Tag: Cookiewet

About Cookiewet

Subscribe Feeds

Mag je onder de cookiewet bloatware vooraf installeren?

Geplaatst op in Privacy, 2 reacties

Een lezer vroeg me:

De cookiewet bepaalt dat cookies niet mogen worden geplaatst zonder expliciete toestemming van de gebruiker. Het juridische begrip cookies is veel ruimer dan het technische begrip cookies, ook scripts en programma’s vallen eronder. Wat betekent dit voor bloatware? Dat is ongewenste software die al op de computer staat bij aankoop. Waarom is dat geen ‘plaatsen van software’?

De cookiewet (artikel 11.7 Telecommunicatiewet) is inderdaad veel breder dan alleen cookies. Deze wet bepaalt dat er geen informatie mag worden gelezen of geplaatst op iemands randapparatuur (computer, telefoon, tablet) via een telecommunicatienetwerk zonder toestemming. Ongeacht of het met privacy te maken heeft. Dus ook een stiekeme update aan je software is niet toegestaan.

Dit wetsartikel kent ook het geval waarin “op een andere wijze dan door middel van een elektronisch communicatienetwerk” informatie wordt gelezen of geschreven. Ook dat is niet toegestaan. De memorie van toelichting noemt als voorbeelden usb-sticks, cd-roms of externe harde schijven. Maar wat ik mis, is de situatie “het stond al op het randapparaat toen dat op de markt kwam”. Ik denk dat er gewoon niet nagedacht is over deze situatie.

Afhankelijk van wat die bloatware/software precies doet op je computer, zou je misschien kunnen spreken van verboden uitlezen of versturen van informatie vanaf de randapparatuur. Denk aan software die rapporteert dat ie is geactiveerd, of zelfs gegevens van de computer uitleest en doorstuurt. Maar als die software bij het eerste gebruik een en ander meldt en toestemming vraagt, dan is er verder weinig aan te doen vanuit dit perspectief.

Misschien dat je kunt zeggen, de aanwezigheid van zulke software moet worden gemeld omdat het essentiële informatie is over het product. Wordt het niet gemeld, dan is het product nonconform en kun je je geld terugkrijgen bij de winkel. Dat is misschien nog een effectievere oplossing ook.

Arnoud

Mag het mijnen van cryptomunten online advertenties vervangen?

Geplaatst op in Informatiemaatschappij, 43 reacties

Intrigerende ontwikkeling las ik bij Dutch Cowboys: het plaatsen van een crypto-munt mijner op een website die de processor van jouw computer gebruikt om die digitale valuta te genereren. Dit ter vervanging van de klassieke advertentie, waar immers geen cent meer mee verdiend wordt omdat iedereen adblockers heeft. Het idee is niet helemaal nieuw maar werd nu vooral stiekem toegepast. Zou je het ook legaal en open kunnen doen, zeg maar een mijnmuur “Geef toestemming voor cryptomuntmining of de site wordt ontoegankelijk”?

Cryptomunten zoals bitcoin werken zonder centrale autoriteit. In plaats daarvan worden transacties gedecentraliseerd gecontroleerd, en daarvoor zijn complexe berekeningen nodig. Om mensen te stimuleren daaraan mee te werken, word je beloond wanneer je computercapaciteit daarvoor beschikbaar stelt: na voldoende te hebben gerekend, krijg je een gratis nieuwe munt. Dit proces wordt ook wel mining oftewel mijnen of delven genoemd.

Het is technisch mogelijk (maar niet superefficiënt) om software voor dergelijk mining in Javascript uit te voeren, dat dan via een website kan worden verspreid zonder dat mensen apart software moeten downloaden en installeren. Dat biedt dus mogelijkheden om dit bij bezoekers van je site te doen, en daar komt dus het idee vandaan uit de openingsalinea: je moet deze software laten draaien (en mij de gedolven munten geven) anders mag je niet op mijn site.

Mag dat? In principe ja. Het is jouw site, en als jij rare eisen wilt stellen aan de toegang dan is dat jouw beslissing. Omdat het gaat om het installeren van software, is hierop de cookiewet van toepassing. Die eist dat er toestemming wordt gegeven voordat dit programma mag worden losgelaten. Er wordt immers informatie (een script) opgeslagen op de harde schijf van de gebruiker, al is het maar de browsercache.

Uitzondering op die toestemmingsplicht is wanneer de informatie functioneel relevant is, oftewel nodig voor het goed werken van de site. Daarmee zijn normaal Javascripts te rechtvaardigen, maar specifiek hier zie ik dat niet: dit script is niet strikt nodig om de site goed te kunnen laten werken. Zonder toestemming zie ik dit dus niet werken.

Een cookiewall dus – een cryptomuntminingwall. Kan, maar dan kom ik bij een ander issue. Een advertentie is irritant maar mijn computer krijgt er in principe geen last van (malware-injecties daargelaten). Maar het delven van cryptomunten kan een zware belasting voor je computer zijn, en dat zou in ieder geval in theorie tot storingen of zelfs hardwareschade kunnen leiden. Hoewel ik me moeilijk kan voorstellen dat dat ook zou spelen bij een Javascript-gebaseerde delver, maar daar weten jullie denk ik meer van dan ik.

Arnoud

Is een tracker in je e-mail legaal?

Geplaatst op in Privacy, 57 reacties

Een lezer vroeg me:

Ik krijg de afgelopen tijd veel emails met een zogenaamde email tracker. Dit houdt in dat de verstuurder precies kan zien door wie en wanneer zijn email wordt geopend. Dit is een redelijk beangstigend gevoel omdat ik niet weet wat er allemaal wordt bijgehouden door de verzender. Mag dat zomaar?

Email trackers zijn op zich niet nieuw, maar ze stijgen snel in de belangstelling. En nee, ze zijn niet legaal.

Het basisidee van e-mailtracking is dat je iets opneemt in het mailbericht dat je op afstand kunt uitlezen. Een bekend voorbeeld is een doorzichtige pixel opnemen die op een externe website staat. Als die pixel wordt opgehaald, dan moet dat wel zijn omdat de ontvanger het mailbericht ging lezen en zijn mailprogramma die afbeelding meende nodig te hebben.

Steeds meer maildiensten werken met HTML, en je kunt dan zo ongeveer een complete webpagina met alles erop en eraan opnemen. Inclusief tracking scripts, cookies of wat je maar wil. Zo kun je dan bijvoorbeeld uitlezen wat voor mailprogramma iemand gebruikt, hoe lang hij de mail leest, of hij op links klikt en ga zo maar door.

Dit is dus waar de cookiewet tegen bedoeld is. E-mailtrackers vallen onder het wettelijke begrip “gegevens opslaan of uitlezen” van andermans computer of telefoon. Of je dat nu doet vanuit een website of via een mail doet er niet toe. Zodra je gegevens wilt opslaan of juist wilt ophalen van iemands computer, zegt de cookiewet dat er toestemming voor nodig is.

Op een website is dat simpel, althans in theorie: een popupscherm of kadertje waarin wordt uitgelegd wat cookies zijn, en een knop om wel/geen toestemming. In de mail is dat veel lastiger, want volgens mij kunnen mailprogramma’s niet zomaar die dingen laten zien. Dit nog afgezien van dat daar de cookies en tracking scripts al worden gezet voordat je op ‘ja’ zou kunnen klikken, wat sowieso niet mag van de cookiewet. Dus nee, die dingen zijn niet legaal.

Arnoud

‘Cookiewet is duur en beschermt onvoldoende’

Geplaatst op in Informatiemaatschappij, 31 reacties

cookie-bril.jpgDe cookiebepaling die bepaalt dat websites om toestemming moeten vragen voor het gebruik van zogenoemde ’tracking cookies’, is duur en zorgt voor een hoop ergernis. Dat las ik bij Nu.nl. De basis is een onderzoek van Actal, het Adviescollege toetsing regeldruk. Niet alleen zouden bedrijven 74 miljoen euro kwijt zijn voor cookietoestemmingspopups, ook zijn consumenten 27 miljoen euro aan verloren tijd kwijt om dat allemaal weer weg te klikken. Eh, ja.

Ik blog al sinds de invoering over de cookiewet, en ben er eigenlijk nooit positief over volgens mij. Nou ja, behalve als hij kan worden gebruikt om andere dingen dan cookies (zoals Windows 10-preloads) tegen te houden.

Het probleem is fundamenteel. Kijk, dat je zegt, er wordt te makkelijk over de mensen hun privacy heengelopen en dat je daar wat aan wilt doen: prima. Dat je niet meteen het hele onlinemarketinggebeuren wilt verbieden, dat snap ik dan ook. Maar er is toch wel íets slimmers te bedenken dan een lap tekst opgesteld door een goedbedoelende jurist in combinatie met een verplichte okéknop?

Die browserinstellingen die Actal noemt, dat zou een betere oplossing zijn geweest ja. Maar goed, dan moet wel elke browser die instellingen ondersteunen natuurlijk, en dat is nog steeds niet (2016!) het geval.

Ergens bekruipt me ook steeds het gevoel dat we met deze implementatie van de cookiewet zitten omdat de webbouwers die de wet lazen, dachten dit is zó stom, dat zal ik ze laten voelen ook. In plaats van het als technische uitdaging te zien van hoe je kunt tracken binnen de geest van de wet op een manier dat mensen er geen last van hebben. Maar goed, dat is cynische donderdagochtendpraat.

Gaan we dit nu veranderen? Nee, natuurlijk niet. Nederland kan hier niets aan veranderen, de cookiewet is Europees en kan dus alleen door Europa worden veranderd. En die gaan dat de komende jaren niet doen; we hebben net een nieuwe algemene Privacyverordening die iets belangrijker is. Ja, dat is storend en jammer maar ik zie het echt niet gebeuren. Maar wat dan wel, dat weet ik ook niet.

Arnoud

Mag iTunes je muziekbestanden wissen?

Geplaatst op in Informatiemaatschappij, 18 reacties

itunes-appleApple stal mijn muziek, blogde creatief ontwerper James Pinkum vorige week. Pinkum was 122 gigabyte aan muziek kwijtgeraakt van zijn harddisk, en wist dat te traceren tot een actie van Apple’s iTunes-software. Deze had de harddisk gescand en alle bestanden die iTunes ook had, vervangen door een linkje naar de online muziekbibliotheek. Met een liberale definitie van ‘hebben’, want unieke versies van muziek bij Pinkum werden vervangen door de gewone massa-release, bijvoorbeeld. “The software is functioning as intended,” zegt Apple dan. Wat krijgen we nou?

Zoals Pinkum het samenvat:

(…) through the Apple Music subscription, which I had, Apple now deletes files from its users’ computers. When I signed up for Apple Music, iTunes evaluated my massive collection of Mp3s and WAV files, scanned Apple’s database for what it considered matches, then removed the original files from my internal hard drive. REMOVED them. Deleted. If Apple Music saw a file it didn’t recognize—which came up often, since I’m a freelance composer and have many music files that I created myself—it would then download it to Apple’s database, delete it from my hard drive, and serve it back to me when I wanted to listen, just like it would with my other music files it had deleted.

Ongetwijfeld dacht Apple dat dat handig is. Als muziek al in de cloud staat, waarom zou je daar nog domme lokale harde schijven mee lastig vallen? Vervang het lekker door een linkje en je kunt er overal bij. Oké, jammer van die unieke prereleaseversie die we nu vervangen hebben door de massa-editie, maar dat is een implementatiedetail. Of, het programmeurexcuus: dan moet je die prerelease niet de metadata geven van de gewone versie. Functioning as intended, pebkac.

Pinkum dook ook maar meteen in de voorwaarden. Letterlijk iets over dit wissen kon hij niet vinden (en ik ook niet), maar het staat er wel half:

iCloud Music Library is turned on automatically when you set up your Apple Music Subscription…When your Apple Music Subscription term ends, you will lose access to any songs stored in your iCloud Music Library.

Gaan we even kijken wat dat iCloud Music Library dan precies is:

Dankzij iTunes Match kun je al je muziek in iCloud bewaren, zelfs muziek die je van cd’s hebt geïmporteerd. Je hebt dan op al je apparaten toegang tot je muziek en kunt je hele bibliotheek beluisteren, waar je ook bent. Abonneren op iTunes Match doe je op je Mac, pc of iOS-apparaat.

Verder een hele mooie pagina met vlotte teksten, hippe plaatjes en een blij gevoel, alleen ik mis één detail: dat bestanden worden gewist nadat ze zijn “toegevoegd” aan de iCloud.

Maar is dat wel zo, wórden die bestanden per direct gewist na de import? Diverse bronnen zeggen van niet. Zo laat deze Twitteraar zien dat het best eens ‘gewoon’ een pebkac kan zijn: dialogbox niet goed gelezen, het verschil tussen “Delete download” en “Delete song” is immers reuze evident dus wat ben je voor n00b dan. iMore legt uit:

If you choose “Remove Download,” it will send the local file from your hard drive to your Trash, but leave the reference in your library — so that you can stream that track directly from iCloud Music Library. It won’t delete the file until you empty your Trash.

Dus inderdaad, het is een feature en iets waar je zelf voor koos. Dat je niet goed onderzoekt wat er gebeurt als je op een knopje drukt, tsja, dat ligt dan toch echt aan jou.

Juridisch gezien wordt het nu moeilijk. Iets zomaar wissen mag niet, dat moge duidelijk zijn. Je moet toestemming vragen en natuurlijk moet je dan uitleggen wat er gaat gebeuren. Daarbij moet je het te verwachten kennisniveau van de gebruiker in gedachten houden, maar veel verder dan dat komt het juridisch kader niet. De vraag wordt dan dus: is het duidelijk wat Apple hier geprogrammeerd heeft, moet je met die uitlegtekst en die dialog snappen dat je dan alleen een link naar de iCloud-versie van je muziek overhoudt?

Arnoud

Mag T-Mobile je telefoon updaten met hun eigen apps?

Geplaatst op in Informatiemaatschappij, 16 reacties

android-screen-lock-wachtwoord-passwordT-Mobile werkt samen met diverse fabrikanten om op basis van de simkaart die mensen gebruiken updates te verspreiden voor smartphones, las ik bij Tweakers. In die updates zitten onder meer apps van T-Mobile, ringtones van de provider en netwerkoptimalisaties. Kijk, en dít is dus waar de cookiewet tegen bedoeld is.

De update wordt getriggerd wanneer het toestel bepaalde informatie op de simkaart aantreft die erop wijzen dat deze persoon klant is bij T-Mobile. Het toestel zegt dan dat er een “Tmobile Customization” update klaar staat. Dit installeren

Formeel lijkt het in orde: ze vrágen het, en pas nadat je ja klikt, wordt het uitgevoerd. Dat ze het na elke reboot van de telefoon opnieuw vragen, tsja, vragen staat vrij toch? Het gaat me wat ver om te zeggen dat de toestemming afgedwongen wordt omdat je elke keer nee moet zeggen.

Iets belangrijker lijkt me hier een ander deel van de cookiewet (dat nóg vaker genegeerd wordt), namelijk de informatieplicht. Je moet mensen in detail uitleggen wat je gaat doen, zodat ze in staat zijn een afgewogen beslissing te maken over wat er gaat gebeuren. “Tmobile customization” voelt wel erg mager als uitleg wat er komt:

De T-Mobile Customization vervangt onder andere je opstart/afsluitanimatie naar die van T-Mobile en stelt de standaard T-Mobile ringtone en notification geluidjes in. Verder installeert het “App Enabler” zoals al genoemd, waarmee je o.a. reclame-notificaties krijgt van T-Mobile. Voor zover ik weet heeft dit niks met de MMS-instellingen te maken, maar dit heb ik niet getest (ik gebruik sowieso nooit MMS).

Als het inderdaad zo werkt, dan is de gegeven toestemming niet rechtsgeldig omdat dit niet expliciet (genoeg) wordt toegelicht.

Iemand hier ervaring mee? Hoe los je dit op zonder je telefoon te rooten?

Arnoud

Detectie van adblockers volgens Europese Commissie illegaal

Geplaatst op in Privacy, 64 reacties

Volgens Europese wetgeving is het illegaal dat websites zonder toestemming scripts draaien op apparaten van gebruikers om te achterhalen of bezoekers gebruik maken van adblockers, las ik bij Tweakers. De Europese Commissie had dat gesteld in een brief aan privacyactivist Alexander Hanff. Je mag immers geen informatie opslaan op mensen hun computers zonder toestemming, en een adblockdetectiescript is ‘informatie’ en mag er dus niet zijn. Hmm.

We noemen het altijd de cookiewet, maar de wet is breder: ieder opslaan en uitlezen van informatie van randapparatuur van eindgebruikers is alleen toegestaan met hun toestemming, nadat je ze uitgebreid hebt geïnformeerd over wat je gaat doen en waarom. Vandaar dus de cookiepopups, maar ook bij het installeren of updaten van software moet er een toestemmingsvraag komen met uitleg wat er allemaal gaat gebeuren.

De EC neemt nu het standpunt in dat ook een script op een webpagina hieronder valt. Ergens logisch, want ook dat is informatie en die wordt (in de browsercache) op de randapparatuur van bezoekers van die webpagina opgeslagen. Maar als je díe harde lijn neemt, dan moet elke webpagina voor elke pixel toestemming vragen, en dat kan toch niet waar zijn?

Nou ja, niet helemaal want de wet kent een uitzondering. Als het noodzakelijk is voor een goede levering van de dienst, dan mag zonder uitleg en zonder toestemming die informatie worden gezet. De CSS-stylesheets in een gevraagde webpagina behoeven dus geen toestemming, die zijn gewoon nodig om die pagina in de gewenste vorm te leveren. Bij gewone afbeeldingen zie ik dat ook nog wel, maar je kunt vraagtekens stellen bij de advertenties in een webpagina. Zijn die technisch gezien ‘nodig’ net zoals de CSS bestanden nodig zijn?

Bij invoering van de cookiewet was altijd het argument, advertenties zijn nodig anders is de dienst niet meer te financieren. Maar dat telt niet onder de wet, het gaat om functioneel/technisch nodig en niet op de lange termijn eigenlijk best wel belangrijk. Dus eigenlijk is het al discutabel of je zonder toestemming überhaupt advertentiebanners in een webpagina mag stoppen. We doen maar alsof dat mag, anders worden we écht gek van de toestemmingspopups, maar als de discussie daar zit dan zal een adblockerscript al helemaal een probleem zijn om te rechtvaardigen als technisch noodzakelijk.

Een escape zou nog kunnen zijn dat een adblockdetectie ook op de server kan misschien. Je kijkt dan simpelweg of de advertentiebanner wordt opgevraagd. Maar dat is natuurlijk simpel te omzeilen; als adblocker haal je dan de afbeeldingen op en die gooi je vervolgens weg.

Wel hebben we in Nederland natuurlijk nog een uitzondering op de cookiewet: informatie die “geen of slechts geringe” inbreuk op de privacy maakt en bedoeld is om de effectiviteit van een dienst te meten, mag zonder toestemming worden opgeslagen. Je zou volgens mij een adblockerscript daar prima onder kunnen rekenen. Dus dan mag in Nederland een adblockdetectiescript wél. (En inderdaad, die uitzondering is tegen de Europese regels.)

Update (2 juni) in antwoord op Kamervragen meldt minister Kamp (DGETM-TM / 16075483) dat de ACM de uitzondering ook van toepassing acht, omdat het slechts gaat om detectie van een blokkade en er geen privacygegevens worden uitgelezen.

Arnoud

De cookiewet is dus gemaakt om stiekeme Windows 10-preloads tegen te gaan

Geplaatst op in Intellectuele rechten, Privacy, 27 reacties

windows-10-update-downloadMicrosoft schendt de Europese cookiewet met het automatisch en stilletjes downloaden van Windows 10-installatiebestanden op Windows 7 en 8.1. Dat schreef PCM gisteren op gezag van ondergetekende. Wie Windows 7 of 8 heeft, kan nu zomaar extragratis en stiekem een installatiebestand van 5 gigabyte op zijn harddisk hebben om naar Windows 10 te upgraden (kijk gerust even, ik wacht wel). En nee, dat mag niet van de cookiewet.

De cookiewet heeft een slechte naam omdat je op elke website apart weer toestemming moet geven voor vage cookies en andere dingen, en als je dat niet bevalt dan ga je maar een krant lezen of zo. Maar het idee was leuk: iedereen moet zélf kunnen bepalen wat er wordt gedownload naar of uitgelezen van zijn computer of telefoon. Daarom moet iemand die dat wil doen, uitleggen wat hij van plan is en daarna toestemming vragen.

Het gaat bij die wet niet alleen om cookies of andere dingen die enge privacydingen doen. Data is data. Ook ongevraagde toolbars en dergelijke vallen er gewoon onder, en ook updates aan software die al op je computer staat. Stiekeme updates aan die software mogen dus niet.

Maar is het stiekem? Je moet immers zelf Windows Update aanzetten. Ja, dat klopt, máár als ik Windows Update aanzet dan bedoel ik daarmee updates voor mijn Windowsversie te krijgen. Dat er af en toe een nieuwe browser bij zit, is eigenlijk al de grens. Een heel nieuw OS dat alleen de naam deelt met wat ik heb, dat is er echt ver overheen. Dat is gewoon geen ‘update’ meer van wat ik heb.

Ongetwijfeld staat er in de gebruiksvoorwaarden van Microsoft dat ik toestemming geef voor alles dat Microsoft naar mijn computer wil downloaden. En zonder te lezen durf ik wel te zeggen dat de privacyverklaring mij volledig gerust zal stellen dat men het beste met me voor heeft, mijn privacy niet zal schenden en alleen maar enge cybercriminelen wil tegenhouden en botnets wil indammen door verouderde software tijdig te verversen. Bovendien is Windows 10 gratis, dus ik heb juridisch geen schade en dus geen poot om op te staan. (De Microsoft-PR-meelbal over verbeterde gebruikerservaring kwam al langs maar zal ik u besparen.)

Dat zal allemaal best maar daar trekt de cookiewet zich niets van aan. Informeren en toestemming vragen moet expliciet gebeuren. “Wilt u updates ja/nee” is géén expliciete vraag “mogen wij tzt ook Windows 10 naar u pushen”. Net zo min als “Deze site gebruikt cookies ok/ikgaweg” een expliciete vraag is om cookies te mogen plaatsen. Je moet in de vraag zelf al een hint geven, en pas daarna mag je verwijzen naar de cookie- of privacyverklaring voor nadere toelichting.

Bij PCM ziet Simon Hania het anders:

Hij denkt dat Microsoft nog wel binnen de wet blijft omdat het hier gaat om ‘een door de gebruiker gevraagde dienst’. De cookiewet vereist namelijk óf ondubbelzinnige toestemming óf noodzakelijkheid voor de gevraagde dienst. “Ik denk dat het aanvinken van ‘ik wil upgrades en updates’ kwalificeert als het eerste. Dat het een versie-upgrade is, maakt niet uit.”

Oftewel, u heeft gevraagd om updates, dan krijgt u updates. Net zoals wanneer ik ga winkelen bij een webshop, ik cookies krijg om mijn winkelwagentje mogelijk te maken of ik niet meer hoef in te loggen als ik aanvink “Onthoud mijn login via een cookie”. Het argument is op zich valide, alleen kom je alsnog bij hetzelfde punt uit: is Windows 10 een update van Windows 8?

Voor mij is dat evident een ‘nee’. Een update lost problemen op of verbetert de functionaliteit die ik heb. Een nieuwe release is géén update, niet per definitie en niet volgens de “kom nou”-toets (het broertje van de giecheltoets). Windows 10 is geen plusje op Windows 8.

Arnoud

Eindelijk: de Ask toolbar wordt ongewenst verklaard

Geplaatst op in Security, 15 reacties

ask-com-toestemmingMicrosoft heeft de meeste versie van de beruchte Ask.com toolbar als ongewenste software aangemerkt, las ik bij Ars Technica. Niet echt formeel een juridische beslissing natuurlijk, maar het bedrijf is op het Windowsplatform zo machtig dat hun woord echt wet is in dit soort situaties. Wat mij betreft de hoogste tijd want ik krijg er schele juridische jeuk van, die toolbar.

Twee jaar terug blogde ik waarom dit niet mag van de cookiewet. De aanvinkvakjes staan alvast aan én je moet je best doen ze te zien. Zoals Ars het omschrijft:

Oracle’s Java software framework, for instance, has long installed it automatically unless users remember to uncheck a hard-to-see box during updates. Even after unchecking the box during one update, the box would be checked during subsequent updates, requiring end users to remain vigilant each time they installed frequent security fixes for Java.

Buitengewoon ergerlijk dus. En gevoelsmatig dus meer dan terecht dat Microsoft er nu eindelijk een streep doorheen haalt.

Alleen: is het niet een beetje raar dat een privaat bedrijf dit beslist, en ook nog eens zonder enige vorm van inspraak of hoger beroep? Als de ACM je een boete geeft wegens overtreding van de cookiewet, moeten ze zeggen hoe je die dan overtrad, en je kunt in bezwaar en beroep tegen de beslissing. Dat is totaal afwezig bij de Microsoftbeslissing.

Arnoud

Duitse sites aangeklaagd om gebruik vind-ik-leuk-knop

Geplaatst op in Privacy, 30 reacties

facebook-dislike-like.pngEen Duitse privacywaakhond heeft twee webwinkels aangeklaagd wegens het doorsturen van gegevens van bezoeker via de vind-ik-leuk-knop van Facebook, las ik bij Nu.nl. Het gaat om consumentenorganisatie Consumer Advice Centerde Duitse Consumentenbond, afdeling Noordrijn-Westfalen (dank Sanne), die de webwinkels verwijt dat zij persoonsgegevens van bezoekers zonder toestemming naar de perfide Verenigde Staten doorgeeft. En ja, dat is juridisch nog best een aardig punt.

Wanneer een site de Like-knop van Facebook (die in het Nederlands de topknop moet heten en niet de vind-ik-leuk-knop, maar dat terzijde) invoegt, wordt een stukje code geladen dat onder meer een cookie plaatst vanaf de Facebookservers. Aan de hand van dit cookie kunnen dan verdere bezoeken van deze persoon worden geregistreerd, mits de vervolgsites ook de topknop hebben.

Opmerkelijk daarbij is dat Facebook dit ook doet voor mensen die niet ingelogd zijn bij het sociale netwerk. Iedereen krijgt die knop, dus iedereen krijgt dat cookie. En hoewel verdedigbaar is dat je als Facebooklid ze toestemming hebt gegeven voor dat tracken, geldt dat natuurlijk niet voor mensen die geen account hebben daar. Plus, wat te denken van Facebookleden die niet ingelogd zijn, waarom moeten die verwachten dat zo’n knop ze gaat tracken?

De cookiewet is natuurlijk van toepassing op dergelijke codes. Om die reden ontwikkelde mijn bedrijf destijds een tool om alleen na aparte toestemming socialmediaknoppen in te laden. (Zie hieronder.) Het idee was overigens afkomstig van het Duitse Heise, dat er in eerste instantie nog een merkenclaim van Facebook op kreeg omdat het Facebooklogo alleen blauw mag worden afgebeeld.

“Dit gaat over een functie die wereldwijd door miljoenen websites gebruikt wordt in voordeel van de klanten”, zo reageert een van de aangeschreven webwinkels. En ja, dat is natuurlijk helemaal waar. Hoe kun je nu aangeklaagd worden om iets dat iedereen doet? Aan de andere kant, waarom gebruikt iedereen zo’n knop waarmee de hele wereld wordt getrackt?

Arnoud