Puzzelen met de cookiewet: wat is het nou geworden?

Wat mag er nu wel en niet onder de nieuwe cookiewet? Die vraag kreeg ik vele malen de afgelopen week. Het was ook een onoverzichtelijk zootje, de procedure rond de aanpassing van de Telecommunicatiewet. En er is nog geen geconsolideerde tekst beschikbaar met de definitieve versie van dit wetsartikel. Je moet echt het dossier door en dat naast de apart gepubliceerde stemmingsuitslagen leggen om te zien wat nu concreet het wetsvoorstel wordt.

Het cookieartikel in de Telecommunicatiewet heeft als nummer 11.7a gekregen, en komt daarmee direct na het spamverbod. Volgens mijn reconstructie gaat het er dan als volgt uitzien (met onderstreept en doorgehaald de wijzigingen):

Artikel 11.7a

1. Onverminderd de Wet bescherming persoonsgegevens dient een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker:

a. de gebruiker duidelijke en volledige informatie te verstrekken overeenkomstig de Wet bescherming persoonsgegevens, en in ieder geval omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en
b. van de gebruiker ondubbelzinnige toestemming te hebben verkregen voor de desbetreffende handeling.

Een handeling als bedoeld in de aanhef, die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden, wordt vermoed een verwerking van persoonsgegevens te zijn, als bedoeld in artikel 1, onderdeel b, van de Wet bescherming persoonsgegevens.

2. De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het geval op een andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk gegevens worden opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen gegevens.

3. Het bepaalde in het eerste en tweede lid is niet van toepassing, voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel:

a. de communicatie over een elektronisch communicatienetwerk uit te voeren, of
b. de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is.

4. Bij algemene maatregel van bestuur kunnen in overeenstemming met Onze Minister van Veiligheid en Justitie nadere regels worden gegeven met betrekking tot de in het eerste lid, onder a en b, genoemde vereisten. Het College bescherming persoonsgegevens wordt om advies gevraagd over een ontwerp van bedoelde algemene maatregel van bestuur.

Het stuk over ondubbelzinnige toestemming was de kern van de zaak. Punt was hier dat de Europese richtlijn spreekt van ’toestemming’ maar de ministerraad in eerste instantie koos voor “ondubbelzinnige” toestemming. Dat leverde felle protesten op, waarna het wetsvoorstel formeel werd ingediend met alleen “toestemming”.

Uiteindelijk is de wet toch aangenomen met een expliciet toestemmingsvereiste, maar dan indirect vastgelegd. De crux zit hem in het feit dat artikel 11.1(g) Telecommunicatiewet bepaalt dat onder «toestemming» in de Telecommunicatiewet moet worden verstaan «toestemming» als bedoeld in de Wet bescherming persoonsgegevens. Oftewel:

elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;

Dat biedt iets meer ruimte dan de originele tekst die expliciet ondubbelzinnig toestemming wilde hebben. Echter, er zal wel degelijk nog iets gevraagd moeten worden. De cookieinstellingen van huidige browsers voldoen niet, zo verklaarde de minister eerder. Met name omdat ze standaard alle cookies accepteren, maar ook omdat je vaak alleen grofmazig wel/geen cookies kunt accepteren of alleen heel moeilijk de cookies van zeg DoubleClick of Facebook kunt weren. (En Flashcookies vaak al helemaal niet.)

cookie-icoon.pngEen sprankje hoop voor de marketingbranche:

De toestemming hoeft slechts eenmalig verkregen te worden en dus niet bij elke handeling opnieuw. De aanbieder kan die toestemming zelfstandig verkrijgen van de gebruiker, maar ook collectief. Dat laatste vergt voor de gebruiker slechts een enkele handeling, waarna ongestoord gebruik kan worden gemaakt van het internet en andere diensten. Het is aan de sector zelf om dit slim te organiseren. Essentieel is dat de toestemming ondubbelzinnig is, zoals bedoeld in de Wet bescherming persoonsgegevens.

Er mag dus niet worden gewerkt met een puur passief systeem waarbij de gebruiker zelf maar moet ontdekken of er wellicht cookies op zijn PC staan en wat daarmee gebeurt. Maar een actief systeem van informeren zodra het gebeurt in combinatie met een knop “hou daarmee op” zou er denk ik wel onder kunnen vallen.

De zinsnede “onverminderd de Wet bescherming persoonsgegevens” komt uit amendement 39 (aangenomen 21 juni) en

voorkomt dat de indruk ontstaat dat met het verkrijgen van toestemming voor het plaatsen of lezen van een cookie op grond van artikel 11.7a Tw ook een grond voor verwerking van de met deze cookie verzamelde persoonsgegevens in de zin van de Wbp ontstaat. Dat is uitdrukkelijk niet het geval.

Er moet dus naast het plaatsen van cookies apart (uitdrukkelijke) toestemming worden gevraagd voor het aanmaken van profielen en dergelijke waarmee persoonsgegevens van gebruikers kunnen worden vergaard. Het onderstreepte blok tekst (uit datzelfde amendement) legt daarbij de bewijslast ook nog eens bij de site, die moet bewijzen dat het cookie níet wordt ingezet om persoonsgegevens te verwerken. Kan hij dat bewijs niet rondkrijgen, dan wordt zijn cookie geacht wél een privacyschending op te leveren.

Uitgezonderd van dit alles zijn de cookies die vallen onder lid 3, oftewel de cookies met als doel communicatie mogelijk te maken of die noodzakelijk zijn om een dienst te leveren. Daaronder vallen volgens de minister onder meer cookies die instellingen onthouden:

Deze functie zorgt er bijvoorbeeld voor dat de door de gebruiker zelf gekozen persoonlijke instellingen en voorkeuren van een site (zoals de taal) worden «onthouden» bij het browsen binnen het bezochte internetdomein en bij herhaald bezoek aan dit domein. … zonder deze technische opslag of toegang tot gegevens, is communicatie met gebruik van voorkeuren en instellingen niet mogelijk dan wel uitermate moeilijk.

Hetzelfde geldt voor cookies die de bekende virtuele winkelwagentjes en bijbehorende transacties mogelijk maken of die onthouden dat je echt niet mee wilt doen aan die enquête over die website. Zolang deze cookies nergens anders voor worden gebruikt, vallen ze onder lid 3 en is er dus geen aparte toestemming voor nodig.

Overigens geldt de eis van toestemming niet alleen voor cookies. De minister noemde:

(flash)cookies, Java-scripts (sic), webtaps, spionagesoftware of soortgelijke programmatuur (waaronder zogeheten dialerpprogramma’s en inbelprogramma’s)

Met name de Javascripts fascineren me. Ik zie even niet hoe je met een Javascript meer kunt doen dan een dienst mogelijk maken. Worden er daadwerkelijk JS-applicaties gebruikt om gebruikers te tracken, of om überhaupt iets meer te doen dan alleen functionaliteit van de site mogelijk te maken?

Arnoud

67 reacties

  1. @Richard zei: “Wim, kom op, lees het wetsartikel nog eens een keertje. Daar valt fingerprinting toch echt onder.” Inderdaad valt fingerprinting daar dus onder. Ik gaf ook antwoord aan Arnoud die dus dacht of we nu een JavaScript-situatie gevonden hebben die dus niet toegestaan is. Heb je goed opgemerkt! We hebben nu dus kennis van een stukje JavaScript die we waarschijnlijk niet meer mogen gebruiken… 😉

    Het gekke van deze wet is dat het eigenlijk verbiedt om bij de browser allerlei data te verzamelen om zo gebruikers-profielen op te stellen. De wet doet kennelijk niets met gebruikers-profielen die op de server opgebouwd kunnen worden met alleen maar de data die de browser toestuurt. De beperking is alleen maar op de computer van de bezoeker van toepassing. Toch niet zo slim indien browsers gewoon extra informatie zomaar meeleveren die dus gebruikt kan worden om op de server dus de data bij te houden.

    Brengt mij eigenlijk bij Chrome OS van Google, wat eigenlijk een hardware-matige webbrowser is zonder locale functionaliteit. Met dat ding wordt bijna al je data online bewaard, bij voorkeur op de Google sites natuurlijk. Client-side data begint dan overbodig te worden, dus dan heeft deze wet ook weinig zin meer. En moderne ontwikkelingen gaan steeds meer richting data-opslag op servers zelf, zodat de client computers steeds “dommer” kunnen worden als het gaat om data-beheer…

  2. @Wim, nu ik je reactie herlees snap ik je. Excuses!

    met alleen maar de data die de browser toestuurt. De beperking is alleen maar op de computer van de bezoeker van toepassing. Toch niet zo slim indien browsers gewoon extra informatie zomaar meeleveren die dus gebruikt kan worden om op de server dus de data bij te houden.

    Gaat het hier niet om informatie die (vanuit de site gezien) ONGEVRAAGD toegezonden is geworden (door de browser)?
    @Marcel, Wim: voor fingerprinting heb je meer data nodig dan alleen dat wat in de HTTP headers meekomt*. Je moet ook gaan kijken naar geinstalleerde fonts, plugins, resolutie, en die komen niet standaard mee. Je hebt Javascript nodig om die uit te lezen.

    • ik heb even gezocht naar wat bronnen. http://www.eff.org/deeplinks/2010/01/tracking-by-user-agent : “Our experiment to date has shown that the browser User Agent string usually carries 5-15 bits of identifying information (about 10.5 bits on average). That means that on average, only one person in about 1,500 (210.5) will have the same User Agent as you. ” Rest van het artikel is ook erg lezenswaardig.
  3. @Richard, webbrowsers en HTTP headers worden steeds verder uitgebreid en er komt steeds meer extra informatie mee. Ten minste, er kan meer informatie meekomen indien de server hierom vraagt en de browser hier toestemming voor geeft. Toch is de hoeveelheid informatie nog vrij beperkt voor fingerprinting.

    Betreffende de user-agent, combineer die 1 op 1.500 met het IP adres en het wordt al vrij uniek. Je moet dan echt als groep gebruikers achter een proxy server zitten of een Citrix-achtige omgeving gebruiken om toch enigszins gemaskeerd te zijn en is dat erg voor het fingerprinten? Niet echt, want dan heb je een profiel van een geheel bedrijf in plaats van de individuele werknemers. Dat maakt de data toch nog handig om profielen mee op te maken. Vreemd genoeg is dit dus alleen server-side informatie en zegt de wet niets over het profileren op basis van deze data. Profielen zullen dan wat grover zijn, maar nog steeds bruikbaar…

  4. @Richard, webbrowsers en HTTP headers worden steeds verder uitgebreid en er komt steeds meer extra informatie mee. Ten minste, er kan meer informatie meekomen indien de server hierom vraagt en de browser hier toestemming voor geeft.
    Ik heb vrij detaillistische kennis van het HTTP protocol maar dit kan ik niet echt plaatsen. Kan je aangeven wat je hier concreet mee bedoelt ?

    Niet echt, want dan heb je een profiel van een geheel bedrijf in plaats van de individuele werknemers. Dat maakt de data toch nog handig om profielen mee op te maken.
    Ja, dat is heel, heel erg voor het fingerprinten, zelfs veel meer dan een factor 1500 omdat het profiling bedrijf nu echt niet meer weet wie ze bij de kladden hebben. Ik denk dat je onderschat hoe gedetailleerd profielen vandaag de dag zijn. Ik zit met mijn laptop het ene moment van de dag achter dat ene IP adres op mijn werk, en een ander deel van mijn tijd met mijn iPad op een verbinding met dynamisch IP. Beide profielen zijn gelinked doordat ik met beide devices op Facebook inlog. En dus word ik nu netjes op mijn iPad achtervolgd door die paar producten die ik gedetailleerd heb bekeken in een paar webwinkels op mijn PC. Deze technieken schelen significant in de effectiviteit van online advertising, en die zijn dan echt niet meer bruikbaar.

  5. @Richard, ook al zit HTTP nog steeds bij versie 1.1, browsers en websites zijn wel steeds meer van die headers gaan ondersteunen. Met de opkomst van REST web services is b.v. de PUT en DELETE methodes steeds meer in gebruik. Ook de HTTP headers worden steeds meer gebruikt nu steeds meer ontwikkelaars er bekend mee raken. Er zijn daarnaast een aantal headers bijgekomen die (nog) geen onderdeel zijn van de standaard, zoals “X-Do-Not-Track”, “X-Forwarded-For” en nog een aantal meer.

    Als het gaat om bedrijfs-profielen dan denk ik dat dit best nog meevalt. Zeker als het gaat om kleine bedrijven en/of kleine kantoren. Je kunt dergelijke bedrijven ook nog verder profileren door ook nog eens het browse-gedrag in de gaten te houden en te kijken hoe de gebruikers van de ene site naar de andere site springen binnen de servers die je in de gaten houdt. Daarnaast geef je al aan dat je nog een extra identificatie verzorgt doordat je op facebook bent ingelogd. Kun je ook doen met LinkedIn, Twitter en GMail en opeens ben je ook te volgen als je je verbergt achter een bedrijfs-proxy. Daarom lijkt in deze discussie Google Chrome OS ook zo interessant. Een compleet besturings-systeem dat eigenlijk web-based is. Je start hem op, logt in met je Google account en daarna kun je doen wat je wilt, maar Google kan wel mooi jouw browse-gedrag in de gaten houden en zeer gedetailleerde profielen opbouwen terwijl andere bedrijven door deze wet dus enorm beperkt worden. (En toch ben ik zeer geinteresseerd in een Chrome OS laptop en is het vooral de prijs van die dingen die mij tegenhoudt van een aanschaf van die laptop! Oh, en hij is officieel nog niet op de Nederlandse markt…)

  6. @Jan van Westland, wat ik ervan begrepen heb is dit: Als je gegevens gekoppeld aan een gebruiker opslaat op het systeem van de gebruiker dan moet je de gebruiker vertellen dat je dit doet, waarom je dit doet en wat je precies opslaat. En de gebruiker moet daar dus toestemming voor geven en kan die toestemming ook ieder moment weer intrekken. Er zijn technieken die het mogelijk maken om zonder dergelijke methodes te werken maar die maken het moeilijk om een gebruiker bij meerdere sessies keer op keer te herkennen. Dat kan overigens weer wel indien je de bezoeker laat inloggen en daarbij de optie aanbiedt om lokaal zijn gebruikersnaam (en eventueel wachtwoord) op te slaan zodat deze de volgende keer automatisch ingevuld wordt. (De site mijn.ing.nl doet zoiets met alleen gebruikersnaam.) Daarmee geef je dus ook toestemming voor een cookie en die kun je ook uitlezen als de gebruiker uitgelogd is! Alle technieken zijn dus gewoon toegestaan, alleen zul je in de meeste gevallen de gebruiker (eenmalig) om toestemming moeten vragen. (En je mag er gevolgen aan verbinden als de gebruiker dit weigert door b.v. de site voor de gebruiker te blokkeren tot ze de toestemming alsnog geven!)

  7. @ arnoud

    Wat is nou de echte toevoeging van deze wetgeving. Voor de implementatie van de e-Privacy wetgeving in de telecommunicatiewet was er al het regime van de Wbp, die nu ook nog geldt voor persoonlijke data. Hiervoor is volgens art. 8 ondubbelzinnige toestemming nodig. Volgens Working Party 29 is het plaatsen van cookies t.b.v. behavioural targeting een vorm van persoonlijke data. Dit ondanks dat het niet terug te leiden is tot een individu. Maar het is volgens de WP29 terug te leiden tot een groep (bv een groep die zoeken naar bepaald marktsegment) of terug te leiden naar een unieke computer (waar toch meerdere mensen op kunnen zitten). Er was dan toch al (ondubbelzinnige) toestemming nodig voor het plaatsen van zeer veel cookies (ook al wordt niet bijna niet gedaan in de praktijk). De cookies waarvoor het niet hoeft veroorzaken geen privacy schending of komen daar niet in de buurt. De reden voor het amandement in de e-privacy directive is toch meer privacy?? De Wbp was er toch al?

  8. Hallo Arnoud,

    Bedankt voor de samenvatting!

    Voor wat betreft je laatste vraag: onder Javascript kan worden verstaan alle API’s die in deze taal door de browser ter beschikking gesteld worden voor het opslaan van data in de randapparatuur. Denk hierbij vooral aan zgn. LocalStorage. Dat is geen cookie, geen Flash, geen Java, maar wel een database in je browser, toegankelijk vanuit Javascript. Kan niet gebruikt worden voor cross-site tracking overigens, omdat de scope van de data die je opslaat die van het domein is (dus sites kunnen allen de door henzelf opgeslagen data raadplegen bij een volgend bezoek).

    IANAL maar wel een web developer, en dat is mijn interpretatie.

  9. Het grootste probleem in de huidige oplossing zit hem erin dat het geen oplossing is omdat gebruikers nog steeds geen notie hebben wat ze toestaan en of ze zonder kunnen als ze het niet toestaan.

    Mijn inziens zou de wet moeten regelen dat het weigeren van cookies of scripts de functionaliteit van de website vanuit het oogpunt van de gebruiker in principe niet mag aantasten en dat anders voorafgaand aan ELK gebruik van de website moet worden gevraagd of men de cookies of scripts wil weigeren of niet, en dat daarnaast moet worden uitgelegd wat daar dan de consequenties van zijn in het kader van de functionaliteit en vastgelegde of verzamelde type informatie.

    Dit heeft te maken met het feit dat een computer vaak door verschillende individuen wordt gebruikt en het niet zo mag zijn dat het toestaan van cookies of scripts door de ene gebruiker op het ene moment ertoe leidt dat op later moment informatie wordt vergadert van een andere gebruiker. Verder denk ik dat het vooral van belang is wettelijk vast te leggen welk type informatie wel en welke informatie vooral niet door dergelijke cookies of scripts mag worden vastgelegd of worden verzameld.

    Volgens mij vult de wet dit nu niet goed in. Of zie ik dat verkeerd?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.