Veruit de meeste advocatenkantoren uit de top 50 van Advocatie overtreden met hun websites de Algemene Verordening Gegevensbescherming (AVG). Zo biedt bijna driekwart van de kantoorwebsites geen mogelijkheid om tracking cookies te weigeren en vraagt 58% geen expliciete toestemming om ze te accepteren. Slechts twee kantoren – die tracking cookies plaatsen – voldoen met hun cookiebanner- en verklaring aan alle regels, aldus onderzoek van advieskantoor De Functionaris.
Door Joris Rietbroek
Het leeuwendeel van de grootste Nederlandse advocatenkantoren – 38 van de 50 – verzamelt op zijn corporate- en recruitmentwebsites persoonsgegevens van websitebezoekers via tracking cookies dan wel cookies via derde partijen (third-party cookies). Deze cookies zijn kleine tekstbestanden die op de harde schijf van de bezoeker worden geplaatst om data te verzamelen waarbij bezoekers kunnen worden geïdentificeerd.
De Functionaris is een juridisch advieskantoor op het gebied van privacy en IT, dat zich onder meer bezighoudt met privacy advies en AVG-compliance. Het bedrijf onderzocht van eind juli tot begin augustus in hoeverre de websites van de vijftig grootste kantoren in lijn zijn met de nieuwe privacywetgeving, die op 25 mei dit jaar inging. De Autoriteit Persoonsgegevens kan in principe boetes uitdelen aan bedrijven die zich niet aan de AVG houden. Er worden momenteel steekproeven gehouden, ook in de zakelijke dienstverlening.
Buttons en vinkjes
Van de kantoren blijkt zo’n driekwart gebruik te maken van een bepaalde vorm van tracking cookies of third-party cookies. Dit is op zich niet verboden, maar plaatsing van zulke cookies waarmee technisch gezien persoonsgegevens worden verwerkt, vereist sinds de invoering van de AVG wel ondubbelzinnige toestemming van de websitebezoeker. Dit moet via een cookiemelding met buttons en met de mogelijkheid tot het zetten van vinkjes. In de praktijk worden cookies vaak al geplaatst voordat toestemming is gegeven.
De website moet hier actief om vragen, en als een gebruiker geen toestemming geeft, moet de website wel toegankelijk blijven. Bovendien moet de bezoeker per categorie toestemming voor geplaatste cookies in kunnen stellen (bijv. cookies voor marketingdoeleinden) en deze keuze achteraf kunnen aanpassen of intrekken.
Bij veel advocatenkantoren gaat het al mis bij de verplichte actieve handeling: 60% van de top 50-kantoren vraagt hier niet om, hoewel zij wel tracking cookies gebruiken. ‘Veel kantoren maken de fout door een banner op de website op te nemen waarin wordt vermeld dat bij verder gebruik van de website de bezoeker automatisch akkoord gaat met het plaatsen van cookies,’ aldus De Functionaris. Een actieve handeling van de bezoeker is nodig; ‘stilzwijgende toestemming’ is onvoldoende.
Alles of niets
Hoewel de meeste kantoren geen cookiemuur hebben – toegang tot de website niet mogelijk als cookies worden geweigerd – biedt 72% van de kantoren geen mogelijkheid om cookies te weigeren. Ook biedt driekwart geen mogelijkheid om cookies naar categorie in te stellen. ‘Veel websites werken via het principe: ‘alles of niets’, waarbij het enkel mogelijk is om alle cookies te accepteren of te weigeren,’ schrijven de onderzoekers. ‘In veel gevallen is niet eens duidelijk voor welke cookies er precies toestemming wordt gevraagd.’
Daarnaast laat de cookie-informatievoorziening veelal te wensen over. Een websitebezoeker moet in duidelijke taal uitleg krijgen welke cookies worden gebruikt, met welk doel en hoe lang ze actief blijven (de bewaartermijn). Veel advocatenkantoren tonen alleen een algemeen verwoorde privacyverklaring. ‘Er wordt regelmatig simpelweg verwezen naar websites van derde partijen, zoals Facebook, Twitter of LinkedIn. Dit is niet conform de AVG.’ Ook op het vlak van intrekken of aanpassen van de toestemming voor cookieplaatsing presteren advocatenkantoren ondermaats: liefst 74% biedt deze mogelijkheid niet. Veel kantoren wijzen enkel op de mogelijkheid om via de browser cookies uit te schakelen.
Auteur Leonard van der Leeden, directeur van De Functionaris, heeft zich verbaasd over de uitkomsten. “Zelfs voor de grootste advocatenkantoren blijkt het moeilijk om aan de regels voor de toestemming te voldoen, terwijl veel kantoren nota bene zelf over de AVG adviseren,” zegt hij. Een softwaretool kan hiervoor een oplossing zijn: Van der Leeden en collega’s ontwikkelden bijvoorbeeld privacysoftware onder de naam Praivacy.
Voorbeeldfunctie
Twaalf kantoren – onder anderen NautaDutilh, Clifford Chance, Dentons Boekel, De Haan, HVG Law – plaatsen geen tracking cookies, waardoor de regels uit de AVG niet van toepassing zijn op hun websites. Van de kantoorwebsites die wel tracking cookies plaatsen, zijn er maar twee die hun cookiemelding nagenoeg geheel op orde hebben, te weten Loyens & Loeff en Holla Advocaten. Nagenoeg: de keuze voor tracking cookies staat bij hen standaard aangevinkt, waar deze uitgevinkt zou moeten staan. De standaardinstellingen moeten volgens de AVG immers zo privacy-vriendelijk mogelijk zijn.
“Het is belangrijk voor ons dat we op alle vlakken voldoen aan de AVG,” reageert Loyens & Loeff. “Niet alleen omdat we een internationaal topkantoor zijn, maar zeker ook omdat we cliënten daarover dagelijks adviseren. Bovendien willen we dat bezoekers van onze websites eenvoudig kunnen kiezen welke cookies ze wel of niet willen.” Holla vindt dat ‘de advocatuur op het gebied van het implementeren van nieuwe regelgevingen een voorbeeldfunctie heeft. “En ook ons eigen Privacy-team adviseert op het gebied van de AVG-wetgeving. Dan is het niet meer dan vanzelfsprekend dat je als bedrijf zelf AVG-proof bent!”
De cookieregels zijn nu nog opgenomen in de Telecommunicatiewet. “Vanaf medio 2019 komen daar de regels uit de e-Privacy Verordening voor in de plaats,” zegt Liesbeth van Zeeland namens Holla. “Er is nog veel onduidelijkheid over de vraag welke vormen van toestemming nodig zijn: is impliciete toestemming voldoende of moet er echt sprake zijn van een actieve handeling? De verschillende Europese toezichthouders zijn hier nog niet over uit.”
‘We werken aan optimalisatie’
Van de tien grootste advocatenkantoren vragen ook De Brauw Blackstone Westbroek, AKD en Pels Rijcken & Droogleever Fortuyn in ieder geval expliciet toestemming om cookies te accepteren. Zij bieden echter geen mogelijkheid om bepaalde typen cookies te weigeren en hun cookieverklaring is net als bij veruit de meeste top 50-kantoren niet volledig. De Brauw maakt bovendien gebruik van een niet toegestane cookiemuur: de website kan alleen worden bezocht na acceptatie.
“Onze AVG compliance wordt doorlopend tegen het licht gehouden en verbeterd, juist omdat de omvang en open normen van de AVG variëteit toelaten,” reageert De Brauw. “We verwelkomen hierin alle feedback, zoals ook dit onderzoek.” Arnout Hegenbart, Compliance & Data Protection Officer bij AKD, constateert dat ‘onze website voldoet aan de kernverplichtingen die de privacywetgeving en huidige cookiewetgeving stellen’. “We hebben aanpassingen in beeld en werken aan verdere optimalisering. Daarbij houden wij rekening met de komende e-privacy Verordening, waarin, anders dan in de AVG, het onderwerp cookies daadwerkelijk wordt geregeld.”
Enkele andere kantoren die hun cookiezaakjes nog niet goed voor elkaar hebben, steken desgevraagd de hand in eigen boezem. Houthoff: “We zien inderdaad dat we het nog niet optimaal geregeld is. We werken hieraan.” CMS Nederland: “Er was sprake van één tracking cookie, deze is inmiddels verwijderd. Hoewel dit niet verplicht is, bekijken we of ook voor de analytische cookies een button kan worden toegevoegd zodat de gebruiker deze cookies kan weigeren.” Dirkzwager: “We zijn in gesprek met onze leverancier over aanpassingen aan onze site. Uiteraard moet juist de advocatuur de nieuwe wetgeving respecteren. Als je zelf een van de experts bent op dit gebied, moet je er ook voor zorgen dat de eigen systemen op orde zijn.”
Klik hier voor de whitepaper van De Functionaris, inclusief alle bevindingen per advocatenkantoor.