In het kader van de Nationale Privacy Index werd van 175 Nederlandse organisaties onderzocht hoe zij omgaan met privacy. Een ervan was Pels Rijcken, het kantoor van de landsadvocaat. BNR Nieuwsradio besteedde in een uitzending aandacht aan het cookiebeleid op de websites van Pels Rijcken. Een verslag daarvan staat op de website van BNR: Pels Rijcken zou zonder toestemming gegevens van websitebezoekers met Amerikaanse techbedrijven hebben gedeeld, en zo hebben gehandeld in strijd met privacy- en cookiewetgeving. Dat blijkt uit onderzoek van maatschappelijk hacker Mick Beer.
‘Ter decoratie’
Volgens Beer werden gegevens van websitebezoekers van Pels Rijcken gedeeld met derde partijen, waaronder Google. Dit zou zijn gebeurd vóórdat een bezoeker hiervoor toestemming had kunnen geven via cookies. Het had dus geen zin om cookies te weigeren, het ‘kwaad’ was al geschied. Het ging om onder andere IP-adressen, locatiegegevens, browserinformatie en apparaatgegevens. Tegen BNR zei Beer: “De knop om cookies te weigeren was er eigenlijk meer ter decoratie.” Dit zou volgens Beer ‘jaren’ hebben geduurd. In een reactie stelt Pels Rijcken dat dit slechts ‘enkele dagen’ gebeurde.
Cookieverklaring
Op een ander punt geeft Pels Rijcken wel toe dat er iets mis was met cookies. Zo was het mogelijk dat websitebezoekers in aanraking komen met cookies van derde partijen. Die zijn niet altijd direct zichtbaar of worden niet volledig vermeld in de cookieverklaring van Pels Rijcken. “Dit komt omdat het in de praktijk kan voorkomen dat embedded content van derde partijen die wij aanbieden op onze websites, zoals YouTube-video’s, andere cookies bevatten dan in onze cookieverklaring zijn vermeld of dat deze partijen hun cookies aanpassen nadat de embedded content al op onze website geplaatst is”, luidt de verklaring van de advocaten.
Dagelijkse scan
Pels Rijcken voerde maandelijks een scan uit met Cookiebot. Daarna werd, indien noodzakelijk, de privacy- en cookieverklaring aangepast. “Er kan soms enige tijd zitten tussen het plaatsen van de embedded content het uitvoeren van de scan.” Pels Rijcken heeft haar werkwijze aangepast van een maandelijkse naar een dagelijkse scan. Pels Rijcken benadrukt dat op hun websites alleen content wordt geplaatst die voor derden openbaar is of arbeidsmarktcommunicatie bevat. Die content bevat geen cliëntvertrouwelijke informatie.
