die politieke context maakt de verwerkingen natuurlijk wel extra gevoellig. Bovendien, als partijen door middel van onrechtmatige verwerkingen een oneerlijk voordeel behalen tijdens een verkiezing is de uitslag onomkeerbaar. Geen wonder dat als je zelfs met welwillende partijen praat je terug kan krijgen dat het oneerlijk is omdat de concurenten het wel zo doen.

Maar voor degenen die het wel netjes willen doen en er achter komen dat het per ongeluk toch fout is gegaan heb ik een twee tips die vaak over het hoofd worden gezien.

Verwijder de persoonsgegevens

Met die tracking cookies lekken er persoonsgegevens weg naar derde partijen die die gegevens niet mogen hebben. Tenminste, dat is het scenario waar ik hier vanuit ga. Of je het nu bewust hebt gedaan of niet, als websitehouder ben je gezamenlijk verwerkingsverantwoordelijke voor het verzamelen en verstrekken van de persoonsgegevens aan de tracking partijen die op de website staan. Het verwijderen van de tracking pixel, like-buttons, of andere functionaliteit om het lekken te stoppen is niet genoeg. Persoonsgegevens die onrechtmatig verzameld zijn moeten ook worden verwijderd. Je kan er meestal niet meer bij om de gegevens zelf de verwijderen, maar je kan wel aan de ontvanger aangeven dat de gegevens verwijderd moeten worden. Dat kan bijvoorbeeld met een dergelijke e-mail aan de FG, privacy office of ander relevant loket van de ontvanger:

Dear sir/madam,

On date we at Company Name were notified that our websites contained description tracking without consent from data subjects. Tracking Company has collected personal data about the visitors on our website, including the identifier in the cookie name-cookie. We made an effort to stop further collection of new personal data without consent. As joint controllers we are both obligated to also make sure the personal data that has been collected is destroyed. We request that Tracking Company delete all personal data collected from the following websites and let us know when the data has been deleted: Website 1, Website 2, …

Kind regards,

Name

Informeer de betrokkenen

Betrokkenen hebben bijna altijd het recht om geïnformeerd te worden over de verwerking van hun persoonsgegevens. Een verwerking die niet de bedoeling was of zelfs onrechtmatig is is geen rechtmatige reden om betrokkenen niet te informeren. Het is wel extra ongemakkelijk om betrokkenen te informeren.

Dat ongemak kan ik niet wegnemen. Bovendien is het in de praktijk nog eens lastig om goed te doen. Hoe informeer je mensen die in het verleden wel eens op je website zijn geweest? Hopen dat ze nog een keer op je website komen en aandachtig het privacy statement gaan lezen? Misschien kan je beter een bericht plaatsen op de voorpagina van je website. Maar misschien heb je sociale media of e-mail-lijsten die frequente bezoekers van je website ook lezen? In de praktijk zal een combinatie nodig zijn om zoveel mogelijk betrokkenen te bereiken en zal je nooit iedereen kunnen informeren.

Maar wat vertel je ze dan?

  1. Aan wie de gegevens zijn gelekt en hoe betrokkenen ze kunnen bereiken.
  2. Wat de ontvangers met de persoonsgegevens doen. Worden ze gebruikt om advertentieprofielen op te bouwen bijvoorbeeld?
  3. Dat de verwerking onrechtmatig is (geweest).
  4. Wat voor persoonsgegevens het om gaat. Niet alleen cookies, maar waarschijnlijk ook welke pagina’s je hebt bekeken.
  5. Of de ontvanger buiten de EU zit. (Zie art. 46 AVG voor details en nuanceringen)
  6. Hoe lang de gegevens bewaard blijven, of dat ze al gewist zijn.
  7. Dat je het recht hebt om contact op te nemen met de ontvanger en bijvoorbeeld te verzoeken om verwijdering.
  8. Dat je het recht hebt om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Dit is niet de volledig lijst met alle nuances en strikte vereisten, maar als deze lijst netjes wordt gecommuniceerd doe je al heel veel meer dan anderen.