Branchepartijen BVA, DDMA, IAB, NUV en Thuiswinkel.org hebben grote kritiek op het door TNO en IViR opgestelde rapport “A bite too big, Dillema’s bij de implementatie van de cookiewet in Nederland“, las ik bij Marketingfacts. Het rapport bevat volgens de branchepartijen grove fouten en is met slechts acht respondenten niet representatief voor de sector. We pakken het rapport er dus eens bij.
Bij Marketingfacts zegt de DDMA:
DDMA voorzitter Henry Meijdam staat versteld: “dat men in de samenvatting zegt dat toestemming voor cookies op basis van de huidige wetgeving is vereist, is onbegrijpelijk. Het schetst bovendien het onterechte beeld dat organisaties nu illegaal bezig zijn wanneer zij cookies plaatsen.”
In de samenvatting van het rapport zie ik staan
De regels over het plaatsen van cookies zijn op Europees niveau gewijzigd van een op-out naar een opt-in procedure. Hierdoor is degene die een cookie plaatst verplicht de internetgebruiker voor of tijdens het plaatsen van een cookie te informeren over het plaatsen van het cookie en het doel van de gegevensverzameling. Ook dient hij hiervoor toestemming te vragen.
Dit gaat echter duidelijk over de nieuwe regels omtrekt cookies, die wet moeten worden maar dat nu nog niet zijn. Bij lezing van het rapport valt me op dat men de oude en de nieuwe situatie regelmatig door elkaar bespreekt en niet duidelijk aangeeft of men met “verboden” bedoelt “onder de huidige wet” of “onder de Richtlijn waar we binnenkort wet van gaan maken”.
Voor mij erg verrassend was de volgende opmerking in het rapport:
Door de implementatie van deze wijziging in de Telecommunicatiewet verandert er weinig in de Nederlandse situatie aangezien de huidige implementatie van de oude regels in het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE) reeds een opt-in systeem kent.
Een opt-in voor cookies was nieuw voor mij, dus gauw het huidige BUDE erbij gepakt. Artikel 4.1 BUDE noemt deze eisen:
- op een duidelijke en nauwkeurige wijze te informeren omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan
- op voldoende kenbare wijze gelegenheid te bieden de desbetreffende handeling te weigeren.
(Deze regels gelden niet als de cookies de verzending van communicatie over een openbaar elektronisch communicatienetwerk uit te voeren of te vergemakkelijken, of nodig zijn om een dienst te leveren – dus login cookies, shoppingcartcookies en sessiecookies vallen buiten deze regels en mogen ook zonder nadere toelichting of opt-out.)
Ik ben toch geneigd dat eerder als een informatieplicht en een opt-outmogelijkheid te lezen. De woordkeuze voor “weigeren” wijst er volgens mij op dat er niet echt om toestemming moet worden gevraagd. Of nou ja, het is semantiek uiteindelijk – is er verschil tussen zelf aanvinken “ja ik wil” of juist het weghalen van een vinkje bij die tekst?
Ook kreeg ik vragen van de passage over respawning cookies, waarbij een weggehaald HTTP cookie wordt hersteld via een kopie daarvan uit de Flash-cookiejar. Het rapport zegt:
Opvallend is dat een klein aantal respondenten aangeeft gebruik te maken van respawning, terwijl dit in strijd is met artikel 4.1 van het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE).
Waar deze strijd zit, wordt niet toegelicht. Ik vermoed dat men bedoelt dat niemand uitlegt dat men respawning gebruikt, laat staan dat gebruikers het kunnen weigeren. Maar dat zou ik niet formuleren als “respawnen is verboden”. Overigens staan Flash cookies bij Adobe in een slecht licht, en heeft ook de IAB zich hiertegen verklaard. Ik mag hopen dat dat betekent dat ze bij inwerkingtreding van de nieuwe telecommunicatiewet verboden worden.
Oh ja, en dat van die acht respondenten: in een gedetailleerde reactie wordt dit toegelicht (pdf) als
Het aantal (relevante) respondenten in dit onderzoek bedraagt n=56. Bij de vragen die zich specifiek richten op Online Behavioral Advertising is de steekproef heel klein, namelijk n=7. In totaal geven vijf respondenten aan de gegevens verkregen via cookies te gebruiken om bezoekers te segmenteren.
En dat klopt wel, zie figuur 2, pagina 31 van het rapport waar men toelicht hoe de (overigens 74) respondenten zijn opgebouwd. Zeven is inderdaad best klein. Maar zijn er zo veel advertentienetwerken dan?
Alles bij elkaar vind ik het rapport nogal een gemiste kans. Tijd dus voor een nieuw onderzoek als de nieuwe wet er is.
Arnoud
JA, daar is een gigantisch verschil tussen. Ik vind dat helemaal geen kwestie van semantiek. Het is het verschil tussen moeten uitvoeren van een bewuste handeling of niet. Je privacy moet niet verloren gaan omdat je ergens overheen kijkt en niks doet maar alleen doordat je bewust een handeling doet waarbij je die weggeeft.
@Flash cookies: Ik denk dat men het verwijderen van de gewone koekjes door de gebruiker uitlegt als opt-out, en flashkoekjes als een manier om onlangs de opt-out toch nog de gegevens te verwerken.
In beide gevallen hebben mensen werkelijk geen idee waar de tekst van het vakje over gaat, dus “bewust” is hier alleen in zeer brede zin van toepassing.
[ ] Ja, ik wil graag van geselecteerde partners relevante informatie ontvangen langs diverse kanalen. [ ] Ja, ik wil profiteren van interessante aanbiedingen.
In de praktijk zijn dat soort vakjes toch vaak verplicht (privacy? best, maar dan mag je niet naar binnen), dus vind ik het eerlijk gezegd een beetje een wassen neus of dat nu standaard wel aangevinkt wordt of niet.
@hAl hoeveel niet-nerds ken jij die begrijpen wat een koekje is?
Er wordt denk ik in dit hele verhaal verschrikkelijk gekeken naar dat ene hele kleine haakje wat er wel of niet is maar die kast vol gegevens die er aan hangt is waar het om gaat.
Dadelijk krijg je [] zonder koekje kunt un hier niets ipv [] wij willen heel veel privacy gevoelige dingen gaan doen mag dat?
@Franc Ik ken een heleboel niet nerds die als ze zelf bewust moeten kiezen altijd zullen weigeren om informatie en aanbiedingen te ontvangen en dus dergelijk zaken niet spontaan zullen aanvinken maar die als deze zaken vooraf aangevinkt zijn en er alleen op een bevestingsknop gedrukt moet worden deze vinkjes onveranderd laten staan.
Of een checkbox voor opt-in of opt-uit standaard wel of niet aanstaat is een implementatiekeuze. Het is op zijn minst netjes om de gebruiker dat vinkje zelf aan te laten kruisen in het geval van een opt-in.
Maar of dat vinkje nou standaard aan of uit staat bepaalt echter niet of er sprake is van een opt-in of van een opt-out. Dat gaat veel verder dan semantiek:
Voor opt-in is toestemming vooraf nodig, die ook weer kan worden ingetrokken. Ook ligt de bewijslast voor de gegeven toestemming bij de vrager. Opt-out is een vrijbrief om maar je gang te gaan, met de mogelijkheid bezwaar aan te tekenen. Voordat de opt-out gedaan is wordt toestemming geacht te zijn gegeven. Ook ligt de bewijslast voor de opt-out bij de consument.
En nog belangrijker: de default situatie bij een opt-out beleid is dat er toestemming is gegeven. Als ik een opt-out doe wordt dat vastgelegd. Als dat op een site gebeurt zonder login moet dat met een cookie. En als ik mijn cookies wis (omdat buitenlandse sites niet aan deze wetgeving zijn gebonden ook cookies zetten), wis ik ook mijn opt-out en wordt ik weer geacht toestemming te hebben gegeven.
Dat vind ik ook het opmerkelijke aan de hele zaak. De enige manier om te kunnen onthouden dat er geen cookies mogen worden geplaatst is in feite… een cookie plaatsen, om dat te kunnen onthouden. 😉
Ik kan me dan ook niet aan de indruk onttrekken dat het misschien wel lekker bekt dat gepraat over cookies, maar dat het in feite ergens anders over gaat. Of ergens anders over zou moeten gaan.
Namelijk over sommige van de dingen die er op basis van cookies zonder dat je het weet gedaan (kunnen) worden met je gegevens.
De voorgestelde maatregelen slaan als logisch gevolg hiervan de plank dan ook op de voor de hand liggend manier mis helaas.
Hans, je kunt ook toestemming voor het zetten van cookies opslaan in een cookie en als de website dat cookie niet presenteert, niet tracken. Waar het mij om gaat is dat wanneer je (zonder adblock) naar een website gaat je cookies van tal van domeinen om je oren geslingerd krijgt. Het is vaak wel mogelijk om de “privacy policy” van de website zelf op te vragen, maar waar vind je de policies van alle adverteerders?
Ik vind het prima als de OPTA een nieuw onderzoek gaat doen, maar eigenlijk zouden ze nu al moeten beginnen met het aanschrijven van websites om ze te wijzen op de informatieverplichting; kunnen ze na invoering van de wet gelijk beginnen met het uitdelen van boetes.
@MathFox:
Natuurlijk moet het zo. Dat is opt-in: default niet tracken (i.p.v. opt-out: default wel tracken, en daarmee ook tracken als je al je cookies, inclusief je opt-out cookies, hebt gewist).
De marketinglobby zal er echter alles aan doen om het op opt-out te houden, en liefst zo min mogelijk wettelijk vast te laten leggen en zoveel mogelijk d.m.v. zelfregulering te laten verlopen.
Het zal wel net zo lopen als met het spamverbod: Er werd al voor de eeuwwisseling om een spamverbod geroepen. Door zelfregulering te beloven en te lobbyen werd de wetgeving vertraagd. Vervolgens bleek de zelfregulering niet te werken en was de DSMA (de voorganger van de DDMA die nu een lobby voert tegen de cookiewetgeving) die een centrale rol moest spelen in deze zelfregulering failliet gegaan, omdat de marketingbranche eigenlijk niet wilde meebetalen aan de zelfregulering. Daardoor kwam er uiteindelijk in 2004 toch een strenge anti-spam wet, die als er goed en open overleg was gepleegd wellicht beter had kunnen worden opgesteld. Ondertussen had VNO-NCW de minister ervan overtuigd dat het spamverbod niet voor spam gericht aan bedrijven hoefde te gelden. Hoewel direct bleek dat hiermee de belangen van maar een klein deel van de achterban werden behartigd heeft het hierdoor nog tot 2009 geduurd voordat ook dit verboden werd.
Ik vraag me wel af wat ze precies bedoelen met “degene die een cookie plaats”
En dat vraag ik voornamelijk in de zin van handhaving. Zou het met het huidige advies mogelijk zijn dat een website exploitant verantwoordelijk wordt gehouden voor de daden van zijn adverteerder?
Ik snap dat het nog geen wetten zijn, en dat daar een behoorlijk verschil tussen kan zitten, maar toch wel een interessante kwestie.
-edit- @MathFox
goede websites hebben natuurlijk gewoon een link naar hun opt-out zitten, weet toevallig dat nu.nl dit b.v. heeft en waarschijnlijk alle sanoma sites. Verder hebben alle grote adverteerders ook wel zo’n functionaliteit, zie b.v. van google & doubleclick http://www.google.com/privacy/ads/