De TTDSG is nog maar een paar dagen oud als het eerste vonnis met een knal komt: de cookiebanner-aanbieder “Cookiebot” werd illegaal verklaard door de administratieve rechtbank van Wiesbaden. In kort geding heeft Hogeschool RheinMain het gebruik van de dienst moeten staken.
Achtergrond: Cookiebot maakt gebruik van servers die zich in Europa bevinden, maar aangezien deze servers eigendom zijn van een Amerikaanse provider, is hier de Amerikaanse Cloud Act van toepassing. Hierdoor krijgen de Amerikaanse autoriteiten toegang tot de servers. Gegevens die op deze servers worden opgeslagen, zijn daarom niet veilig en Cookiebot slaat deze gegevens dan ook niet op een AVG-conforme manier op. Het gebruik van Cookiebot is uiteindelijk illegaal.
Het vonnis is baanbrekend en treft dus indirect ook andere providers: in een eerste kleine test vonden we Amerikaanse services die worden gebruikt door alle belangrijke CMP’s en cookiebannerproviders: Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes en anderen ook gebruik maken van services zoals Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai en andere Amerikaanse bedrijfsservices. Als logische conclusie uit het “Cookiebot-vonnis” zijn de cookie-oplossingen van deze bedrijven ook illegaal.
Voor de klanten van consentmanager verandert er echter niets: we hebben altijd vertrouwd op puur Europese aanbieders zonder statutaire zetel in de VS en zonder Amerikaanse moedermaatschappijen. consentmanager wordt daarom niet beïnvloed door het Cookiebot-oordeel.
Log4j – Kwetsbaarheid?
Wat ook voor opschudding zorgde deze maand was een kwetsbaarheid in een veelgebruikte Java-bibliotheek genaamd Log4j. Een laatste controle is nog gaande, aangezien we bij consentmanager geen Java-gebaseerde componenten gebruiken, gaan we er momenteel vanuit dat de consentmanager-systemen nog steeds veilig zijn.
Meer nieuwe functies en wijzigingen
Met name deze maand hebben we veel kleine punten van onze roadmap afgerond. De belangrijkste hebben betrekking op thema-instellingen, blokkeeroplossingen, beveiligingsfuncties, rapportage en meer.
