Heeft opt-in wel zin bij cookies?

Naar aanleiding van de recente discussie over het cookierapport van TNO en IViR verscheen bij Netkwesties het artikel Vergaande spraakverwarring over opt-in en opt-out. In het kader van de discussie over de nieuwe Europese cookiewet had TNO ontdekt dat veel bedrijven de huidige wet schenden, omdat volgens hen het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE) een opt-in voor cookies zou eisen.

Netkwesties vroeg mijn commentaar op de spraakverwarring, en enige frustratie gaf het volgende antwoord:

Persoonlijk geloof ik niet in opt-in en maar gedeeltelijk in opt-out. De meeste mensen weten niet hoe dit soort systemen werken, en zóuden dit ook niet hoeven weten. Het idee van opt-in = controle vind ik een illusie. Want met de simpelste belofte krijgen bedrijven wel een opt-in, maar mensen hebben geen idee wat de implicaties van hun toestemming zijn.

Als bepaald gedrag als fundamenteel ongewenst ervaren wordt, dan moet de wet worden aangepast om het gedrag op het juiste spoor te krijgen. Dus niet een opt-in voor tracking cookies voor het volgen van surfgedrag maar een verbod op tracking cookies.

Als we vinden dat tracking moet kunnen maar dat de getrackte persoon invloed moet hebben, dan moet de wet voorschrijven dat er zo’n invloedmechanisme komt.

De wet moet dan over de implicaties gaan en niet over die illusie.

Wat vinden jullie?

Arnoud

47 reacties

  1. Je hebt meer te vrezen van bedrijven die zich uberhaupt niet al te druk maken over wat allemaal wel en niet mag qua cookies en andere zaken. Mocht het zover komen dat die aangepakt kunnen worden dan verplaatsen ze hun praktijken wel naar een plek op deze aardkloot waar men (bewust) nog niet zover is.

    Zolang we het internationale karakter van internet proberen te vangen in lokale of europese wetgeving is het m.i. een verloren zaak en ‘zal het me een worst wezen’ wat er besloten wordt.

  2. Probleem is denk ik dat 85% niet begrijpt wat er onder de moterkap gebeurt en wat er in de database van de marketeer(/google/etc) gebeurt. Het is proberen uit te leggen wat bv bougies in een auto doen.

    Uitdaging voor de wetgever is denk ik om iets te verzinnen waarmee cookies hun werk kunnen doen (bv sessies bijhouden) zonder direct inbreuk te doen (cross site tracking) en dan op zo’n manier dat het ook nog te handhaven is. Optie 1: cookies verbieden. (geen bougies meer in je auto dan moeten we allemaal aan de diesel 😉 Optie 2: technische cookies mag maar tracking mag niet Optie 3: Tracken mag na opt-in Optie 4: gebruiker bepaalt zelf dmv browser instelling

    Nadeel 1: web 2.0 gaat problemen krijgen Nadeel 2: ze verzinnen een andere truuk (ip+browser fingerprint bv) Nadeel 3: gebruikers kliken op ja want ze willen bestellen Nadeel 4: gebruikers hebben geen idee wat er gebeurt en opten niet uit

    Ik denk dat het probleem echter groter is dan cookies. Het gaat om het tracken. Dus opt-in/uit zou niet moeten gaan over bougies/cookies maar over opt-in zodat “Wij willen u zeer gedetaileerd in kaart brengen zodat we suggesties kunnen doen welke kleur lingerie u voor uw minares moet kopen” mogelijk wordt.

    Dus eigenlijk “what he said”! 😉

    Maar wet -> handhaving en hoe ga je dat doen? Een spider die op het web accounts gaat aan maken en dan kijkt of er onverwachte koppelingen gemaakt worden? 4000 internet cops? Invallen bij marketing bedrijven en laat maar zien die database en hoe kom je daar aan en waar is je toestemming (kan volgens mij al op basis van WBP)

    Voorlichting? En hoe ga je dat dan uitleggen aan oma en ome henk en tante tinny? Kijk en dan na de inlaatslag krijg je een compressie slag en dan net voor …… Kijk als je met chrome op de http://ictrecht.nl/ site rechtermuisklik doet dan kun je met element inspecteren je cookies zien en dan zie je dat ze 4 cookies gebruiken. En die cookies zijn voor ehhrrr zoek zoek google tracking??

    🙂

  3. Enige tijd geleden maar eens het automatisch accepteren van cookies uitgezet. Dat was een tegenvaller! Er worden zo ontzettend veel cookies geplaatst dat het niet eens leuk is om ze zelf te moeten accepteren. Verder is de melding vrij summier: je mag al blij zijn dat je kunt zien dat het om een third-party cookie gaat. Maar de nut en noodzaak van een tweede, derde, n-de cookie voor dezelfde site ontgaat me. Maar welke keuze moet ik dan maken? De eerste wel accepteren, en de volgende niet? Third-party cookies helemaal niet accepteren, maar de rest wel? Opt-in? Opt-out? De onduidelijkheid blijft.

    Eigenlijk zie ik er wel iets in dat zo’n site mij voor de cookies gaat betalen. Downloaden van auteursrechtelijk beschermd werk mag niet zonder toestemming van de rechthebbende (en terecht) maar mijn surfgedrag tracken zonder dat ik daar feitelijk iets zinnigs tegen kan doen (de keuze voor weigeren/accepteren van cookies is niet eenvoudig door gebrek aan duidelijke en eenduidige informatie) mag nu (nog) wel.

    Als we dan toch de weg van het geld volgen (en bij bv. affiches op de buitenmuur, commerciele marktonderzoeken en schadevergoeding bij inbreuk op een recht is dat gebruikelijk, toch?) waarom ontbreekt die weg dan bij de cookies? Wat krijg ik van de cookie plaatser in ruil voor het accepteren van de cookie? Nu helemaal niets. Dat moet veranderen. Wat wil ik?

    Primo, meer en betere informatie over wat er verzameld wordt, en hoe dat verwerkt wordt, zodat ik bewsut kan kiezen voor weigeren/accepteren. Twee, volledige Wbp bescherming. Dus, de cookie is leesbaar en bevat de gegevens van de verwerker/verantwoordelijke, en een eenvoudige (en kostenloze) procedure voor inzage en verwijdering van de gegevens. Drie, ze kunnen mijn hele surfgedrag tracken, dus kunnen ze ook tracken hoeveel gegevens verzameld worden/hoeveel dagen er verzameld wordt/hoeveel cookies er geplaatst worden. Lijken me mooie gegevens om een staffel op los te laten en met mij af te rekenen voor de verzamelde gegevens. Komen misschien die micro payments ook eens van de grond.

    Nu ik erover denk, vooraf betalen lijkt me beter. Het equivalent van het oude gasmuntje. Eerst dokken dan verzamelen.

    Betalen is goed, in mijn ogen. Deze gegevens hebben (grote) economische waarde. Het wordt tijd dat die waarde zich ook voor mij openbaart.

  4. We kunnen wel collectief gaan vingerwijzen naar cookies, maar er zijn zoveel meer manieren waarop een webgebruiker (http/html) gevolgd kan worden. Uit de log van de webserver kan men IP adressen, gebruikte browser en bezochte pagina’s destilleren; daarmee is een gebruiker ook zonder cookies goed te volgen.

    Als ik een website bezoek, heb ik er niet zo’n probleem mee dat de beheerder/eigenaar van de website weet dat er een bezoeker was. Als ik anoniem wil blijven kan ik Tor gebruiken. Belangrijk is dat ik de beslissing neem om naar een bepaalde website te gaan. (En die beslissing kan baseren op bijvoorbeeld een privacy statement.) Waar ik wel problemen mee heb is dat mijn browser door de webpagina naar allerlei andere webservers gestuurd wordt (voor advertenties, statistieken en tracking) en dat ik daar nauwelijks invloed op heb. (Dankzij Adblock heb ik enige invloed, maar gebruikers van andere browsers…) Ik zou graag zien dat de beheerders van websites verantwoordelijk (aansprakelijk) gehouden worden voor alle inline links die ze op hun webpagina’s plaatsen.

    Mijn concrete voorstel is: De beheerder van een website

    * is verantwoordelijk voor het beschikbaar maken van privacy statements voor alle websites waarmee een browser contact opneemt ten gevolge van instructies in de pagina’s op de website, * is aansprakelijk voor privacy-schendingen door derde partijen of schade door malware als die veroorzaakt is door automatisch geladen links op zijn website.

  5. De wetgeving kan weinig doen tegen malafide bedrijven die hun servers buiten Nederland opzetten. Ja, je zou censuur kunnen toepassen zoals China doet met de “Great Firewall of China” maar effectief is het niet. Daarnaast zou dat hier enorm veel protesten opleveren. Wat je dan krijgt is dat Europese sites geen cookies kunnen gebruiken maar bedrijven erbuiten weer wel. En dat is redelijk bedreigend voor onze markt-positie. Daarnaast, cookies zijn handig als je een site maakt die via GET naar andere pagina’s gaat. Maar als je van POST gebruik maakt in combinatie met webforms dan kun je het cookie-beleid eenvoudig omzeilen. Sommige pagina’s worden daardoor misschien minder gebruikers-vriendelijk maar echt indruk maakt een cookie-verbod nou ook weer niet. Daarnaast worden webbrowsers tegenwoordig steeds intelligenter en kun je met JavaScript (en Ajax!) ook heel veel bereiken zonder cookies. En als je Flash of Silverlight gebruikt heb je ook nog andere mogelijkheden om op het systeem van de bezoeker extra informatie op te slaan. De gehele wetgeving vind ik eigenlijk een wassen neus en komt ook een decennium of meer te laat. Verbied het en de IT-wereld verzint gewoon alternatieve methodes die vervolgens ook weer decennia nodig hebben om wettelijk geregeld te worden. De wet is gewoon altijd een illusie.

    Nee, om dit soort dingen op te lossen kun je beter geld besteden in kennisverrijking voor alle gebruikers. Zorg ervoor dat alle scholen in Nederland hun leerlingen het een en ander bijleren over internet-gebruik en de risico’s. Bied daarnaast cursussen aan voor volwassenen en ouderen om hen goed voor te lichten over hoe een browser werkt en de risico’s van b.v. tracking cookies. Laat regelmatig campages maken om iedereen voor te lichten over het Internet en zorg voor informatie-sites die gebruikers goed voorlichten. Dergelijke acties zijn veel practischer dan dit eeuwige gezeur of dit wel of niet via wetgeving geregeld moet zijn.

    Neem als voorbeeld de vele goksites op het Internet. Die sites zijn niet legaal in Nederland maar de wetgever kan er weinig tegen doen. Het enige wat ze kunnen doen is directe betalingen naar de bedrijven die deze sites exploiteren laten blokkeren, voor zover de banken daaraan willen meewerken. En dan nog zijn en tientallen alternatieve manieren waarop die buitenlandse goksites de Nederlandse wet belachelijk maken. Erger, al zouden ze niets verdienen aan die Nederlandse gokkers, het zijn wel weer extra bezoekers die de site populair maken en aktief houden en via mond-op-mond reclame deze sites meer bekendheid geven.

    Locale wetgeving en het Internet: Jantje die met zijn vinger het gat in de dijk dichthoudt terwijl het water gewoon over de dijk heen stroomt…

  6. @Arnoud: Bij het ophalen van een willekeurige pagina biedt de website cookies aan. Dus voordat je een link naar het privacy-statement gezien hebt heb je als gebruiker dus al een beslissing moeten nemen. (En ik praat niet over “We kunnen het privacy statement wijzigen wanneer we willen, maar vertellen het je niet.”) Een privacy statement moet in heldere taal (in het Nederlands voor een Nederlandstalige website). Ik zou het niet erg vinden als het CBP boetes aan websites gaat uitdelen voor onvolledige (en verhullende) verklaringen.

  7. De echte problematiek rond opt-in/opt-out zit in het bewaren van de gemaakte keuze. Zolang er geen algemeen geaccepteerde browserstandaard is (denk ook aan mobiele browsers!) om tracking te weigeren, zal dit d.m.v. cookies moeten worden ge?mplementeerd.

    De vraag is nu wat er gebeurt als er geen opt-in/opt-out cookie aanwezig is:

    • bij opt-in (expliciete toestemming vereist) geldt dan de default: NIET tracken
    • bij opt-out (impliciete toestemming verondersteld) geldt dan de default: WEL tracken

    Als ik in een opt-out situatie mijn cookies wis (bijvoorbeeld automatisch aan het einde van een browsersessie), verdwijnt mijn opt-out cookie en moet ik mij opnieuw afmelden voor tracking.

    Nog een ander punt dat (bewust?) onderbelicht wordt: Eerder werd nog geroepen dat het hele web zou omvallen als cookies verboden zouden worden, maar men is er nu wel achter dat het hier alleen om tracking cookies gaat.

    Het onderscheid dat nog niet duidelijk gemaakt wordt is dat het bij tracking cookies met name gaat om 3rd-party cookies: cookies die niet gezet worden door de site die men bezoekt, maar door een derde partij, en dat dit cookie toegankelijk is voor deze derde partij op alle sites waar deze mee samenwerkt. Wat er over cookies van de site die ik bezoek (1st party cookies) wettelijk wordt bepaald maakt mij helemaal niets uit. Maar voor de cookies van een mij onbekende derde partij, waar ik zelf niets mee te maken heb: opt-in!.

  8. @Franc, precies mijn gedachte! 😉 De wetgeving loopt gewoon ver achter op de techniek. Daarom kun je beter geld besteden aan educatie voor gebruikers dan dat de ambtenaren dit in hun zak steken om allerlei wetten te bedenken die veel te laat in werking treden…

  9. @RML laten we het even omdraaien. Hoeveel ben jij bereid te betalen om gebruik te maken van die sites? Dus jij wilt gratis gmail/telegraaf/engelfriet/webwereld/etc en ook nog betaald worden voor de cookies?

    TANSTAAFL!

    Eigenlijk zou er boven sites moeten staan, “Vertel ons je onderbroekmaat en je kijgt gratiz nieuws” 😉

    @Robert je zou een digitale ja-nee sticker moeten hebben. Default setting in de browser waarbij je aan kan geven wat je wel of niet wilt.

    @Arnoud in hoevere kan men bij een “Doe hier mee en win een iPad (en geef ons al je persoonlijke data en schrijf je ook in voor 12652382 aanbiedingen van onze partners)” mis/gebruikt worden. Stel ik doe daar aan mee, kunnen ze daar dan ook mijn web gebruik aan koppelen (geen idee of dat kan) dus een “we mogen je lastig vallen op elke manier/via elk medium we willen want daar ben je akkoord mee gegaan” (omdat je hebberig was en gewoon dan ene vinkje hebt gezet zonder te lezen) Dus kan de opt-in ook via een niet web manier tot stand komen?

  10. @Franc, blijkbaar is er voor de gegevensgraaiers wel zoiets als free lunch. Je gaat me niet vertellen dat al die mensen die een facebook like button op hun blog/website plaatsen daar 1) betaald voor worden en 2) niet al op een andere manier voor hun blog (reclames/info graaien door bv google)/website (eigen abbo) betalen. Dat is gewoon gratis gegevens graaien van de facebooks van deze wereld en er niets voor terug doen.

  11. Is dit niks? Tracking cookies gewoon toestaan maar verplichten om elke upload van gegevens te melden met een popup? Je zou meteen kunnen zien wat er allemaal wordt bijgehouden en doorgestuurd. En waarschijnlijk wordt er meteen geschreeuwd om een feature om die mededelingen weer te blokken. Want de meeste mensen interesseert het geen lor, ze willen gewoon nieuws en porno kijken zonder gezeur. Het wordt pas anders als ze vervelende ervaringen hebben.

    Maar misschien is er iets te doen met een campagne waar je een tracking cookie kunt ophalen/krijgen die aan jou zelf meldt wat anders aan anderen gemeld zou worden. Dan zou je een paar mensen de ogen kunnen openen. Maar waarschijnlijk gaat het net als met de pincode op je voicemail. Tot er een publiek schandaal over komt slaapt iedereen rustig door.

  12. Van http://www.ghacks.net/2011/02/14/internet-explorer-9-tracking-protection-lists/

    Tracking Protection is disabled by default
    Opt-out dus. En het beschermt alleen tegen bekende sites, je moet (na inschakelen) iedere ongewenste site met de hand toevoegen (nog meer opt-out). (Ik lees trouwens dat je als gebruiker geen sites kunt toevoegen, dat kunnen alleen de trusted Microsoft partners.)

    Een opt-in systeem werkt andersom: Je moet per site aangeven wat je wel wil hebben.

  13. @MathFox:

    Die headers zijn leuk en aardig maar zullen alleen door nette partijen meegestuurd worden, voegt weinig toe behalve een handvat om nette partijen die een vergissing maken aan te pakken.

    Adblock plus met easylist en easyprivacy filter worden ook beetje als TPL gezien en dat komt nog beetje in de buurt van een zinnige oplossing voor de end user, zie ook: https://www.eff.org/deeplinks/2011/03/tracking-protection-lists

  14. het is in feite vergelijkbaar met het spam probleem met e-mail. De techniek ziet geen verschil tussen een tracking cookie of een nuttige cookie, als zo voorts zal wetgeving ook ongeveer de zelfde uitwerking hebben als de spam wetgeving. Behalve dan dat het met cookies nog lastiger is om te weten wat er gebeurt dan met spam.

  15. Cookies zijn maar een middel, een gereedschap.

    Het is onzin om messen te verbieden omdat daarmee een moord gepleegd zou kunnen worden. Je kunt wel messen verbieden onder bepaalde omstandigheden of op bepaalde plaatsen. Maar aan de ontbijttafel hebben ze gewoon een plaats en een nuttige functie.

    De discussie en ook de wetgeving zou dan ook moeten gaan over ongewenst gebruik van cookies. Of beter nog over “tracking” en helemaal niet over cookies. De kans is namelijk groot dat je anders de plank vierkant mis slaat en het gewenste doel/effect niet bereikt.

    Maar ja, het is zo’n lekker makkelijk woord, cookies… 😉

  16. @Chris: Wat ik van TPL weet komt van een paar minuten Googlen… Ik verwacht dat er op iusmentis mensen komen met meer expertise. Een goed geconfigureerde adblocker is ook een privacy-hulp, maar zowel TPL als Adblock zijn “opt-out” tools en we zijn juist op zoek naar een opt-in.

    @Hans: compleet eens dat we het over “tracking” moeten hebben (en transparantie bij de trackers!) Wat wat ik van anderen in de discussie begrijp is het probleem niet zozeer tracking op de website zelf (Arnoud mag best weten hoe vaak ik Iusmentis bezoek) maar over alle andere organisaties (nedstat, sitestat, onestat en adverteerders) die menen mij te moeten volgen over alle websites die ik bezoek. Nu zullen ze er een harde dobber aan hebben om het bezoek aan Iusmentis te volgen want Arnoud heeft geen inline links naar vage externe sites op zijn website.

  17. Ik zou graag de vraag willen stellen waarom het tracken van internetgebruikers zo’n punt is.

    Het feit is nou eenmaal dat er op bepaalde sites banners getoond worden. Wat maakt het nou uit of dit: A) een generieke banner is die op de ‘gemiddelde bezoeker’ is getarget, je kunt immers niet weten aan wie de banner wordt getoond, dus je doet dat wat het beste overlap heeft met je bezoekersprofiel. B) een banner die dankzij mijn eerdere zoektocht naar houten speelgoed op wehkamp.nl weet dat ik dat interessant vindt, en mij nu een aanbieding in die productcategorie van wehkamp.nl laat zien.

    Die laatste is voor mij als gebruiker een stuk minder vervelend (hij zou zelfs nuttig kunnen zijn!) en bovendien vind ik het ook niet bepaald een schending van mijn privacy. Er zit een geautomatiseerd systeem achter, het is heus niet alsof er iemand bij Wehkamp de hele tijd naar mijn cookie zit te gluren om te kijken of ik bij het houten speelgoed ben geweest, en mij dan ineens die aanbieding voor te schotelen.

    Het wordt pas vervelend wanneer ik de hele dag naar auto-tuning artikelen aan het zoeken ben en mijn autoverzekering ineens belt dat de premie wat omhoog gaat omdat ik nu in de risicogroep val. Of de belastingdienst vraagt waarom ik offertes van dure zeiljachten opvraag terwijl ik slechts modaal verdien.

    Ik zou eerder voorstander zijn van wetgeving die zorgt dat: – d.m.v. cookies (of andere trackingtechniek) verkregen persoonsgegevens goed en veilig worden opgeslagen; – deze gegevens niet verkocht kunnen worden zonder expliciete toestemming; – bij verlies of diefstal van deze gegevens, een meldplicht geldt, zoals dit in veel landen al het geval is.

    Kan iemand mij vertellen wat het grote kwaad in getargette advertenties is, boven ‘normale’ advertenties?

  18. Aan het begin van de vorige eeuw vond niemand het een probleem om het geloof van een Nederlander vast te leggen in het bevolkingsregister; we konden de Nederlandsche overheid toch vertrouwen… Het probleem met het vastleggen van informatie die te herleiden is tot een persoon, is dat we nu niet weten hoe die informatie in de toekomst ge-/mis-bruikt gaat worden.

    @Bart: Hoe zou je het vinden als je favoriete webwinkel haar prijzen aanpast aan het aantal prijsvergelijkingssites dat je voor je aankoop bezocht hebt? (En dat niet aan haar klanten vertelt!) Dat is een ander (mogelijk) gebruik van tracking informatie.

  19. Op het moment dat opt-in of opt-out de vraag wordt, ben je al te laat als het om de mogelijkheid gaat om je webgedrag te tracken. Op het moment dat jouw browser contact maakt met een webserver geeft die browser al zoveel informatie weg dat jij als gebruiker in de praktijk uniek te identificeren bent. Zie voor een discussie bijvoorbeeld dit artikel over het herkennen van browsers: https://panopticlick.eff.org/browser-uniqueness.pdf.

    Op het moment dat middels wetgeving het gebruik van cookies wezenlijk en effectief aan banden gelegd wordt, zullen geïnterresseerde dataverzamelaars overgestapt zijn op andere technieken die ervoor zorgen dat in de eigen informatiebehoefte voorzien wordt.

    Ik zie maar ??n mogelijkheid voor de gebruiker om hieraan te ontsnappen: voorkom dat je webbrowser op enigerlei wijze contact opneemt met allerlei “third-parties”. Een aantal domeinen blokkeren in je DNS is een mogelijkheid. Adblock-plus is een voorbeeld van een plugin-techniek die ervoor zorgt dat geen contact opgenomen wordt met vreemde sites terwijl gebruikers zelf makkelijk inzicht kunnen krijgen in welke sites dat zijn en eigen sites kunnen toevoegen.

    Microsofts TPL is een voorbeeld van een techniek die de plank misslaat. TPL maakt het mogelijk om te abonneren op een of meerdere (no-)tracking lists. Deze lijsten bevatten namen van zowel “verboden” als “toegestane” sites. Als je meerdere lijsten installeert en een van de lijsten markeert een site als “toegestaan”, dan is de site toegestaan. Het vergt weinig sociale-ingenieurskunst om gebruikers te verleiden om een lijst met super obscure sites te installeren die tevens 99 % van de grootste trackers die zichzelf respectabel vinden als “toegestaan” bevat.

    De door Mozilla geïntroduceerde DNT (Do Not Track) header als teken van default opt-out werkt niet vanwege bovengenoemde identificeerbaarheid van de browser/gebruiker.

    Als we met wetgeving wat willen bereiken moet die wetgeving zich richten op het verzamelen van informatie met het doel gebruikers te volgen. Ik zou Hans (@19) opmerking over moorden en messen iets anders willen formuleren. We willen geen wetgeving die het “moorden met messen” regelt. Er is behoefte aan wetgeving op het gebied van “moorden”.

  20. @MathFox Hoe ik het zou vinden dat een webwinkel de prijzen aanpast aan hoeveel prijsvergelijkers ik heb bezocht? Geen probleem toch? Waarom is dat erg? Zo werkt het in ‘echte’ winkels toch ook? Als jij al 5 keer heftig twijfelend met je vrouw naar die ene keuken komt kijken wil de verkoper je misschien wel een aanbod doen tegen een aantrekkelijkere prijs, terwijl als je op een dag binnenkomt en direct roept ‘doe me die maar’, dan betaal je misschien iets meer.

    Online kan dat toch ook? Als de winkel door jouw surfgedrag ziet dat jij iemand bent die per se de laagste prijs wil betalen en bereid bent daarvoor een tijdje te surfen, en de marges van die winkel laten het toe om jou een aanbod te doen voor een lage prijs, dan is er toch niets aan de hand als je dat aanvaardt?

    Je analogie over geloof vastleggen omdat de ‘overheid toch wel te vertrouwen is’ gaat niet echt op, daarom pleit ik ook voor wetgeving die vertelt wat je wel en niet met dit soort verzamelde gegevens mag doen. Ik vind echter dat getargette advertenties, en dat is waar de hele cookie discussie volgens mij grotendeels op gebaseerd is, niet echt een privacyschending zijn.

  21. @Bart, vaak gaat dit soort profiling fout. Als mijn vriendin op mijn laptop bij Amazon heeft lopen browsen, krijg ik aanbiedingen voor make-up en damesondergoed. Lees bijvoorbeeld ook: When Profiling Goes Wrong.

    De drijfveer achter profiling is uiteindelijk geld. Bij een webshop is dat te overzien, die wil geld verdienen door de klant ter wille te zijn en te binden. En in eerste instantie kan tracking worden gebruikt zodat passende advertenties kunnen worden getoond. Maar de “third-party profilers” gaat het er om zoveel mogelijk data over zoveel mogelijk personen te verzamelen. Dit gebeurt al lang offline en online, maar met profieldata verkregen door tracking kan deze verder worden “verrijkt”.

    En dan komen bijvoorbeeld de telecomproviders en energiebedrijven langs met een zak geld. Nu al worden telefoonabonnementen geweigerd omdat de aanvrager in een verkeerde “besmette” postcode woont. En met name ouderen worden door gladde verkopers getarget en bewust misleid om ze van telefoon- of energieaanbieder te laten wisselen.

    Noem mij cynisch, maar ik denk dit allemaal op nog veel meer manieren mis kan gaan als met behulp van tracking een veel gedetailleerder profiel kan worden opgesteld dan alleen een postcode of een leeftijd. En zeker als dit soort profieldata aan reeds vergaarde persoonsgegevens wordt gekoppeld. En ik hou mijn hart vast als de hypotheekverstrekkers en (zorg)verzekeraars serieus mee gaan doen, en deze technieken niet alleen voor marketing maar ook voor acceptatie gaan gebruiken.

  22. @Robert, Exact mijn punt. Zodra die grote partij met die zak geld langs komt, wat inderdaad vaak banken, verzekeraars telecomboeren en dat soort clubs zijn, dan wordt het link. Vandaar dat ik mijzelf nog even quote: Ik zou eerder voorstander zijn van wetgeving die zorgt dat:(…)deze gegevens niet verkocht kunnen worden zonder expliciete toestemming. En dan is ‘expliciet’ natuurlijk niet een verborgen vinkje buiten het scrollgebied van de browser. Er is vast een standaard tekst en een minimale grootte die bij dat soort vinkjes aanwezig moet zijn, net als die er bij de AFM is voor de waarschuwing ‘pas op, geld lenen kost geld’.

  23. @20/MathFox

    Daar heb je opzich gelijk in, maar mijn punt is meer dat ik niet of nauwelijks geloof in dat wetgeving een relevant steentje kan bijdragen aan de realiteit die heerst op internet.

    Het gaat me te ver om mezelf als expert te zien op dit vlak (nouja, een heel klein beetje misschien :)) maar ik zie weinig andere mogelijkheden dan al die ‘bullcrap’ zelf maar filteren dmv adblock en een zo goed mogelijke filterlijst. Tot nu toe is adblockplus met easylist&easyprivacy het beste wat ik daarvoor tegen ben gekomen.

    Helaas zijn er ook wel andere manieren van tracking zoals browser fingerprinting ( http://panopticlick.eff.org/ ) of POST requests of simpelweg ip adres of etc… (ook een leuke in deze context: http://samy.pl/evercookie/ ).

    Heb wel eens overwogen mijn browser fingerprint wat meer generiek te maken maar eigenlijk gaat me dat toch te ver en bij mijn weten wordt hier ‘in the wild’ nog niet enooorm veel mee gedaan dus dat laat ik maar even voor wat het is. Hetzelfde geldt voor zover ik weet voor de andere alternatieve tracking methoden.

    Met eerdergenoemde lijsten hoop ik een goed deel te pakken te hebben en daar moet ik maar vrede mee hebben, tis nie anders en het moet wel ‘leuk’ blijven maar dat neemt niet weg dat ik geen behoefte heb aan getracked te worden, achjaaaa 🙂

  24. Misschien is het handig voor deze discussie om wat meer te weten over hoe tracking cookies werken. Want mensen hebben misschien een idee dat het cookie allerlei gegevens gaat uploaden. Dat is helemaal niet het geval! Een tracking cookie bevat alleen een unieke code om daarmee de bezoeker te herkennen. Meer is ook niet nodig, hoewel er soms meer in zit. Bij het bezoek aan bepaalde sites wordt de code uit het cookie naar de server verstuurd op het moment dat je een request naar een server doet. Die request bevat nog meer informatie zoals het soort browser wat je gebruikt, welke site je eerst was, waar je naar toe wilt en nog veel meer, maar die informatie is sowieso nodig voor de werking van het Internet. Wat er vervolgens gebeurt is dat de unieke code in het cookie op de webserver is verbonden met een record in een database op de server. In dit record zit verder alle overige gegevens over de bezoeker en deze wordt aangevuld met informatie uit de nieuwe request. Op die manier wordt een compleet spoor bijgehouden van de bezoeker. Maar een unieke code kun je ook op andere manieren verzenden! Een GUID zou al voldoende zijn en dat zijn maar 32 tekens. Deze kunnen ook eenvoudig in een POST request worden verborgen of die geef je met de URL via een GET request mee. Maar die code, ongeacht de manier waarop je deze doorgeeft, verwijst naar een record in de tracking database op de server. En wat daarin allemaal is opgeslagen is eigenlijk niet bekend bij de meeste internettende personen. Dit kan vrij beperkt zijn tot je IP adres, browser keuze en de sites die je hebt bezocht maar eventueel ook gekoppeld zijn aan duidelijk persoonsgebonden gegevens zoals naam, adres, email adres enzovoorts, mits je die gegevens ooit hebt doorgegeven. Als je b.v. een GMail account hebt en Google als OpenID provider voor andere sites gebruikt dan kan Google al enorm veel informatie over jou verzamelen!

  25. @Chris, je hebt gelijk dat wetgeving weinig schijnt te helpen; handhaving is veel belangrijker. (Zie het verschil tussen OPTA, die spam bijna uitgeroeid heeft en het CBP die geen vuist durft te maken tegen verkoop van adresbestanden.) Maar om regels te kunnen handhaven moeten ze er wel eerst zijn… Het wordt dus zoeken naar effectieve, handhaafbare regels. (Voor redenen van effectiviteit moet het simpel gebruikmaken van servers/services in het buitenland geen ontsnappingsmogelijkheid zijn.)

    Dat is mijn reden om makers van (Nederlandse of op Nederland gerichte) websites verantwoordelijk te stellen om ervoor te zorgen dat alles wat via hun webpagina’s gevolgd (getrackt) wordt aan de Nederlandse regels op dat gebied voldoet. Ik zou graag zien dat een waakhond met tanden (OPTA) een en ander bewaakt.

  26. @Wim, http is stateless. Met GET en POST kan wel tracking worden geimplementeerd, maar alleen door de site die je bezoekt en door eventuele third-party trackers, maar dan ook beperkt tot de site die je bezoekt.

    Wanneer er echter cookies worden gebruikt kan dezelfde third-party tracker je van site tot site volgen (mits er met die sites een afspraak is gemaakt of wordt gebannerd). Zonder cookies kan je dus op site A en site B worden gevolgd, maar zonder aanvullende info kan je profiel op site B niet worden gematched (en samengevoegd) met het profiel dat op site A van je is gemaakt. Met cookies is dat kinderspel, en als er dan ook nog aanvullende info is kan die met het zojuist ontstane superprofiel worden samengevoegd. Een OpenID provider kan dit natuurlijk ook, omdat je inlogt en jezelf daarmee identificeert, maar daar heb je zelf tenminste nog een overeenkomst mee die je vrijwillig bent aangegaan (zeg maar opt-in).

    @Bart, verbieden informatie te verkopen zal leiden tot het ontstaan van profileringsdiensten. Een beetje zoals de BKR, waar je met enige moeite nog inzage en correctie kan eisen, en de meer onzichtbare creditcheckers die door mobiele telefoniebedrijven worden (werden?) gebruikt.

  27. @Robert, HTTP is inderdaad stateless maar GET en POST requests hebben goede mogelijkheden om alsnog een soort van “state” bij te houden. Dit kan ook door middel van een third-party tracker en kan al zo eenvoudig zijn als een bitmap van 1 pixel of een inline frame. Je roept dan site A aan maar de pagina bevat een referentie naar site B en dus gaat er ook informatie naar B. En omdat tegenwoordig browsers ook al het een en ander pre-fetchen kan het gebeuren dat je browser alvast een pagina probeert op te halen voor je deze hebt bezocht. Wel is het zo dat zonder cookies het volgen een stuk lastiger is, hoewel ook het IP adres al voldoende kan zijn! Zo’n 15 jaar geleden had iedereen een dynamisch IP adres omdat je moest inbellen en daarbij stteds je IP veranderde. Tegenwoordig heeft iedereen een vrij vast IP adres zodat dit al redelijk betrouwbaar is. Maar er is natuurlijk ook nog zoiets als OpenID wat door Google, Yahoo, Twitter en diverse andere bedrijven wordt aangeboden als mogelijkheid om ook op andere sites in te loggen. Dan kun je b.v. op stackoverflow.com inloggen met je Google account waardoor je geen tientallen accounts hoeft te onthouden. Maar daarvoor is weer validatie nodig bij Google en krijgt Google dus informatie binnen dat je die betreffende site hebt bezocht! Overigens, ook webbrowsers zelf en add-ins binnen browsers kunnen de nodige tracking informatie verzamelen. Google Chrome heeft dit sowieso standaard ingebouwd! Het excuus is dat ze services helpen om te helpen met navigatie-fouten en het blokkeren van malware. Maar er is ook gewoon een optie (die je uit kunt zetten) die zegt dat je Chrome toestemming geeft om informatie over het gebruik van je browser door te sturen naar Google! In dat opzicht is een cookie wel handig, maar er zijn teveel alternatieve tracking-methodes die deze wetgeving gewoon waardeloos maken… Maar goed, tracking zonder cookies over meerdere sites, is dat mogelijk? Wel via IP adres, maar andere methodes? Je kunt wel per site nog informatie bijhouden maar hoe koppel je de data van meerdere sites aan elkaar? Dat is waar een cookie bij helpt. Maar er zijn volgens mij goede alternatieven, waaronder dus de browser zelf met ingebouwde, extra services en diverse add-ins.

  28. @MathFox, het enige wat je kunt doen is een browser verbieden in Nederland omdat deze de privacy schendt. Maar FireFox, Internet Explorer, Opera en Chrome worden allen in het buitenland geproduceerd en gaan zich niet aan de vele verschillende wetgevingen op deze hele wereld aanpassen. Hetzelfde geldt voor alle add-ins die ze gebruiken. Maar een product verbieden die in het buitenland gewoon legaal te krijgen is? Dan gaan we echt China achterna!

    Ik blijf erbij dat al deze moeite en energie beter gestoken kan worden in betere voorlichting van de gebruikers. Beter dat gebruikers goed geinformeerd zijn over de risico’s of dat er wetten worden aangenomen die gebruikers gewoon onwetend houden…

  29. @Wim, tracking zonder cookies is heel goed mogelijk. Dat is wat het panopticlick project laat zien. Je kijkt simpelweg naar de vingerafdruk van de webbrowser: welke browser, welke taal, tijdzone, plugins, geinstalleerde fonts en dat soort dingen. Meer dan 87 % van de browsers is daarmee uniek te identificeren, zelfs zonder naar het IP adres te kijken. En als de gebruiker instellingen verandert of de browser upgrade is die in tweederde van de gevallen nog steeds herkenbaar.

    Surfen met een smartphone is helemaal een walhalla voor trackers en profielenbouwers. Nieuwe geo-locatie functies in HTML5 bieden interessante mogelijkheden. IPv6 adressen bevatten in veel implementaties een gedeelte dat volgt uit unieke (hardwaregebonden) informatie.

  30. @Wim, je kunt ook de importeur een boete opleggen, of een dwangsom. (Eigenlijk zouden de privacy-regels op EU nivo vastgesteld moeten worden; dat maakt het voor de browserbouwers rendabel om aanpassingen te maken.)

    Als het zelfs voor een goed ge?nformeerde gebruiker lastig is om de huidige browsers redelijk (90%) privacy-vriendelijk te krijgen, dan zit daar ??n van de privacy-gaten. (Waarom wordt er een “Referrer” header meegestuurd in het http verzoek?)

  31. @MathFox, dan ga je er van uit dat er een importeur is. Maar in de wereld van het Internet zijn er geen grensen als het om software gaat. En het wordt al helemaal lastig met open-Source browsers zoals FireFox. Daarnaast dwing je zo om software-fabrikanten hun software aan te passen aan de eisen van ieder willekeurig land, waarbij die eisen ook nog eens in conflict kunnen zijn met dat van andere landen. China is al een flinke lastpost met hun censuur-regels en beperkingen maar als wij, Europeanen ook nog eens moeilijk gaan doen… Denk niet dat het weinig indruk zal maken.

    De referrer wordt door veel web-applicaties gebruikt als controle-middel om te zien of een verzoek van binnen of buiten de site afkomstig is. Het is meestal een handig middel om directe links naar pagina’s te blokkeren doordat je eerst naar de referrer kijkt. Is die referrer niet de pagina die je zou verwachten dan blokkeer je het verzoek en geef je b.v. een fout-pagina. Je kunt de referrer dan beschouwen als een eenvoudige beveiligings-methode, hoewel er wel omheen te werken is…

  32. @Wim, Als ik als politicus de keuze moet maken tussen miljoenen gebruikers hun browser “privacy vriendelijk” te laten configureren (inclusief add-ons…) of een tiental browsermakers te dwingen om privacy vriendelijk geconfigureerde browsers te leveren: dan is de laatste optie minder kostbaar en veel effectiever. Spyware producenten mogen hard aangepakt worden.

    Als ik met de ogen van een privacy activist naar de referrer header kijk: Waarom zou Google moeten weten welke webpagina ik bekijk als mijn browser om een advertentie vraagt? Is het geen (ongeoorloofde) inbreuk op mijn privacy om die informatie naar een partij te sturen die niets van doen heeft met het oplepelen van de webpagina waar ik om gevraagd heb?

  33. @MathFox, hoe wil je maatregelen nemen tegen software-fabrikanten die geen vestigingen in Europa hebben? En hoe wil je open-source webbrowsers aanpakken? En hoe wil je controleren of browsers ook daadwerkelijk aan de privacy-wetgeving voldoen? Sowieso, kijk naar de bestrijding van spyware… Dat is letterlijk dweilen met de kraan wijd open. Kraan? Zeg maar gerust brandweer-spuit! Voor iedere spyware fabrikant die je weet op te pakken komen er weer 50 nieuwe bij. En dan nog, heb je een fabrikant te pakken en moet je hem nog veroordeeld krijgen. Ofwel, bewijs verzamelen en een waterdicht verhaal weten te krijgen want die fabrikant blijft nog steeds onschuldig tot het tegendeel is bewezen. En na de rechter volgt nog een hoger beroep. En daarna nog wat vertragende procedures… En al die gerechtelijke procedures kosten geld. Veel geld, die je niet op de fabrikant kunt verhalen want die heeft daar toch niet genoeg geld voor. Wat erger is, het gehele gerechtelijke apparaat wordt door zoveel zaken dusdanig overbelast dat het niet lang vol te houden is!

    Betreffende de referrer… Stel, ik heb plaatjes op mijn website die ik deel met anderen. Plaatjes zijn copyrighted en de site die ze vertoont toont tevens wat reclame zodat ik enige inkomsten heb van de vele bezoekers van mijn site. Voor het laden van die site voert de browser twee requests uit, namelijk eentje om de HTML en de advertentie op te halen en daarna een tweede request voor het plaatje. En bij het ophalen van het plaatje is de site de referrer. Nu kunnen mensen het plaatje van mijn site downloaden en zelf elders vertonen maar wat ook vaak gebeurt is dat andere sites gewoon gaan hotlinken naar het plaatje op mijn site. Dat betekent dat mijn plaatje op hun site zichtbaar is, maar niet mijn reclames! Er is geen sprake van copyright-schending (of misschien wel, maar de status is twijfelachtig bij hotlinken) maar ik mis wel inkomsten uit reclame! Door mijn site nu intelligenter te maken door bij het opvragen van plaatjes eerst de referrer te controleren kan ik dergelijke hotlinks dus blokkeren, behou ik dus weer mijn reclame-inkomsten en zullen andere sites mijn plaatjes dus moeten kopieren als ze deze ook tonen! En in dat geval is het een duidelijke copyright-schending en kan ik maatregelen nemen via de ISP of de rechter…

  34. @Wim, leuk zoals je die referrer informatie gebruikt, maar is het juridisch wel in de haak dat je die informatie krijgt (en verwerkt)?

    Je krijgt persoonsgegevens (IP-adres, identificerend volgens CBP) en informatie over wat die persoon doet (een andere pagina bekijken.) Die extra informatie is niet noodzakelijk om de geleverde dienst (foto tonen) uit te voeren. (De URL van de foto is essentieel, maar je kunt ook zonder referrer header de correcte foto serveren.)

    Maar nu je persoonsgegevens verwerkt moet je aan de eisen van de WBP voldoen: – privacy regelement – informeren van de gebruiker over de verwerking – toestemming vragen voor de verwerking

  35. @MathFox, of het wel of niet juridisch in de haak is, daar is volgens mij nooit over nagedacht toen de HTTP standaard werd opgezet. In de HTML5 standaard zit zelfs een geolocation mogelijkheid ingebouwd waarmee de pagina jouw locatie kan weergeven. Dit komt deels omdat HTML5 opgezet is om ook op mobiele devices te werken, zoals je Android tablet, iPad, iPhone of Windows 7 Phone. Handig hoor, GPS in die apparatuur, wat voor gebruikers vaak wenselijk kan zijn. Als je immers de meest dichtbijzijnde boekwinkel wilt vinden, dan is het handig als een app of site al weet waar je nu bent.

    Er is natuurlijk nog iets anders dat meetelt, namelijk welke nationale wet betrekking heeft op mijn site. Als mijn webhost in de USA staat en mede beheerd wordt door iemand uit b.v. Kameroen en Australie dan is de wettelijke regelgeving voor de site al wat vager. De WBP is alleen van toepassing voor websites die in Nederland worden gehost of die de Nederlandse burger als gewenste bezoeker hebben. Als ik een site opzet voor Braziliaanse modellen die op zoek zijn naar Canadese partners dan heeft de Nederlandse wet nog maar weinig zeggenschap. En ik noem nu wat rare voorbeelden maar het Internet zit vol van dit soort rare sites! 🙂

    Maar terug naar de referrer. Die referrer heb ik nodig om de juiste dienst te kunnen verlenen! Het is namelijk een voorwaarde dat bezoekers de reeclame op de site moeten kunnen bekijken en dus niet rechtstreeks naar het plaatje mogen gaan. Want alleen op die manier krijg ik inkomsten uit die reclame-diensten. De bezoeker moet dus een wederdienst verrichten. Als bezoekers proberen dit te omzeilen dan wil ik dat weten en afstraffen door ze niet het plaatje te tonen maar een waarschuwing dat ze op die manier mijn site niet mogen benaderen. Maar is die referrer wel zo interessant? Zoals je al zegt, het IP adres is al een duidelijke identificatie en in combinatie met de browser informatie kan ik van iedere bezoeker precies bijhouden welke pagina’s ze bezoeken en wat ze er uitvoeren! Dit gebeurt sowieso al binnen de meeste webservers, omdat de meeste servers gewoon een logboek bijhouden.

    Wat betekent dit eigenlijk? Dit betekent dat websites altijd wel persoonlijke informatie kunnen opvissen over de bezoekers en dat kun je alleen voorkomen door die sites gewoon niet te bezoeken! Als gebruiker moet je beseffen dat je informatie over jezelf deelt met websites zodra je begint te bladeren. Hoe je daar mee om gaat is iets dat je als gebruiker gewoon moet leren. Gewoon leren hoeveel informatie je steeds vrijgeeft bij ieder bezoek en weten in te schatten hoe schadelijk dat mogelijk is. Eventueel gebruik maken van een proxy server om meer anoniem te zijn, niet overal je gegevens invullen en je email adres met niemand delen. Maar waar het om gaat is de balans tussen het gemak van de aangeboden diensten en je privacy. Hoe meer pricavy je wenst, des te minder diensten je kunt gebruiken…

  36. Volgens mij is de http standaard ouder dan onze privacy-wet; het komt in ieder geval uit een tijd dat er heel veel minder mensen toegang tot internet hadden dan tegenwoordig.

    Hoe dan ook, je kunt praten over jurisdictie, maar het merendeel van de op Nederland gerichte websites wordt door Nederlanders beheerd op servers in Nederland. Van de “gegevensverzamelaars” zijn er ook een paar in Nederland gevestigd en de overheid zou ook multinationals met een vestiging in Nederland kunnen aanpakken (als ze wilde.) Daar ligt het probleem: de wet wordt niet gehandhaafd… Er is een gedoogbeleid voor grootschalige handel in persoonsgegevens. Gegevensverzamelaars worden niet aangepakt; hun medeplichtigen (de beheerders van webpagina’s met inline links) gaan vrijuit en de browserbakkers stoppen steeds meer spyware features (geolocation) in hun mainline browsers.

    Wim, ik heb al eerder gezegd dat ik er geen probleem mee heb dat Arnoud weet hoe vaak ik Iusmentis bezoek. Maar ik zou het hem kwalijk nemen als hij die informatie doorspeelde aan een derde partij. Dat is precies wat er gebeurt wanneer iemand een inline image (advertentie) opneemt. De referrer header verklapt welke site ik bezoek. @Arnoud: Denk je dat er rechters te vinden zijn die we kunnen overtuigen dat dit ongevraagd doorspelen van persoonsgegevens aan adverteerders op een webpagina een listige kunstgreep van de beheerder van de website is? 99% van de medelanders kent de details van HTML en HTTP onvoldoende om te kunnen inschatten wat er allemaal achter de schermen gebeurt.

  37. Nee, dat lijkt me geen oplichting (want daar komt de zinsnede ‘listige kunstgreep’ uit). Daarvoor moet er wel iets van kwade trouw, aftroggelen zijn. Dat zie ik hier niet. Het is een gebrekkige vorm van informeren (dus schending wet bescherming persoonsgegevens) maar strafbaar? Nee.

  38. @MathFox, HTTP 1.1 is een officiele standaard sinds 1997. (In 1999 kwam daar nog een update op.) De vroegste versie 0.9 stamt uit 1991 en stond aan de basis van het Internet zoals we dat nu kennen. HTTP 1.0 was in 1996 de opvolger en maakte meer dynamischere pagina’s mogelijk. De Referrer header was ook al voor 1995 in gebruik, hoewel in die tijd ook nog eens fout gespeld was! In de officiele standaard werd het veld “Referer” genoemd, terwijl het “Referrer” had moeten zijn. 🙂 Geeft ook aan hoeveel haast men eigenlijk had met het opzetten van een Internet-standaard! Er werd gewoon weinig naar juridische gevolgen gekeken domweg omdat men niet eens wist hoe populair het zou worden. Zelf zat ik in 1993 al te Internetten met mijn oude Mozilla browser en CompuServe software. Was leuk en aardig maar als iemand mij toen verteld had hoe groot het Internet uiteindelijk zou worden, dan had ik hem nooit geloofd! Maar in die 18 jaar is er enorm veel veranderd en ik denk dat weinigen dit hadden kunnen voorzien. En nu is het Internet zo groot geworden dat het enorm overheerst en dus ook grote, juridische gevolgen met zich meebrengt. Zo’n 20 jaar geleden had men ook niet de impact kunnen voorspellen die het Internet op de privacy kon hebben. En niemand kon voorzien dat de gegevens die moderne webservers kunnen verzamelen zo enorm veel waard kunnen worden.

    Waar je je overigens zorgen over mag maken zijn de vele bedrijven die nu hun software op wolkjes laten draaien. Jazeker, Cloud computeren… Want stel dat je een dienst afneemt bij een bedrijf die hun site in de Azure Cloud van Microsoft laat draaien. Best leuk en aardig, maar nu is het niet alleen dat bedrijf die informatie over jou krijgt. Ook Microsoft krijgt nu een enorme hoeveelheid data die ze bij kunnen houden van bezoekers die bepaalde Cloud diensten bezoeken en die informatie kunnen ze bij Microsoft combineren tot een compleet gebruikers-profiel! Leuk ook als je een HotMail account hebt, of Windows op je PC en een update doet, of als je een MSN Messenger account hebt, of als je wel eens direct in de Microsoft Webwinkel wat gekocht hebt… Met al die Cloud diensten die Microsoft onder hun vleugels heeft kan dit bedrijf een enorme inbreuk op je privacy doen en wij moeten maar hopen dat Microsoft dit niet zal doen. Overigens, de Google Cloud, of die van Amazon en RackSpace, daar geldt ongeveer hetzelfde voor. En moet je niet ook druk gaan maken om je privacy bij je eigen Internet provider? Immers, je eigen provider ziet alles wat jij online uitvoert en kan daar ook profielen van bijhouden. Okay, als je SSL gebruikt dan is dat al weer wat moeilijker maar toch… Je provider kan ook misbruik maken! En als het niet je provider is, wat dan voor al die DNS-providers en andere tussenstations die op het Internet al het dataverkeer in goede banen brengen? Kortom, hoe paranoide kun je worden als het om je privacy gaat? Simpel gesteld, als je de maximale privacy wilt, moet je niet online gaan…

  39. Wim, ik heb ook zo mijn vraagtekens over de privacy aspecten van cloud-computing… maar ik herhaal wat ik in mijn vorige post gezegd heb: Als de overheid schendingen van de privacy wetgeving eens ging aanpakken dan zouden de grootste privacyschenders hun gedrag aanpassen. (Met geschreeuw dat ze onrechtvaardig behandeld worden…) De overheid zal onge?venaard de grootste schender worden. (Bewaarplicht en duizenden databasedumps van banken, verzekeraars en luchtvaartmaatschappijen.)

    “Als je maximale privacy wil, moet je een kluizenaar worden”… Maar daar hebben we het niet over. Ik vraag om respect voor het wettelijke recht om informatie te krijgen over het verzamelen van gegevens over mij, respect voor mijn inzagerecht, kortom dat bedrijven de wet respecteren.

  40. @MathFox, overheden kunnen alleen schendingen aanpakken die worden gepleegd door bedrijven binnen hun rechtsgebied. Een buitenlands bedrijf aanpakken om diezelfde redenen heeft maar weinig effect. Daarnaast heb je op Internationaal niveau te maken met diverse wetten die elkaar ook nog eens tegenspreken! Wat legaal is in Nederland hoeft nog niet legaal te zijn elders op deze wereld, en andersom! Maar dat zie je vooral ook terug in hoe diverse landen op deze wereld proberen om online porno en gewelddadige spellen te bestrijden. Was er niet laatst een politicus in Indonesie die ontslag moest nemen omdat hij betrapt werd op het bekijken van porno? En we weten van de grote Firewall van China, maar wist je dat ook de Australische wetgeving enorm zware regels probeert op te leggen op het internet-gebruik en Australische providers wil dwingen om het Internet te filteren? Dat de Nederlandse regering nu cookies wil aanpakken klinkt leuk, maar stelt in de praktijk eigenlijk niets voor. Door een techniek als Cloud Computing is het voor veel bedrijven een stuk goedkoper geworden om een site op te zetten om gegevens mee te verzamelen. Spammers doen dat sowieso al vele jaren, want die gegevens zijn veel geld waard. Wat de wetgeving alleen maar doet is het ontwikkelen van web applicaties moeilijker maken voor legitieme bedrijven maar malafide bedrijven zijn gewoon niet goed aan te pakken. De bestrijding van Spam is het meest duidelijke voorbeeld. Spammers in Nederland krijgen een boete, maar de vraag is in hoeverre die boete opweegt tegen de winsten die deze bedrijven door de spam maken! Spammers buiten Nederland trekken zich al helemaal niets aan van onze wetgeving. Wat privacy-schenders dan gaan doen is al hun kantoren en vestigingen uit Nederland halen en b.v. in Rusland plaatsen, waar de wetgeving nog redelijk soepel is. Vervolgens gaan ze gewoon door met het aanbieden van hun diensten aan de Nederlandse bevolking en krijg je dat de regering dan maar internet-filters moet gaan instellen. Filters die eenvoudig te omzeilen zijn, maar die ook misbruikt kunnen worden om maatschappij-kritische websites te blokkeren. Of om een site als WikiLeaks te blokkeren. Willen we een dergelijke censuur in Nederland? Want dat wordt uiteindelijk de enige mogelijkheid.

    Ik blijf erbij dat de bevolking meer gebaat is in een betere kennis van Internet-gebruik. Het is beter om duidelijke voorlichtings-campagnes te maken en bijscholing aan te bieden waarin mensen worden geleerd om met hun privacy online om te gaan.

    Er is overigens nog iets waar je over moet nadenken bij Cloud Computing… Een enorm aantal bedrijven, waaronder b.v. financiele instellingen, zijn al bezig om hun administratie onder te brengen in de Cloud. Dus niet meer hun eigen servers onder eigen beheer, maar de Cloud servers van b.v. Google, RackSpace of Microsoft. Dat betekent dat al hun klant-informatie opeens op vreemde servers in het buitenland worden opgeslagen! Er is hier geen duidelijke wetgeving voor en we maken ons kennelijk liever druk om cookies op onze computers dan onze bankgegevens in de Google Cloud… Dat blijf ik vreemd vinden… Jij niet?

  41. De kogel is door de kerk en er komt dus een opt-in voor cookies. Even los van de technische discussie over de zin en onzin van dit besluit vraag ik me af of de gratis nieuws-sites die leven van de advertentie inkomsten simpelweg de dienstverlening mogen weigeren aan gebruikers die de tracking cookies niet willen hebben?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.