SNS

Vraag

Voldoen de cookie-pop-ups van SNS aan wettelijke eisen?

  • 3 april 2019
  • 20 Reacties
  • 15549 Keer bekeken

Badge
Als je naar de SNS-sites gaat, krijg je cookie-pop-ups. Omdat standaard alle cookies aangevinkt staan en omdat om te weten wat er gebeurt als je bepaalde cookies aanvaardt je moet doorklikken, lijken me deze pop-ups niet te voldoen aan de wettelijke eisen (zie bv. ACM).

Voor tracking-cookies e.d.m. moet SNS expliciete, vrije en geïnformeerde toestemming verkrijgen. Op www.snsbank.nl krijg je het volgende te zien:


Hier is onvoldoende informatie over de gevolgen van het aanvaarden. Omdat mensen nu eenmaal pop-ups zonder lezen wegklikken, kan SNS niet standaard alle vinkjes aanzetten, want dan kunnen ze niet zeker zijn dat de toestemming expliciet en geïnformeerd was. Voor het forum heb je iets gelijkaardigs:



De enige manier dat SNS zich ervan kan verzekeren echt expliciete, geïnformeerde en vrije toestemming te geven is door de informatie over de gevolgen ook onmiddellijk te tonen (zie ook pagina ACM) en door alle cookies waarvoor toestemming vereist is standaard niet-aangevinkt te zetten.

Los van de argumenten hierboven is er ook nog een klantvriendelijkheidsargument. Deze pop-ups zijn duidelijk zo ontworpen om zoveel mogelijk site-bezoekers (niet-echt geïnformeerd en niet echt expliciet) toestemming te laten geven. Wat is dat voor een houding ten opzichte van je klanten of potentiële klanten? Ik betaal voor mijn bankzaken bij SNS; waarom wil SNS per se mijn surfgegevens uitmelken? Verder: hoe moeilijk is het om onmiddellijk een knop te geven die enkel de altijd toegelaten cookies toelaat?

20 reacties

Badge +1
@E.Q.
De informatie die de SNS verschaft is mager en niet conform de richtlijn (een linkje naar meer details zoals nu lijkt niet voldoende), maar wat ik weer wel waardeer is dat de SNS onderscheid maakt tussen drie type niet-functionele cookies waaruit ik kan kiezen. Ik zie geen instructie waaruit blijkt dat de keuze standaard altijd uit moet staan.
Als ik kijk naar de functionele cookies zie ik netjes 3 cookies die meegaan tot einde van sessie, dat is dus keurig op orde.
Badge
[…] wat ik weer wel waardeer is dat de SNS onderscheid maakt tussen drie type niet-functionele cookies waaruit ik kan kiezen.Het apart kunnen af- en aanvinken is wettelijk verplicht.

Ik zie geen instructie waaruit blijkt dat de keuze standaard altijd uit moet staan.Ik heb hier geen duidelijke richtlijn op een pagina van de ACM over gevonden. Echter zijn er al anderen die het uitgezocht hebben en tot het besluit komen dat verleiden met vooraf aangevinkte vakjes verboden is volgens de AVG.
Badge +1
@E.Q. Helder deze toevoeging van vooraf geplaatste vinkjes. Goed dat je het aankaart. In het verleden ben ik al eens bezig geweest met blueconic. Dat is toen redelijk snel opgepakt mede door te verwijzen naar regelgeving.
Dat is toen redelijk snel opgepakt mede door te verwijzen naar regelgeving.

Hallo @eRik19 en @E.Q.,

Dank voor jullie vraag. Het klopt inderdaad dat collega Peter hier vorig jaar zich in verdiept heeft. Om te kijken of de vraag "Voldoen de cookie-pop-ups van SNS aan wettelijke eisen" actueel is, heb ik deze vanmorgen uitgezet. Een inhoudelijke reactie kan ik geven zodra ik terugkoppeling heb gekregen. Nog even geduld.
Badge +1
@Anonymous, @Evelyn SNS,
De anonieme collega is nog steeds niet gevonden (en haar belofte is verloren gegaan?), geen nood je kunt gelijk met een nieuwe richtlijn aan de slag. Artikel op AG Connect
Als internetgebruikers toestemming geven aan websites om gegevens op te slaan is dat ongeldig als het cookievakje vooraf standaard is aangevinkt. Ze moeten er ‘actief’ mee instemmen. Europese regels zijn bedoeld om het privéleven van internetgebruikers te beschermen tegen partijen die zonder dat ze het weten hun surfgedrag willen volgen. Het Europees Hof van Justitie heeft dat bepaald.
Reputatie 4
Badge +3
De anonieme collega is nog steeds niet gevonden (en haar belofte is verloren gegaan?).

Goedemiddag @eRik19,

We zijn niet op zoek naar de Anonymous collega, maar als een reactie uitblijft kan het mysterieus overkomen. En dat terwijl we op onze site helder communiceren over de manier waarop we bij SNS met cookies omgaan en we mensen de mogelijkheid bieden om zelf hun cookie instellingen aan te passen.

Daarmee kom ik gelijk terug op de vraag van @E.Q.. Bij SNS gebruiken we op rechtmatige wijze verschillende soorten cookies die allemaal een andere functie hebben:
  • functionele cookies
  • cookies voor webstatistieken, om bezoeken en kliks te meten
  • cookies voor persoonlijke berichten
  • cookies voor social media en advertenties, hierna ‘tracking cookies.’
Voor sommige cookies hebben we je toestemming nodig. Die vragen we door middel van een pop-up venster, in ieder geval bij een eerste bezoek aan onze website. Je kunt je toestemming later weer eenvoudig intrekken of aanpassen. Daarnaast kun je cookies uit je browser verwijderen of de instellingen van je browser aanpassen naar je persoonlijke voorkeuren. Voor andere cookies is geen toestemming nodig. Geef je geen toestemming om cookies te plaatsen? Dan plaatsen we alleen cookies die we zonder je toestemming van de wet mogen gebruiken. Je kunt de website dan wel blijven gebruiken, maar niet goed gebruik maken van de extra mogelijkheden van onze website. Door middel van het Privacy- en Cookiereglement informeren we iedere bezoeker over alle cookies en kunnen mensen hun cookie instellingen zelf aanpassen.
Badge
Bij SNS gebruiken we op rechtmatige wijze verschillende soorten cookies

Het spijt me, maar dat is niet waar. SNS handelt in strijd met de geldende wetten door het automatisch aanvinken van cookies waarvoor expliciete, geïnformeerde toestemming nodig is. Dit gaf ik al aan a.h.v. bronnen in mijn posts en ook eRik19 gaf een bron. Ik vind het spijtig dat je niet expliciet bent ingegaan op dit punt, waar alles juist over gaat. Ik vermoed dat je echter met de vage zin die ik hierboven citeer hierop impliciet wil ingaan.

Als de reeds aangehaalde bronnen niet overtuigen, heeft de voorzienigheid onlangs een nieuw arrest van het Europees Hof hierover klaargelegd (dit verduidelijkt de situatie verder, maar verandert wettelijk niets):

https://tweakers.net/nieuws/158010/eu-hof-vooraf-ingevuld-vinkje-bij-cookiemelding-is-geen-expliciete-toestemming.html

Ik hoop niet dat er nu nog enige onduidelijkheid is. Ik kijk uit naar een gepaste reactie van SNS/Volksbank (aanpassing cookie-wall-gebruik op haar websites en rapportage daarover hier). Indien er niet zo'n gepaste reactie komt of te lang op zich laat wachten (bv. 5 maanden voor een inhoudelijke reactie die niet ingaat op de kern van de zaak is…te lang), dien ik een klacht in bij de ACM. Ik vind het maar normaal dat SNS de wet volgt en in gevallen van onduidelijkheid zich niet in de vage zone begeeft. (Ik weet dat vele andere bedrijven ook deze wetgeving niet naleven, maar dat is geen excuus.)
Reputatie 3
Badge
De laatste reactie van @E.Q. geeft een expliciete verwijzing dat het Europese hof van Justitie het in maart gedane advies heeft overgenomen.. Ook zou het Hof duidelijk zijn geweest in haar uitspraak dat voldoende informatie nodig is om de opties oordeelkundig te kunnen aanvinken, en hoelang deze informatie wordt opgeslagen.

Eigenlijk bespoedigd deze nieuwe ontwikkeling dat SNS haar onderzoek gaat afronden, de vinkjes gaat weghalen en informatie toevoegt over de precieze aard van de coockies en opslagduur die direct vanuit de coockie-dialoog toegankelijk is.
Reputatie 4
Badge +3
Ik hoop niet dat er nu nog enige onduidelijkheid is. Ik kijk uit naar een gepaste reactie van SNS/Volksbank (aanpassing cookie-wall-gebruik op haar websites en rapportage daarover hier).

Goedemiddag @E.Q.

Zonder twijfel doe ik met plezier navraag voor je over de vinkjes in de cookie pop-up van SNS. Zodra ik bericht heb, informeer ik je graag. Ik begrijp even niet wat je verwachting is met betrekking tot een rapportage (alle informatie over ons beleid staat immers in het Privacy- en Cookiereglement ), maar een heldere verklaring moeten we kunnen geven.
Badge +1
@Evelyn SNS, het gaat niet over de documentatie van de SNS (E.Q. en ondergetekende kunnen die best zelf opzoeken op de community), daarmee kan de SNS niet alles afdekken want er zijn ook wettelijke richtlijnen over wat mag en niet mag (Anders had ING en ABN Amro zich ook makkelijk kunnen beschermen tegen verdenking van witwaspraktijken).
In de opmerking van @E.Q. krijgt de SNS gratis advies, waar ze haar voordeel mee kan doen, want de spelregels zijn nader bepaald door het Europese hof van Justitie en die worden nog niet gevolgd door de SNS.

De gestelde termijn van @E.Q. lijkt me redelijk en ik sluit me daar helemaal bij aan. We gaan het zien.
Ik begrijp hier niets van.
Het is zonneklaar dat actieve instemming is vereist voor meer cookies dan alleen de functionele. Het is evenzeer duidelijk dat de SNS-verzoeken daartoe NIET aan deze wettelijke eis voldoen. Kan over het hoofd zijn gezien in het verleden. Of er werd gezocht naar juridische sluipweggetjes om daaraan te ontsnappen?

Maar als EQ daarop wijst, moet het een kleine ingreep zijn om de default-keuze te plaatsen op de minimale cookies in plaats van de maximale. Bovendien zou het SNS sieren om EQ te bedanken voor zijn alerte waarschuwing. Piepklein klusje, SNS weer op de wettelijke lijn en veel klanten blij. Als dat geen win-win-win situatie is weet ik het niet meer.
Als SNS dan toch moeite wil steken in mogelijkheden om toch ruimere cookies te plaatsen, mag dat uiteraard, maar wel met actieve instemming. Die klus zal wat uitgebreider zijn, schat ik zo in.

Het is ronduit bizar dat er na 5 maanden nog niets is gebeurd en er alleen maar met woorden (voorwaarden, reglementen en zo) wordt geschermd. Die doen er in deze kwestie helemaal niet toe! Er staat ook altijd in de reglementen dat SNS zich aan de wet- en regelgeving houdt / moet houden. Doe dat dan ook, zou ik zeggen.

Met als persoonlijke toevoeging, dat ik de onderverdeling in vier soorten cookies een sterke voorziening vind - daarvoor verdient SNS dan toch weer een compliment. Alleen die default-keuze...
Reputatie 2
Badge +1
"privacy by design" en "privacy by default" zijn twee basisbegrippen in de AVG. Daarmee is ook de Volksbank wettelijk verplicht om bij het eerste bezoek aan de websites van SNS, ASN, etc. de default cookie instellingen (cookie wall) met alle optionele check-boxes uit aan te bieden.

Gelukkig zie ik steeds meer websites waar dit (eindelijk) goed geregeld is. Nu SNS nog, liefst voordat ze bij Kassa/Radar/Zemble/etc. er een nieuwsitem aan wijden...
Reputatie 4
Badge +3
Dag allemaal,

Hartelijk dank voor de betrokken reacties. Graag laat ik weten dat ik de vraag heb uitgezet bij onze juristen. Jullie kunnen erop vertrouwen dat ik mijn best doe om jullie snel te kunnen informeren.
Reputatie 4
Badge +3
Goedemiddag allemaal,

Vanochtend ben ik ingelicht over de wettelijke eisen van de cookies. Graag informeer ik jullie met het antwoord van onze juristen.

Toestemming vragen
Het Europese Hof heeft inderdaad geoordeeld dat een vooraf aangevinkt hokje (waarbij aangevinkt betekent dat cookies geplaatst mogen worden) niet mag, omdat de wet zegt dat de bezoeker of gebruiker actief en expliciet toestemming moet geven. Een vooraf aangevinkt hokje wordt niet gezien als actieve, expliciete toestemming.

Voldoen aan de eisen
Op de site van SNS maken we gebruik van verschillende soorten cookies. Weliswaar zijn deze allemaal vooraf aangevinkt, maar de bezoeker moet nog wel op een algemene akkoord-knop te drukken om het te activeren. Doet een bezoeker dat niet, dan worden er geen cookies geplaatst (behalve de cookies die we zonder toestemming mogen plaatsen). Er is een actieve handeling van de bezoeker vereist om cookies te mogen plaatsen. We moeten om toestemming van de bezoeker vragen, dit moet voldoen aan 4 eisen:

De 4 eisen: 
  1. Bezoekers moeten vooraf afdoende worden geïnformeerd
  2. Toestemming moet worden gegeven alvorens de desbetreffende cookies worden geplaatst
  3. Toestemming moet worden gegeven door een actieve handeling van de bezoeker
  4. De toestemming moet vrijelijk worden gegeven door de bezoeker
Toelichting eis 1
Onze cookiebanner (pop-up) informeert een bezoeker in begrijpelijke, toegankelijke taal met de nodige verwijzingen en hyperlinks naar ons Privacy & Cookiereglement. Hierdoor kunnen bezoekers van de site (indien gewenst) gemakkelijk en direct toegang krijgen tot meer informatie over het gebruik van cookies en de verwerking van persoonsgegevens.

Toelichting eisen 2, 3 en 4
SNS plaatst pas cookies op het moment dat iemand actief op OK drukt in de cookiebanner (pop-up). Surft een bezoeker door zonder toestemming te geven (de cookiebanner blokkeert het gebruik van de site niet) dan wordt er niets geplaatst en kunnen bezoekers nog steeds van alle informatie op de site gebruik maken.

Tot slot
Het gegeven dat we onze bezoekers een gelaagdheid aanbieden in de toestemming - iets wat we juridisch gezien niet verplicht zijn, maar doen om onze bezoekers meer controle te geven - in plaats van één toestemming voor het plaatsen van alle cookies die toestemming behoeven, doet niet af aan het feit dat wij voldoen aan eerdergenoemde 4 vereisten. Bij SNS zijn we daarom van mening dat wij handelen in overeenstemming met de cookieregels. We maken graag duidelijk dat de informatie op de site alleen is bedoeld voor algemene doeleinden. Door onze website te bezoeken ga je akkoord met de gebruiksvoorwaarden die in de disclaimer staan.
Badge +1

....
De 4 eisen:
  1. Bezoekers moeten vooraf afdoende worden geïnformeerd
  2. Toestemming moet worden gegeven alvorens de desbetreffende cookies worden geplaatst
  3. Toestemming moet worden gegeven door een actieve handeling van de bezoeker
  4. De toestemming moet vrijelijk worden gegeven door de bezoeker
...Toelichting eisen 2, 3 en 4
SNS plaatst pas cookies op het moment dat iemand actief op OK drukt in de cookiebanner (pop-up). Surft een bezoeker door zonder toestemming te geven (de cookiebanner blokkeert het gebruik van de site niet) dan wordt er niets geplaatst en kunnen bezoekers nog steeds van alle informatie op de site gebruik maken (Vet door eRIk19).

....
@Evelyn SNS, Ik neem aan dat dit mooie antwoord komt van de juristen met IT kennis van de Volksbank en derhalve overstijgt dit antwoord de SNS. Nu viel me op toen ik Maximale Hypotheek Berekenen bezocht van de ASN, dat ik een modaal-venster krijg waarop ik mijn cookie keuze moet aangeven, met vooraf ingestelde keuze. Een Modaal-venster is een venster, waar ik als gebruiker iets me MOET doen voordat ik verder kan met de website: dus deze voldoet niet aan de vet gemarkeerde 'Toelichting eisen 2,3 en 4', en derhalve is in strijd met de interpretatie van de Volksbank van de richtlijn(en).
Dus de Volksbank moet nog een goed kijken naar haar websites en deze in ieder geval in lijn brengen met de interpretatie van de Volksbank.
Wat ik zo treurig vind, is dat deze hele juridische scherpslijperij eenvoudig kan worden opgelost door de defaultkeuze anders te zetten.
Maar het is inderdaad wel zo dat je niet op OK hoeft te klikken om bij SNS toch verder te kunnen, in veel gevallen.
Reputatie 4
Badge +3
Goedemorgen @eRik19 en @Koos,

Afgelopen week heb ik met de juristen van de Volksbank samengewerkt om te reageren op de vraag: voldoen de cookie-pop-ups van SNS aan wettelijke eisen? In een toelichting heb ik zo goed mogelijk uitgelegd waarom SNS van mening is dat onze cookiebanner (pop-up) aan de 4 eisen van de wet voldoet. Ik ben het met je eens dat het geen alledaagse kost is @Koos, maar door antwoord te geven op de vraag proberen we wet- en regelgeving inzichtelijk te maken en transparant te communiceren.

Bedankt voor het meedenken @eRik19, ik heb het nagekeken en voor zover ik het kan beoordelen is de cookiebanner (pop-up) van ASN Bank nagenoeg gelijk aan die van SNS (zie onderstaande afbeeldingen). Volgens mij voldoen zij aan de 4 eisen, maar als je daar aanvullend vragen hebt, dan kun je het beste contact opnemen met ASN Bank.

Om eventuele verwarring te voorkomen over cookies en het gebruik ervan, verwijs ik graag naar het Privacyreglement van de Volksbank. Om dezelfde reden deel ik ook de link naar het Privacy- en Cookiereglement van ASN Bank met jullie, https://about:blank. Ik hoop dat ik jullie hiermee verder geholpen heb, nog fijne dag!

ASN Bank:



SNS

Badge +1
@Evelyn SNS, In je resultaten van je onderzoek naar overeenkomsten tussen SNS en ASN m.b.t. cookiebanner kan ik me wel vinden, behalve dan die aangehaalde pagina in mijn post hierboven (Maximale Hypotheek Berekenen).
Reputatie 4
Badge +3
Hoi @eRik19,

Fijn om te lezen dat ik een klein beetje inzicht heb kunnen geven. Ik begrijp dat de Maximale Hypotheek Berekenen (via de site ASN Bank) je nog dwars zit. Ik zou je graag helpen, maar hiervoor kun je het beste navraag bij doen bij ASN Bank. Voor het gemak klik je hier voor de contactgegevens. Alvast een fijne avond!
Badge +1

. . .

Toelichting eis 1
Onze cookiebanner (pop-up) informeert een bezoeker in begrijpelijke, toegankelijke taal met de nodige verwijzingen en hyperlinks naar ons Privacy & Cookiereglement. Hierdoor kunnen bezoekers van de site (indien gewenst) gemakkelijk en direct toegang krijgen tot meer informatie over het gebruik van cookies en de verwerking van persoonsgegevens.

Toelichting eisen 2, 3 en 4
SNS plaatst pas cookies op het moment dat iemand actief op OK drukt in de cookiebanner (pop-up). Surft een bezoeker door zonder toestemming te geven (de cookiebanner blokkeert het gebruik van de site niet) dan wordt er niets geplaatst en kunnen bezoekers nog steeds van alle informatie op de site gebruik maken.

. . .

Voor de cookie anarchisten onder ons. ik kwam voor FF de plugin ‘uBlock Origin’ tegen deze plugin kun je leren cookiebanners zoals hierboven beschreven te herkennen en te onderdrukken. Dus nu kun je zonder enige instelling te accepteren en zonder een deel van je scherm kwijt te zijn gewoon aan de slag.

Reageer