Mag Google Analytics nog onder de cookiewet?

| AE 3027 | Aansprakelijkheid, Privacy | 306 reacties

analytics-cookie.pngWeinig onderwerpen waar ik zó over platgemaild werd als de vraag “Mag Google Analytics nog als de cookiewet in werking treedt”. Analytics is een handige tool voor webmasters maar het perfide Google maakt er meteen ook gebruikersprofielen mee – én plaatst cookies. Wij hadden ooit een oplossing gevonden voor het profileren (anonimiseer het IP-adres) maar dat levert geen oplossing voor de cookiewet. Ik heb er uitgebreid over zitten peinzen en dacht eerst dat het wel moest kunnen, maar ik loop steeds vast op de tekst van de wet.

Je kunt, aldus Google, met Analytics werken zonder dat deze persoonlijke gegevens opslaat. Allereerst zeg ik daar meteen bij dat Google een geheel eigen definitie heeft van “persoonlijke gegevens”, kort door de bocht moet je naam en je adres erbij staan anders vinden zij het niet persoonlijk. Dat gaat lijnrecht in tegen de Europese privacyregels, die het al “persoonlijk” vinden als je er twee personen mee kunt onderscheiden, ongeacht of je weet welke personen het zijn. Het getal 461 is dus een persoonsgegeven – voor mij, want dat identificeert een klant in mijn klantenbestand (hoi Erik).

Maar zelfs als de Analyticsdata die wordt verzameld compleet geaggregeerd wordt en totaal niet naar individuele users te herleiden is (ok ok maar stél), dan nog helpt ze dat helemaal niets. Want cookie zetten is toestemming vragen, punt. First party, third party, persoonsgebonden of niet; compleet irrelevant. Behalve dus als het cookie strikt noodzakelijk is voor het goed functioneren/leveren van een dienst. De wet wil met één zin zowel cookies als dialers, toolbars en dergelijke meuk afdekken. Vandaar de brede bewoordingen. Een toolbar trackt op zichzelf niets (kan wel) maar het installeren van een toolbar vereist toestemming. En een cookie dus ook.

De standaardvoorbeelden van toestemmingsloze cookies zijn de houd-me-ingelogdcookies en de webwinkelwagentjescookies. Zonder die cookies moet je continu je wachtwoord invullen of kun je niet fatsoenlijk een serie producten in één keer bestellen, dus dat moet gewoon kunnen. Maar iedere meelezende techneut zal nu uitroepen “nou, noodzakelijk, noodzakelijk, dat kan prima op een andere manier hoor”. Maar omdat het de bedoeling is dat dergelijke cookies zonder toestemming gezet moeten worden, mag je “strikt noodzakelijk” dus lezen als “net zo noodzakelijk als een webwinkelwagentjescookie”. Leuk hè, rechten?

Hoe noodzakelijk is een cookie voor Google Analytics? Niet zó noodzakelijk, vond de minister in de Eerste Kamer:

Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.

Hm. Minder snel. Dus het zóu kunnen.

… voor diensten waarbij wordt ingelogd op een persoonlijk account, kan het noodzakelijk zijn om met gebruik van cookies te controleren of er niet met deze accounts wordt gefraudeerd.

Ook hier: nee, hij bedoelt niet “noodzakelijk” als in “geen andere technische oplossing is mogelijk”. (En nee ik weet ook niet hoe ik met een cookie -clientside info- kan controleren of een client fraudeert.) Waar het om gaat is of het cookie het belang van de gebruiker dient en dan ook alléén diens belang. Bij een houd-me-ingelogd-cookie of een rot-op-met-je-enquête-cookie is dat duidelijk. Maar bij Analytics? Wat heeft de bezoeker aan Analytics?

Iets later:

Wanneer van het gebruik van analytics cookies in een bepaald geval gezegd kan worden dat dit noodzakelijk is voor het goed kunnen functioneren van de door de gebruiker bezochte site, valt dit gebruik van analytics cookies onder de uitzondering in het derde lid van artikel 11.7a.

Soms voel ik me net een oude Griek die het orakel van Delphi moet duiden. Wanneer is aan de uitzondering voldaan? Nou, als aan de eis genoemd in de uitzondering is voldaan dan gaat de uitzondering op. Eh. Ja.

Goed. Welk nut heeft Analytics voor de eindgebruiker? Wat ik van Google lees, gaat alleen over de voordelen van de webmaster. Die krijgt mooie plaatjes met statistieken en kan op allerlei niveaus draaitabellen, filters en meerdere dimensies visualiseren. En ja, dat is leuk maar als eindgebruiker merk je niet of Analytics aan of uit staat. Het Analyticscookie draagt op geen enkele manier bij aan de dienst die de gebruiker afneemt en is ook niet in diens belang.

Ik ontkom dus niet aan de conclusie dat je voor Google Analytics écht toestemming nodig hebt onder de cookiewet. Ja, ook als je de IP-adressen anonimiseert en ook als je geen Adsense draait. Dat dat niet gaat werken, moge duidelijk zijn – maar wishful thinking of roepen dat je er geen last van hebt, is geen juridisch argument.

Arnoud

Deel dit artikel

  1. Maar ik mag aannemen dat de geest van de wet ook meegenomen wordt. Het opslaan van tientallen gegevens en verwerken tot profielen om de snelheid van je site te meten lijkt me niet proportioneel en overigens ook niet functioneel. Sterker nog ik zie niet de noodzaak voor het plaatsen van een cookie om dit te meten.

    Bij GA lees ik dit:

    Google Analytics is de zakelijke webanalyse-oplossing die u het juiste inzicht verschaft in uw websiteverkeer en marketingeffectiviteit. Krachtige, flexibele en gemakkelijk te gebruiken functies stellen u in staat uw verkeersgegevens op geheel nieuwe wijze weer te geven en te analyseren. Met Google Analytics bent u beter voorbereid om advertenties te schrijven die beter getarget zijn, om uw marketinginitiatieven te versterken en websites te maken die meer opleveren.

    Ik lees niets over het monitoren van je server. Dat je dit met een hele grote stretch er wel mee kan doen lijkt me nog steeds geen reden om dit functioneel gebruik te noemen van je tracking cookies. Daarbij ben ik nog steeds van mening dat dit voor de gebruiker die dan op je site is, in die sessie, geen toegevoegde waarde heeft.

  2. Ik heb de tekst ook bestudeerd en de kamervragen die erbij kwamen.
    Degene die de cookies plaatst moet toestemming vragen. In dit geval google dus.
    Dus wij hoeven daar geen zorgen om te hebben, want het is google die het plaatst, ook al “doen ze dat in opdracht van ons”
    Dus het komt op googles hoofd neer en niet de onze. Als ik de kamervragen goed doorlees.

  3. Ik krijg sterk het gevoel dat sommige mensen hier, omwille van [geen zin/geen tijd/saaaaaai] het vooral heel erg niet eens willen zijn met de uitleg die hier wordt gegeven en daardoor:
    1. Het op Arnoud munten. (Don’t shoot the messenger)
    2. Een technische work-arround proberen te vinden. (Dat is de uitdaging en daar ben je IT-er voor, maar besef je wel dat rechters meer hebben met de uitleg van de Minister dan jouw creatieve brein).

    Weet dat je niet aan de wetgeving hoeft te voldoen. Je kunt het ook gewoon riskeren, fair enough. Maar ga dan niet lopen klagen als je straks wel een sanctie krijgt met “ik wist het allemaal niet en koos de voor mij de meest gunstige uitleg”.

  4. De wet staat inmiddels hier:
    https://www.officielebekendmakingen.nl/stb-2012-235.html

    Ik ben ook wel benieuwd waarom je dat denkt Michael want volgens mij klopt dat absoluut niet.

    Bij Google Analytics is het maar de vraag of Google die plaatst of de site zelf en ik denk dat het toch echt de site zelf is die het plaatst. Dat de informatie die erin gezet wordt van Google af komt doet niet ter zake, het daadwerkelijk plaatsen gebeurt door de site.

  5. @Michael: Natuurlijk heeft het consequenties, want het is jouw site waarop nu ineens een popup kan komen ‘Google wil informatie over uw gebruik van deze site opslaan, vindt u dat goed?’ en de gebruiker vindt dat misschien helemaal niet prettig en kan dat jouw site verwijten, waarop jij, als je deze discussie niet gelezen hebt, ruzie gaat maken met Google, die er echt niks aan kan doen.

  6. @Michael: het ligt wat subtieler. Ik ben verantwoordelijk voor de inhoud van pagina’s afkomstig van mijn site, en dus ook voor de scripts die op mijn pagina draaien. Google zet geen Analytics script op mijn pagina, ik zet dat erop. Het uitvoeren van dat script in jouw browser is dus mijn verantwoordelijkheid, niet die van Google.

    Als het script dan een handeling verricht waarvoor ik conform de cookiewet jou om toestemming moet vragen, dan moet ofwel Google mij vrijwaren (en het jou vragen), of ik moet dat zelf doen. In beide gevallen ben ik verantwoordelijk.

  7. @Arnoud:
    Helder verhaal dat je toestemming moet vragen i.v.m. het plaatsen van een Google Analytics cookie omdat dit niet functioneel is.
    Maar wat als je Google Analytics functioneel maakt, dat wil zeggen dat de gebruiker er wel iets aan heeft? Bijvoorbeeld door Google Analytics te tonen aan gebruikers en functionaliteiten van de website directer afhankelijk te laten zijn van de Google Analytics Data (“anderen bekeken ook”, gerichte content, etc)? Heb je op dat moment geen opt-in nodig?

  8. @Michel: Ik denk het wel, als er zo’n duidelijke functionele rol is dan kun je je waarschijnlijk beroepen op deze passage:

    Wanneer van het gebruik van analytics cookies in een bepaald geval gezegd kan worden dat dit noodzakelijk is voor het goed kunnen functioneren van de door de gebruiker bezochte site, valt dit gebruik van analytics cookies onder de uitzondering in het derde lid van artikel 11.7a.

    Natuurlijk wil dat dan niet zeggen dat je dús ook meteen persoonsgebonden rapportages mag genereren, dat valt dan buiten het functioneel gebruik. Je moet elke toepassing van Analytics apart kunnen rechtvaardigen.

  9. Wij gebruiken Analytics om te kijken waar bijvoorbeeld de bezoekers uitstappen, hoe mensen bij ons komen en of het meerendeel Nederlands is.

    Met deze informatie kunnen wij achterhalen of we de website misschien in meerdere talen moeten gaan aanbieden, omdat blijkbaar veel Engelstalige landen de website bekijken.

    Of een pagina heeft een uitstap percentage van 100%, conclusie deze pagina schrikt mensen af dus dienen we aan te passen zodat deze wel nut voor de bezoeker heeft.

    Browser gebruik van bezoekers, moeten we nog rekening houden met IE8? Hmm 30% van onze bezoekers gebruikt IE8. Laten we de website toch maar zo aanpassen zodat deze ook hierin foutloos werkt.

    Dit zijn maar enkele voorbeelden voor zowel webmaster als bezoekers die je met behulp van deze gegevens kunt achterhalen (daarvoor hoef ik niet zijn exacte locatie, naam, ip adres etc. voor te hebben). Webmasters kunnen deze statistieken gebruiken om de website te verbeteren wat uiteindelijk lijdt tot kwalitatief betere websites waar de bezoeker wat aan heeft.

    Zo zijn al deze statistieken van Analytics te gebruiken om de website beter te laten functioneren voor een bezoeker. Wellicht wordt het tijd dat we een Minister van ICT gaan krijgen die een wat bredere kijk op de zaak heeft dan de huidige mensen in de politiek…

  10. @ Willem en Michel

    De mening van Arnoud over Analytics wordt niet gedeeld door één van de opstellers van de wet: https://twitter.com/martijnvdam/status/209978692410163200

    Trek dus nog geen overhaaste conclusies. Zorg ervoor dat je Analytics tracking code geen ip adressen opneemt (anonymize IP) en dat je Analytics account zo ingesteld staat dat je geen informatie deelt, ook niet met Google. Zorg tevens voor een heldere uitleg die voldoet aan de informatieplicht. Dan zit je voorlopig goed. Wat de juristen ook beweren, er is noch op basis van de wet zelf, noch op basis van uitspraken van de minister een harde en algemene conclusie mogelijk dat voor het Analytics cookie toestemming nodig is. Die conclusie kun je alleen maar trekken op basis van een bepaalde interpretatie. En ik heb er al veel verschillende voorbij zien komen.

    Martijn van Dam weet natuurlijk als geen ander wat de bedoeling van de wet is geweest. Laten we met z’n allen proberen om ervoor te zorgen dat die bedoeling gerealiseerd kan worden en niet zodanig doorschieten dat de hele wet een onuitvoerbare flop wordt.

  11. @Rolf

    Van Dam kan wel meer zeggen, maar uiteindelijk lijkt me dat de tekst van de wet zelf leidend is. De wet blinkt weliswaar niet uit in duidelijkheid, maar dat Analytics-cookies ‘strict noodzakelijk’ zijn lijkt me zonder expliciete uitspraak van de wetgever niet meer dan een wensdroom.

    Voor zover de cookiewet niet al een onuitvoerbare flop is, hoop ik ook dat deze dat zal worden, hij lijkt me opgesteld door mensen niet gehinderd door enige vorm van technisch benul.

  12. @ Ralf
    De discussie over de noodzakelijkheid van het meten van je internetverkeer durf ik wel aan. Het gaat me niet om GA, maar om het ‘recht’ dat je hebt als websitebeheerder om op basis van objectieve cijfers je werk serieus te doen. Op onze snelwegen wordt toch ook exact het aantal verkeersbewegingen gemeten om te beslissen over infrastructurele investeringen of andere maatregelen? Is die meting in het direct belang van de weggebruiker op het moment dat hij daar rijdt? Nee. Maar is het noodzakelijk voor de gebruiker? Ik zou zeggen van wel. Hetzelfde geldt voor het serieus beheren van websites. En nogmaals; ik juich het van harte toe om dat onder de strengst mogelijke privacy voorwaarden te doen en de gebruiker altijd het recht te geven om het te blokkeren, maar voor deze categorie cookies hoort dat opt-out te zijn. Niet voor tracking over domeinen heen (want dat wordt met tracking bedoeld) en niet voor profiling en targeting op basis van surfgedrag. Dat lijkt me meer opt-in, omdat het daar gaat om de vraag of je als gebruiker geïnteresseerd bent in aanbiedingen op maat. Daar schermen grote adverteerders en webshops mee, maar het lijkt me dat je dat wel zelf wilt bepalen.

    Dat laatste ben ik dan wel weer met je eens! En ze worden niet alleen niet gehinderd door enige vorm van technische kennis, maar ook niet door enige vorm van kennis over het functioneel en commercieel beheer van websites.

  13. @Rolf, ik ben het met je eens dat een professioneel websitebeheerder behoefte heeft aan gebruiksstatistieken. Als zelfbenoemd privacy-activist wil ik dan wel even vaststellen dat je met geanonimiseerde gegevens een heel eind komt en dat het “volgen” van gebruikers over meerdere sessies meestal niet nodig is. (Net zoals het meten van verkeer door assen te tellen veelal voldoet; kentekenregistratie is niet nodig.)

    Het probleem dat aan de oorzaak ligt van de strenge wetgeving is de “graaicultuur” van een aantal webbedrijven die totaal geen respect tonen voor de principes van “bescherming van persoonsgegevens” maar alle informatie die ze over een webgebruiker kunnen vinden bij elkaar graaien. Daarbij worden slinkse kunstgrepen (Facebook “like” buttons en dergelijke) niet geschuwd. Nu ken ik wel een paar trucs om mijn informatielek te beperken, maar lang niet iedere internetgebruiker is vaardig genoeg om dat ook te kunnen.

    Over Google Analytics heb ik nog een paar specifieke vragen/opmerkingen: Als je als webmaster je statistieken uitbesteedt, heb je ook de verantwoordelijkheid om ervoor te zorgen dat jouw uitbesteding aan de WBP voldoet. Heb jij geverifieerd of Google de WBP volgt? Hoe wordt een gebruiker van jouw website geïnformeerd over de (en welke) verwerking Google voor je uitvoert? Hoe heb je de bezwaarplicht tegen de verwerking geïmplementeerd?

  14. @ MathFox
    Bedankt voor je reactie; ik ben het met je eens m.b.t. de graaicultuur en de slinkse kunstgrepen. Helaas merk ik ook in mijn ongeving dat het veel mensen eigenlijk niet interesseert en ik vraag me ook wel eens af of je die tegen zichzelf in bescherming moet nemen. Maar dat moet de overheid doen en die vertrouw ik als het gaat om mijn privacy ook niet echt. Blijft moeilijk.

    Over je specifieke Analytics vragen:
    Als je Analytics gebruikt besteed je niet uit. Je gebruikt ‘software as a service’. Het Analytics cookie van mijn website is mijn cookie (first party) en niet van Google. Analytics cookies worden niet gedeeld over meerdere domeinen. De verzamelde informatie is juridisch van mij en niet van Google. Deze informatie kan ook niet door Google ingezien of gebruikt worden tenzij ik daar toestemming voor geef (en dat mag ik volgens mij niet onder de nieuwe wet) of de nederlandse of amerikaanse regering dat eist. Deze dingen staan in de privacy voorwaarden van Analytics.

    Bezwaarplicht is een onderdeel van de WBP. Als er geen persoonsgegevens worden opgeslagen is de WBP niet aan de orde. Martijn van Dam (PvdA) heeft vandaag nog bevestigd dat Analytics waarin tracking uitgeschakeld is (ip adressen aan de bron geanonimiseerd) niet onder de WBP valt. Een dergelijke Analytics implementatie valt dan volgens hem in een “grijs gebied” en dat is ook precies wat ik in deze discussie probeer te verdedigen. Ik kan me daarom goed voorstellen dat een rechter zou kunnen oordelen dat Analytics toegestaan is zonder toestemming vooraf mits aan bepaalde voorwaarden wordt voldaan. Zo is het in Duitsland ook gegaan.

    Overigens kreeg ik vandaag een soort van verklaring van Google onder ogen:
    “Does Google Analytics comply with the new Directive?
    If you use Google Analytics on your site, you should take steps to gain consent from your users where required by law. Google Analytics has always believed in user choice & strong privacy practices. Google Analytics uses anonymized and aggregated data for its reporting. In May of 2010, it launched a powerful IP Address anonymization feature and a persistent browser-based opt-out solution for Chrome, Firefox, and IE.

    Google Analytics is also working on additional controls and hopes to be able to provide an update in the coming months.”

    Je kunt van alles zeggen van Google, maar over Analytics bestaat bij veel mensen echt een verkeerd beeld. Mits op de juiste manier geïmplementeerd is het absoluut veilig m.b.t. privacy. Google verbiedt in de voorwaarden bijvoorbeeld dat je zelf Analytics data gaat koppelen aan persoonsgegevens. Via de API zou dat kunnen en ik weet dat er bedrijven zijn die dat doen, maar Google verbiedt dat uitdrukkelijk.

  15. @Rolf

    Ik bedoelde hier ‘strict noodzakelijk’ in termen van de cookiewet. Ik ben er sowieso niet voor om een probleem waar legio technische oplossingen voor zijn juridisch te bestrijden, want dat leidt gegarandeerd tot gedrochten zoals de cookiewet. Ik ben het ook met je eens als je zegt dat Analytics-gegevens uiterst nuttig zijn voor de websitebeheerder, en ook dat de websitebeheerder zelf zou moeten mogen bepalen welke cookies ze willen zetten. Echt niemand is geïnteresseerd in wat Jan de Jong allemaal op het internet uitspookt.

    Maar, en dat is het knelpunt, wat ik vind is allemaal niet interessant in het kader van een beschouwing van de cookiewet. Die heeft een doel dat niet aansluit bij hoe het internet werkt en zou moeten werken, maar het is wel de wet zoals die er ligt. In dat opzicht vind ik de methode die Fok gebruikt om de toestemming te verkrijgen wel goed: groot splash screen, duidelijk uitleggen dat de wet een draak is. Als alle websites dat zouden doen zou die cookiewet heel snel verleden tijd zijn denk ik.

  16. De vrees voor IP tracking snap ik niet zo goed. Dat het volgens de WBP een persoonsgegeven betreft, betekent nog niet dat het verboden is. De WBP verbiédt namelijk niet om persoonsgegevens op te slaan, ze schrijft slechts voor wat je moet doen áls je persoonsgegevens opslaat. En dat bestaat eruit dat je een inschrijving bij het College moet hebben waarin je omschrijft wat je opslaat en waarom. Wil een persoon weten of jij diens gegevens hebt opgeslagen, dan moet je die informatie verstrekken maar daar mag je EUR 4,50 administratiekosten voor vragen. Vervolgens kan de persoon eisen dat je de gegevens verwijdert, tenzij je die gegevens nodig hebt voor de uitvoering van een taak. Je kunt bijvoorbeeld niet eisen dat je baas je rekeningnummer verwijdert want anders kan hij je salaris niet uitbetalen.

    Als je dus aan profiling via IP tracking gaat doen, dan moet in de omschrijving bij het CBP komen te staan dat je IP-adressen en voorkeuren opslaat om relevante content af te beelden. Daarvan kan een bezoeker kennis nemen voordat hij de site bezoekt en als het in zijn optiek te laat is, dan kan hij altijd verzoeken dat jij die informatie verwijdert.

  17. @Arjen: Dat is één, maar je moet ook een rechtvaardigingsgrond onder de Wbp hebben. Toestemming, nodig bij uitvoering overeenkomst of absolute noodzaak zijn de belangrijkste. En voor tracking kom je al héél snel uit bij het toestemmingsvereiste. Dus je zult mensen toestemming moeten vragen om op basis van hun interesseprofiel de content te customizen (personaliseren).

  18. @216 Ja je mag mijn laatste alinea “non sequitur” vinden, in mijn laatste alinea gaf ik alleen mijn mening: Ik vind dat er iemand in de politiek moet komen die “gespecialiseerd” is in ICT (en met mijn beperkte kennis van de mensen in het kabinet zijn dat er volgens mij vrij weinig).

    Voor het opslaan van persoonlijke gegevens geef ik ze groot gelijk, maar ik ben van mening dat de gegevens die Google Analytics opslaat, met uitzondering van het IP-adres, geen persoonsgegevens zijn.

    ps. Leuk om te weten, de meeste politieke partijen maken gebruik van Analytics maar vragen mij geen toestemming om mijn gegevens op te slaan.

  19. Even een andere vraag. Uit de affiliatebranche. Stel ik verstuur een mail met een link daarin, die, als er op wordt geklikt, gegevens registreert van degene die er op klikt, denk aan verbinding met Paypro bijv., zodat als er dan iets wordt gekocht op de website waar de link heen verwijst, duidelijk wordt dat ik degene ben die de persoon er heeft heen gestuurd en ik mijn provisie daar voor krijg. Mag dat nog? Moet je dan in de mail vermelden wat er gebeurt als je op de link klikt? Of is dit een noodzakelijk iets anders kan er geen ‘verdeling’ plaatsvinden?

  20. @Luc, degene die het cookie zet moet informeren en toestemming moet vragen, dus Paypro is daarvoor verantwoordelijk. De afrekendienst is geen dienst aan degene die op de link klikt en valt niet onder de uitzondering voor “essentiële” cookies.

  21. @Luc Bij het mechanisme dat je omschrijft, wordt geen informatie op de randapparatuur van de bezoeker geplaatst of uitgelezen. Dat mag dus m.i. Wat veel affiliate netwerken overigens wel doen, is een cookie plaatsen zodat de bezoeker als hij later terugkomt alsnog aan die ‘leverancier’ kan worden gekoppeld. Dat mag dus nu niet meer. Maar dat probleem is niet zo groot want in de praktijk zullen bezoekers ook de tweede of derde keer weer vanuit datzelfde mailtje naar de site toe klikken (dus inclusief jouw affiliate code).

  22. Deze hele discussie gaat volkomen mank, blijkbaar omdat niemand zich realiseert dat geen enkele server cookies, of wat dan ook, op de computer van een derde kan plaatsen. Zij stuurt slechts gegevens op op verzoek van de browser, in opdracht van de gebruiker, en die browser plaatst uiteindelijk die gegevens ergens op een lokale disk of in een cache. Het verzoek (technisch meestal een HTTP GET of POST request) kan ik prima beschouwen als een expliciete toestemming van de eindgebruiker om informatie op te sturen. Wat de ontvangende kant er dan verder mee doet is geheel buiten de macht van de server, als hij daarna zelf besluit de waarde die in een cookie-veld staat over te schrijven in een stukje lokaal geheugen of desnoods op een stukje papier, het is bijna te krom voor woorden om daar toestemming voor te vragen…

    Denk maar even aan het equivalent in de analoge wereld: je stuurt mij een briefje met een verzoek om productinformatie; ik stuur jou een briefje terug met een folder waar ook alvast een kaartje met bestelinformatie bij zit (een soort van cookie); jij kunt nu bestellen door mij dat kaartje terug te sturen. Moet ik dan vooraf in een aparte briefwisseling gaan vragen of ik jouw wel zo’n kaartje mag sturen?

    Ik vrees dat dit betoog aan dovemansoren is gericht, en dat totaal onbegrip van de onderliggende technologie hier een stukje wetgeving heeft opgeleverd die net zo absurd is als die voorgestelde 19de-eeuwse wet dat pi gelijk is aan 4.

  23. @Mathfox @Arjen Jongeling dank voor jullie reactie. Dus zolang alleen wordt geregistreerd dat de link bijv. van mij afkomstig is, dan is er niets aan de hand. Zo gauw echter een cookie wordt geplaatst om te zorgen dat dat als de klant eerst niets koopt, maar later op een andere manier weer op die website komt (dus niet persé via mijn gestuurde link) men weet (door dus opslag persoonlijke info zoals bijv IP-adres) dat ik degene was die de klant er eerder heb heen gestuurd, dan wordt de wet dus overtreden. Weliswaar plaatst dan bijv. Paypro het cookie maar voel ik mij toch ook “medeplichtig”, want ik stuur de link wetende wat er mee gebeurt als er op geklikt wordt. Dus dan zou ik in de email al uitleg over de link kunnen geven en daarmee mijzelf en tegelijkertijd in dit geval paypro ermee afdekken. Klopt dat?

  24. @226, @229: Ik dacht ook dat sessiecookies niet op randapparatuur schrijven, maar in de OPTA-brochure staat:

    Q: Zijn de regels alleen van toepassing op computers?

    Nee, de regels zijn van toepassing op alle randapparatuur van gebruikers zoals onder meer
    smartphones, spelcomputers en tablets.

    Dus de OPTA vindt een computer op zich randapparatuur!

    Maar dan is de wet volslagen onuitvoerbaar, want ik kan onmogelijk een gebruiker om toestemming vragen zonder gegevens naar die computer te (doen) schrijven, namelijk de tekst van die vraag, die immers in het schermgeheugen van de computer geschreven moet worden om aan de gebruiker te kunnen worden getoond.

  25. @Reinier haha je hebt gelijk! Maar dit zou onder de noodzakelijke uitvoering kunnen vallen. Echter de advertenties mag je niet naar het beeldscherm schrijven. Want dat is alleen maar om jou geld te laten verdienen en dient niet het belang van de bezoeker. Dat jij 60 uur per week werkt om aan die bezoeker gratis content te tonen (althans, dat wil de bezoeker) terwijl je toch aan het eind van de maand een rekening krijgt van de huurbaas doet er niet toe.

  26. @Jeroen Hellingman | 7 juni 2012 @ 14:05

    Deze hele discussie gaat volkomen mank, blijkbaar omdat niemand zich realiseert dat geen enkele server cookies, of wat dan ook, op de computer van een derde kan plaatsen.

    Tot zover mee eens.

    Zij stuurt slechts gegevens op op verzoek van de browser, in opdracht van de gebruiker, en die browser plaatst uiteindelijk die gegevens ergens op een lokale disk of in een cache. Het verzoek (technisch meestal een HTTP GET of POST request) kan ik prima beschouwen als een expliciete toestemming van de eindgebruiker om informatie op te sturen.

    Maar dit klopt volgens mij niet. Het initiatief om een cookie te laten plaatsen (door het browserprogramma, inderdaad) gaat uit van de website.

    En ik kan het weten, want ik heb het zelf eens geprogrammeerd (heel lang geleden, vergeten hoe, kan het wel opzoeken) voor mijn kleuromschakeling. (En dat is functioneel, want de bezoeker vraagt dan om andere kleuren en dat kan ik, vind ik, alleen via een cookie regelen. Meer hier: http://rudhar.com/index/coldftnl.htm .)

  27. @Ruud Harmsen | 7 juni 2012 @ 22:23

    Nee Ruud, niet helemaal, de website neemt niet het initiatief om een cookie te plaatsen, maar om een cookie aan te bieden.

    Hoe dan ook, ik onderneem voorlopig geen actie met betrekking tot mijn eigen website. Of misschien geef ik elke dag een grote buitenlandse website bij de OPTA aan, zodat ze daardoor nooit aan een kleine vis zoals ik toekomen ;-)

    Ik heb trouwens zojuist een e-mail naar de redactie van de PvdA-site gestuurd om ze te laten weten dat ze momenteel zwaar in overtreding zijn van een nota bene door henzelf gesteunde wet. Ik ben heel benieuwd wat ze daarop te zeggen hebben.

  28. Toch net zo makkelijk op te lossen met een bannertje boven je site?

    met een tekst van “Hallo hier een berichtje van de beheerders van deze website. Net als iedere website gebruiken wij cookies, wil je deze site gebruiken dan moet je daar dankzij de europese regelgeving tegenwoordig toestemming voor geven. Klik hier om cookies te accepteren doe je dit niet dan mag je deze website niet bezoeken”

    Onverantwoordelijk besluit van de overheid, waarom? Hierom:

    Ze hadden het net als “geld lenen kost geld” moeten doen want nu gaat het zwaar ten koste van bezoekersaantallen en bounche percentage wat omhoog zal schieten. Daarbij gaat het internet meer veel energie verbruiken terwijl het internet al verantwoordelijk is voor 2 tot 3 % van de wereldwijde energie consumptie. Maar daar zal geen slimmerik bij stil hebben gestaan. HET is ook kenmerkend dat we altijd achter de feiten aanlopen.

    Dus in deze supertijden gaat straks de omzet van een hoop sites naar beneden omdat advertentie inkomsten wegvallen of minder worden…

    Alles bij elkaar is het ongelooflijk creatief bedacht maar zo duidelijk een gebrek aan kennis bij de heren die hier over beslissen. Maar we zijn niet anders gewend hé…

    Wat denk je Arnold, zijn deze argumenten aan te voeren om een discussie aan te gaan, mbt de mogelijke economische schade en het energieverbruik?

    Grt Arjen

  29. @Ruud Harmsen

    En ik kan het weten, want ik heb het zelf eens geprogrammeerd (heel lang geleden, vergeten hoe, kan het wel opzoeken) voor mijn kleuromschakeling. (En dat is functioneel, want de bezoeker vraagt dan om andere kleuren en dat kan ik, vind ik, alleen via een cookie regelen. Meer hier: http://rudhar.com/index/coldftnl.htm .)

    Dit is een illustratieve reactie. Ten eerste omdat het laat zien dat veel mensen denken iets over computers te weten, omdat ze er wel iets mee kunnen. De meeste mensen, inclusief politici, gebruiken zo’n ding immers dagelijks. Maar vaardigheid om het ding op een manier te bedienen, ja zelfs een vaardigheid om het ding op een bepaalde manier te programmeren, betekend nog niet dat je het ding tot in zijn finesses begrijpt. Een computer is extreem complex ding, waar de gecombineerde inspanning van honderdduizenden mensen in verwerkt is… dus iedereen die claimt dat hij alles van computers weet, die snapt het niet.

    Dat terzijde. Cookies zijn relatief eenvoudig uit te leggen. HTTP, het protocol dat ten grondslag licht aan het web is in principe “state-less” (toestandsloos). Je browser stuurt een enkel verzoek en je krijgt een enkel antwoord terug van de server. Na elk vraag en antwoord paar wordt de verbinding verbroken. Dit levert wat problemen op als je vragen in een bepaalde volgorde wilt stellen, en daarvoor bieden cookies een elegante oplossing: de server voegt een header een regeltje toe met het verzoek aan de browser: “de volgende keer als je mij iets vraagt, stuur dan deze gegevens mee.” Dit heeft twee voordelen: de server hoeft die gegevens niet te bewaren (potentieel voor vele duizenden bezoekers) en het gebeurt transparant voor de gebruiker, dus die gegevens hoeven niet iedere keer zichtbaar in een URL gecodeerd te worden. Veel sites zetten in hun cookie trouwens niet meer dan een token waarmee ze alle gegevens gewoon in een eigen database terugzoeken.

    Het alternatief is ook eenvoudig: in plaats van cookies kun je dat token ook gewoon in alle URLs opnemen die je terugstuurt.

    Zodra je begrijpt hoe cookies werken, snap je ook de onzin van de wetgeving: die komt neer op een verplichting om te vragen of je mag vragen iets te onthouden, op een dusdanige manier geformuleerd dat je er in feite automatisch aan voldoet, omdat de technologie al zo werkt — het enige verschil is dat de wetgever vereist dat je het expliciet zichtbaar voor mensen doet, terwijl je dat juist wil delegeren aan je browser, zodat je niet wordt lastig gevallen met dit soort vragen.

    De technische oplossing voor deze wet lijkt mij dan ook eenvoudig. We voldoen aan de wet door op een gestandaardiseerde (denk microformats) manier het wettelijk verplichte cookie-verzoek (inclusief inhoud) in mensentaal met elke pagina mee te sturen. Daarna passen we de browser aan om geheel automatisch deze verzoeken af te handelen. Voldoen we aan de wet, maar hoeven we na een browser update de gebruiker niet meer lastig te vallen. (Als die het alleen even heeft aangezet, maar ach, ook dat kunnen we even voor hem doen.)

    Zijn we weer terug bij af…

  30. Wel tekenend dat de overheid z’n eigen sites niet op orde heeft. Daarnaast gebruikt de overheid ook “microsites” binnen b.v. Facebook (b.v.: http://www.facebook.com/zomercampagne). Daarmee lopen bezoekers heel wat meer gevaren m.b.t. cookies, retargeting en datamining. Daarmee handelt de overheid zelf ook niet naar de letter en de geest van de wet.

    Dit maakt het voor ondernemingen ook niet makkelijker om te weten wat nu wel en niet mag. Als je het voorbeeld van de wetgever volgt, moet het goed zijn, toch? Misschien kunnen sommige advocaten of bedrijven nu wat ‘bewijsmateriaal’ vergaren voor het geval ze zich later moeten verantwoorden.

  31. Cookies hebben een “expiration date”. Waarom stelt de wet geen eisen aan de maximale geldigheidsperiode? Voor de “noodzakelijke”cookies lijkt me 30 minuten ruim voldoende. Is het niet eenvoudiger om langer geldige cookies te verbieden? Zo’n maatregel lijkt me een redelijke beperking en helpt de overlast van en het privacyverlies door trackingcookies te verminderen.

  32. @241 (Peter S)

    De “expiration date” van een cookie is niet meer dan een suggestie. Het staat de ontvangende partij vrij om een cookie eerder of later weg te gooien, of zelfs om hem eeuwig te bewaren. Met andere woorden, de geldigheidsduur van een cookie wordt feitelijk door de ontvanger bepaalt, en niet door de zender.

  33. @240 Olaf | 11 juni 2012 @ 12:08,

    “Wel tekenend dat de overheid z???n eigen sites niet op orde heeft.”

    Precies, en daarom stel ik voor dat we allemaal de OPTA gaan overstelpen met klachten over overheidssites (en van politieke partijen) die de cookie-wet overtreden. Laat ze de gevolgen van hun stommiteiten maar voelen!

  34. Hoe zit het trouwens met computers die door meerdere personen worden gebruikt? Stel, gebruiker A geeft toestemming aan een site om cookies te versturen. Vervolgens bezoekt B met dezelfde computer die site. De site kan geen onderscheid maken tussen bezoekers A en B, en stuurt nu dus cookies aan B die daarvoor GEEN toestemming heeft gegeven.

  35. @242:
    Het staat de ontvangende partij zelfs vrij om het hele cookie meteen weg te gooien. :-)
    Maar wat ik bedoel is het volgende: we hebben nu een wet die toestemming vooraf eist tenzij het cookie “technisch noodzakelijk” is. Dat “technisch noodzakelijk” leidt tot veel discussie (we hebben al meer dan 200 reacties op dit item). Zou het niet effectiever en beter te controleren zijn om zo’n houdbaarheidsdatum als criterium te nemen?

  36. @Peter S dat heeft geen zin want het onthouden van je inloggegevens op een forum is ook een noodzakelijk cookie (mits de gebruiker dat althans aanvinkt bij het inloggen). Dat heeft weinig zin als het cookie na 30 minuten al weer weggegooid wordt. Het is nu juist bedoeld om na 2 maanden niet helemaal je inlognaam en wachtwoord voor het betreffende forum te gaan opzoeken. Of een webwinkel zo je wilt.

  37. @Gerard, een computer die door meerdere personen gebruikt wordt heeft meestal ook meerdere login accounts. En als je Chrome hebt dan heb je binnen Chrome zelfs nog de mogelijkheid om Chrome met je eigen Google account te openen zodat je niet de cookies krijgt van de andere gebruikers.
    Maar verder, als je een computer (account) deelt met anderen dan accepteer je ook de cookies namens iedereen. Als je dat niet wilt zul je een betere scheiding moeten maken tussen je gebruikers.
    Sowieso kan gebruiker A bepalen dat er een scherm-achtergrond op de computer staat van een blonde dame in bikini, de taakbalk boven in het scherm zit en alle icoontjes rechts zitten terwijl B liever een achtergrond heeft met een sportauto, de taakbalk links en de icoontjes onzichtbaar. Als je een computer deelt, deel je ook je instellingen…

  38. @246: Dat is toch prima? Minder dan 30 minuten: geen toestemming vereist. Meer dan 30 minuten: toestemming eisen. Als je 30 minuten niet actief bent is het veiligheidshalve goed dat de inlogsessie beëindigd wordt (wat mij betreft zelfs noodzakelijk). Bij een cookie voor het opslaan van inloggegevens zodat je een volgende keer automatisch in kunt loggen wordt nu normaal al toestemming gevraagd.

  39. @247 Wim ten Brink | 11 juni 2012 @ 14:28

    Inderdaad, maar als je dan van meerdere gebruikers op één computer mag eisen dat ze ter wille van hun privacy hun eigen activiteiten op de machine goed scheiden, waarom mag je dan niet van een gebruiker die een computer voor zichzelf alleen heeft, eisen dat hij ter wille van zijn privacy zijn browser op het gewenste privacy-niveau instelt?

  40. @Gerard, het spijt mij om het te moeten zeggen maar de gemiddelde internet-gebruiker is gewoon dom. Gebruikers die een PC delen merken al snel dat het handig is om accounts te scheiden, alleen weten ze niet altijd hoe dat moet. Maar iemand met meer PC-kennis komt vroeg of laat wel langs om uit te leggen hoe je meerdere accounts aanmaakt, iedere account met bepaalde rechten en wachtwoorden beschermt en desnoods hoe je in Chrome met meerdere Google-accounts kunt werken. En dan merken gebruikers dat ze elkaar niet meer in de weg zitten.
    Maar de privacy-instellingen aanpassen is voor veel gebruikers veel te complex om te vinden. Hier op dit blog zul je voornamelijk ervaren PC-gebruikers vinden die denken: “Huh, zo dom is de gemiddelde gebruiker toch niet?” maar de waarheid is dat gebruikers soms nog veel dommer zijn als het gaat om computer-gebruik…
    Getuige ook het feit dat bij de LinkedIn hack het wachtwoord ’1234′ wel heel erg populair is…

    Er zijn momenteel enorm veel manieren waarop mensen het Internet op kunnen. Niet alleen maar via de PC of laptop maar ook via de mobiele telefoon, via tablets en iPads, via televisies en game consoles en nog veel meer. Dat zorgt ervoor dat iedereen die een dergelijk apparaat kan aanzetten al een gebruiker wordt op het Internet, varierend van kinderen vanaf 4, 5 jaar tot aan over-over-overgrootmoedertjes van 98. En die snappen het niet als je het over “privacy-instellingen in de webbrowser” hebt.

    Ikzelf heb al internet-ervaring toen ik in 1993 mijn eerste Compuserve-account kreeg. Dat is dus al bijna 20 jaar ervaring. Maar er zijn genoeg mensen op deze wereld waar hun DVD-recorder nog continu knipperend de waarde ’0:00′ toont en die via hun tablet nog net Facebook weten te vinden en daar hun dagelijkse status 5 keer per dag aanpassen, niet snappende dat ze zo veel van hun privacy opgeven. (En die ook niet snappen waarom ze ‘Goede tijden, slechte tijden’ maar niet via de timer-functie kunnen opnemen…)

  41. @Wim ten Brink | 12 juni 2012 @ 9:09

    Getuige ook het feit dat bij de LinkedIn hack het wachtwoord ???1234′ wel heel erg populair is???

    Yes! Kostelijk toch? Als het niet zo tragisch was.

    Ikzelf heb al internet-ervaring toen ik in 1993 mijn eerste Compuserve-account kreeg.

    Dat was geen internet en ik was lekker ruim 4 jaar eerder! (Maar dat was niet mijn verdienste, eerder toeval.)

  42. @253 tensai | 14 juni 2012 @ 10:13

    En wat als je nog een stapje verder gaat en je voegt voor bezoekers de mogelijkheid aan de site toe om de inhoud van hun cookie te bekijken. Wordt het bewaren van cookies – ongeacht wat hun oorspronkelijke functie was – dan niet een “technische noodzaak”? Zonder cookies werkt die functie immers niet ;-)

    Een juridische trucje natuurlijk, maar het zou kunnen werken. Ik geef toe, de kans is klein, maar er zijn voorbeelden van legale ontwijking van een wet door wel aan de letter maar niet aan de geest te voldoen.

  43. Hoe moeten straks de armlastige landen als Griekenland en Spanje nog betaald worden. Ik heb dit jaar weer duizenden euro’s inkomstenbelasting websiteverdiensten af moeten schuiven. Gisteren een test gedaan met toestemmingsverzoek op een website, resultaat was dat tweederde van de bezoekers was afgehaakt.

  44. Het gaat met de cookie wet straks net zoals met het rode voetgangerslicht in Amsterdam; die wordt massaal genegeerd.

    De grote sites die al naam hebben gemaakt en niet zoveel schade ondervinden van een irritante vraag voor je de site op kan zullen het implementeren. Alleen al omdat die de meeste kans lopen erop aangesproken te worden. En iedere nieuwe website houdt zich van de dommen tot er een keer een controle op komt.

    Ik heb hier op mijn eigen website geen last van, maar zo moeilijk is het niet om de website in de US onder te brengen met een .com domein. En daar de site ook nog eens in het Engels is, kan ik dan gerust roepen dat ik mij op de Amerikaanse markt richt, niet op de Nederlandse. DMCA proceduretje implementeren voor de user generated content en ik ben af van geitenwollensokken europa. Ik acht de kans namelijk heel klein dat een kleine Engelstalige in de US gehoste website door een nederlandse instantie gecontroleerd gaat worden.

  45. @ Rodney
    Met in het artikel de veel gemaakte fout dat Piwik first party cookies plaatst en Google Analytics third party. Dat is onjuist. Piwik plaatst zowel first als third party cookies en GA plaatst alleen first party cookies. Misschien is het voor veel mensen moeilijk te verteren, maar de massa consumenten is veiliger bij websites die GA gebruiken met de juiste instellingen dan met Piwik. Piwik in handen van een grote uitgeverij met tientallen websites bijvoorbeeld is gewoon harde cross-domain tracking en profiling.

  46. Pikant is het stuk over third party cookies en Google Analytics (het onderwerp van deze posting). Als je Google Analytics installeert, dan zorgt die code die je van Google krijgt ervoor dat jouw site een first party cookie plaatst. In de opinie van de Artikel 29 werkgroep brengen first party cookies voor statistisch doeleinden een zodanig klein risico met zich mee dat ze een uitzondering op de wet rechtvaardigen. Daarmee zou GA dus wél mogen.

  47. @ Arjen

    Klopt helemaal. Dit is de officiële tekst:
    “However, the Working Party considers that first party analytics cookies are not likely to create a privacy risk when they are strictly limited to first party aggregated statistical purposes and when they are used by websites that already provide clear information about these cookies in their privacy policy as well as adequate privacy safeguards. Such safeguards are expected to include a user friendly mechanism to opt-out from any data collection and comprehensive anonymization mechanisms that are applied to other collected identifiable
    information such as IP addresses.

    In this regard, should article 5.3 of the Directive 2002/58/EC be re-visited in the future, the European legislator might appropriately add a third exemption criterion to consent for cookies that are strictly limited to first party anonymized and aggregated statistical purposes.
    First party analytics should be clearly distinguished from third party analytics, which use a common third party cookie to collect navigation information related to users across distinct websites, and which pose a substantially greater risk to privacy.

    Verder zegt de tekst dat bij first part cookies waarbij de berekening wordt uitgevoerd door een derde partij (zoals bij GA) er technische of contractuele afspraken moeten zijn die het onmogelijk maken dat die ‘processor’ de gegevens voor zichzelf gebruikt.

    Aan al die voorwaarden wordt door Google Analytics ruimschoots voldaan, dus mogen we concluderen dat als Nederland bereid is om volgens de europese lijnen te werken, GA voorlopig gewoon mag.

  48. http://dirkzwagerieit.nl/2012/06/12/opinie-van-de-europese-privacytoezichthouders-over-functionele-cookies/

    “1 cookies die worden gebruikt voor de overdracht van signalen over een netwerk;
    2 cookies die worden gebruikt voor het uitvoeren van een door de gebruiker opgevraagde dienst.”

    Wat een raar taalgebruik! Bij het eerste punt kan ik me technisch al meteen niets voorstellen. En “een dienst opvragen”, wat is dat? Een dienst vragen, om een dienst verzoeken, dat zou nog kunnen. Informatie kun je ook opvragen. Maar een dienst? Ik kan me daar werkelijk niets concreets bij voorstellen.

  49. @Rolf, ik lees de Analytics voorwaarden:

    Google en haar 100% dochterondernemingen mogen, met inachtneming van de voorwaarden van haar Privacybeleid, (zie http://www.google.com/intl/nl/privacy.html of andere URL die Google van tijd tot tijd opgeeft), tijdens Uw gebruik van de Service verzamelde informatie behouden en gebruiken.

    en

    Google behoudt zich te allen tijde het recht voor om enige voorwaarde van deze Overeenkomst of enig beleid waarnaar in deze Overeenkomst wordt verwezen te veranderen of te wijzigen

    zich met (nadruk toegevoegd)

    waarbij de berekening wordt uitgevoerd door een derde partij (zoals bij GA) er technische of contractuele afspraken moeten zijn die het onmogelijk maken dat die ???processor??? de gegevens voor zichzelf gebruikt.

    Mijn conclusie is dat Google Analytics dus niet aan die voorwaarden voldoet.

  50. @ MathFox
    Je citeert niet uit de Google Analytics voorwaarden, maar uit de Google gebruiksvoorwaarden. Terwijl je in de linktekst ‘Analytics’ schrijft en dat is op zijn minst misleidend. Dat zijn de voorwaarden die jij accepteert als je als gebruiker de Google diensten gebruikt zoals (ingelogd) zoeken, Gmail, etc. Dat heeft echt niets hiermee te maken en is sowieso opt-in en dus heeft de gebruiker expliciet vooraf toestemming gegeven. Als website bezoeker ben je geen gebruiker van Analytics.

    De Analytics voorwaarden vallen onder de algemene privacy voorwaarden, maar zijn bestemd voor degene die een Analytics account maakt en beheert en dat is de website eigenaar. De Analytics voorwaarden bevatten aanvullende afspraken, bijvoorbeeld over het feit dat Google GEEN toegang heeft tot de Analytics informatie. Dat zijn de afspraken waar de werkgroep naar verwijst.

    Uiteraard kan Google dergelijke afspraken wijzigen en als dat gebeurt moeten we die opnieuw langs de wet leggen. Maar dat geldt ook voor alle andere tools die gebruikt worden zoals Piwik en met name Sitestat die third party cookies plaatst.

  51. @Rolf, bovenaan het document waar ik naar link staat GEBRUIKSVOORWAARDEN GOOGLE ANALYTICS. En als jij beweert dat “de Analytics voorwaarden aanvullende afspraken bevatten, bijvoorbeeld over het feit dat Google GEEN toegang heeft tot de Analytics informatie”, dan wil ik graag een URL naar een document dat Google bindt.

  52. http://www.google.com/analytics/learn/privacy.html

    Het gaat om de optie de standaard ingesteld staat: Do not share my Google Analytics data.
    Verder staat hierin: “No data-sharing without consent – Google Analytics data may not be shared without user consent, except under certain limited circumstances, such as when required by law.”

    In dergelijke uitzonderingsgevallen wordt er op werknemer niveau toegang verschaft binnen bepaalde procedures (Employee access controls and procedures) en nooit via geautomatiseerde koppelingen van databronnen.

    Ik voel mij hier als privacy gevoelige internetgebruiker helemaal goed bij.

    Uiteraard zal het voor jou mogelijk zijn om op basis van deze privacy voorwaarden een andere interpretatie te geven, maar de conclusie van de officiële instanties zoals deze werkgroep is natuurlijk wat straks werkelijk van belang is. Tot die tijd is bij iedereen en waarschijnlijk ook bij mij, de wens de vader van de gedachte. Voorlopig voel ik mij in mijn mening gesterkt door deze werkgroep. In ieder geval zie ik een duidelijke beweging die het verzamelen van anonieme gegevens op basis van first party cookies mogelijk maakt zonder toestemming vooraf.

  53. @Rolf, je praat over een setting: Do not share my Google Analytics data. Hoe weet ik als bezoeker dat de websitebeheerder die setting ingesteld hebt?

    Hoe bindend is:

    This option excludes data from being included in any automated processes that aren’t specifically related to operating and improving Google Analytics or protecting the security and integrity of the data.

    als in de algemene voorwaarden iets anders staat?

  54. @ MathFox
    Binnen de nieuwe wet is er een informatieplicht en die is heel uitgebreid. Je bent verplicht om ieder cookie daarin te benoemen, uit te leggen wat het doet en hoe je m.b.t. dat cookie met de privacy omgaat. Mijns inziens is dus iedere website eigenaar die GA gebruikt verplicht om deze ‘do not share’ setting te vermelden. Uiteraard kan daarmee gesjoemeld worden, maar dat geldt voor alle cookies die binnen de uitzonderingen vallen en alle andere privacy statements. Gebruikers die daar niet op willen vertrouwen moeten daarom altijd een gemakkelijke opt-out mogelijkheid krijgen, ook voor de cookies waarvoor geen toestemming vereist is. Google Analytics biedt die mogelijkheid en ik vind dat iedere website eigenaar die GA gebruikt dat moet aanbieden.

    M.b.t. je tweede opmerking: zelf denk ik niet dat er in de algemene voorwaarden iets anders staat omdat er telkens dingen worden gezegd als “met inachtneming van de privacy voorwaarden”. Daarnaast denk ik dat de nederlandse versie niet geheel actueel is en dat is natuurlijk slecht van Google. In de (UK) engelse versie is de door jou geciteerde paragraaf in je eerste reactie 263 anders en gaat het erom dat Google de gegevens opslaat en bewerkt om ze vervolgens aan jou als account eigenaar te kunnen presenteren in rapporten. Omdat het een Cloud service is moet je als gebruiker er uiteraard wel mee akkoord gaan dat Google de gegevens voor jou opslaat en bewerkt. En dat moet je ook melden aan je gebruikers, dat die gegevens bij Google worden opgeslagen. Google controleert overigens of je je aan die informatieplicht houdt.
    http://www.google.com/intl/en_uk/analytics/tos.html

  55. Een website heeft een informatieplicht voor het zetten van haar eerste niet-functionele cookie; dat betekent dat iemand die kiest voor opt-out zonder tracking-cookie de website moet kunnen verlaten. Het kan nog interessant worden om dat voor elkaar te krijgen wanneer bezoekers je site via een deeplink kunnen bereiken. (Ik neem aan dat de sitebeheerder niet liegt over zijn Analytics configuratie.)

    OK, de en_UK tekst is anders (en privacy-vriendelijker), maar bevat nog steeds de clausule dat Google de voorwaarden eenzijdig kan wijzigen. Hetgeen kan betekenen dat de voorwaarden volgend jaar niet meer aan de wettelijke eisen voldoen. (Nu verwacht ik dat Google slimmer is dan dat…) En welke versie geldt nu eigenlijk voor mij (of kan ik gewoon het pakket voorwaarden kiezen dat me het beste uitkomt)?

  56. @ MathFox
    Klopt, maar mijn uitgangspunt is dat het GA first party cookie onder de uitzonderingen valt en geen toestemming vooraf nodig heeft. Dan geldt de informatieplicht en de opt-out optie na het plaatsen van het cookie. Dit uitgangspunt is gebaseerd op het meest recente advies van de Artikel 29 werkgroep.

    Tja, welke voorwaarden nu uiteindelijk gelden durf ik niet te zeggen. Daar zou Google zelf iets van moeten vinden lijkt me. Het meest voor de hand liggende is dat de voorwaarden gelden waar je mee akkoord gaat op het moment dat je een nieuw account aanmaakt.

  57. @ Reinier Post 272
    Misschien moet je de tekst toch nog een keer goed lezen en dan met name paragraaf 4.3. Daar staat dat volgens de letter van de regel deze cookies niet “strictly necessary” zijn en dus op dit moment niet onder de uitzonderingen vallen, maar dat ze geen privacy risico vormen als ze op de juiste manier (“safeguards”) worden gebruikt. Daarom adviseert de commissie om in de toekomst naast Criterion A en B een derde groep van uitzonderingen te maken waarvoor geen toestemming nodig is: “add a third exemption criterion to consent for cookies that are strictly limited to first party anonymized and aggregated statistical purposes.”

    Het Dirkzwager artikel zegt dit ook, maar vliegt daarna uit de bocht door te stellen dat GA een third party cookie is en dat klopt niet.

  58. @273: Rolf, je hebt gelijk. Ik was in de war door de zin

    Such safeguards are expected to include a user friendly mechanism to opt-out from any data ollection and comprehensive anonymization mechanisms that are applied to other collected identifiable information such as IP addresses.

    maar ‘opt-out’ bieden is niet hetzelfde als toestemming vragen.

  59. Interessante discussies! Erg vervelend dat zelfs geanonimiseerd gebruik van Google Analytics niet lijkt te mogen. Ik hoop dat het in de praktijk voorlopig zo’n vaart niet zal lopen, want ik vind het onzin dat we niet eens anonieme statistieken zouden mogen bijhouden over het bezoek aan onze site zonder toestemming te vragen van de bezoekers. Maar daar gaat het me nu niet om.
    Wat ik in de discussie nu mis: hoe los ik nu met HTML/Javascript(?) technisch op dat ik de toestemming van de gebruiker vraag om Analytics te mogen gebruiken?
    Het opnemen van Google Analytics in je eigen site is simpel: een account aanvragen bij Google Analytics, en plak dan een stukje code dat Google voor je aanlevert onderaan elke html-pagina. Maar hoe zorg ik als niet-zo-technische webmaster er nu voor dat onze site toestemming gaat vragen van een gebruiker om Analytics te mogen gebruiken? Ik heb wel verstand van HTML, maar wil geen programmeur worden van Cookies, het moet dus eenvoudig blijven. Zijn er al sites waar wordt uitgelegd hoe ik dit op een simpele en elegante manier kan regelen?
    Bij voorbaat dank!

  60. Ik rij straks over de A50. Dan naar de A12… dan staan er op de N325 camera’s die mijn auto van achteren fotograferen zodat alleen mijn kenteken kan duiden richting privé gegevens. Ik ben zelf niet herkenbaar op de foto.
    Nou zeg ik wel ‘mijn’ auto, maar eigenlijk staat het op naam van mijn vrouw.. zij krijgt dus de ‘vriendelijke groeten uit Leeuwarden’ van CJIB. En zij staat dan ook nog es geregistreerd als verkeersdelinquent… niet ik.

    Google ziet aan mijn ip adres en het cookie geen ene reet wat mij privé aangaat tenzijn mijn provider mijn ip adres met klantgegevens vrijgeeft aan Google. Het ziet hooguit dat vanaf een computer in mijn huis er een bepaalde belangstelling bestaat en een beetje van de aard van deze machine.

    Nou kan de cookie wet wel stellen dat er niets op mijn harde schijf mag worden geplaatst zonder mijn toestemming… maar wat is toestemming? In mijn temp folders staan een hele hoop files die daar vrolijk op de harde schijf blijven staan na een dagje webbrowsen… heb ik niet gevraagd en kan ik wat aan doen zodra ik de cache leeg… (samen met de cookies, nu een handmatige klus of beter … ingesteld te doen zodra ik mijn browser sluit – opt out dus)

    Vroeger werd de geboden site inderdaad beter/sneller van het hebben van een browser cache… maar in deze tijd van breedst-band internet geen technisch argument/juridisch argument dus lijkt het me het verbieden waard binnen deze wet.

    Ik wil ook dat op basis van de telekomwet er voor iemand die mij belt geen gehoor krijgt er vóórdat ie ophangt eerst toestemming vraagt zijn telefoonnummer te mogen opslaan in mijn mobiel…. er wordt tenslotte ongevraagd iets opgeslagen… en nee… niet komen met dat is niet privacy gevoelig… het is iets ongevraagd opslaan op mijn mobiel….

    De wet is er… het zal moeten worden nageleefd… (zal wel weer op gedogen uitdraaien… ;) ) maar dat de wet de plank misslaat is duidelijk voor wat betreft de cookies….

    FF benieuwd? Hebben de indieners van deze wet dit uit eigener beweging gedaan of is er écht een petitie ingediend door duizenden bezorgde en boze burgers?
    Lulkoekwetje om indruk te maken op bange burgers… daar lijkt het op…

  61. Google ziet aan mijn ip adres en het cookie geen ene reet wat mij privé aangaat tenzijn mijn provider mijn ip adres met klantgegevens vrijgeeft aan Google. Het ziet hooguit dat vanaf een computer in mijn huis er een bepaalde belangstelling bestaat en een beetje van de aard van deze machine.

    Je zoekt even op Google en het eerste cookie is gekoppeld aan je IP adres. Je IP adres verandert tegenwoordig niet zo snel en in combinatie met het cookie ben je als unieke “computer” op te sporen. Je vindt wat je zoekt en dat is een blog dat Google Analytics gebruikt. Google weet nu wat je interesses zijn. Je hebt natuurlijk geen GMail want anders is dit een hele simpele oefening maar je bezoekt ook nog eens een forum waar je je ooit op hebt geregistreerd. Ook hier weer Google Analytics. Je bekijkt je profiel, verandert je avatar en je plaatst twee comments. Worden allemaal door GA geregistreerd.
    Vervolgens gaat de Google SearchBot aan het werk op het Internet. Ze vinden het forum, het blog dat je hebt bezocht, ze vinden diverse andere sites die jij in het verleden hebt bezocht en waarvoor je allemaal dezelfde gebruikersnaam voor hebt gebruikt. Ze koppelen termen aan elkaar dus die sites zijn aan elkaar verbonden door jouw gebruikersnaam. En plotseling heeft Google al een vrij herkenbare vingerafdruk van jouw acties online. Niet dat het Google echt interesseert want ze hebben zo wel vingerafdrukken van een biljoen mensen. Of meer…

    Ja, het is wel een beetje een onzinwet, maar helaas zijn steeds meer mensen aktief op “sociale media” waarop ze heel veel blootgeven over zichzelf. Koppel al die gegevens aan elkaar, pas wat datamining toe en je kunt behoorlijk waardevolle informatie terugvinden. Misschien niet over jou, omdat jij niets over jezelf vrijgeeft. Of over je vrouw omdat ze nooit online zit. Maar mogelijk wel over je tiener-dochter en haar vriendje in Lunetten omdat zij hun vakantiefoto’s van het strand in Spanje op Facebook hebben geplaatst. Daar staat ook een foto van jou met een korte beschrijving en via die paar gegevens is het bedrijf te vinden waar jij voor werkt omdat jij als contactpersoon op wordt genoemd. Via je werk-URL en je gebruikersnaam wordt een archief teruggevonden van een mailinglist van 8 jaar geleden en daar komt meer informatie naar boven. En dat kan zo door blijven gaan tot Google weer een volledig beeld van jou heeft, zelfs al werk je daar zelf nauwelijks aan mee!

    Het is onzin omdat mensen met een beetje gezond verstand niet teveel details over zichzelf online dumpen. Helaas heeft 80% van de Internet een chronisch gebrek aan gezond verstand… ;-)

  62. Het opnemen van Google Analytics in je eigen site is simpel: een account aanvragen bij Google Analytics, en plak dan een stukje code dat Google voor je aanlevert onderaan elke html-pagina. Maar hoe zorg ik als niet-zo-technische webmaster er nu voor dat onze site toestemming gaat vragen van een gebruiker om Analytics te mogen gebruiken?

    Een technische vraag en hopelijk kan ik wat adviezen geven hiervoor.
    Cookies komen eigenlijk automatisch mee met iedere webrequest. En technische cookies zijn gewoon legaal. Het enige wat je dus hoeft te doen is te controleren of er een cookie is gezet en of daarin staat dat dat je toestemming hebt voor de overige cookies. Als de controle faalt dat moet de serverside code dus de Google Analytics code weghouden uit de webpagina.
    Bij diverse ontwikkel-omgevingen kun je gebruik maken van een masterpage waarbinnen de rest van de site kan worden geplaatst. Voor de gebruiker lijkt dit 1 HTML bestand (dus geen iframes of zo) maar aan de serverkant is de pagina dan opgebouwd uit meerdere bronbestanden. Deze masterpage kan deze cookie-controle uitvoeren en als er geen toestemming-cookie is gezet dan wordt de gebruiker doorverwezen naar een pagina die tekst en uitleg geeft en waar de gebruiker kan aangeven of deze wel of geen cookies wil. (Of de code voegt b.v. een Javascript module toe die een popup toont en om toestemming vraagt.
    Is het cookie wel gezet dan zul je op basis van die instelling dus wel of geen Analytics kunnen gebruiken.

    Helaas is dit wel iets dat de web developer moet bouwen en niet de niet-zo-technische webmaster. Dat is vrij lastig als je site is opgebouwd uit diverse commerciele en open-source producten en je dus eigenlijk geen developers in dienst hebt. De aanpassing hoeft in principe niet veel werk te zijn, hoewel dat sterk van het project afhangt. Maar je zult er wel een techneut bij moeten halen die de code kan aanpassen.

    Bij commerciele software kun je eventueel de fabrikant ervan wijzen op de Nederlandse wetgeving en vragen of ze het willen aanpassen. Zeker aan te raden indien je maatwerk hebt gekocht! Bij open-source even contact opnemen met de auteur(s) en hen hetzelfde verzoek doen, hoewel niet zeker is dat ze dit willen doen.

    Daarnaast zullen er wel de nodige plug-ins beschikbaar zijn die je eventueel kunt gebruiken op de webserver maar de mogelijkheden daarvan zijn dusdanig groot dat je dat beter aan een andere webmaster kunt vragen. Ik ben meer een developer dan master. :-)

  63. @Pieter de meeste zaken die je aanhaalt gebeuren niet doordat een derde stukjes informatie op jouw randapparatuur plaatst. Het opslaan van van alles en nog wat door Google gebeurt op de servers van Google. Dat mag op grond van de Telecommunicatiewet. Wel moet Google de privacywetgeving in de gaten houden. Jouw cache-geheugen en je lijst gemiste bellers in je telefoon worden door jouw eigen systemen opgeslagen (in casu je browser danwel je telefoon).

  64. Wat ik me nu eigenlijk afvraag, wat is nu in eerste instantie het doel van deze wet? Het beschermen van je privacy of het voorkomen van ergernissen als je doodgegooid wordt met de banners van de Wehkamp?

    Als we hier nou een goede analogie voor moeten vinden zou je dit kunnen vergelijken met lussen in de weg en file-camera’s. Ik wordt ongevraagd geregistreerd als ik nietsvermoedend over de A20 rijdt en dit alleen maar omdat de overheid wil weten of een bepaald stuk weg vaak problemen ondervindt qua drukte. Hoe verschilt dit van het verzamelen van statistieken van je site?

    Als mensen mijn rode Volvo zien staan bij de AH en later bij de Hema, wat weten ze dan van mij… dat de bestuurder van een rode Volvo de rookworst van de AH niet lekker vindt? Dat is toch in principe wat Google bijhoudt?

  65. Om nog even terug te grijpen naar je quote in het artikel:

    Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.

    Zoals ik het lees: als je kan aantonen dat je de statistieken actief gebruikt om de site te verbeteren zijn ze toegestaan. Als je ze alleen gebruikt om mooie grafiekje te maken en daarop te geilen, val je buiten die uitzondering.

    Is dat een aannemelijke conclusie?

    • Volgens mij wordt er in de wet onderscheid gemaakt tussen 1) directe verbeteringen, waarvan de bezoeker nog tijdens het bezoek profiteert, en 2) verbeteringen op lange termijn (zoals AB-testen), waarbij het plaatsen van een cookie geen invloed heeft op de functionaliteit en/of look-and-feel van de bezoeker tijdens de betreffende sessie.

      Als we hiervan uitgaan is het “verbeteren van de website” niet genoeg reden om cookies toe te staan, en jouw conclusie onjuist.

      Helaas…

  66. Mijn twijfels zijn met name over de laatste zin uit die quote:

    Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.

    Met jouw redenering zouden analytics cookies nooit als uitzondering gezien kunnen worden omdat deze nooit een direct effect hebben op de bezoeker. Maar er staat toch wel degelijk ‘minder snel’, dus er is een situatie waarin analytics cookies wel onder deze uitzondering vallen…

    Ik was overigens gister nog even op de site van de belastingdienst en daar hanteren ze nog steeds een opt-out voor de cookies. Ook al geven ze aan dat ze gebruikt worden voor analytics…

    Een unieke identificatie voor iedere computer. Wordt gebruikt om het aantal unieke bezoekers voor de verschillende onderdelen van belastingdienst.nl vast te stellen.

    (source).

    In mijn ogen heeft de belastingdienst een voorbeeld functie en ze geven, om eerlijk te zijn, niet het goede…

    • Een situatie waarin Analytics legaal zou kunnen zijn, is dat je de site dynamisch vult met relevante content(*) die wordt geselecteerd op basis van wat Analytics zegt dat relevant voor jou is. Die functie bestaat binnen GA. Wel moet je dan GA alléén daarvoor gebruiken, dus niet ook nog statistieken voor de webmaster.

      (*) En daarmee bedoel ik dan niet advertenties natuurlijk maar redactionele/inhoudelijke inhoud. Op deze blog zou het blokje rechts met “Zie ook” gevuld kunnen worden met links die volgens GA voor jou relevant zijn.

  67. Ik bedenk mij net een variant op de cookies van Google Analytics: Google Webmaster Tools!
    Deze tools zijn bedoeld om een website te kunnen beheren en je krijgt dan, als webmaster, ook allerlei extra informatie over je website. Veel van deze gegevens komen van de Google crawler maar je krijgt ook een lijst van zoek-opdrachten te zien die jouw website als resultaat opleveren. En je krijgt te zien wie er naar je website toe linken.

    In hoeverre zou dit ook onder de cookiewet kunnen vallen?

  68. Gelukkig ziet de politiek in dat het anoniem bijhouden van statistieken geen privacy gevaar oplevert voor de burger en zal de cookiewet aangepast worden. Google Analytics mag dus gewoon, mits op de juiste wijze ingesteld (ip anonimiseren en gegevens niet delen). Het anonimiseren van ip adressen gebeurt bij Analytics aan de bron, letterlijk te zien in de broncode van een website, en is dus gemakkelijk te controleren. Bij andere pakketten ligt dat anders dus ik hoop wel dat de Piwiks en de Sitestats van deze wereld op gelijke wijze gecontroleerd kunnen worden.
    Bron: http://www.nu.nl/internet/2987889/cookiewet-versoepeld.html

    De publieke omroep heeft overigens nog wel een probleem, want die gebruiken Sitestat met Comscore en daar gebeuren twee dingen die niet deugen: de bezoekers worden gevolgd over alle websites van de publieke omroep zodat er een profiel opgebouwd wordt. Het tweede is dat de data gedeeld worden met Comscore voor ‘marktonderzoek’. Ik ben benieuwd hoe de NPO het bijhouden van statistieken volledig anoniem gaat maken, dus ook zonder de ip adressen te gebruiken.

    Voor remarketing en retargeting van advertenties zal nog wel toestemming nodig zijn dus de affiliate netwerken en uitgevers zullen nog steeds aan de wet moeten voldoen.

  69. @ Michel: Nee hoor, Google Analytics is formeel een first party cookie; de website eigenaar plaatst het cookie en niet Google. Analytics cookies dragen daarom ook de naam van de website. De software is van Google, maar het gebruik ervan valt volledig onder verantwoordelijkheid van de eigenaar van de website. De informatie is ook juridisch eigendom van de website eigenaar en niet van Google.

      • @ Michel; dat kun je dus als gebruiker zelf bepalen en tegenwoordig staat dat zelfs standaard uit. Google kan zonder jouw toestemming niet bij de gegevens komen. Nu zijn er mensen die zeggen dat Google dat stiekem wel doet, maar zo’n discussie heeft weinig zin. Met ip-maskering zijn het sowieso gegevens die nooit naar een persoon of apparaat te herleiden zijn, dus ik begrijp ook niet waar mensen zich druk om maken. Dan zijn er wel andere situaties waar internet gebruikers écht privacy risico lopen. Facebook om er maar één te noemen.

        • @Rolf: Hoe stel je je voor dat Google Analytics kan werken als het niet al die gegevens krijgt?
          Dat het plechtig belooft ze niet te zullen gebruiken is geloof ik wat telt voor de wet; in zoverre heb je denk ik gelijk.

          Maar het moet de ongemaskeerde gegevens bewaren om ze correct te kunnen aggregeren, denk ik.

          En we weten dat er wetten zijn waarmee overheden Google kunnen dwingen al hun data door te geven, en bovendien werken er zeker mensen bij Google die bij die data kunnen en er mogelijkerwijs wat anders mee doen dan wat hun bedrijf belooft (al verwacht ik dat Google dat zo moeilijk mogelijk maakt).

          Daarom schreef ik boven dat je bij gebruik van GA in wezen op hun blauwe ogen afgaat. De enige echte oplossing is Piwik of een equivalent.

          • @ Reinier; wat bedoel je met “al die gegevens”? Analytics registreert alleen hoeveel bezoekers op een website komen, hoelang ze blijven, waar ze vandaan komen, etc. Er wordt niet geregistreerd wie er op je site komt. Zelfs niet welk ip adres een bezoeker heeft als je Analytics goed inricht. Als een ip-adres aan de bron wordt gemaskeerd dan is er geen enkele manier om die toch ergens in Analytics toch te slaan. Als je aangeeft dat het voor de wet klopt wat ik zeg, maar vervolgens toch allerlei verdachtmakingen noemt dan is dat pure stemmingmakerij. Je schaadt hiermee de sector. Google raak je hier echt niet mee want die verdient zijn geld met andere dingen dan Analytics.

            En wat ik al helemaal niet begrijp; alle argumenten die je noemt gelden ook voor Piwik. Het gaat namelijk niet om de techniek, om de software, maar om degene die het gebruikt. Vanwege allerlei functionaliteiten in Piwik zoals het profileren van bezoekers (iets wat niet kan in Analytics) is dat in potentie een gevaarlijker product dan Google Analytics. En ook bij Piwik moet je vertrouwen op de blauwe ogen van degene die het gebruikt. Stel je maar eens voor wat er mogelijk is met Piwik bij grote commerciële mediabedrijven die bezoekers profileren over tientallen websites. Google kan zich op het gebied van privacy echt geen imagoschade veroorloven, maar er zijn andere bedrijven die daar heel anders mee omgaan. En Piwik installeer je op je webserver, maar van wie is die webserver? Van een externe hostingpartij. En is daar volgens jou wel altijd iedereen te vertrouwen?

            Nee, helaas worden er veel argumenten gebruikt in deze discussie die gebasserd zijn op emoties en niet op nuchtere zakelijke argmenten.

            • @Rolf:

              Nee, helaas worden er veel argumenten gebruikt in deze discussie die gebasserd zijn op emoties en niet op nuchtere zakelijke argmenten.

              Ik zou het waarderen als je zo’n opmerking ondersteunt met voorbeelden, afgezien van de opmerking zelf natuurlijk.

              Maar dat terzijde. Google zelf schrijft:

              Summary

              When a customer of Google Analytics requests IP address anonymization, Google Analytics anonymizes the address as soon as technically feasible at the earliest possible stage of the collection network. The IP anonymization feature in Google Analytics sets the last octet of IPv4 visitor IP addresses and the last 80 bits of IPv6 addresses to zeros in memory shortly after being sent to the Google Analytics Collection Network. The full IP address is never written to disk in this case.

              Ze krijgen het dus. (Nu vraag ik me af waarom, want de documentatie beweert ok dat GA het niet gebruikt om ‘sessies’ te construeren voor het geval dat de gebruiker cookies uit heeft staan. Maar daar gaat het niet om.) Waar het om gaat is dat jij als websitehouder verantwoordelijk bent voor het beschermen van de privacy, zoals je zelf ook zegt, maar het eerste wat je doet is elke hit met IP-adres naar Gogle doorsturen. Je maakt je dus voor het kunnen houden van die verantwoordelijkheid afhankelijk van een derde partij, namelijk Google.

              Je zegt terecht: met Piwik doe je dat ook, dan ben je namelijk afhankelijk van degenen die je de hosting service leveren waar je website en Piwik op draaien. Die zijn met dit soort dingen gemiddeld slordiger dan Google. Ja, dat zit er dik in.

              Maar ik denk ook dat dat partijen zijn die in de praktijk beter op hun ansprakelijkheid an te spreken zijn dan Google, dat zijn datacentra als een soort militaire forten schijnt te beveiligen en zich waarschijnlijk niet zo snel voor de Nederlandse rechter zal komen verantwoorden. De risico’s van grote gecentraliseerde databestanden komen niet voort uit de emoties van de mensen die ze ter sprake brengen maar zijn gewoon een standaard veiligheids- en privacyrico in de verhalen van computerbeveiligingexperts zoals Bart Jacobs (zie bv. de homepage van zijn afdeling), wat overigens niet wil zeggen dat hij mordicus tegen zulke grootschalige databestanden met privacygevoelige informatie is (hij is voor het EPD).

              • @ Reinier: Iemand die én voor privacy is én voor het epd begrijp ik niet. Naast de enorme technische uitdagingen lopen er straks een paar honderdduizend mensen rond die op één of andere manier (deel)toegang hebben tot zeer persoonlijke dossiers en spelen er zeer grote commerciële belangen met zorgverzekeraars, zorgaanbieders en de farmaceutische industrie. Dat gaat natuurlijk mis en dan hebben we het over veel serieuzere zaken dan Google Analytics. Want laten we nu eens eerlijk zijn; over wat voor informatie praten we hier nu eigenlijk bij Analytics? Hoe kan iemand voor het EPD zijn en tegen Google Analytics?

                IP adressen van bezoekers zijn altijd beschikbaar voor website eigenaren, of je nu Analytics gebruikt of niet. De werking van het internet is gebaseerd op ip adressen en die zijn altijd zichtbaar als je een website bezoekt. De vraag is wat die eigenaar van de website met jouw ip adres doet. Google Analytics doet daar bijna niets mee (vooral geolocatie) en biedt de mogelijkheid om dat ip adres te maskeren. De link die jij geeft reinier werkt niet en ik lees bij Google het volgende:

                Wanneer IP-masking is ingeschakeld, verwijdert Google Analytics de laatste byte van het IP-adres van de bezoeker voordat dit wordt gebruikt en wordt opgeslagen.

                Bron: http://support.google.com/analytics/bin/answer.py?hl=nl&answer=2905384
                Je eigen reactie illustreert waarom ik vind dat er veel emotionele argumenten gebruikt worden. Je geeft toe dat hosting providers slordiger zijn, dat Piwik niet veel anders is dan Analytics en toch kies je daarvoor, zonder duidelijke argumenten. Ik hoef maar even te verwijzen naar het nederlandse bedrijf DigiNotar en DigiD om te illustreren hoe erg het mis kan gaan hier in Nederland. Mijn Analytics gegevens die absoluut niet privacy gevoelig zijn, zijn veel veiliger bij Google dan hier. En als je jouw redenering doortrekt, dan zou ik als bedrijf voor de opslag van mijn bestanden ook geen Google Drive mogen gebruiken (wat ik nu wel doe) of SkyDrive, of DropBox. Allemaal Amerikaans. Dan ben ik als MKB ondernemer overgeleverd aan de dure en gebruiksonvriendelijke cloud diensten in Nederland. De emotie zit hem in het feit dat het hier gaat om grote, dominante Amerikaanse bedrijven en daar hebben “wij” in Nederland een hekel aan. In Europa lopen we gewoon achter en ik wil als vooruitstrevend ondernemer niet beperkt worden in mijn keuze om de beste en meest veilige diensten te gebruiken die er zijn.

                • Hoe kan iemand voor het EPD zijn en tegen Google Analytics?

                  Vanwege het doel. Het EPD heeft de potentie om de gezondheidzorg te verbeteren en medische fouten te verminderen.

                  Google analytics is puur bedacht om meer reclamegelden op mensen los te laten om ze zo tot meer bestedingen te verleiden.

                  • Eigenlijk zou ik op zulke stemmingmakerij niet moeten reageren, maar ik doe het toch maar. Veel ervaren medische professionals trekken het doel van het EPD zoals jij dat omschrijft in twijfel. En ook al was het waar; het doel kan nooit de middelen heiligen.
                    En met betrekking tot wat je zegt over Analytics; ik betwijfel of je wel weet wat Analytics is, wat het kan en ook wat het niet kan. Verder wek je de indruk alsof je een hekel hebt aan reclame. Dat geldt denk ik voor veel mensen, ook voor mij bij bepaalde vormen van reclame, maar ik hoop dat je beseft dat het internet in zijn huidige vorm zonder reclame niet kan bestaan. Gratis bestaat niet.

                • Rolf,

                  Mijn Analytics gegevens die absoluut niet privacy gevoelig zijn, zijn veel veiliger bij Google dan hier.

                  Het zou kunnen, maar ik kan het niet garanderen. Ik begrijp niet dat je niet ziet dat die gegevens juist privacygevoelig worden doordat ze van zoveel websites allemaal bij dezelfde partij terechtkomen (Google in dit geval).

                  • Ik begrijp niet dat je niet ziet dat al die gegevens niet te herleiden zijn tot een persoon of tot een apparaat en daarom per definitie niet privacygevoelig kunnen zijn. Google is niet in staat om op basis van Analytics een profiel van mij als persoon op te bouwen. Dat kan alleen bij advertentiecookies (remarketing) van Google of welke andere partij/netwerk (retargeting) dan ook en daar moet terecht eerst toestemming voor gevraagd worden. De hele discussie rond Analytics leidt af van het werkelijke probleem, namelijk het adverteren op basis van surfgedrag. Daar moet paal en perk aan gesteld worden. Door de manier waarop we nu deze wet implementeren in Nederland (alles of niks) accepteren mensen cookies die ze beter niet zouden kunnen accepteren.

                    Deze wet is een gedrocht en er wordt terecht nu een uitzondering gemaakt voor first party analytics. Nog beter zou zijn om de mensen te leren hoe ze via hun browser hun privacy kunnen waarborgen. Nu geven we ze slechts schijnveiligheid.

  70. het doel kan nooit de middelen heiligen.

    Dat is echt een onzin opmerking. Bijna alle dingen in het leven zijn een afweging van doel en middelen.
    Ook ten aanzien van privacy.

    Google is niet in staat om op basis van Analytics een profiel van mij als persoon op te bouwen

    Dat is te naief voor woorden. Als je kan tracken waar iemand naartoe surft dan kun je ene profiel opbouwen.

    • @ hAL: Je weet als het gaat om Analytics duidelijk niet waar je over praat; met Analytics is het profileren van bezoekers niet mogelijk en als je een account aanmaakt van Analytics accepteer je zelfs de voorwaarden waarin staat dat je dat ook nooit zult proberen, bijvoorbeeld door Analytics gegevens te koppelen met andere systemen of informatie. Discussiëren met iemand die de feiten niet kent of verdraait heeft weinig zin.
      Bron: http://www.google.com/analytics/terms/us.html
      Als je doorklikt naar deze bron: http://support.google.com/analytics/bin/answer.py?hl=en&topic=2611283&answer=2700409 Dan zie je ook hoe Google er op aandringt om websitebezoekers duidelijk te maken hoe ze via browser opt-out Analytics kunnen weigeren. Zo hoort het te gaan en niet via veel te complexe en niet werkende overheidsbemoeienis.

      • @Rolf de vraag is niet of de webmaster profielen opbouwt maar of Google dat doet. Google zégt van niet maar hoe weet je of dat klopt?

        “Ze zouden wel gek zijn” is een beetje mager; Amerikaanse bedrijven doen wel meer dingen die wij gek vinden. Rondrijden en draadloos netwerkverkeer van iedereen capturen bijvoorbeeld. Of foto’s nog maandenlang bewaren nadat de gebruiker uitdrukkelijk had gezegd dat deze gewist moet worden (Facebook).

        Als Google dit doet ondanks hun mededeling van niet, dan ben jij als webmaster aansprakelijk. Google is jouw toeleverancier en jij moet (bewerkersovereenkomst) regelen dat zij het volgens de Nederlandse wet doen. De Wbp maakt jou afzonderlijk aansprakelijk voor je toeleveranciers. Je kunt het wél op Google verhalen.

        • @ Arnoud; ik heb in mijn leven samen met bedrijfsjuristen heel veel contracten onderhandeld en getekend. Er zijn twee dingen die bepalen of je met een bedrijf in zee gaat; 1) Wat je op papier zet en 2) vertrouwen. Vertrouwen is misschien wel het belangrijkste, maar het begint wel met wat er op papier staat. Als Google zwart op wit zegt dat ze geen profielen maken dan lopen ze een enorm risico (imago + claims + omzetverlies) als ze het wel gaan doen. Ik denk dat ze daarvoor te slim zijn en hun business model zit daarvoor te goed in elkaar, in tegenstelling tot Facebook. Google zal hier en daar wel een fout maken, maar vanwege de redenen die ik hiervoor noem ben ik ervan overtuigd dat ze nooit hun eigen afspraken structureel gaan schenden. Facebook vertrouw ik in dat opzicht veel en veel minder en daar lopen consumenten ook veel meer risico.

          Ik vind het wel raar Arnoud dat je als jurist zegt dat vooral Amerikaanse bedrijven ‘gekke’ dingen doen. Dat lijkt me geen objectief argument. Er zijn genoeg voorbeelden van nederlandse bedrijven die hele gekke dingen doen m.b.t. privacy. Duik maar eens in de affiliate advertentie netwerken waar grote mediaconcerns bij betrokken zijn. Kijk eens naar de publieke omroep die met behulp van sitestat/comscore profielen van ons opbouwt op basis van bezoeken aan alle (!) websites van alle (!) publieke omroepen. Het is nogal naïef om te denken dat vooral Amerikanen rare dingen doen. Wij Nederlanders doen dat ook. En daarbij lopen we technisch ook nogal achter, ook niet zo fijn voor je privacy.

          • @Rolf: Google heeft zo zijn eigen interpretatie van Europese regels. Zo zeggen ze dat een log die alleen IP-adressen en activiteiten bevat, niet onder de regels van persoonsgegevens valt. Dat is Europees onjuist maar volgens Google waar. Net zoals Google meent dat je op straat mag fotograferen en dat mag publiceren zonder enige afweging met de persoonlijke levenssfeer van de mensen op straat. Ook dat vindt Google normaal, wederom vanuit Amerikaansrechtelijk standpunt waar privacy alleen bestaat met de gordijnen dicht.

            In die lijn der verwachting kan ik me goed voorstellen dat ze het aggregeren van Analyticsdata “ter verbetering van de dienst Analytics” (zie de privacystatement) best een eindje oprekken. Dit is wat ik met ‘gek’ bedoelde; een interpretatie die wij gek vinden maar daar doodnormaal is. Net zoals het daar doodnormaal is dat je een haatsite online zet (free speech) terwijl wij dat vanuit discriminatie en zo best wel gek vinden.

            Het is dan geen structureel schenden maar een verschil in opvatting. Net zoals Google meent dat ze best haar eigen diensten nét een tikje meer voordeel mag geven. Terwijl de EC dit machtsmisbruik noemt en onderzoekt.

            Verder staat het je vrij om Google op haar blauwe ogen te geloven maar jíj draagt het risico en jíj krijgt de claims als Google de dingen anders blijkt te hebben ingericht. En oh, die bewerkersovereenkomst is sowieso een tekortkoming

            Ik heb ook heel veel contracten onderhandeld – en ook achteraf gezien hoe contractsbepalingen worden opgerekt, genegeerd of compleet anders gelezen als dat voor de businesscase beter uit komt drie jaar later. En doe me een lol en houd op met “jij als jurist”. Laten we debatteren op de inhoud.

            • @ Arnoud: Als jij je zo duidelijk als jurist profileert, waarom mag ik je dan niet als jurist aanspreken? Maar goed, ik zal het weglaten en focussen op de inhoud. Google is inderdaad een Amerikaans bedrijf met een Amerikaanse cultuur. Misschien ook wel de reden waarom ze op dit gebied zo groot zijn geworden en er geen enkele Europese concurrent is die ook maar enigszins bij ze in de schaduw kan staan. Dat ‘Amerikaanse’ kunnen ze dus niet wegpoetsen. Wij besluiten tenslotte om Google te gebruiken; om te zoeken (95% van de Nederlanders) om te adverteren, Gmail te gebruiken, Analytics te gebruiken, etc. Het is in eerste instantie de verantwoordelijkheid van de gebruikers om aan de wet te voldoen van het land waarin zij opereren. Daarom benadrukt Google altijd dat de manier waarop je hun diensten gebruikt in overeenstemming moet zijn met de lokale wetgeving. Vandaar ook dat ze zich niet in het cookiedebat hebben gemengd en was hun officiële reactie; als de Nederlandse wet vraagt dat je toestemming moet vragen voor een bepaald soort cookie, dan moet je dat doen. Google op zijn blauwe ogen geloven is hier niet aan de orde, dat zou naïef zijn. Het is veel meer inzien hoe het businessmodel van Google werkt en op basis daarvan concluderen wat ze zich wel en niet kunnen permitteren.

              Dat Google zijn eigen diensten bevoordeelt is vooral een verhaal van gefrustreerde Europese partijen en vooralsnog niet bewezen. De EC onderzoekt inderdaad, maar heeft het ook nog altijd niet kunnen bewijzen. En zou dat niet ingegeven zijn door enige nationale gevoelens bij bepaalde Europese lidstaten? Ik werk dagelijks met deze materie, maar heb het in de praktijk nog niet kunnen vaststellen. Dat wil uiteraard niet zeggen dat het helemaal niet gebeurt, maar ik durf wel te stellen dat het bijna niet gebeurt. En zou een dominante Nederlandse zoekmachine als die al zou bestaan niet in de verleiding komen om zoiets te doen? Het wel of niet Amerikaans zijn vind ik in een globale internet economie gewoon geen goed argument. Als MKB ondernemer ben ik maar wat blij met Microsoft en Google die mij in staat stellen om voor weinig geld en vaak zelfs gratis diensten te gebruiken die vele malen beter werken en veiliger zijn dan al het andere dat in de Nederlandse markt beschikbaar is.

              De grote vraag voor mij, en ik zou het fijn vinden als je daar op zou willen reageren, is of dit soort wetgeving nu werkelijk waarde heeft voor de grote massa gebruikers. Wordt het internet voor hen nu écht veiliger? Want het draait toch om die vraag, of we nu jurist, politicus, online marketeer of IT-er zijn? Welke andere motivatie zou er anders kunnen zitten achter een wet als deze? Het zal je niet verbazen dat ik hele grote twijfels heb over het nut van dit soort wetgeving. De standaard do-not-track functie in IE 10 bijvoorbeeld heeft voor mijn gevoel meer effect dan de hele cookiewet. Eenvoudige do-not-track functies in de browser werken beter en hebben als groot voordeel dat de gebruikers zich bewust worden van de gevaren en ook beseffen dat ze zelf een verantwoordelijkheid hebben. Je kunt niet voor alles naar de overheid gaan wijzen.

              • @Rolf: ik ervaar “jij als jurist” als een ad hominem (“een echte jurist zegt zoiets niet dus Arnoud is een slechte jurist”). Jij bedoelt dat vast niet zo, maar ik ben er allergisch voor geworden. Dus dank dat we op de inhoud focussen.

                Ik ben het helemaal met je eens dat Google heel innovatief en sterk bezig is geweest, en dingen neer heeft gezet die geen Europees bedrijf had durven doen. De Amerikaanse ontwikkelcultuur (gewoon doen en zien waar het schip strandt) is zo veel beter dan die van ons.

                Wel ben ik ervan overtuigd dat Googles standpunt “wij conformeren aan lokale wetgeving” in eerste instantie vooral lippendienst is. Pas als het land groot genoeg is (China, soms Duitsland) of het punt heel principieel wil men nog wel eens in actie komen. Maar Nederland met z’n expliciete opt-in krijgt niet meer dan een “wij menen dat wij voldoen” in een persbericht.

                Dit hebben we gezien bij eerdere privacydiscussies. Google vindt een IP-adres geen persoonsgegeven, Google meent dat fotograferen & publiceren op de openbare weg zomaar mag (en vastleggen van SSID’s ook) en ze meent dat ze alle gegevens van al haar diensten mag combineren en dat opt-out daarbij genoeg is. Elke keer komt er niet meer dan “Google streeft naar compliance met lokale regelgeving en waardeert het belang van de gebruiker” of iets dergelijks in vaagtaal.

                Regelmatig zie je dat de lokale regelgever er toch net iets anders over denkt; het regende sancties en boetes bij Streetview, Google moest Belgische kranten uit de News index halen en zo kan ik nog wel even doorgaan. De vraag is dan gerechtvaardigd of Google bij de Analyticsdienst wél werkt zoals de Europese regels eist, of dat men toch weer een voor zichzelf net iets comfortabeler interpretatie erop nahoudt.

                De vraag voor mij is dan ook, hoe wéten we dat Google doet wat nodig is onder onze regels. Ik kan niet meer vinden dan FAQs die me vertellen dat ik vinkjes weg moet halen en dat ze dan niets meer doen met mijn gegevens, behalve “to improve the Analytics service”. Wat is dat, en hoe ver wordt er dan mijn data gecombineerd met andermans data?

                Ik vind dat een wezenlijk andere vraag of de cookiewet zinnig is. Nee, die cookiewet slaat nergens op, het draagt bij aan onveiligheid want we maken mensen hersenloos klikvee. Ik ga op 1 april onze cookiemelding veranderen in “Ik geef toestemming voor automatische incasso van 100 euro van mijn bankrekening”. Hoe veel mensen gaan daar Akkoord op klikken denk je?

                Echter, hoe frustrerend ook, wet is wet. En totdat die wet wijzigt, moet je eraan voldoen. En daarom is de vraag relevant, kan ik me met Google Analytics aan de wet houden.

                Prima dat Google zegt dat jij als webmaster de lokale wetgeving moet naleven, maar een groot deel van jouw verantwoordelijkheid zit in diensten die Google in een black box uitvoert. JIJ bent verantwoordelijk voor de veilige opslag van Analyticsdata. Maar je kunt geen enkele feitelijke controle uitvoeren op wat Google doet. Blijkt dat zij tóch Analyticsdata delen, dan heb jij dus een probleem.

                Jij zegt, Google kan het niet maken om Analyticsdata te delen met derden dus ik mag erop vertrouwen dat ik (met de strenge privacysettings) data alleen zelf kan gebruiken. Ik zie vage frases in de privacystatement én eerdere draaikonterij (pardon, verschil van inzicht over toepasselijkheid van relevante wetsartikelen) over wat de wet zegt, en stel dus vraagtekens bij jouw standpunt.

                • @Arnoud. Het lijkt mij vrij logisch dat een innovatief internetbedrijf regelmatig tegen een grens aanloopt. Soms terecht, soms onterecht. Klagende kranten bijvoorbeeld die via hun regering Google proberen dwars te zitten. Kranten hebben gewoon zitten slapen. Maar m.b.t. privacy is het absoluut terecht dat regeringen waakzaam zijn. Als Google echter vindt dat een ip adres geen persoonsgegeven is zijn ze daarin niet de enige. Een jaar of vier geleden bepaalde een Duitse rechter ook dat een ip adres niet als persoonsgegeven beschouwd kan worden. Bijvoorbeeld vanwege het feit dat een apparaat door meerdere mensen gebruikt wordt, dat achter één ip adres meerdere apparaten kunnen zitten en dat het vrijwel onmogelijk is om via hosting providers een naam bij een ip adres te krijgen. Ik weet dat de Europese commissie hier anders over denkt, maar dit lijkt me geen zwart/wit kwestie die heel gemakkelijk te bepalen is zoals bij een BSN, een bankpas of een rijbewijsnummer. En als ip adressen gemaskeerd worden is het probleem er bij Analytics al helemaal niet.

                  een groot deel van jouw verantwoordelijkheid zit in diensten die Google in een black box uitvoert. JIJ bent verantwoordelijk voor de veilige opslag van Analyticsdata. Maar je kunt geen enkele feitelijke controle uitvoeren op wat Google doet. Blijkt dat zij tóch Analyticsdata delen, dan heb jij dus een probleem.

                  Dat geldt ook voor een Nederlandse hosting provider die zijn klanten een gedeelde Piwik installatie aanbiedt. Het geldt zelfs voor een website eigenaar die Piwik op zijn ‘eigen’ webserver draait (gedeeld met andere websites en beheerd door derden) omdat het zeker bij de goedkope hosting regelmatig voorkomt dat je bij andere websites zomaar op de FTP kunt komen. Het geldt ook voor Sitestat/Comscore. En dan heb ik het er nog niet eens over dat Piwik en Sitestat qua functionaliteit al veel meer privacy risico opleveren dan Analytics. Het geldt ook voor klantgegevens die ik in de Cloud beheer (Skydrive, Dropbox), etc., etc.

                  Ik ben een groot voorstander van Analytics zo inrichten dat de privacy van website bezoekers gewaarborgd is, maar waar ik mij tegen verzet is de ongelijke behandeling en de onzin die er door sommigen wordt verkondigt over Analytics (niet door jou overigens). Tegen de onterechte conclusie die je bijvoorbeeld vaak leest; “Analytics mag niet en Piwik mag wel”. Tegen het feit dat er zo goed als geen aandacht is voor Sitestat/Comscore (publieke omroep) terwijl het daar gaat om keiharde profilering en cross-website tracking. Tegen het feit dat er vrijwel geen aandacht is voor remarketing en retargeting van advertenties terwijl daar een groot deel van de irritatie en achterdocht bij de consumenten vandaan komt. De balans lijkt zoek en ik probeer slechts hier en daar wat tegenwicht te bieden.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS