Mag ik een cookie op uw PC plaatsen?

Enigszins boos meldde Out-law onlangs dat “cookies verboden gaan worden” in Europa. Of nou ja, ze mogen wel maar een website moet vooraf expliciet om toestemming vragen. Dat zou blijken uit de gewijzigde regels uit het Telecompakket dat onlangs door het Europees Parlement gegaan is.

Artikel 5 van de Universeledienstenrichtlijn 2002/22/EC wordt namelijk aangepast, en in dat artikel staat geregeld onder welke voorwaarden een aanbieder informatie mag opslaan (of inzien) op de computer van een gebruiker. Er staat nu dat dit alleen mag als:

the subscriber or user concerned is provided with clear and comprehensive information in accordance with Directive 95/46/EC, inter alia about the purposes of the processing, and is offered the right to refuse such processing by the data controller

en dat gaat worden:

the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia about the purposes of the processing.

“Consent” is een heel stuk sterker dan “information”. Je kunt als website dus niet meer volstaan met een standaardriedel “Wat zijn cookies en waarom slaan we die op op uw PC- in je privacyverklaring. Je moet nu ook toestemming hebben om dit te mogen doen. En het aanbieden van een privacystatement is onvoldoende om toestemming te mogen claimen.

En het is zeker de bedoeling dat cookies vallen onder het kopje “information”, zo blijkt uit de aanhef van de gewijzigde richtlijn. Daarin staan namelijk cookies expliciet genoemd als voorbeeld.

Maar toch denk ik dat Out-law een beetje te paniekerig is. In diezelfde aanhef staat namelijk:

Where it is technically possible and effective, in accordance with the relevant provisions of Directive 95/46/EC, the user’s consent to processing may be expressed by using the appropriate settings of a browser or other application.

Wanneer een browser dus afdoende controle biedt over het accepteren en opslaan van cookies, hoeft een site daar niet meer elke keer om te vragen. Ik vraag me wel af wat de EU hieronder gaat verstaan.

Iemand een suggestie hoe je op een niet-irritante manier om toestemming gaat vragen om cookies op te slaan?

Arnoud

38 reacties

  1. Bij sessies zou je het kunnen verplaatsen naar de URL. Dat lijkt niet gedekt te zijn onder deze richtlijn. (Wordt een URL “opgeslagen” op mijn harde schijf?) Of je gebruikt alleen sessies als mensen inloggen, en je zet bij het registratie/inlogscherm een toestemmingsaanvinkvakje voor het sessiecookie.

    De uitvoering van deze regel valt onder de OPTA, en die mag hoge boetes uitdelen. Ze hebben dat al eens gedaan onder de huidige regel tegen een spywaredistributeur: http://blog.iusmentis.com/2007/12/22/boete-van-opta-voor-verspreiden-malware/ http://blog.iusmentis.com/2007/08/20/malware-hard-aangepakt-door-de-opta/

  2. Iemand een suggestie hoe je op een niet-irritante manier om toestemming gaat vragen om cookies op te slaan?

    De enige website die ik bezoek die dat überhaupt doet is Spamhaus. Dat is niet bijzonder irritant — je krijgt het ook maar één keer per browser. Maar, inderdaad, hoe zullen nitwit-websites hier mee omgaan? (En al die advertentie tracking dingen? Of zal de moedersite daar om toestemming vragen?)

  3. Ik neem aan dat de OPTA wel een groot verschil ziet tussen malware verspreiden en ‘illegaal’ een cookie plaatsen waar niemand echte schade van ondervindt.

    Ik verwacht dan ook dat weinig websites zich hier aan gaan houden, en dat er weinig vervolging gaat zijn. Kijk eens hoeveel webwinkels niet op de hoogte zijn van de wet koop op afstand. Die gaan al helemaal niet op de hoogte zijn van deze cookie-wetgeving.

    En zoals Dennis al aangeeft: zolang wordpress of phpbb standaard ongevraagd cookies plaatsen, blijven er bijzonder veel websites die zich hier niet aan houden, maar ook geen echte schade aanrichten.

    Wat is overigens het criterium voor het van toepassing zijn van dit soort wetten? Gehost in de EU? Ge?xploiteerd door iemand die in de EU gevestigd is? Gericht op bezoekers in de EU?

    (Kan dat “Erik Romijn” zal gaan zeggen niet optioneel uit? Het maakt commenten vanaf een iPhone erg traag.)

  4. Sessie-id’s verplaatsen naar de URL levert een veiligheidsrisico op, dus dat lijkt me geen zinnige oplossing.

    Daarnaast twijfel ik sowieso aan de uitvoerbaarheid van dit bedenksel, want hoe zit het met thirdparty-cookies die bijvoorbeeld geplaatst worden door Google Adsense of elk willekeurig ander advertentienetwerk?

    Ietwat OT, maar toch ook weer niet: tegenwoordig gebruiken veel iets minder nette websitebouwers geen HTTP cookies meer, maar Flash cookies. De voordelen daarvan zijn dat ze niet via de browserinstellingen te blokkeren zijn, veel mensen niet eens op de hoogte zijn van het bestaan ervan, en het ook uitermate lastig is om zulke cookies te weren.

  5. Ja!

    Gewoon omdat ik je wel een beetje vertrouw. 🙂

    Dat doe ik minder met de cookies van bijvoorbeeld faceboek. Zulke cookies zijn mij iets te groot en gooi ik regelmatig weg.

    Als gebruiker kan je nu toch ook al alle cookies blokkeren in je browser? Zelf vind ik dat niet zo handig en merk ik dat misbruik behoorlijk meevalt.

  6. Misschien is het nog een idee om onderscheid te maken tussen memory cookies (die weer weg zijn als je de browser afsluit) en persistente cookies (die voor langere tijd op je harde schijf worden geparkeerd)?

    Zodat bijvoorbeeld winkelwagentjes die anoniem gevuld kunnen worden zonder meteen in te loggen gewoon kunnen blijven werken. Sessies dus eigenlijk. Alles meegeven in de URL kan natuurlijk ook (tot op zekere lengte) maar is onhandig en ook gebruikersonvriendelijk.

    En wat betreft dat voorbehoud in gevallen waarin de browser voldoende mogelijkheden biedt. Moet je dan een lijstje bij gaan houden van browsers die voldoende mogelijkheden bieden? Zucht…

  7. En wat ik me ook afvraag. Hoe ga je nu onthouden dat een gebruiker geen toestemming geeft voor het plaatsen van een cookie nadat je het hem/haar daarom gevraagd hebt?

    Opslaan in een cookie mag niet. Dus dat wordt dan net zolang de vraag opnieuw stellen tot de gebruiker de site droevig verlaat of de toestemming boos geeft.

    Hebben ze hier eigenlijk ook maar een heeeeel klein beetje over nagedacht? Of gewoon helemaal niet? ;-P

  8. Hans, ik leg het probleem bij de koekebakkers die geen website kunnen maken die zonder cookies ook goed werkt. Zolang het gaat om tonen van informatie aan de gebruiker is er geen technische reden om cookies te gebruiken. (Ik vind het terecht dat de EU paal en perk gaat stellen aan tracking.) Pas wanneer een gebruiker inlogt of gaat bestellen op een site (winkelmandje) is er reden om cookies te gebruiken (en kun je ook helder aan de gebruiker uitleggen waar dat specifieke cookie voor dient.) Een andere legitieme optie is om site-instellingen op de slaan in een cookie, dat kan nog simpeler uitgelegd worden.

    Een punt dat voor websitebeheerders heel vervelend kan uitpakken is waar de verantwoordelijkheid om uit te leggen hoe de trackingcookies van adverteerders (en counters of statistieksites) gebruikt worden komt te liggen. Ik han me voorstellen dat onder iedere advertentie een link naar de privacy-policy van de adverteerder komt te staan.

  9. Wat compleet belachelijk is dit. Je moet niet tegen websites zeggen dat ze bij elke cookie om toestemming moeten vragen, maar je moet tegen browsers zeggen dat dit instelbaar moet zijn. En in werkelijkheid is het ook instelbaar in browsers.

    Firefox bijvoorbeeld heeft zelfs een instelling waarbij bij elk cookie om je toestemming wordt gevraagd (in een pop-up). Ook zijn er instellingen om bij het afsluiten van de browser alle cookies te verwijderen. Internet Explorer heeft volgens mij ook een uitgebreid privacypaneel. Beide browsers hebben bovendien priv?navigatiemodi. Bovendien kun je exact inzien welke informatie is opgeslagen en evt. deels of geheel verwijderen.

    Als jij een browser of instelling gebruikt die alle cookies klakkeloos accepteert, dan is dat jouw eigen verantwoordelijkheid. Je bent op geen enkele wijze verplicht deze cookies blindelings aan te nemen. Daarnaast, in de oude situatie kun je instellen dat de cookies automatisch worden geaccepteerd of afgewezen om de overhead te verminderen. In de nieuwe situatie is dit volstrekt onmogelijk.

    Cookies zijn een enorm transparant systeem. Iedere internetter kan in detail bepalen welke cookies hij wel en niet wil. Er is geen enkele denkbare reden om hier opeens strenge juridische beperkingen overheen te gooien.

    Er zijn slechts twee alternatieven: 1. Informatie op de server opslaan in plaats van bij de client, waardoor je als bezoeker veel minder controle over je privacy hebt, het niet kunt inzien en het niet kunt wissen. 2. Informatie uit cookies terug naar de URI verplaatsen is een enorme achteruitgang voor alle partijen. Het kan niet meer geweigerd worden door de browser, het is onveilig wegens sessie-hacking, dezelfde pagina heeft voor iedereen een andere URI waardoor deze niet meer U(niform) is, waardoor de browser niet meer aan zijn gebruiker te laten zien of hij die pagina al bezocht heeft, waardoor zoekmachines en bots een enorme overhead krijgen omdat ze veel vaker dezelfde pagina moeten indexeren, waardoor URI’s niet meer hanteerbaar kort kunnen zijn voor de eenvoud, waardoor caching door browsers ineffectief wordt, waardoor dataverkeer verspilt wordt, waardoor de kosten van het hosten van een website stijgen, etc., etc., etc.

    Cookies moeten niet bestreden worden, zij moeten gekoesterd worden. Ze zijn een zegen voor het open internet.

  10. Blijbol schreef:

    Cookies moeten niet bestreden worden, zij moeten gekoesterd worden. Ze zijn een zegen voor het open internet.
    Kun jij me in detail uitleggen welk gebruik Google, Microsoft en de andere advertentieverkopers van cookies maken? Ook waarom Google zo’n bezwaar maakt om de door haar opgeslagen informatie na 6 maanden te anonimiseren? Waarom zijn er zoveel websites met 1×1 pixel gifs?

  11. Wat een flauwekul voorstel. Het internet is stateless ontworpen. Je bezoekt een pagina en maakt verbinding met een server. Dan wordt de verbinding verbroken. Bij nieuw pagina wordt de verbinding wederom gemaakt. Een cookie is de enige redelijke manier waarop een server kan zien of het dezelfde computer betreft.

    Iedere volwassen browser kan cookies weigeren of waarschuwen; moet de gebruiker toestemming geven: probeer het eens, om gek van te worden. Is dat de bedoeling een pop-up bij elke cookie? Kan al, keus van gebruikers om het niet te doen.

    Gebruik zelf Opera en die gooit alle nieuwe cookies automatisch weg als je afsluit. Je kan ook standaard cross domain cookies weigeren. Zou graag een instelling willen die alleen cookies per tab bewaart en weggooit als je de tab sluit.

    @Aernoud: In de url? Lekker als je daarna een andere site bezoekt. Zit je login in de referrer. 🙂 En in alle logbestanden. :))

    Het voorstel is praktisch onzinnig: Of bij elk cookie een pop-up. Of iedere site zet in de disclaimer dat je de site alleen mag gebruiken, op voorwaarde dat er cookies gebruikt worden. Of op elke pagina inloggen 🙂

    Wanneer een browser dus afdoende controle biedt over het accepteren en opslaan van cookies, hoeft een site daar niet meer elke keer om te vragen.

    Helemaal slecht idee (browsersniffing), moet je afhankelijk van browser(mogelijkheden) extra dingen inbouwen. Er is geen limitatieve lijst van software….

  12. @14: niets houdt je tegen om de cookies van Google en Microsoft te blokkeren. Dat is het mooie van cookies: het wordt op jouw computer opgeslagen, dus jij hebt de controle. Het is een heel transparant systeem: je weet altijd precies wat er is opgeslagen.

    Als je de privacy wilt verbeteren, moet je juist het opslaan van informatie op de server beperken i.p.v. op de client. Adverteerders gebruiken vaak cookies om de bezoeker te herkennen en het juiste profiel erbij te laden. Niet het koppelen van het profiel aan de bezoeker moet verboden worden via een onnozel cookieverbod, maar simpelweg het opbouwen van het profiel moet worden aangepakt. Immers het IP-adres kan net zo goed voor het koppelen van profielen worden gebruikt, het cookie is slechts een verbetering van deze koppeltechniek indien de bezoeker een dynamisch IP-adres heeft.

    Conclusie: voor de grote meerderheid met een vast IP-adres geeft het cookieverbod wel een achteruitgang in functionaliteit van webpagina’s (immers voor kleine handige functies is het niet re?el om uitgebreid om toestemming te gaan vragen), maar stelt daar geen verbetering van de privacy tegenover.

  13. Ik denk dat het beter is om browser te verplichten betere cookie managers te implementeren met wat meer veiligheidswaarborgen en opties om je privacy te regelen want nu doen naar mijn mening alle browsers dat matig tot slecht.

    Het is ook praktischer want dan hoef je slechts vier professionele partijen (mozilla, microsoft, aplle en google)aan te spreken ipv een miljoen amateurs.

  14. Blijbol: niets houdt je tegen om de cookies van Google en Microsoft te blokkeren. Dat doe ik al. (En het is interessant om te zien hoe sommige websites instorten als cookies uitgeschakeld zijn.) Wat ik graag zou zien is openheid van al die websites die cookies willen plaatsen over wat ze van mij vastleggen en waarvoor ieder cookie dient.

  15. Mjah, ik sla helemaal niets op als websitebouwer. Ik stuur een willekeurige tekst mee met de inhoud van de website. Dat de gebruiker vervolgens besluit deze tekst op te slaan (of software (browser) gebruikt die dit voor de gebruiker beslist) kan ik vervolgens ook niets aan doen.

    Het http protocol laat ruimte open om eigen headers te definieren, mits deze beginnen met X-. Nu ga ik de X-time header introduceren (als nog niemand dat gedaan heeft). In die header zet ik de huidige servertijd, “gewoon, omdat het kan”. Als er vervolgens browsers zijn die bedenken de computertijd aan de hand van die headers aan te passen kan ik daar niets aan doen. Ik stuur gewoon een string, wat de user daar mee doet moet hij/zij volledig zelf weten.

    Lang leve overprotective governments… (is daar niet toevallig een mooie Latijnse benaming voor?)

  16. Ben het eens met #8 Hans, ze zouden sowieso al een verschil moeten maken tussen persistent en sessie cookies. Ik vind het erg fijn voor MathFox en anderen dat ze openheid willen en ge?nformeerd willen worden wanneer er cookies gebruikt worden, maar de realiteit is dat het de meeste mensen niks kan schelen en dat de meeste mensen er al helemaal niet mee lastig gevallen willen worden.

    Verder is het een absoluut non-issue natuurlijk. Browsers geven al sinds jaar en dag mogelijkheden om cookies te beheren. Alle “tin-foil hat” mensen kunnen dan fijn cookies blokkeren, net zoals ze hun javascript hebben uitstaan en geen flash gebruiken. Kunnen wij web bouwers gewoon fijn websites blijven bouwen zonder normale mensen lastig te vallen met termen die ze toch niet kennen.

  17. @Freeaqingme: zo gemakkelijk kun je de verantwoordelijkheid niet afschuiven. Je moet weten dat als je Set-Cookie voor zo’n string zet, de gemiddelde browser vandaag de dag die string gaat opslaan. Zo willekeurig is die string niet. Je stuurt die omdat je bepaald gedrag wil veroorzaken, en als de wetgever dat gedrag wil reguleren dan zul jij je daaraan moeten onderwerpen.

  18. Volgens mij staat er toch vrij duidelijk dat je het aan de browser mag overlaten als deze het blokkeren van cookies ondersteunt. Dat geldt voor de meeste browsers dus deze richtlijn volgen zou inhouden dat je alleen bij browsers die niet kunnen blokkeren expliciet toestemming zou moeten vragen. Ik zou geen browser weten waar dat niet kan, behalve misschien mobiele browsers, dus eigenlijk veranderd er niks voor de standaard cookie gebruikt voor inloggen en winkelmandjes.

    De hierboven genoemde flash cookies zouden inderdaad niet meer kunnen, en hoewel alle nederlandse banner boeren daar waarschijnlijk wat treurig van worden zal verder niemand daar een traan om laten gok ik.

  19. @Blijbol:

    Als je de privacy wilt verbeteren, moet je juist het opslaan van informatie op de server beperken i.p.v. op de client
    Goed punt. Minder makkelijke te controleren natuurlijk, maar wel een stuk nuttiger.

    Er is best een hoop problemen met cookies, maar die moet je ook weer niet overdrijven. Al is het maar omdat er dan vage ‘security’-applicaties komen die je waarschuwen dat je maar liefs 73 tracking-cookies hebt, die ze voor een tientje per maand netjes verwijderen.

    (Zijn er eigenlijk Firefox plugins die cookies van bepaalde sites, zeg adverteerders en andere tracking-sites, weigeren maar de nuttige rest wel gewoon toelaten?)

  20. @19: daarvoor heb je onderaan veel webpagina’s een link naar het privacybeleid. Als je het wilt weten, kun je het prima opzoeken. Het is echter buitengewoon storend als je elke bezoeker direct dat privacybeleid in zijn gezicht moet gooien, immers de meeste bezoekers komen om de website te lezen (hoofdzaak) en niet om het privacybeleid te lezen (bijzaak).

    Ik zie dan ook geen enkel probleem met de huidige situatie. Immers, je kunt nu de website bezoeken, later het privacybeleid lezen en daarna alsnog besluiten om de reeds ontvangen cookies weer te verwijderen en in de toekomst te blokkeren.

  21. Je kunt standaard in Firefox per domein een “cookie policy” instellen: “weigeren”, “aan eind sessie verwijderen”, “permanent bewaren” of “iedere keer vragen”. Via “page info” (ctrl-i) en “preferences” kun je een en ander instellen en opvragen.

    @Blijbol, 26: Waar vind ik het privacybeleid voor de cookies van jouw adverteerders?

  22. @27 MathFox

    de website van blijbol weet ik niet, maar op b.v. nu.nl is gewoon dit te lezen

    quote: “ilse media verzamelt en verwerkt via de door haar ge?xploiteerde websites persoonsgegevens voor de volgende doeleinden: … om gericht aanbiedingen te doen, zo kan bijvoorbeeld een advertentie worden getoond van een product waarvan ilse media op basis van door haar verwerkte gegevens vermoedt dat het je interesse heeft. In het kader van de optimalisatie van het doen van de aanbiedingen kan ilse media een profiel van je opstellen;”

    Verder levert nu.nl ook nog eens een “no-follow” cookie. (de cookie word meteen geplaatst wanneer je op de link klikt, dus enkel klikken als je dat niet meer wilt) http://rc.bt.ilsemedia.nl/nofollow.php

    In andere woorden, respectabele websites houden gewoon een keurig beleid waar open en duidelijk uitgelegd wordt wat er gebeurt en waarom het gebeurt.

    Overigens, een van de grootste adverteerder double click (waar nu.nl ook gebruik van maakt) geeft ook enorm veel informatie over haar services, en geeft uiteraard ook informatie over de no-follow of opt-out cookie. http://www.doubleclick.com/privacy/opting_out.aspx

    Ja er zullen vast websites zijn die hier niet keurig mee omgaan, maar het schetst een verkeerd beeld door te stellen dat het allemaal malafide gedrag is en in het geheim gebeurt.

  23. @27:

    Google geeft aan wat er aan informatie over Google in het privacybeleid moet worden gegeven (is overigens niet altijd zo geweest). Als ik daar zelf meer informatie aan toe ga voegen, en die informatie verandert later, dan doe ik toezeggingen die ik niet waar kan maken. Ik beperk me daarom tot wat Google mij instrueert om te vermelden. Ik heb daarom de neiging om de verantwoordelijkheid voor onduidelijkheden op dit punt naar Google door te schuiven. Mijn privacybeleid bevat overigens wel een link naar de opt-out-optie van Google, via die pagina kunnen bezoekers wel aan meer informatie komen.

    Ik geef overigens direct toe dat mijn privacybeleid waarschijnlijk verre van perfect is. Maar ja, ik ben ook maar een simpel individu met een website. 😉

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.