OPTA gaat met cookiemonitor sites controleren op naleven cookiewet

| AE 3088 | Aansprakelijkheid | 43 reacties

Er zit beweging in de handhaving van de cookiewet. Met een speciale tool, de ‘cookiemonitor’, wil de OPTA automatisch nagaan of websites zonder toestemming cookies plaatsen, zo meldde Tweakers vorige week. Sites die lastig verwijderbare cookies plaatsen, krijgen als eerste een boete. Andere sites krijgen “waarschijnlijk eerst een waarschuwing”.

De cookiewet is een van de raarste internetwetten van de afgelopen tijd. Ik moet de eerste persoon nog tegenkomen die hem in zijn huidige vorm een goed idee vind. Dat de gedachte erachter goed is, wil men nog wel beamen – maar de wet zelf is onduidelijk en véél te streng, zo lijkt de algemene gedachte.

De praktijk laat dan ook zien dat vrijwel iedereen de wet negeert. Van de top 1500 websites in Nederland vraagt 95,1% geen toestemming om cookies te mogen plaatsen, blogden wij vorige week. Onderzoek van Cookiechecker.nl liet zien dat Nederlandse sites massaal gewoon cookies zetten zonder te vragen.

Mogelijk dat deze sites denken dat hun informatiebalk boven- of onderaan de site genoeg is. Met teksten als “Deze site gebruikt cookies, door de site te gebruiken gaat u daarmee akkoord” doet men een poging de wet na te leven. Maar het is niet genoeg; toestemming onder de cookiewet kan niet stilzwijgend worden verkregen. Er is meer nodig dan alleen “u kwam op mijn site dus bent u akkoord met de cookies”.

Dit gaat dus nog leuk worden bij de cookiemonitor van OPTA. Die leest immers ook niet zulke informatiebalken maar kijkt of er cookies gezet worden bij het eerste paginabezoek. En al die sites met alleen een balkje worden vervolgens dus aangesproken op hun niet-handhaving.

Je kunt natuurlijk zeggen: stomme wet, waarom steek je energie in handhaving. Maar op dit moment is er een hele scheve situatie aan het ontstaan: mensen die het goed willen doen met de wet, zien hun bezoekersaantallen teruglopen omdat er nauwelijks een werkbare manier is om cookietoestemming te vragen. En ondertussen zien ze geïrriteerd hoe hun collega’s die bezoekers oppikken met alleen een “hoi wij gebruiken cookies”-balkje. Dan heb ik liever harde handhaving zodat we erachter aan komen hóe onhoudbaar die wet is.

Arnoud
PS: over cookies gesproken, ons boek Cookies: Deskundig en praktisch juridisch advies is bijna uit, u kunt nog voorintekenen! Slechts 9,95 en geen verzendkosten.

Deel dit artikel

  1. Het is ook een rare wet. Geeft maar weer eens goed aan, dat hoe goedbedoeld politici soms bezig zijn met technologie, als ze er geen kaas van hebben gegeten, en geen advies inwinnen maken ze iedere keer weer brokken.
    (Bij de weg, op de intekenpagina van het boek staat de volgende, kromme, zin: “U vindt in het boek bieden wij u alle informatie van deze site in één handzame verpakking.”)

  2. Ik vond dit ook wel een opvallende oplossing :

    De website http://www.rendement.nl gebruikt cookies om de website te verbeteren en om advertenties te filteren naar uw interesses. Als u geen cookies wilt accepteren, kunt u hier klikken voor meer informatie. OK

    Die ‘hier’ verwijst vervolgens naar instructies om je browser zo af te richten dat er geen cookies meer geaccepteerd worden:

    Liever geen cookies toestaan?

    U kunt zelf beslissen of u cookies wilt accepteren of weigeren of dat u wilt dat uw browser u op de hoogte stelt wanneer er een cookie wordt geplaatst. Hiervoor dient u de instellingen in uw browser aan te passen. Aangezien iedere browser anders is, verwijzen wij u naar het ‘Help’-menu van uw browser voor het instellen van uw cookievoorkeuren.
    Voor de meest gebruikte browsers vindt u op onderstaande pagina’s een toelichting van de leverancier:
    • Google Chrome
    • Internet Explorer
    • Firefox
    • Safari
    Als u het plaatsen van cookies helemaal onmogelijk maakt door uw browser zo in te stellen dat alle cookies worden geweigerd, bestaat de kans dat bepaalde functies niet werken of dat u geen gebruik kunt maken van al onze diensten.

    Dat lijkt me toch ook niet de bedoeling ?

  3. Een makkelijke volgende stap wordt natuurlijk anti-cookiemonitor-software. Die de requests van de cookiemonitor herkent, en daar dan geen cookies naar stuurt. Vooral de sites waar het echt fout zit hebben daar best belangstelling voor. De OPTA zal dan misschien de cookiemonitor aanpassen, maar ook de anti-cookiemonitor zal wel weer aangepast worden. Of ze maken een anti-cookiemonitor-monitor, net als de radardetectordetector.

    Zou dergelijke software legaal zijn om te maken/verspreiden? Natuurlijk is het cookie-gebruik zelf nog niet legaal, maar hoe zit het met het maken en verspreiden van anti-cookiemonitor-software? Is dat vergelijkbaar met de radardetector, die inmiddels niet meer legaal is?

  4. Nee, dat is de oude manier van werken. Vroegâh moest je informeren en een weigeringsmogelijkheid geven, dat kon door te verwijzen naar de browser. Het is dús niet meer genoeg onder de huidige wet om het zo te doen.

    Verder zet Rendement al cookies (Analytics en een PHP sessie-cookie) nog voordat je überhaupt hebt kunnen weten of ze dat gaan doen. Dus ze zijn sowieso te laat met hun tekst. Dit is geen toestemming.

  5. @Erik: Clubs als OPTA kunnen vast wel de nodige dynamische IP-adressen bemachtigen om hun tests/scans mee te doen. Ze gaan echt niet vanaf cookiescanner123.opta.nl de controle uitvoeren of OPTAbot in de User-Agent zetten. En dat hoeven ze ook helemaal niet.

    Een cookiescannerscanner is niet verboden, maar net zoals bij Google je meteen uit de index valt als blijkt dat je aan cloaking doet, zal de OPTA sneller een boete opleggen als blijkt dat jij hun bot een cookieloze pagina voorschotelt en consumenten juist tig cookies.

  6. In hoeverre mag de OPTA eigenlijk op eigen houtje (dwz zonder klacht van een benadeelde) controles uitvoeren? Het “preventief fouilleren” van servers is natuurlijk minder erg dan van personen op straat. Maar toch is het vreemd dat de overheid websites(eigenaren) groepeert in ‘gebruikt wel/niet cookies’ om later maar eens te bepalen of ze willen onderzoeken of die cookies wel/niet geoorloofd zijn.

  7. @nl-x: De telecomwet verbiedt het plaatsen van cookies zonder toestemming. Dat moet de OPTA handhaven. Scannen of men cookies plaatst bij een eerste bezoek is een prima manier om tot handhaving over te gaan. Er is geen eis dat iemand “benadeeld” moet zijn alvorens er mag worden gehandhaafd, dus ik zie het probleem niet dat je zoekt.

    @Sjoerd: ja natuurlijk. Wat zou er in vredesnaam op tegen zijn om een website te bezoeken?

  8. De OPTA is ook van plan een cookiescanner of zoiets te laten schrijven door een stagiaire met programmeerkennis in dienst te nemen die dat “eventjes” moet maken. Deze vacature! En ja, de kans dat ze een briljante stagiaire weten te vinden die dat klusje op een degelijke manier klaart is aanwezig. En die kans is even groot als de kans dat ik een keer de hoofdprijs win in de Staatsloterij, waar ik toch ook al 20 jaar trouw aan mee doe.

    Een ander probleem is dat iedere website al meteen cookies kan plaatsen, zeker als je een site niet via de hoofdpagina maar via een directe link binnenkomt. Vaak zijn dat gewoon technische cookies voor wat standaard-instellingen en soms cookies van adverteerders die een banner op de site weergeven vanaf de site van de adverteerder. Het maakt linken naar content van andere websites een stuk riskanter.

    Maar de cookiechecker is wel interessant want ik merk dat mijn eigen websites ook cookies plaatsen! Goed, mijn eigen code heeft geen cookies gezet, maar third-party web-apps op mijn server wel. Mijn WordPress-blog spant de kroon met 3 third-party cookies en 13 third-party requests! Jammer genoeg host ik mijn blog bij WordPress maar hangt deze wel onder mijn naam. Mijn Google Webmail App wil ook 2 third-party cookies plaatsen. En dus merk ik een duidelijk probleem…

    In mijn eigen code werk ik gelukkig zonder cookies te gebruiken. In plaats daarvan wordt gebruikers-data gewoon heen-en-weer verstuurd als (hidden) fields op de webpagina zelf. Geen cookies dus maar een andere techniek. (Zoe de cookie monitor dat ook detecteren?) Die informatie is meestal ook encrypted.

    Stel dat ik kwaad wil doen en bij het data-pingpongen alleen een sleutel encrypted doorgeef voor een record in een database op de server kan niemand van buitenaf achterhalen wat “18538515-f923-436b-884c-e74c48fa1725″ nou precies betekent. Als ik die code bij iedere page request steeds laat wisselen en per bezoeker een geschiedenis van de 50 laatst-gebruikte sleutels bijhou dan denk ik dat dat OPTA-studentje geen schijn van kans heeft om het volgen van bezoekers op deze manier te detecteren.
    En hoe kan ik dat nummer doorgeven tussen client en server? Simpel als cookie, of als POST data op de webpagina zelf. Of als GET data in de URL. Misschien zelfs vermomd als de URL zelf! Ik kan zelfs deze code verbergen in de URL van het logo op mijn webpagina, zodat ik via mijn logo allerlei informatie kan ophalen over de bezoeker.

    Wat de cookiewet doet is dat “gewone” websites opeens fout bezig zijn doordat ze nu deze wet overtreden terwijl men vaak niet eens op de hoogte is dat ze deze overtreden terwijl de ware privacy-misbruikers gewoon andere technieken zullen gebruiken om bezoekers te blijven volgen… Wie kwaad wil, weet hoe ze dit kunnen omzeilen…

    En die cookiemonitor gaat gewoon veel onschuldige bedrijven onnodig op extra kosten jagen…
    En die cookiemonitor gaat zorgen dat bedrijven eenvoudige standaard-webapps (WordPress, Google Apps) niet meer kunnen gebruiken omdat deze apps geen waarschuwingen bevatten…
    En die cookiemonotor wordt geschreven door een stagiaire als zijnde de goedkoopste oplossing zodat de betrouwbaarheid net zo hoog is als de ervaring van die stagiaire…

  9. Hoho, het is geen cookieflitspaal die automatisch een boete stuurt. Het is een tool om mogelijke overtreders te signaleren. Er moet nog steeds een opsporingsambtenaar overheen die zelf het feit constateert en ook moet de betrokken site om weerwoord worden gevraagd.

    Natuurlijk zijn er trucs om zonder cookies te tracken. Die mogen ook niet, op grond van de al lang geldende privacywet. Maar of een sessie-URL valt onder de cookiewet, durf ik niet te zeggen. Immers sla je zo’n URL op op mijn computer? Als je niets opslaat, val je buiten de cookiewet.

  10. @Wim, dat jij van pagina naar pagina een sessie handhaaft door de key in een hidden field te zetten, dat is natuurlijk geen probleem. Zo deden we dat ook voordat er cookies bestonden cq deze wijdverbreid genoeg waren (ik ben in 1995 afgestudeerd op sessiemechanismen in webapplicaties, met als belangrijkste moeilijkheid dat er toen wel al cookies bestonden maar dat browsersupport daarvoor slechts rond de 70% zat en ze dus in de praktijk onbruikbaar waren).

    Sessiecookies zijn overigens niet illegaal onder de cookiewet. Het gaat om het teruglezen van persistente (opgeslagen) cookies. Voor zulke cookies biedt zo’n mechanisme als jij gebruikt ook geen alternatief: zodra de pagina met de key wordt gesloten is de key weg en breekt jouw ketting van sleutels.

    @Arnoud

    Als je niets opslaat, val je buiten de cookiewet

    Even nitpicken: als je niets opslaat of uitleest wat is opgeslagen, val je buiten de cookiewet. Mechanismen zoals browser fingerprinting die wel lezen maar niets zelf hebben opgeslagen vallen er namelijk wel onder.

  11. Cookieflitspaal. :-) Geen idee of de stagiaire die ze zoeken dat ook beseft als hij begint met bouwen. :-)

    Maar goed, de site eigenaar moet een eerkijke kans krijgen om zich te verweren. Dat neemt niet weg dat er veel sites zijn die standard-software gebruiken op hun website zonder dat ze beseffen dat deze cookies gebruikt. Google Apps en WordPress zijn hierbij interessante voorbeelden omdat je deze beiden aan je eigen domeinnaam kunt koppelen terwijk de site zelf op een server van WordPress/Google draait en je eigenlijk totaal geen controle hebt over of die software nu wel of geen cookies plaatst.

    Ik ben wel even geschrokken dat WordPress vrij veel cookies gebruikt op mijn eigen blog. Opvallend ook dat er een Ad pixel staat op mijn pagina van Quantcast terwijl ik mijn blog juist advertentie-vrij wil houden. (Waar je voor kunt kiezen als je WP betaalt.) Bezoekers van mijn blog worden dus duidelijk in de gaten gehouden door een adverteerder.

    Een sessie-URL of sessie-code maakt het enorm lastig om te ontdekken wat een server nou precies doet met deze data. Die sessie-code zal meestal wel gerelateerd zijn aan een record met informatie van een bezoeker maar dat kan de inhoud zijn van een winkelwagentje en dus technisch, of een trackingcode om een bezoeker over diverse websites heen te volgen.

    Wel is het zo dat om een bezoeker tussen meerdere websites te volgen, een cookie eigenlijk de meest bruikbare methode is omdat de code dan niet verloren gaat als de bezoeker van sites wisselt zonder dat de code erbij wordt doorgegeven. Want GET/POST sessiecodes gaan snel verloren terwijl cookies kunnen blijven hangen.

    Natuurlijk is er nog een andere techniek die pas sinds HTML5 eigenlijk een standaard wordt: de HTML5 Filesystem API. Heb er een mooi, dun O’Reilly boek over van 60 pagina’s omdat het niet echt iets bijzonders is, behalve dan dat het een andere manier biedt om data bij de client op te slaan. Maar op dit moment lijkt alleen Google Chrome hier gebruik van te maken. Het is wel een -legaal- alternatief voor het gebruik van cookies… En de data die erin wordt opgeslagen kan gewoon techniek-gerelateerd zijn zoals b.v. de opslag van sprites voor een online spelletje. Maar doordat deze data binair wordt opgeslagen kunnen er zaken in worden opgeslagen die zonder een speciale server-side sleutel niet te ontcijferen zijn, maar wel continu bewaard worden.

  12. Sessie cookies zijn toch meestal functionele cookies, geen tracking cookies? Ikzelf gebruik sessie cookies voor log-ins, winkelwagen inhoud en opslag van favorieten.

    Ik denk dat het bouwen van een cookiebrowser een vrij gemakkelijke taak is. Ikzelf schoot van het weekend aardig op in Python. Ik had nog een crawler liggen en het uitlezen van de ‘set-cookie’ header is dan zo gepiept.

    Je krijgt dan een lijst met duizenden URL’s die cookies plaatsen op het eerste bezoek. Dan moet iemand nog handmatig gaan checken of die cookies werkelijk “evil” zijn of niet.

    Lastiger is de crawler onderscheid te laten maken tussen buitenlandse .nl sites, of nederlandse .com sites. Ook denk ik dat de crawler zelf best een browser kan zijn, immers er zijn meer manieren om cookies te plaatsen (bv. via een javascript reclame banner van een derde partij).

    Ik ben er nog niet uit of de cookiecrawler zich moet identificeren. Ik vind robots.txt en handhaving daarvan belangrijk. Ik heb er bijvoorbeeld niets aan dat een bot in opdracht van Getty Images mijn plaatjes download. Dat kost mij alleen bandbreedte en juridisch gezever. Maar die PicScout bot die zoekt vanaf verschillende IP’s met verschillende user agents (doet geheimzinnig om blokkeren te voorkomen). En een opsporingsambtenaar die zich weigert te identificeren willen we niet, dus wat te doen met deze digitale opsporingsambtenaar?

    [html5 storage] is wel een -legaal- alternatief voor het gebruik van cookies

    Ik denk dat alle techniek legaal is. Het gaat erom of je gebruikers tracked, danwel gegevens ongevraagd uitleest. Of je de volume-instellingen nu opslaat in HTML5 local storage, flash-cookies, een tekstbestand, ETags, URL’s, of cookies: het blijft gaan om de intentie, in dit geval voor functioneel gebruik.

  13. HTML local storage valt net zo goed onder de cookiewet als cookies. Je slaat iets op bij de eindgebruiker. Dus inderdaad, je moet ook dan kunnen aantonen dat het cookie functioneel is.

    Ook sessiecookies vallen onder de cookiewet, want die worden (zij het tijdelijk) opgeslagen. Inderdaad zullen die vaak functioneel zijn, maar dat hoeft niet elke keer zo te zijn.

  14. Sessie cookies zijn toch meestal functionele cookies, geen tracking cookies?

    Ja en nee. In principe leven ze alleen zolang een sessie duurt maar wanneer is een sessie uiteindelijk afgelopen? In ieder geval, je bezoekt site X en session cookie wordt geplaatst. En zolang je daarna blijft browsen blijkt dat cookie gewoon bestaan. Pas als de browser wordt afgeloten verdwijnt dat cookie ook.
    Maar waar het om gaat is de data die server-side aan dat cookie wordt verbonden. Dat kan gewoon technische data zijn maar uiteindelijk kan er ook tracking data mee worden verzameld. Laten we de “Like” button van Facebook eens als voorbeeld gebruiken. Op deze website kun je er eentje aanmaken en deze bestaat uit een beetje JavaScript en een link naar een ander stukje JavaScript code. En dat stukje staat op de Facebook site zelf zodat het laden van de button resulteert in een call richting Facebook. En als je tijdens de browse-sessie toevallig was ingelogd op Facebook of automatisch op Facebook inlogt dan geeft die button op site X dus meteen tracking data richting Facebook. En dan heb je de knop nog niet eens aangeklikt!
    Gezien de populariteit van de Facebook Like button kun je in principe op een groot deel van het Internet door hen gevolgd worden! En welke data Facebook precies verzamelt in combinatie met het sessie-cookie is niet van buiten Facebook vast te stellen. Daarvoor zuil je echt in de Facebook code en database moeten gaan zoeken.

    Maar goed, sluit de browser af en de session cookie is weer weg. Stel Facebook in als homepage en zodra je de browser opstart is deze weer terug. Of stel een andere website in als homepage waarbij deze een Like button bevat en poef! Nieuwe sessie die op dat moment nog anoniem is, totdat Facebook binnen de browse sessie ziet dat je inlogt…

    Betreffende een webspider/cookiemonitor die cookie informatie verzamelt, dat is inderdaad niet al te moeilijk. De OPTA heeft volgens mij toegang tot de Nederlandse DNS registers en kan dus eenvoudig bepalen welke websites in Nederland zijn geregistreerd. En ja, daar kunnen ook .com, .org en andere roots toe behoren. Het enige wat ze verder hoeven te doen is al die sites via hun spider langs te gaan, even enkele links verder volgen en verzamelen welke cookies er allemaal worden gezet. Deze vergelijk je weer met een database van bekende technische cookies en een database met bekende tracking cookies en dan kun je redelijk eenvoudig verdachte websites terugvinden.

    Ik weet alleen niet zeker of de OPTA beschikt over een lijst van alle in Nederland geregistreerde websites, maar als dat het geval is dan scheelt hen dat best veel werk. Dan heb je eigenlijk ook niet veel meer nodig dan een handige stagiaire die even die lijst inleest en van iedere site in de lijst even een GET request doet om te kijken of er cookie data wordt doorgegeven. Het verzamelen van die lijst URL’s lijkt mij zwaarder.
    Maar als dat hun techniek is, dan zijn Nederlandse websites die in het buitenland hun domein registreerden dus veilig voor de OPTA, want hier zijn ze dan onbekend. Zou dit de techniek zijn die de OPTA gaat hanteren? Is dat niet schadelijk voor de Nederlandse registars die zo hun klanten snel naar het buitenland zullen zien verdwijnen? We merken het wel zodra de cookiemonitor af is…

  15. HTML local storage valt net zo goed onder de cookiewet als cookies. Je slaat iets op bij de eindgebruiker. Dus inderdaad, je moet ook dan kunnen aantonen dat het cookie functioneel is.

    Klopt. Alleen is HTML storage opslag van binaire data en kan dit vrij groot worden. Een icoontje kun je dan prima in de storage opslaan en met Steganografie vervolgens data in verbergen. Alleen lastig dat je dan moet verklaren waarom je het plaatje steeds terugstuurt naar de server. :-)
    HTML storage zal dan ook voornamelijk een functioneel doel bieden. Maar zoals gezegd zijn er wel truken te bedenken om b.v. een speciale key te verbergen. Gewoon als een dummy bestand, bijvoorbeeld, waarbij het bestand zelf functionele data bevat maar de bestandsnaam een unieke code is. Je kunt immers binnen de storage de inhoud van een folder binnen de storage uitlezen. Dus ook de naam van dit bestand, dat dus een key kan blijken te zijn, terwijl het een random naam lijkt te zijn.

    Ja, je moet je als webbouwer ook met HTML storage aan de wetgeving houden. Hier zal dan ook zeker aandacht aan gegeven moeten worden bij de diverse opleidingen en eigenlijk zou iedere developer zich ook moeten verdiepen in de wetgeving op ICT gebied. Probleem is alleen dat malafide websites zich er weinig van aan zullen trekken. De OPTA is immers ook al heel lang aan het strijden tegen Spam, terwijl ook hier maar weinig succes wordt behaald.

  16. @Arnoud:

    Ook sessiecookies vallen onder de cookiewet, want die worden (zij het tijdelijk) opgeslagen.

    Er is geen enkele reden waarom een browser een sessiecookie zou opslaan anders dan in zijn werkgeheugen (RAM). Uit mijn hoofd weet ik dat MSIE en Firefox een sessiecookie ook niet op de harde schijf bewaren.

    Nou we het daar over hebben, hoe gaan we in deze gedachtenoefening om met swap- en cachebestanden?

    @Wim, 15: zo’n lijst NL websites is vrij eenvoudig zelf te spideren. Zeker als je al een spider gebouwd hebt voor die cookiecheck, is het vrij weinig extra werk om ook even alle URL’s van die pagina op te halen en een feedbackloopje in je URL database te bouwen. Dan hoef je het ding alleen maar http://www.startpagina.nl/ (of vergelijkbaar) te voeren en vervolgens koffie te halen.

  17. Er is geen enkele reden waarom een browser een sessiecookie zou opslaan anders dan in zijn werkgeheugen (RAM).

    Klopt. Maar nu praat je Technisch en niet Juridisch. Dat zijn twee verschillende soorten “talen”. Hoewel je technisch gelijk hebt, zit je er juridisch eigenlijk naast, omdat browsers deze cookies in een cache opslaan. Dat dit toevallig RAM is, is weer een technisch detail, waar de wet gewoon niet naar kijkt.

    zo’n lijst NL websites is vrij eenvoudig zelf te spideren.

    Jawel, maar is wel meer werk voor een spider. Je wilt namelijk bepalen of het bedrijf in Nederland is gevestigd, zich op Nederland richt en/of de domeinnaam binnen Nederland heeft geregistreerd. Want de OPTA krijgt gewoon een dikke middelvinger indien ze b.v. NBC.com een boete willen geven omdat ze hun Amerikaanse bezoekers volgen. En omdat het een tool is die door een student als afstudeer-opdracht wordt gemaakt vermoed ik dat deze tool niet al te complex hoeft te zijn. En als je een lijst van in Nederland geregistreerde domeinnamen hebt, dan heb je al een groot deel van de Nederlandse bedrijven te pakken die gecontroleerd kunnen worden.

  18. Hoewel je technisch gelijk hebt, zit je er juridisch eigenlijk naast, omdat browsers deze cookies in een cache opslaan. Dat dit toevallig RAM is, is weer een technisch detail, waar de wet gewoon niet naar kijkt.

    In mijn beleving heeft opslaan toch een meer permanent karakter. Evengoed is die cache een technisch detail. Volgens die redenatie slaat een webserver ook de HTML-pagina op op de PC van de eindgebruiker. Inclusief jouw ‘hidden field’ cookie-like-ID uit post #9.

    Jawel, maar is wel meer werk voor een spider. (…) Je wilt namelijk bepalen of het bedrijf in Nederland is gevestigd, zich op Nederland richt en/of de domeinnaam binnen Nederland heeft geregistreerd.

    Zelfs een stagiair bedenkt binnen 10 minuten een reguliere expressie die alleen URL’s van .nl domeinen eruit pikt… En wil je breder dan dat kijken of een site zich op Nederland richt, dan komt diezelfde stagiair nog in zijn lunchpauze met N-Grams op de proppen.

  19. @18

    Ik denk dat je redelijk aan mag nemen dat iedere site met een .nl domein zich op Nederland richt. Waarom zou (bijv) een Amerikaans bedrijf dat zich op Amerikanen richt daarvoor een .nl domein gebruiken. Ik denk niet dat dat juridisch houdbaar is. Ik denk dat vrijwel iedere rechter er vanuit zal gaan dat alle .nl sites zich (misschien o.a.) op een Nederlands publiek richten.

    Het testen of een niet .nl site zich op Nederlands publiek richt is ingewikkelder. Want ik betwijfel dat language detection alleen genoeg is. Ik weet het niet zeker, maar is het voor deze wet niet al genoeg als (bijvoorbeeld een webwinkel) producten naar Nederland verstuurd?

  20. Zoals Arnoud al zei, het wordt geen flitspaal en hoeft dus niet 100% te detecteren. Als je in eerste instantie alleen de .nl domeinen neemt en daar de wetgeving op gaat handhaven dan is dat, m.i., al voldoende om
    1. elke serieuze site zich aan de wet te laten houden
    2. de wetgeving aan te laten passen omdat deze niet klopt

    De grootste moeilijkheid zit niet in het zoeken naar de websites maar in het uitvoeren van de (java)script/flash op een site inclusief alle iframes en daarbij nog een redelijke performance houdt.

  21. In mijn beleving heeft opslaan toch een meer permanent karakter. Evengoed is die cache een technisch detail. Volgens die redenatie slaat een webserver ook de HTML-pagina op op de PC van de eindgebruiker. Inclusief jouw ‘hidden field’ cookie-like-ID uit post #9.

    Yep. Maar zoals gezegd heeft de wet weinig aandacht voor technische details. Daarom worden er soms wetten aangenomen die technisch gezien erg veel werk kosten om te implementeren terwijl ze nauwelijks effect zullen hebben. Deze cookie-wetgeving is er een duidelijk voorbeeld van, net zoals de pogingen om TPB te blokkeren via de providers en andere vormen van Internet-censuur.

    Als je in eerste instantie alleen de .nl domeinen neemt en daar de wetgeving op gaat handhaven dan is dat, m.i., al voldoende

    Niet helemaal, omdat sites een .nl domein kunnen registreren maar zich in principe niet op de Europese markt richten. Een bedrijf dat Nederlandse tulpen in Japan wil verkopen kan met een .nl domein zich mooi als Nederlands bedrijf profileren terwijl de complete site in Japans is geschreven en men in Yen moet afrekenen. Hoewel dit een extreme zeldzaamheid is, is het wel iets om rekening mee te houden dat er bedrijven kunnen zijn die een NL domein gebruiken om buiten Europa de Nederlandse kwaliteit uit te stralen.
    En andersom komt vaker voor: bedrijven met .com, .biz, .org, .xxx en .enzovoorts kunnen zich expliciet richten op de Nederlandse markt en de Nederlandse bezoeker. Dit blog is er een mooi voorbeeld van want ondanks dat het iusmentis.com heet, valt het eigenlijk wel onder de Nederlandse cookie-wetgeving. Gelukkig zijn technische cookies wel toegestaan. Maar de wetgeving is niet gelimiteerd tot Nederlandse domeinnamen.

  22. @Wim, zoals gezegd, het is geen flitspaal waarbij er automatisch een boete verstuurd wordt. Je hoeft dus niet 100% van de sites te controleren en je hoeft je ook niet druk te maken om false positives/negatives. Als je 90% van de markt (sites die zich exclusief richten op NL) kan scannen met een betrouwbaarheid van 95% dan ben je al een heel eind. En dit zijn niet eens hele ambitieuze percentages.

    Denk je echt dat Arnoud de gok neemt dat ie niet gescanned wordt als er al tientallen boetes (zonder waarschuwing!) van (tien)duizenden euros gegeven zijn. Deze scan zal een eerste aanzet geven tot het onderzoeken van sites en zo een afschrikwekkend effect hebben (of dat de politiek tot de conclusie komt dat er iets veranderd moet worden).

    Een volledige 100% scan van alle sites zonder false positives/negatives is onmogelijk maar dit is wel een hele goede eerste stap.

  23. @N.P. Ik denk dat de tool vooral bedoeld is om een voorselectie te maken van mogelijke “verdachte” websites. Eenmalig alle sites langs gaan en zo data verzamelen en diegenen die positief uit de test komen daarna verder blijven monitoren.

    Nee, het is geen flitspaal. Dat weet ik ook wel. Het is gewoon een filter om de risico-sites eruit te filteren die daarna beter in de gaten gehouden zullen worden. Ik heb weinig vertrouwen in de ICT-afdeling van de OPTA en het feit dat ze een stagiaire willen aannemen om een forensische tool in elkaar te zetten vind ik al helemaal opvallend. Betekent gewoon dat ze een goedkope oplossing zoeken die niet 100% betrouwbaar hoeft te zijn maar die hun onderzoekers/opsporings-ambtenaren wel aanwijzingen geeft waar ze moeten zoeken naar overtredingen.

  24. @Wim Het is precies mijn punt dat het een voorselectie is en dus niet perfect hoeft te zijn. Dat iusmentis.com er dus tussenuit glipt is geen enkel probleem in dat geval omdat je geen 100% score hoeft te hebben.

    Dit is dan dus ook prima te maken door een stagiaire. Ik heb net in 1,5 uur een tool gebouwd die bij een url kijkt welke cookies er geplaatst worden (incl js) en hoeveel daarvan 3rd party cookies zijn. Nu nog een kleine database met foute cookie domains (wellicht zelf lerend) en een db met foute cookie namen (__umta, etc) en je bent er. Elke site kan dan een score krijgen op basis van aantal 3rd party cookies, verdachte domeinen/namen, etc.

    In een stage van 3 maanden heb je een prachtige tool!

  25. @N.P. Een tooltje maken dat de cookies scant is niet moeilijk en kan inderdaad door een stagiaire gemaakt worden. De vraag is alleen hoe deze tool uiteindelijk zal werken. Zullen ze een vaste lijst aan URL’s hanteren, bijvoorbeeld een lijst van in Nederland geregistreerde domeinnamen? Of zullen ze een webcrawler maken die per domein ook even de DNS gegevens ophaalt om te zien of het een Nederlands bedrijf betreft? Hoe ver gaan ze sites onderzoeken? Blijft het bij de homepage en eventuele andere portals (zoals RSS feeds) waardoor men een site kan binnenkomen of gaat men pagina na pagina analyseren om te kijken of iedere pagina wel vraagt of cookies gezet mogen worden? En welk type cookies willen ze precies onderzoeken?

    Uiteindelijk gissen we maar naar wat deze cookiemonitor gaat uitvoeren. Maar gebaseerd op het feit dat een stagiaire het mag gaan bouwen denk ik dat het niet al te ingewikkeld zal zijn. Lijst van URL’s gaat erin, per URL even kijken of er cookies worden gezet en zo ja, wat voor cookies zijn het dan? En de resultaten in een database pompen en een score toekennen aan iedere URL waarmee bepaald kan worden welke URL’s het meest waarschijnlijk deze wet overtreden.
    Zal het een webcrawler zijn? Dat denk ik niet omdat je dan al snel op sites terecht kunt komen die helemaal niets met Nederland te maken hebt. Het systeem kan dan urenlang verzand raken op china.org.cn en de duizenden links die deze site heeft. Je zult daarnaast rekening moeten houden met fouten in de HTML code van websites zoals b.v. het ontbreken van de quotes in de href tag van een hyperlink, wat de meeste browsers gewoon lijken te begrijpen.
    Het kan best zijn dat ze een gedeeltelijke webcrawler willen hebben maar dan wel eentje die binnen het domein blijft. Maar misschien willen ze ook de DNS data van domeinen kunnen uitlezen in combinatie met locatie-data van IP adressen om te bepalen in welk land een bepaalde server staat.

    Daarnaast is het een stage-plek dus de betreffende programmeur zal nog duidelijk het een en ander moeten leren. De vacature vermeldt geen duidelijke programmeertaal maar noemt wel C, Perl, Javascript en SQLite dus ik ben echt benieuwd naar wat die tool moet doen en in welke ontwikkel-omgeving deze wordt geschreven. Erg modern klinkt het ook weer niet. Klinkt echt als een low-budget oplossing… SQLite als database werkt goed samen met C/C++ en er zijn Perl libraries voor gemaakt dus het zou mij niets verbazen als dit de uiteindelijke ontwikkel-omgeving gaat worden voor de stagiaire. Niet echt een al te makkelijke leer-omgeving om mee te beginnen.
    Dus even denken. Via pcap een URL opvragen om deze met C++/Perl uit te lezen en te bepalen welke cookies worden gezet om deze in SQLite op te slaan. Eventueel de lijst URL’s uitbreiden met URL’s binnen hetzelfde domein die hierbij in de web pagina worden gevonden (webcrawling) om deze later uit te lezen. Dat is wat ik vermoed dat het tooltje zal moeten doen. Tooltje vullen met een lijst van domeinnamen binnen Nederland en dan maar wachten…
    Het geheel draait dan mogelijk op een virtuele Linux machine, mogelijk zelfs in een console-based Linux omgeving. Zou het complexer zijn dan dit? Zou een stagiaire waarvan weinig programmeer-ervaring wordt verwacht dit ook complexer kunnen maken? Ik ben benieuwd…

  26. Ik denk dat de soep niet zo heet gegeten word, ik denk dat de opta echt niet gaat lopen mierenneuken als er toevallig wel een kleine cookie word gezet voor de melding van acceptatie. Ik denk dat met name sites zoals de telegraaf aangepakt worden die helemaal niet om toestemming vragen, nu is dat ook niet zo vreemd, telegraaf verdient natuurlijk miljoenen aan referal systemen en vage bannerboeren die willen tracken. Arnoud, weet jij eigenlijk wat de maximale boete is die opgelegt kan worden?

  27. Dat maskeren is juridisch niet verstandig want een functioneel cookie is alléén uitgezonderd als het uitsluitend functioneel is. Een duaal cookie (tracking én winkelwagentje) vereist toestemming.

    Natuurlijk kun je stiekem zijn en serverside van alles doen met een onschuldig uitziend cookie. Je zou bv. bij ingelogde gebruikers elke pageview kunnen loggen in combinatie met gebruikersnaam. En die naam krijg je via cookie of HTTP authenticatie. De gebruiker kan dat niet zien, zeker niet als je met HTTP authenticatie werkt. Net zoals hij niet kan zien dat het winkelWagenState cookie stiekem ook alle pageviews logt en analytics-details oplevert. Maar het mág niet.

  28. Het probleem is ook hoe je het gebruikt, wij baseren nieuwe functionaliteit veelal op basis van google analytics informatie, je zou dus kunnen stellen dat het goed meten en daarmee verbeteren van de website essentiële functionaliteit is, wat dus ook enorm in voordeel van de gebruiker is. Daarnaast gaat analytics helemaal niet in op persoonlijke details, daar is het niet voor bedoeld, en ook niet interessant, het gaat immers om trends, en liefst met zo groot mogelijke getallen.

  29. @Sjors, Ik en de cookiewet hebben er geen probleem mee als je je bezoekers anoniem volgt; het is wel zo netjes als je je bezoekers uitlegt welke gegevens je opslaat en hoe je ze gebruikt. Heb je trouwens Analytics zo ingesteld dat de gegevens direct geanonimiseerd worden?

  30. Ondertussen weer een paar maanden verder. Alles sites gooien tegenwoordig wel een of andere dialog of balkje op de site. Maar ik ben nog nergens de mogelijkheid tegengekomen om te zeggen: “nee, ik wil geen cookies, maar ik wil wel op de site”. Het hele gebeuren is een grote oefening in “Lees vooral niet wat er staat en klik gewoon op ja” zoals we dat ook zo graag met veiligheidswaarschuwingen doen.

    Kan iemand mij op een site wijzen die wel aan de cookiewetgeving voldoet (en verwante wetgeving mbt tracking, want dit was maar onderdeel van)?

  31. Okee. Maar dan is het nettoresultaat van de wet dat men gewoon overal op Ja of Ok klikt, behalve een handjevol die-hard privacynerds. Maar ik heb het gevoel dat men wel graag wil dat ze niet getrackt worden.

    Ik las op slashdot dat adverteerders ook niet van plan zijn DNT te honoreren (of in ieder geval heel creatief gaat interpreteren): http://yro.slashdot.org/story/12/09/23/1334258/advertisers-never-intended-to-honor-dnt

    Volgens mij is er grote behoefte aan een internet waar niet constant door allerhande partijen over je schouder meegekeken wordt. Ik hoopte dat de cookiewet dit zou gaan faciliteren doordat je kon zeggen “nee, ik wil geen cookies” en sites dan vervolgens wel hun dienst boden, maar zonder je volledig te tracken.

    Helaas.

  32. @33
    Op rechtspraak.nl kreeg ik een venster waar ik ook kon aangeven ‘Nee, ik geef geen toestemming’. Maar inderdaad geeft het gros van de sites die mogelijkheid niet. Ik had ongeveer hetzelfde gehoopt, maar het was ook wel ergens te verwachten dat dat niet zou worden waargemaakt.

  33. Klopt, dat is een grote frustratie van me. Men wil eigenlijk zeggen “tracking is slecht en moet verboden worden”. En dan komt er vanuit de marketinglobby het redelijk klinkende “ja maar wát nou als iemand zelf graag getrackt wil worden”. En/of het algemene idee dat men met een expliciete toestemming na zorgvuldig wikken en wegen toch eigenlijk als volwassen mens niet tegengehouden kan worden. Dus laten we maar toestemming als uitzondering in de wet zetten.

    Dat dit niet werkt, moge duidelijk zijn. Mensen zijn in dit soort zaken domme schapen, grotendeels omdat het al twintig jaar zo werkt en je er tóch niets aan kunt doen.

    • @Richard, in ieder geval niet met deze implementatie. Deze website zet meteen cookies, ongeacht of je verder ergens op klikt. Dat mag dus sowieso niet. Verder lijkt het qua idee wel op de verwijderde implementatie van Consuwijzer, alhoewel die echt pas cookies ging zetten als je verder ging. Deze implementatie is echter verwijderd omdat het vermoeden bestond dat dit niet zou mogen (en aangezien de website van de OPTA is, is dat een redelijke indicatie van hoe ze daar over denken)

  34. @Arnoud Ik heb nog niet expliciet iets gezien over het gebruik van zogenaamde meetpixels. Vaak een 1×1 px afbeelding, die allerlei extra informatie bevat in de aanroep (de pixel wordt net zo bewust geplaatst als de tracking code van bv. Google Analytics). Doordat de pixel server-side wordt gemaakt is meteen dus ook alle informatie op de server beschikbaar. Alle informatie die (php) uit de $_SERVER variabele gehaald kan worden.

    Als ik de diverse beschrijvingen goed lees, dan is iedere manier van tracking zonder toestemming niet toegestaan, dus ook meetpixels niet.

    Zou u dat kunnen bevestigen?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS