Jubel.be eerste website die boete krijgt voor cookiebeleid (UPDATE)
UPDATE 28/01: Een woordvoerder van Jubel.be heeft ons er vandaag van op de hoogte gebracht dat het bedrijf niet in beroep zal gaan tegen de opgelegde sanctie. Knops Publishing wil daarmee dit vervelende hoofdstuk definitief afsluiten, maar blijft wel vragende partij voor een transparanter wettelijk en technisch kader omtrent de GDPR-wetgeving.
De Belgische Gegevensbeschermingsautoriteit, vroeger gekend als de Privacycommissie, heeft de website jubel.be een sanctie opgelegd omwille van zijn cookiebeleid. Dat berichtte De Standaard. Jubel is een website gespecialiseerd in juridisch nieuws, duiding en informatie. Het cookiebeleid van de website voldeed niet aan de normen opgelegd door de Europese GDPR-wetgeving die ondertussen al een jaar van kracht is. Het is de allereerste keer dat een Belgische website ook een effectieve sanctie krijgt opgelegd.
Twee inbreuken in het cookiebeleid waren de voornaamste redenen om de boete te rechtvaardigen volgens de Gegevensbeschermingsautoriteit. Ten eerste gaf de website aan zijn bezoekers niet de optie om expliciet toestemming te geven voor het inschakelen van niet-noodzakelijke cookies. De GDPR-wetgeving luidt dat deze niet meer als standaardoptie ingeschakeld mogen staan. Dat was bij Jubel wel het geval (wat inmiddels ook al wel aangepast is als je de website zou bezoeken). Ten tweede was de communicatie omtrent het gebruik van cookies onvoldoende transparant en niet in alle talen beschikbaar.
Geen gejubel
De beheerders van Jubel, Knops Publishing, hebben via een mededeling op hun website al gereageerd op de sanctie. Ze betreuren de beslissing van de Gegevensbeschermingsautoriteit, maar bekennen ook wel schuld. Doordat de website werkt met cookies geplaatst door derde partijen zoals Google Analytics, heeft het bedrijf niet altijd zicht op alle cookies die op hun website worden geplaatst. Zelfs gespecialiseerde software detecteert deze niet altijd. Volgens hen is de GDPR-wetgeving dan ook niet altijd verzoenbaar met wat technisch uitvoerbaar is.
Bovendien vinden ze ook de maatstaf van de boete te hoog. Die bedraagt 15.000 euro. Voor vele bedrijven misschien een peulenschil, maar niet voor een bescheiden startup als Knops Publishing. De boete werd bepaald op basis van het jaarlijks inkomen van het bedrijf, dat een kleine 2 miljoen euro zou bedragen. Knops Publishing betreurt dat voor hen onvoldoende in achting werd genomen dat het bedrijf op eerdere aanwijzingen van de Gegevensbeschermingsautoriteit altijd constructief reageerde. Het bedrijf zal wellicht niet in beroep gaan tegen de beslissing.
Wie is de volgende?
De uitspraak toont aan dat de tijd stilaan begint te dringen voor websitebeheerders. De vernieuwde GDPR-wetgeving is ondertussen anderhalf jaar van kracht, maar nog heel wat Belgische websites zijn nog lang niet in orde met de informatieverplichtingen. In De Standaard was dan ook te lezen dat indien de GBA vanaf nu consequent boetes zal uitdelen voor dergelijke overtredingen, quasi alle Belgische websites gevaar lopen. Een conclusie die door een woordvoerder van GBA in het radionieuws werd genuanceerd.
Maar er is wel een duidelijk voorbeeld gesteld met het opleggen van deze sanctie. En die kunnen alle bedrijven maar beter volgen. GBA heeft getoond één van de strengste autoriteiten inzake gegevensbescherming te willen zijn in Europa als het aankomt op het naleven van de Europese wetgeving.