De Autoriteit Persoonsgegevens (AP) is dit jaar actiever gaan handhaven op het correct vragen van toestemming voor cookies, onder meer voor analytics- en marketingoplossingen. De AP wil 500 organisaties per jaar controleren, zo’n 50 per maand. Sinds de start zijn er dus al minstens 150 organisaties gecontroleerd, van grote spelers tot individuele sites. Er is dus geen reden om aan te nemen dat jouw organisatie niet aan de beurt kan komen.
Tekst: Janus de Visser
De AP zet bovendien steeds meer automatisering in om dit op schaal te kunnen doen. Zie het als digitale flitspalen langs de weg. Hoog tijd dus om je beter aan de regels te houden; precies wat de AP wil bereiken.
Je ontvangt een brief, wat nu?
In de afgelopen maanden hebben we als Cloud Nine Digital meerdere organisaties geholpen na het ontvangen van een AP-brief. De succesvolle afronding van deze trajecten leverde waardevolle inzichten op in wat er precies van bedrijven wordt verwacht.
Onze mening over de brief zelf laten we even voor wat het is, maar de opvattingen van de AP zijn helder. Er zijn een aantal cruciale punten die je aandacht vereisen:
Controle in meerdere stappen
De controles van de AP bestaan uit meerdere stappen. Eerst voeren ze een (grotendeels) geautomatiseerde quick scan uit. De bevindingen uit deze scan ontvang je per brief waarmee je wordt geacht de overtredingen te verhelpen. Het aanpakken van deze punten kan voldoende zijn, maar in de meeste dossiers volgt een tweede, grondigere controle waaruit vaak aanvullende bevindingen komen.
De fatale termijn
Je krijgt drie maanden om te reageren op de brief en de mogelijke overtredingen die zijn gevonden in de quick scan. Deze quick scan is dus geen volledige controle en wie alleen de genoemde punten aanpakt loopt het risico dat de AP in de tweede controle extra bevindingen toevoegt. Deze moeten óók binnen dezelfde termijn worden opgelost. Doe daarom aanvullend onderzoek en plan je eerste reactie 4 tot 6 weken na ontvangst van de brief. Houd er ook rekening mee dat de AP zelf tot 2 weken nodig heeft om te reageren.
Al je websites en apps
De AP benadrukt dat het niet alleen gaat om de website die in de brief genoemd wordt, maar om alle domeinen en apps waar je verantwoordelijk voor bent. In de praktijk zien we dat deze bredere blik niet altijd wordt toegepast – apps blijven bijvoorbeeld vaak buiten beeld - maar we zien de AP per ronde scherper controleert. Het is dus verstandig om al je digitale kanalen mee te nemen in je reviews en verbeteringen.
De voorlopige bevindingen
De lijst met punten die in de quick scan zijn gevonden wordt gedeeld als voorlopige bevindingen. Let hierbij goed op formuleringen als “twijfel is gerezen over…”. Niet alles is per se een fout; soms is een duidelijke toelichting voldoende. Als voorbeeld zijn functionele cookies zoals die van Cloudflare voor fraude-detectie zonder toestemming toegestaan, maar ze kunnen toch in de lijst staan als onrechtmatig gebruikt.
Incompleet cookie-overzicht als bijlage
De AP voegt vaak een overzicht toe van cookies die zijn gevonden voordat toestemming is verkregen. Dit is nuttig, maar tot nu toe nooit volledig gebleken. Bij de tweede controle kunnen dus extra cookies naar voren komen. Vertrouw daarom niet alleen op de bijlage, maar voer ook je eigen onderzoek uit.
Aan de slag met de bevindingen
Met het oog op de strakke tijdslijnen is het zaak om snel en doelgericht te werken. Het doel is het dossier (voorlopig) door de AP te laten sluiten. Laat dit niet uitgroeien tot een breed AVG-project, daar is de tijd simpelweg te kort voor.
Wij adviseren in hoofdlijnen de volgende aanpak:
- Stel een werkgroep samen: vorm een team met Legal-stakeholders, Product Owners, tagging-specialisten en toolverantwoordelijken. Zo zorg je ervoor dat je het contact met de AP goed kan begeleiden en heb je slagkracht om aanpassingen te doen in je consent-setup en marketingstack.
- Doe eigen onderzoek: controleer de cookie-banner en consentmechanismen op alle domeinen en in alle apps. Voer daarbij een uitgebreide handmatige cookiescan uit – in onze ervaring missen geautomatiseerde oplossingen vaak tot 40%.
En hoe verleidelijk ook, neem geen voorbeeld aan de cookiebanner van je concurrent of prominente online spelers. Veel partijen doen het niet goed genoeg, waardoor je snel verkeerde onderdelen overneemt. Bovendien richt de AP zich op Nederlandse partijen. Grote bedrijven buiten Nederland, zoals DPG Media (België), zijn dus geen goed referentiekader.
- Maak een to-dolijst: combineer de bevindingen uit de brief met de resultaten van je eigen onderzoek en bepaal wat toelichting nodig heeft en wat om aanpassingen vraagt in techniek of tekst.
Heb je de regels al enige tijd niet gevolgd, houd er dan rekening mee dat je vanwege de strakke tijdslijnen mogelijk applicaties geheel uit moet zetten totdat je consentmanagement op orde is.
- Dien een eerste reactie in: beschrijf de doorgevoerde aanpassingen en geef waar nodig toelichting.
Sluit het AP het dossier niet op basis van de eerste reactie en volgt er nog de tweede, uitgebreide controle dan kun je deze werkwijze direct opnieuw toepassen.
Methode van de AP
De introductie van geautomatiseerde controles zorgt voor continu toezicht op duizenden Nederlandse websites. Heb je nog geen melding ontvangen of is een dossier succesvol gesloten, dan is dat dus geen vrijbrief om opnieuw dezelfde fouten te maken.
Wij hebben ook de nodige kritiek op de werkwijze van de AP:
- Onverwachte aanvullingen: organisaties worden verrast door nieuwe bevindingen in de tweede controle, zonder verlenging van de fatale termijn. Wij hadden het duidelijker gevonden als de AP de eerste melding vollediger had uitgewerkt en niet alleen had gebaseerd op de quick scan.
- Inconsistentie: niet alle organisaties worden gelijk beoordeeld. Wat bij de één als overtreding geldt blijft bij een ander ongenoemd. Dit maakt de weg naar een uniforme standaard moeilijker.
Deze combinatie benadrukt het belang van goed eigen onderzoek en duidelijke documentatie van wat er gebeurt en is aangepast. Zo dek je zelf een bredere scope en beperk je verrassingen in een tweede ronde.
Structureel beleid
De AP is duidelijk: cookietoestemming moet correct en transparant worden geregeld. Met digitale flitspalen houden ze websites continu in de gaten, en onwetendheid geldt niet langer als een valide argument van non-compliance - de wet- en regelgeving is daar inmiddels te duidelijk voor.
Voor organisaties betekent dit dat cookie-compliance geen eenmalig project is, maar een structureel onderdeel van je databeleid moet zijn. Pak je het gestructureerd en tijdig aan, dan gaat het dossier meestal snel dicht en leg je tegelijkertijd het fundament voor betrouwbare, privacy-first marketingdata.
En hoe cliché ook, voorkomen is in dit geval écht beter dan genezen. Weet je dat cookie-consent te weinig aandacht heeft gehad, plan dan je onderzoek in en start alvast een verbetertraject. Ook al kom je misschien (nog) niet tot de in de ogen van AP perfecte setup, goede kennis van en grip op je consentmanagement is in alle gevallen van grote waarde, of eigenlijk zelfs noodzakelijk.
Meer weten? Kom naar onze Privacy Breakfast
Behoefte aan meer diepte over dit onderwerp? Schuif aan bij onze ontbijtsessie in Amsterdam met techvendor Piano. We delen in meer detail wat we recent bij deze AP-cases hebben gezien en gaan in op hoe je privacy-first kan werken zonder concessies in digital performance.
Kleinschalig en interactief om een goed gesprek te hebben met vakgenoten en experts.
📅 Donderdag 13 november
📍 Piano, Herengracht 433, 1017 BR Amsterdam
🕗 09:00–11:00 (ontbijt inbegrepen)
Janus de Visser is Director bij Cloud Nine Digital, het data & analytics bureau dat organisaties helpt een privacy-first fundament te bouwen en te onderhouden voor data-gedreven besluitvorming in digital. Met 10+ jaar ervaring in digital data & privacy & helpt hij o.a. Bol., Vodafone, PVH en De Efteling met compliance-vraagstukken.
Er is op dit moment 0 keer gereageerd op:
Cookie-compliance volgens de AP: lessen uit de praktijk