“Volg-me-nietregister voldoet niet aan nieuwe privacywet”

Het cookieicoon is leuk, maar wie zich aan de nieuwe privacywet wil gaan houden heeft er niets aan. Dat is ongeveer de samenvatting van het advies dat de Europese privacytoezichthouders (pdf) vorige week uitbrachten.

Al een hele tijd wordt er gesteggeld over de nieuwe privacywet, met name op het gebied van cookies. Doel van de nieuwe privacyrichtlijn is namelijk onder meer het tracken en profilen van burgers aan banden te leggen. Daar is straks altijd toestemming voor nodig, ook (juist!) als dat langs indirecte weg gebeurt. Precies, via cookies dus.

Wie de privacyrichtlijn letterlijk leest – en zeker het Nederlandse wetsvoorstel dat erop gebaseerd is – ziet dat het er eigenlijk op neerkomt dat je voor elk cookie toestemming moet vragen als dat cookie ingezet wordt bij profiling of tracking. En dat gaat dus niet werken.

De marketingbranche heeft een alternatief ontwikkeld, en wel het icoon rechtsboven. Dit komt dan op of bij een advertentieblokje te staan. Wie zo’n advertentie ziet, kan op het icoon klikken en gaat dan naar Your Online Choices, waar hij kan zien welke cookies er al bezig zijn hem te tracken en welke firma’s dat allemaal (willen) doen. Tevens kan daar dan een einde aan worden gemaakt.

Volgens de privacytoezichthouders is dit echter absoluut onvoldoende. Ten eerste snapt op dit moment niemand wat dat icoon betekent, dus je wordt niet (zoals wettelijk vereist) adequaat geïnformeerd over wat er allemaal gebeurt. Ten tweede wordt alleen gesproken van “advertenties” terwijl er eigenlijk “gepersonaliseerde advertenties” zou moeten staan.

Maar, het allerbelangrijkste: zo’n icoon is natuurlijk een opt-out terwijl de wet een opt-in eist. Je bent al gedragsmatig geprofileerd tegen de tijd dat je dat icoon ziet, en daar heb je op dat moment nog geen toestemming voor gegeven.

Daar is natuurlijk wel een draai aan te geven: toon eerst alleen generieke advertenties, en bied het icoon als optie om expliciet het profileren/tracken aan te zetten zodat je alleen nog maar relevante advertenties kunt zien. Maar is “geen Libresseadvertenties meer voor mannen” genoeg incentive om naar zo’n site te gaan?

Nog even afgezien van het praktische punt dat de opt-out op die site niet adequaat blijkt te werken, en dat als ie dat wél doet mensen (net als bij het Bel-me-nietregister) massaal gaan opt-outen zonder aanziens des persoonsadvertentienetwerks zodat dan effectief het hele targeted advertising op z’n gat gaat.

Hebben jullie jezelf al ontvolgd op Your Online Choices? Of juist expliciet een volging aangezet?

Arnoud

9 reacties

  1. Ik zie eerlijk gezegd het nut niet zo van een centraal geregistreerde opt-out. Ik heb zelf ge-opt-out via Ghostery. Dat draait op jouw persoonlijke pc en dan weet je tenminste zeker dat het werkt en niet stiekum toch wat trackt. Een verplichte deelname aan een centraal register waar ghostery en adblckplus gebruik van kunnen maken lijkt me nuttiger.

  2. Ik hou de opt-out ook liever zelf in de hand (met Adblock, noscript en het niet automatisch accepteren van cookies.) De volg-me-niet website werkt voor mij totaal niet (noscript), het vereist ook het accepteren van “third party cookies” wat ook een groot privacy-probleem oplevert.

    Ik denk dat er zeker een plaats is voor een “privacy respecterende” web browser, zoals de Tor ontwikkelaars voorstaan.

    P.S. Arnoud, Iusmentis scoort goed op mijn privacy-checklist. Ik zie wordpress-author cookies… (wat doet die __utma, die lijkt wel oud.)

  3. Ik heb me wel ge-opt-out, maar het lijkt niet goed te werken. Bij de meeste ad-netwerken krijg je de melding dat het niet gelukt is om “Verbinding te maken”. Hierna blijft het betreffende netwerk je dus wel volgen. Daarnaast lijkt hij de instellingen niet op te slaan.

    Op een iPhone is het helemaal een drama…

  4. Wie de privacyrichtlijn letterlijk leest – en zeker het Nederlandse wetsvoorstel dat erop gebaseerd is – ziet dat het er eigenlijk op neerkomt dat je voor elk cookie toestemming moet vragen als dat cookie ingezet wordt bij profiling of tracking. En dat gaat dus niet werken.

    Dat klinkt alsof het de normaalste zaak van de wereld is dat iemand je overal volgt. In de fysieke wereld heet dat stalking en dat is strafbaar. Dat om je toestemming wordt gevraagd onder het nieuwe voorstel is dan ook wel het minste wat men kan doen.

    Persoonlijk denk ik dat de ‘marketingbranche’ er zo huiverig voor is omdat dan opeens bij het EULA-schuwe publiek bekend wordt wat de ‘marketers’ de afgelopen jaren hebben uitgevroten.

  5. dat het er eigenlijk op neerkomt dat je voor elk cookie toestemming moet vragen als dat cookie ingezet wordt bij profiling of tracking. En dat gaat dus niet werken.

    Ik zie niet waarom het een probleem is dat dat niet praktisch gaat werken. De hele profiling industrie is een hele enge bedrijfstak als die opereert op een manier die alleen kan werken als mensen in hun privacyrechten worden aangetast dan moeten ze of een nieuwe manier van werken verzinnen of ze moeten zichzelf opdoeken. Waarom moet de wetgever rekening houden met het onethisch opereren van een bedrijfstak?

  6. Ik vraag me bovendien af of het ongevraagd gedwongen gebruik van mijn resources (opslag medium) niet ergens mee in strijd is. Immers, ik moet permanente cookies toestaan voor “diensten” waar ik helemaal geen toestemming voor heb gegeven, laat staan ga geven. Het lijkt mij bijna net zo vies als het schenden van mijn lichamelijke integriteit: tenminste onzedelijk en daarmee zeker onredelijk.

    Ik heb er al eerder menigmaal op gewezen dat opt-in en opt-out filosofisch gezien niet hetzelfde niveau hebben. Daarmee dus ook niet direct vergelijkbaar. Dat is ook wat je boven ongeveer schetst: het blote feit dat je cookies moet toestaan om tracking te voorkomen is in zichzelf al tracking. opt-in sluit ongewenste tracking uit.

    Maar ik denk dat in mijn eerste alinea wellicht een veel sterker punt wordt gemaakt. Het zou bijvoorbeeld niet onredelijk zijn daarvoor tenminste een verplichte vergoeding te ontvangen. Als het al niet op bezitsgronden strafbaar zou kunnen zijn. Van mijn spullen blijf je af. En je kunt me in redelijkheid niet dwingen mijn spullen te gebruiken voor doelen waar ik niet achter sta. Als de adverteerders toegestaan wordt op de door hen ingeslagen weg voort te gaan ben je als web gebruiker “cought between a rock and a hard place”. Er is geen redelijk alternatief, je kan hetgeen je wilt voorkomen door dit gedrag juist niet voorkomen. Zeker niet omdat je bijvoorbeeld de gebruiksvoorwaarden voor een website nog niet hebt kunnen lezen is opt-in volgens mij de enige mogelijkheid voor adverteerders om hun informatie – waarvan ik zeker niet in het algemeen de waarde wil bestrijden – enigermate integer te presenteren.

    Als ik het europees parlement goed begrijp wordt daar tenminste in enige mate ook langs deze lijnen gedacht. Zonder daarbij expliciet mijn ultieme consequentie te trekken.

  7. Je schrijft “Het klinkt leuk, persoonlijke keuze, maar iedereen klikt maar wat dus die ???toestemming??? betekent niets.”

    Maar dat is de wereld omdraaien, immers hier kun je uit laten volgen dat er onvoldoende informatie bij de gebruiker is om een afgewogen keuze te kunnen maken. Dat bovendien de wijze van presentatie van de informatie aan de gebruiker als misleidend kan worden verondersteld bij/door het ontbreken van deze informatie. Het zegt eigenlijk niets meer dan dat de gemiddelde gebruiker niet voldoende is voorgelicht over de consequenties van het gebruik van specifieke websites, danwel websites in het algemeen. Dat laatste is weliswaar wel erg generiek, maar je kunt het ook opvatten in de zin dat er dan in het algemeen wel erg weinig moeite is gedaan de gebruiker voor te lichten over consequenties. Met andere woorden, endemisch ontbreken van voorlichting. In mijn praktijk helpt goede voorlichting weldegelijk een gemiddelde gebruiker op een meer verantwoorde manier te surfen. Misschien is een internet-rijbewijs toch nog niet zo’n slecht idee. Het doorklik en wegklik gedrag is een gevolg van slechte of onvolledige instructie, je kunt het niet gebruiken als rechtvaardiging van daaruit afgeleid ongewenst gedrag van de kant van de adverteerders. Dan maar een beroep op zorgplicht?

  8. Noem me cynisch maar ik geloof gewoon niet (meer?) in het idee dat mensen met voldoende informatie tot een afgewogen beslissing gaan komen. We zijn zó afgestompt met privacystatements, EULAs en aanverwante juridische drek dat we gewoon op “I agree” klikken omdat anders het spelletje niet start of je geen lid mag worden van de site.

    Wat mij betreft is de enige oplossing in de wet zetten wat er gewoon níet meer mag, en een setje standaardregels voor wat er nog wél mag. Het is eigenlijk totale onzin dat elke site opnieuw zit te beschrijven hoe je je moet gedragen; dat behoort gewoon in de wet te staan. Een café hoeft toch ook niet te regelen hoe om te gaan met wisselgeld? Dat is gewoon wettelijk geregeld. Koopcontracten idem: wie als consument iets koopt, kan in de wet nalezen wat zijn rechten en plichten zijn. Winkeliers kunnen hooguit extra voordeel bieden, en in díe uitzonderingssituatie zijn aanvullende voorwaarden natuurlijk wel passend.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.