Onbedoeld cookies geplaatst op werkenbij.autoriteitpersoonsgegevens.nl
In de periode van 20 tot en met 23 januari 2025 heeft de AP analytische/tracking cookies en functionele cookies geplaatst op de website ‘werkenbij.autoriteitpersoonsgegevens.nl’. Dit is een website die een externe leverancier voor de AP beheert. De AP is verwerkingsverantwoordelijke en dus verantwoordelijk dat er op deze website géén cookies worden gebruikt. Dat is dus niet goed gegaan.
Er heeft onvoldoende controle plaatsgevonden voordat een video online werd gezet. We hebben het proces aangescherpt door onder andere bij hoogrisicoverwerkingen controle te laten plaatsvinden voordat zaken online gaan. De AP biedt hiervoor en voor het te laat informeren van betrokkenen excuses aan, en heeft maatregelen genomen zodat dit niet nog eens gebeurt. Hieronder geven we u meer informatie, en enkele aanbevelingen.
Wat is er gebeurd?
Google Analytics cookies
Door een technische fout is door de leverancier per ongeluk Google Analytics geactiveerd op werkenbij.autoriteitpersoonsgegevens.nl. Hierdoor zijn er bij het bezoeken van de werkenbij-website analytische/tracking cookies geplaatst en heeft er onbedoeld gegevensverzameling plaatsgevonden (IP-adres en technische gegevens over onder andere de gebruikte webbrowser). De AP heeft het probleem samen met de leverancier opgelost en gezorgd dat dit niet nog eens kan gebeuren. Omdat er tegelijk ook een andere fout was in het systeem, zijn de verzamelde gegevens niet opgeslagen in het Google-account van de leverancier. Maar dat kunnen wij niet met honderd procent zekerheid zeggen. Daarom wordt er een verzoek ingediend bij Google om alle data die met de cookies zijn verzameld te laten verwijderen.
Cookies van Vimeo/Cloudflare
De leverancier maakt gebruik van de dienst Vimeo om ervoor te zorgen dat bezoekers op de werkenbij-website een video over de AP kunnen bekijken. Hierbij staat de ‘do-not-track’-optie aan. Toch zijn er helaas twee functionele cookies (‘cf-bm’ en ‘cfuvid’) geplaatst en daarmee gegevens verwerkt (over wie op welk moment de video heeft bekeken). Het gaat om cookies van Cloudflare die in opdracht van Vimeo worden geplaatst om de videodienst te beschermen tegen overbelasting. De AP heeft de video na ontdekking direct laten verwijderen van de werkenbij-website en ervoor gezorgd dat de cookies niet langer geplaatst worden. Daarnaast is er op 17 maart 2025 een verzoek ingediend bij de leverancier om alle data te verwijderen die door Vimeo met de cookies zijn verzameld.
Doorgifte buiten de EER en bewaartermijnen
Het is niet duidelijk naar welke landen de persoonsgegevens mogelijk zijn geëxporteerd en of deze landen passende waarborgen hebben genomen. Volgens Google wordt cookie-informatie in serverlogs binnen 18 maanden geanonimiseerd of verwijderd. Maar de informatie kan op andere plekken mogelijk langer worden bewaard. Cloudflare geeft aan dat wanneer de bewaartermijn voor een bepaald type gegevens verloopt, deze gegevens zullen worden verwijderd/vernietigd. Op dit moment hebben we geen zicht op de concrete bewaartermijnen.
Aanbevelingen voor verwerkingsverantwoordelijken
Wilt u als organisatie voorkomen dat u dit ook overkomt? Een paar aanbevelingen:
- Evalueer regelmatig de afspraken die u met leveranciers hebt. En stel ze bij als dat nodig is.
- Controleer of alles volgens de afspraak gaat vóórdat u iets online zet. En zorg dat u hiervoor een goed proces heeft, zodat een fout minder snel/niet wordt gemaakt.
- Maak gebruik van bijvoorbeeld de OTAP-methodiek: het start met Ontwikkeling, dit Test je, daarna Accepteer je het en zet je het in Productie.
- Check ook of een gegevensverwerking wel hoort plaats te vinden. En zo ja, of de verwerking in lijn is met uw verwerkingsregister en privacyverklaring.
- Zorg voor een goed en duidelijk cookiebeleid dat aan wet- en regelgeving voldoet.
Aanbevelingen voor betrokkenen
Lees meer over hoe u uw privacy kunt beschermen tegen cookies.
Heeft u vragen? Neem dan contact op met onze functionaris gegevensbescherming (FG) via privacy@Verwijder-deze-text.autoriteitpersoonsgegevens.nl.