Wat als zij zich er niet aan houden?

De uitvoering van deze regel valt onder de OPTA, en die mag hoge boetes uitdelen. Ze hebben dat al eens gedaan onder de huidige regel tegen een spywaredistributeur:
http://blog.iusmentis.com/2007/12/22/boete-van-opta-voor-verspreiden-malware/
http://blog.iusmentis.com/2007/08/20/malware-hard-aangepakt-door-de-opta/

Iemand een suggestie hoe je op een niet-irritante manier om toestemming gaat vragen om cookies op te slaan?

De enige website die ik bezoek die dat überhaupt doet is Spamhaus. Dat is niet bijzonder irritant — je krijgt het ook maar één keer per browser. Maar, inderdaad, hoe zullen nitwit-websites hier mee omgaan? (En al die advertentie tracking dingen? Of zal de moedersite daar om toestemming vragen?)

Ik verwacht dan ook dat weinig websites zich hier aan gaan houden, en dat er weinig vervolging gaat zijn. Kijk eens hoeveel webwinkels niet op de hoogte zijn van de wet koop op afstand. Die gaan al helemaal niet op de hoogte zijn van deze cookie-wetgeving.

En zoals Dennis al aangeeft: zolang wordpress of phpbb standaard ongevraagd cookies plaatsen, blijven er bijzonder veel websites die zich hier niet aan houden, maar ook geen echte schade aanrichten.

Wat is overigens het criterium voor het van toepassing zijn van dit soort wetten? Gehost in de EU? Geëxploiteerd door iemand die in de EU gevestigd is? Gericht op bezoekers in de EU?

(Kan dat “Erik Romijn” zal gaan zeggen niet optioneel uit? Het maakt commenten vanaf een iPhone erg traag.)

Daarnaast twijfel ik sowieso aan de uitvoerbaarheid van dit bedenksel, want hoe zit het met thirdparty-cookies die bijvoorbeeld geplaatst worden door Google Adsense of elk willekeurig ander advertentienetwerk?

Ietwat OT, maar toch ook weer niet: tegenwoordig gebruiken veel iets minder nette websitebouwers geen HTTP cookies meer, maar Flash cookies. De voordelen daarvan zijn dat ze niet via de browserinstellingen te blokkeren zijn, veel mensen niet eens op de hoogte zijn van het bestaan ervan, en het ook uitermate lastig is om zulke cookies te weren.

Gewoon omdat ik je wel een beetje vertrouw.

Dat doe ik minder met de cookies van bijvoorbeeld faceboek. Zulke cookies zijn mij iets te groot en gooi ik regelmatig weg.

Als gebruiker kan je nu toch ook al alle cookies blokkeren in je browser? Zelf vind ik dat niet zo handig en merk ik dat misbruik behoorlijk meevalt.

Zodat bijvoorbeeld winkelwagentjes die anoniem gevuld kunnen worden zonder meteen in te loggen gewoon kunnen blijven werken. Sessies dus eigenlijk. Alles meegeven in de URL kan natuurlijk ook (tot op zekere lengte) maar is onhandig en ook gebruikersonvriendelijk.

En wat betreft dat voorbehoud in gevallen waarin de browser voldoende mogelijkheden biedt. Moet je dan een lijstje bij gaan houden van browsers die voldoende mogelijkheden bieden? Zucht…

Opslaan in een cookie mag niet. Dus dat wordt dan net zolang de vraag opnieuw stellen tot de gebruiker de site droevig verlaat of de toestemming boos geeft.

Hebben ze hier eigenlijk ook maar een heeeeel klein beetje over nagedacht?
Of gewoon helemaal niet? ;-P

Een punt dat voor websitebeheerders heel vervelend kan uitpakken is waar de verantwoordelijkheid om uit te leggen hoe de trackingcookies van adverteerders (en counters of statistieksites) gebruikt worden komt te liggen. Ik han me voorstellen dat onder iedere advertentie een link naar de privacy-policy van de adverteerder komt te staan.

Maar je hebt gelijk, de meeste mensen weten niet eens dat ze bestaan.

Firefox bijvoorbeeld heeft zelfs een instelling waarbij bij elk cookie om je toestemming wordt gevraagd (in een pop-up). Ook zijn er instellingen om bij het afsluiten van de browser alle cookies te verwijderen. Internet Explorer heeft volgens mij ook een uitgebreid privacypaneel. Beide browsers hebben bovendien privénavigatiemodi. Bovendien kun je exact inzien welke informatie is opgeslagen en evt. deels of geheel verwijderen.

Als jij een browser of instelling gebruikt die alle cookies klakkeloos accepteert, dan is dat jouw eigen verantwoordelijkheid. Je bent op geen enkele wijze verplicht deze cookies blindelings aan te nemen. Daarnaast, in de oude situatie kun je instellen dat de cookies automatisch worden geaccepteerd of afgewezen om de overhead te verminderen. In de nieuwe situatie is dit volstrekt onmogelijk.

Cookies zijn een enorm transparant systeem. Iedere internetter kan in detail bepalen welke cookies hij wel en niet wil. Er is geen enkele denkbare reden om hier opeens strenge juridische beperkingen overheen te gooien.

Er zijn slechts twee alternatieven:
1. Informatie op de server opslaan in plaats van bij de client, waardoor je als bezoeker veel minder controle over je privacy hebt, het niet kunt inzien en het niet kunt wissen.
2. Informatie uit cookies terug naar de URI verplaatsen is een enorme achteruitgang voor alle partijen. Het kan niet meer geweigerd worden door de browser, het is onveilig wegens sessie-hacking, dezelfde pagina heeft voor iedereen een andere URI waardoor deze niet meer U(niform) is, waardoor de browser niet meer aan zijn gebruiker te laten zien of hij die pagina al bezocht heeft, waardoor zoekmachines en bots een enorme overhead krijgen omdat ze veel vaker dezelfde pagina moeten indexeren, waardoor URI’s niet meer hanteerbaar kort kunnen zijn voor de eenvoud, waardoor caching door browsers ineffectief wordt, waardoor dataverkeer verspilt wordt, waardoor de kosten van het hosten van een website stijgen, etc., etc., etc.

Cookies moeten niet bestreden worden, zij moeten gekoesterd worden. Ze zijn een zegen voor het open internet.

Cookies moeten niet bestreden worden, zij moeten gekoesterd worden. Ze zijn een zegen voor het open internet.

Kun jij me in detail uitleggen welk gebruik Google, Microsoft en de andere advertentieverkopers van cookies maken? Ook waarom Google zo’n bezwaar maakt om de door haar opgeslagen informatie na 6 maanden te anonimiseren? Waarom zijn er zoveel websites met 1×1 pixel gifs?

Iemand een suggestie hoe je op een niet-irritante manier om toestemming gaat vragen om cookies op te slaan?

Door die toestemming op te slaan in een cookie.

Iedere volwassen browser kan cookies weigeren of waarschuwen; moet de gebruiker toestemming geven: probeer het eens, om gek van te worden. Is dat de bedoeling een pop-up bij elke cookie? Kan al, keus van gebruikers om het niet te doen.

Gebruik zelf Opera en die gooit alle nieuwe cookies automatisch weg als je afsluit. Je kan ook standaard cross domain cookies weigeren. Zou graag een instelling willen die alleen cookies per tab bewaart en weggooit als je de tab sluit.

@Aernoud: In de url? Lekker als je daarna een andere site bezoekt. Zit je login in de referrer. En in alle logbestanden. :))

Het voorstel is praktisch onzinnig:
Of bij elk cookie een pop-up.
Of iedere site zet in de disclaimer dat je de site alleen mag gebruiken, op voorwaarde dat er cookies gebruikt worden.
Of op elke pagina inloggen

Wanneer een browser dus afdoende controle biedt over het accepteren en opslaan van cookies, hoeft een site daar niet meer elke keer om te vragen.

Helemaal slecht idee (browsersniffing), moet je afhankelijk van browser(mogelijkheden) extra dingen inbouwen. Er is geen limitatieve lijst van software….

Als je de privacy wilt verbeteren, moet je juist het opslaan van informatie op de server beperken i.p.v. op de client. Adverteerders gebruiken vaak cookies om de bezoeker te herkennen en het juiste profiel erbij te laden. Niet het koppelen van het profiel aan de bezoeker moet verboden worden via een onnozel cookieverbod, maar simpelweg het opbouwen van het profiel moet worden aangepakt. Immers het IP-adres kan net zo goed voor het koppelen van profielen worden gebruikt, het cookie is slechts een verbetering van deze koppeltechniek indien de bezoeker een dynamisch IP-adres heeft.

Conclusie: voor de grote meerderheid met een vast IP-adres geeft het cookieverbod wel een achteruitgang in functionaliteit van webpagina’s (immers voor kleine handige functies is het niet reëel om uitgebreid om toestemming te gaan vragen), maar stelt daar geen verbetering van de privacy tegenover.

Het is ook praktischer want dan hoef je slechts vier professionele partijen (mozilla, microsoft, aplle en google)aan te spreken ipv een miljoen amateurs.

Het http protocol laat ruimte open om eigen headers te definieren, mits deze beginnen met X-. Nu ga ik de X-time header introduceren (als nog niemand dat gedaan heeft). In die header zet ik de huidige servertijd, “gewoon, omdat het kan”. Als er vervolgens browsers zijn die bedenken de computertijd aan de hand van die headers aan te passen kan ik daar niets aan doen. Ik stuur gewoon een string, wat de user daar mee doet moet hij/zij volledig zelf weten.

Lang leve overprotective governments… (is daar niet toevallig een mooie Latijnse benaming voor?)

Verder is het een absoluut non-issue natuurlijk. Browsers geven al sinds jaar en dag mogelijkheden om cookies te beheren. Alle “tin-foil hat” mensen kunnen dan fijn cookies blokkeren, net zoals ze hun javascript hebben uitstaan en geen flash gebruiken. Kunnen wij web bouwers gewoon fijn websites blijven bouwen zonder normale mensen lastig te vallen met termen die ze toch niet kennen.

Zie
http://www.theregister.co.uk/2009/11/12/hotmail_cookies .

De hierboven genoemde flash cookies zouden inderdaad niet meer kunnen, en hoewel alle nederlandse banner boeren daar waarschijnlijk wat treurig van worden zal verder niemand daar een traan om laten gok ik.

Als je de privacy wilt verbeteren, moet je juist het opslaan van informatie op de server beperken i.p.v. op de client

Goed punt. Minder makkelijke te controleren natuurlijk, maar wel een stuk nuttiger.

Er is best een hoop problemen met cookies, maar die moet je ook weer niet overdrijven. Al is het maar omdat er dan vage ’security’-applicaties komen die je waarschuwen dat je maar liefs 73 tracking-cookies hebt, die ze voor een tientje per maand netjes verwijderen.

(Zijn er eigenlijk Firefox plugins die cookies van bepaalde sites, zeg adverteerders en andere tracking-sites, weigeren maar de nuttige rest wel gewoon toelaten?)

Ik zie dan ook geen enkel probleem met de huidige situatie. Immers, je kunt nu de website bezoeken, later het privacybeleid lezen en daarna alsnog besluiten om de reeds ontvangen cookies weer te verwijderen en in de toekomst te blokkeren.

@Blijbol, 26: Waar vind ik het privacybeleid voor de cookies van jouw adverteerders?

de website van blijbol weet ik niet, maar op b.v. nu.nl is gewoon dit te lezen

quote:
“ilse media verzamelt en verwerkt via de door haar geëxploiteerde websites persoonsgegevens voor de volgende doeleinden: … om gericht aanbiedingen te doen, zo kan bijvoorbeeld een advertentie worden getoond van een product waarvan ilse media op basis van door haar verwerkte gegevens vermoedt dat het je interesse heeft. In het kader van de optimalisatie van het doen van de aanbiedingen kan ilse media een profiel van je opstellen;”

Verder levert nu.nl ook nog eens een “no-follow” cookie. (de cookie word meteen geplaatst wanneer je op de link klikt, dus enkel klikken als je dat niet meer wilt)
http://rc.bt.ilsemedia.nl/nofollow.php

In andere woorden, respectabele websites houden gewoon een keurig beleid waar open en duidelijk uitgelegd wordt wat er gebeurt en waarom het gebeurt.

Overigens, een van de grootste adverteerder double click (waar nu.nl ook gebruik van maakt) geeft ook enorm veel informatie over haar services, en geeft uiteraard ook informatie over de no-follow of opt-out cookie.
http://www.doubleclick.com/privacy/opting_out.aspx

Ja er zullen vast websites zijn die hier niet keurig mee omgaan, maar het schetst een verkeerd beeld door te stellen dat het allemaal malafide gedrag is en in het geheim gebeurt.

Google geeft aan wat er aan informatie over Google in het privacybeleid moet worden gegeven (is overigens niet altijd zo geweest). Als ik daar zelf meer informatie aan toe ga voegen, en die informatie verandert later, dan doe ik toezeggingen die ik niet waar kan maken. Ik beperk me daarom tot wat Google mij instrueert om te vermelden. Ik heb daarom de neiging om de verantwoordelijkheid voor onduidelijkheden op dit punt naar Google door te schuiven. Mijn privacybeleid bevat overigens wel een link naar de opt-out-optie van Google, via die pagina kunnen bezoekers wel aan meer informatie komen.

Ik geef overigens direct toe dat mijn privacybeleid waarschijnlijk verre van perfect is. Maar ja, ik ben ook maar een simpel individu met een website.