Twee derde van de Belgische bedrijven voldoet niet aan GDPR-wetgeving
Universem en Lexing lichtten 100 van de grootste Belgische websites door
Precies vier jaar geleden trad de General Data Protection Regulation, kortweg GDPR, in werking. Als gevolg daarvan moeten alle bedrijven een veel strikter beleid voeren rond data en privacy, ook op hun website. Maar twee derde van de Belgische bedrijven blijkt nog steeds niet te voldoen aan de GDPR-regels voor websites. Dat blijkt uit een onderzoek van online marketingbureau Universem en het advocatenkantoor Lexing.
Die GDPR-regels hebben de manier waarop gegevens moeten worden behandeld, grondig gewijzigd. Zo moeten bedrijven ook online verplicht een reeks beschermingsmaatregelen toepassen voor het gebruik, de verwerking en de opslag van persoonsgegevens. Dit heeft onder meer betrekking op de zogenaamde cookies. Door een combinatie van tracking en profilering zijn cookies vandaag het meest gebruikte middel om het gedrag van surfers online te volgen en hen gerichte boodschappen te sturen. De verwerking van persoonsgegevens die de cookies verzamelen moet de GDPR-regels respecteren. En daarnaast is het plaatsen en het gebruik ook onderworpen aan de e-Privacywet, die in België strenger is omdat de gebruiker uitdrukkelijk toestemming moet geven voordat cookies geïnstalleerd worden.
Slechts 6 op 100 websites zijn volledig conform
Universem heeft samen met Lexing, een advocatenkantoor gespecialiseerd in technologierecht, een onderzoek gevoerd naar de toepassing van de GDPR-wetgeving op Belgische websites. De studie werd uitgevoerd op 100 websites van grotere bedrijven, gebaseerd op “Top 5000” van het magazine Trends. De selectie werd gemaakt op basis van de omzet en de aanwezigheid van een website met een .be-domeinnaam.
Alle onderzochte sites werden vanuit verschillende oogpunten geanalyseerd en kregen een score op 18 punten. Zo konden ze worden ingedeeld in vier categorieën, gaande van “helemaal niet GDPR-conform” tot “volledig GDPR-conform”.
Slechts 6% van de geanalyseerde websites zijn volledig in overeenstemming met de regels en halen een score van meer dan 15,5 op 18. 28% halen tussen 11,5 en 15,5 op 18. Dit betekent dat 34% van de ondernemingen het merendeel van de regels naleeft en de bescherming van de gegevens van hun gebruikers bovenaan op de agenda probeert te zetten.
28% haalde de score tussen 6,5 en 11,5 op 18 en wordt als “weinig conform” beschouwd. En de grootste groep haalde minder dan 6,5 op 18 en wordt als “helemaal niet GDPR-conform” beschouwd. Dit onderzoek toont dus aan dat liefst 66% of twee derde van de onderzochte bedrijven niet voldoende controles en beschermingsmaatregelen geïnstalleerd hebben.
Cookiebanner: goed ingeburgerd, maar dat zegt niet alles
Na de inwerkingtreding van de e-Privacyrichtlijn en de GDPR is het aantal banners en pop-ups dat surfers informeert over cookies sterk toegenomen. Uit de studie van Universem en Lexing blijkt dat 86% van de geanalyseerde websites een cookiebanner heeft.
20% van deze banners waarschuwen de gebruiker alleen dat cookies zullen worden geïnstalleerd als hij zijn bezoek voortzet (een zogenaamde informatieve banner). 8% biedt de mogelijkheid om met één klik alle cookies te weigeren of te aanvaarden (single level consent banner). De meerderheid, 58%, hanteert een meer geavanceerde toepassing en biedt een selectie, soms zeer verregaand, aan van de toegestane soorten cookies (multiple level consent banner).
Toch stellen de onderzoekers vast dat er nog één en ander fout loopt met de banner waarmee bezoekers hun toelating geven voor cookies. In bijna de helft van de gevallen wordt al een cookie geplaatst, nog voor daar de gebruiker zich daarover heeft uitgesproken. Ook dat druist dus in tegen de geest van de GDPR-regelgeving.
Ook niet onbelangrijk: het hebben van een banner is een begin, maar niet genoeg om te voldoen aan de volledige e-Privacyrichtlijn en GDPR. Websites moeten ook meer algemene informatie bevatten over de verrichte gegevensverwerkingen.
Op dit punt zijn de resultaten van de studie eerder optimistisch. De meeste onderzochte ondernemingen zijn zich bewust zijn van de regels inzake de bescherming van gebruikersgegevens en vermelden dit ook expliciet op hun website. 79% van de ondernemingen heeft een privacybeleid op haar website en 63% heeft een cookiebeleid.
Financiële sancties en imagoschade
De Gegevensbeschermingsautoriteit (GBA) houdt het toezicht op de conformiteit van digitale marketing, analyse-instrumenten en cookies. De risico’s van een onderzoek en financiële sancties zijn reëel. Ze kunnen oplopen tot 4% van de wereldwijde omzet van de groep waartoe de bestrafte onderneming zou behoren.
Afgezien van de risico’s van sancties voor niet-naleving, mogen ondernemingen niet uit het oog verliezen dat internetgebruikers steeds beter op de hoogte zijn van hun rechten en gevoelig zijn voor het respecteren van hun privéleven. Het aantal vragen, klachten en rechterlijke uitspraken inzake gegevensbescherming en vertrouwelijkheid is de laatste jaren sterk gestegen. Transparantie op dit niveau is een belangrijke waarde voor het merkimago van ondernemingen.
Hubert de Cartier, Universem : « In de afgelopen 4 jaar hebben we een enorme toename gezien van de interesse in privacy bij consumenten. Ze willen weten hoe hun gegevens worden gebruikt door bedrijven. Organisaties kunnen deze terechte vraag niet negeren, omdat het hen kan schaden door onder andere boetes, maar ook door vertrouwen dat daalt of zelfs helemaal verdwijnt. We adviseren dan ook aan onze klanten om na te denken over strategie op lange termijn in verband met van gegevensverzameling, marketingstrategieën en de communicatie hierrond. Eén handige vuistregel geldt alvast voor zowat iedereen: verzamel geen gegevens die u niet nodig hebt. »
Alexandre Cassart, Lexing : « Afgezien van de vaag irritante anekdotische aard van cookiebanners, moeten alle belanghebbenden het belang inzien van de gegevensverwerkingen verricht door websites en de noodzaak tot transparantie van die verwerkingen. Bij gebreke daarvan zal de Gegevensbeschermingsautoriteit hen daaraan herinneren door bedrijven in de portemonnee te raken. »
De pers praat er over!
In het Frans:
- La Libre : Seulement 6 % des sites protègent vos données privées
- La Première : Le marché matinal : Quid du RGPD, 4 ans plus tard ?
- Solutions magazine : GDPR : 66 % des sites web belges pas conformes
- pub.be : Universem et Lexing ont audité 100 des plus grands sites web belges
- CCI mag’ : 2/3 des sites internet belges ne sont pas conformes à la législation RGPD
- Régional-IT : Beaucoup de sites Internet de grandes entreprises toujours pas conformes au RGPD
In het Nederlands:
Onze laatste nieuwsberichten over dit onderwerp
-
Opleiding 14 oktober 2022 van 08:30 aan 09:30
earlegal – Cookies – Comment ne pas commettre de faux pas ?
Alexandre CassartVictoria Ruelle -
Opleiding 18 november 2021 van 09:00 aan 17:30
Conférence 40 ans CRIDS – “Time to Reshape the Digital Society”
-
03/03/21
RGPD : Le chatbot de votre site est-il conforme ?
Anne-Valentine RensonnetAlexandre Cassart