Om toch maar even in te pikken op het Belga persbericht dat woensdag werd rondgestuurd (Belgische websites voldoen niet aan privacywetgeving):
Het overgrote deel van de Belgische websites voldoet niet aan de privacywetgeving. Dat blijkt uit een onlangs gepubliceerde studie van Lee & White Consultants (LWC), aldus De Tijd woensdag.
Op het overgrote deel van de 213 onderzochte websites vond LWC geen privacyverklaring. Nochthans schrijven zowel de Europese als Belgische regelgevingen dat voor. En staat de verklaring er wel, dan voldoet ze vaak niet aan de wettelijke voorschriften.
“Sterker nog”, luidt het, “indien de wet van 13 juni 2005 over de elektronische communicatie strikt geïnterpreteerd wordt, voldoet geen enkele onderzochte website. Artikel 129 van die wet stipuleert dat de informatie in verband met het gebruik van cookies (een klein tekstbestand dat een website op de harde schijf van een computer plaatst) op websites moet worden meegedeeld voordat de verwerking begint.” Volgens LWC zien veel bedrijven op tegen de moeite en de kostprijs om hun website conform de wet te maken. Er is een lage pakkans, maar wie gepakt wordt, riskeert een boete tot 500.000 euro. De consultant pleit voor een combinatie van een bewustmakingscampagne en een repressievere aanpak. LWC zegt al positieve signalen ontvangen te hebben vanuit enkele beroepsorganisaties zoals Unizo en Voka.
Het persbericht van LWC is terug te vinden op hun site en dateert reeds van 15 december 2005. Nederlandstalige, Engelstalige en Franstalige samenvattingen worden ter beschikking gesteld in PDF.
Ze hebben het (in het persbericht) o.a. over de implementatie van de nodige maatregelen om de privacy te garanderen:
Furthermore, these companies overestimate the complexity and efforts involved and use this as a further excuse not to comply. The reality is a simple modification of procedures and implementation of designated authorities and security measures.
Een (link naar een) verklaring omtrent de privacy van de bezoekers en de verwerking van de gegevens op de website plaatsen is inderdaad niet moeilijker. Ingewikkelder wordt het wanneer men zich in regel tracht te stellen met Artikel 129 van de wet (pagina 53 van de PDF) die stipuleert dat de informatie in verband met het gebruik van cookies op websites moet worden meegedeeld voordat de verwerking begint.
En hoewel het technisch inderdaad niet moeilijk is om te implementeren, is het funest voor de toegankelijkheid en gebruiksvriendelijkheid van een site.
Art. 129. Het gebruik van elektronische-communicatienetwerken voor de opslag van informatie of voor het verkrijgen van toegang tot informatie die is opgeslagen in de eindapparatuur van een abonnee of een eindgebruiker is slechts toegestaan op voorwaarde dat :
1° de betrokken abonnee of eindgebruiker, overeenkomstig de voorwaarden bepaald in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, duidelijke en precieze informatie krijgt over de doeleinden van de verwerking en zijn rechten op basis van de wet van 8 december 1992;
2° de verantwoordelijke voor de verwerking de betrokken abonnee of eindgebruiker, voorafgaand aan de verwerking, op een duidelijk leesbare en ondubbelzinnige wijze, de mogelijkheid biedt om de voorgenomen verwerking te weigeren. Het eerste lid is van toepassing onverminderd de technische opslag van informatie of de toegang tot informatie opgeslagen in de eind-apparatuur van een abonnee of een eindgebruiker met als uitsluitend doel de verzending van een communicatie via een elektronische-communicatienetwerk uit te voeren of te vergemakkelijken of een uitdrukkelijk door de abonnee gevraagde dienst van de informatie-maatschappij te leveren.
Een gebrek aan weigering in de zin van het eerste lid of de toepassing van het tweede lid, stelt de verantwoordelijke voor de verwerking niet vrij van de verplichtingen van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens die niet opgelegd worden in dit artikel.
Een aantal problemen doen zich voor. Bij een eerste bezoek aan een website zou de gebruiker moeten geconfronteerd worden met een boodschap ‘opgelet, wij kunnen een cookie op uw harde schijf wegschrijven’, voorzien van uitleg, een link naar de privacy policy, én de mogelijkheid om die cookie te weigeren. Naar de letter van de wet moet trouwens elke wijziging aan de cookie voorafgaandelijk door de gebruiker goedgekeurd worden.
Bovendien zijn er zonder twijfel een heleboel ‘verantwoordelijken’ die niet eens beseffen dat ze cookies op de computer van hun ‘eindgebruikers’ wegschrijven. Bijna iedereen die met een comment systeem op een blog werkt, leest en stuurt een cookie om ‘de identiteit’ van de bezoeker te bewaren. In theorie zijn die ‘verantwoordelijken’ net zo strafbaar als de grote bedrijfssites die niet aan de wet beantwoorden. Maar hoe zit het met providers zoals wordpress.com, typepad.com, en de skynet en telenet blogs? Is de provider verantwoordelijk of de persoon die instaat voor de inhoud van de sites; deze laatste is waarschijnlijk niet eens in staat om –technisch gezien– de nodige wijzigingen aan te brengen.
Een groot deel is te wijten aan het stukje voorafgaand aan de verwerking
. Het is voor de ‘eindgebruiker’ immers perfect mogelijk om het sites, geval per geval, onmogelijk te maken cookies te gebruiken. Als de ‘verantwoordelijke’ in zijn privacy statement naar die manier zou kunnen verwijzen, kan aan dit euvel worden verholpen. Maar dan moet de wet natuurlijk gewijzigd worden.
Twee voorbeelden:
DS heeft informatie over cookies opgenomen in hun privacy statement:
Cookies kunnen geweerd worden van de harde schijf door deze uit te schakelen; de goede werking van de site kan dan wel niet meer in alle omstandigheden worden gegarandeerd.
Edoch: er wordt niet verteld op welke manier die cookies kunnen worden uitgeschakeld, en als abonnee bent u zonder cookies al helemaal niets. Zonder cookies kan u bij DS immers helemaal niet inloggen.
DM werkt wel zonder cookies, al moet je bij elke nieuwe pagina opnieuw je gebruikersnaam en paswoord ingeven. In hun privacy statement hebben ze het ook over cookies, maar ze vermelden er niet bij dat er een manier bestaat om ze uit te schakelen.