Weinig onderwerpen waar ik zó over platgemaild werd als de vraag “Mag Google Analytics nog als de cookiewet in werking treedt”. Analytics is een handige tool voor webmasters maar het perfide Google maakt er meteen ook gebruikersprofielen mee – én plaatst cookies. Wij hadden ooit een oplossing gevonden voor het profileren (anonimiseer het IP-adres) maar dat levert geen oplossing voor de cookiewet. Ik heb er uitgebreid over zitten peinzen en dacht eerst dat het wel moest kunnen, maar ik loop steeds vast op de tekst van de wet.
Je kunt, aldus Google, met Analytics werken zonder dat deze persoonlijke gegevens opslaat. Allereerst zeg ik daar meteen bij dat Google een geheel eigen definitie heeft van “persoonlijke gegevens”, kort door de bocht moet je naam en je adres erbij staan anders vinden zij het niet persoonlijk. Dat gaat lijnrecht in tegen de Europese privacyregels, die het al “persoonlijk” vinden als je er twee personen mee kunt onderscheiden, ongeacht of je weet welke personen het zijn. Het getal 461 is dus een persoonsgegeven – voor mij, want dat identificeert een klant in mijn klantenbestand (hoi Erik).
Maar zelfs als de Analyticsdata die wordt verzameld compleet geaggregeerd wordt en totaal niet naar individuele users te herleiden is (ok ok maar stél), dan nog helpt ze dat helemaal niets. Want cookie zetten is toestemming vragen, punt. First party, third party, persoonsgebonden of niet; compleet irrelevant. Behalve dus als het cookie strikt noodzakelijk is voor het goed functioneren/leveren van een dienst. De wet wil met één zin zowel cookies als dialers, toolbars en dergelijke meuk afdekken. Vandaar de brede bewoordingen. Een toolbar trackt op zichzelf niets (kan wel) maar het installeren van een toolbar vereist toestemming. En een cookie dus ook.
De standaardvoorbeelden van toestemmingsloze cookies zijn de houd-me-ingelogdcookies en de webwinkelwagentjescookies. Zonder die cookies moet je continu je wachtwoord invullen of kun je niet fatsoenlijk een serie producten in één keer bestellen, dus dat moet gewoon kunnen. Maar iedere meelezende techneut zal nu uitroepen “nou, noodzakelijk, noodzakelijk, dat kan prima op een andere manier hoor”. Maar omdat het de bedoeling is dat dergelijke cookies zonder toestemming gezet moeten worden, mag je “strikt noodzakelijk” dus lezen als “net zo noodzakelijk als een webwinkelwagentjescookie”. Leuk hè, rechten?
Hoe noodzakelijk is een cookie voor Google Analytics? Niet zó noodzakelijk, vond de minister in de Eerste Kamer:
Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.
Hm. Minder snel. Dus het zóu kunnen.
… voor diensten waarbij wordt ingelogd op een persoonlijk account, kan het noodzakelijk zijn om met gebruik van cookies te controleren of er niet met deze accounts wordt gefraudeerd.
Ook hier: nee, hij bedoelt niet “noodzakelijk” als in “geen andere technische oplossing is mogelijk”. (En nee ik weet ook niet hoe ik met een cookie -clientside info- kan controleren of een client fraudeert.) Waar het om gaat is of het cookie het belang van de gebruiker dient en dan ook alléén diens belang. Bij een houd-me-ingelogd-cookie of een rot-op-met-je-enquête-cookie is dat duidelijk. Maar bij Analytics? Wat heeft de bezoeker aan Analytics?
Iets later:
Wanneer van het gebruik van analytics cookies in een bepaald geval gezegd kan worden dat dit noodzakelijk is voor het goed kunnen functioneren van de door de gebruiker bezochte site, valt dit gebruik van analytics cookies onder de uitzondering in het derde lid van artikel 11.7a.
Soms voel ik me net een oude Griek die het orakel van Delphi moet duiden. Wanneer is aan de uitzondering voldaan? Nou, als aan de eis genoemd in de uitzondering is voldaan dan gaat de uitzondering op. Eh. Ja.
Goed. Welk nut heeft Analytics voor de eindgebruiker? Wat ik van Google lees, gaat alleen over de voordelen van de webmaster. Die krijgt mooie plaatjes met statistieken en kan op allerlei niveaus draaitabellen, filters en meerdere dimensies visualiseren. En ja, dat is leuk maar als eindgebruiker merk je niet of Analytics aan of uit staat. Het Analyticscookie draagt op geen enkele manier bij aan de dienst die de gebruiker afneemt en is ook niet in diens belang.
Ik ontkom dus niet aan de conclusie dat je voor Google Analytics écht toestemming nodig hebt onder de cookiewet. Ja, ook als je de IP-adressen anonimiseert en ook als je geen Adsense draait. Dat dat niet gaat werken, moge duidelijk zijn – maar wishful thinking of roepen dat je er geen last van hebt, is geen juridisch argument.
Arnoud
Is toch wel gek. Want je Apache log files door Webalizer halen blijft natuurlijk nog wel mogen. (toch?)
Met een kleine stretch kan je roepen dat Analytics de eindgebruiker ten goede komt, omdat het de webmaster helpt knelpunten in de hosting te zien en later aan te pakken. (Dagelijkse piek in bezoekersaantallen rond 14:00h, zorgt er voor dat de webmaster x-caching installeert, de backups pas later uitvoert en misschien een derde server er bij zet.)
Vraag blijft: wat moet een webmaster nu, als dit niet onder de uitzonderingen valt? Het is zijn site, maar Google’s cookie die Google zet -in opdracht van de webmaster-. En ik had gelezen dat toestemming gezamenlijk mag worden aangevraagd. Betekent dit nu dat Google aan zet is?
Maar wie moet die benodigde toestemming nu regelen? De website die Google Analytics gebruikt? Of de plaatser van het cookie, dus Google Analytics zelf?
Ik kan me voorstellen dat in landen waar het IP adres duidelijk als persoonsinformatie geldt, ook Webalizer en AWStats dubieus zijn. Of is dat overtrokken?
Erg vreemd dat ze ooit zo wet hebben kunnen aannemen voor webmasters en bezoekers is het meer werk om iets op een site te doen.
Als ik nu zelf een software installeer die alles tracked zoals Google en ik bedoel niet Webalizer programma maar Piwik bijvoorbeeld kan ik het dan onder noodzakelijk laten vallen.
Dat is nog maar de vraag. Van browser fingerprinting is gezegd dat het níet mag, omdat dat óók is het uitlezen van gegevens van het apparaat van de bezoeker. Het verschil tussen browser fingerprinting met enge aparte software en Webalizer loslaten op je logs zie ik niet. Afgezien van het niveau van detail dat je logt, maar dat kan toch niet het punt zijn?
Bij een beperkte logging met als expliciet dóel security en goede werking van de site denk ik dat je nog wel wegkomt met de functionele eis. Zodra je vanuit Webalizer meer gaat doen, met name als je richting de profiling gaat, zul je ook voor die vorm van loggen en analyserne toestemming nodig hebben.
En ja, Google is de aangewezen partij om opt-in te vragen voor meedoen aan Analytics. Maar dat zullen ze niet snel doen denk ik. Google is van de opt-out en ze snijden zichzelf in de vingers door hier opt-in te gaan doen. Want als ze hier opt-in doen, dan moeten ze dat ook voor Adsense. En dat gaan ze nooit doen.
nl-x: Maar het verschil tussen Apache logfiles en webalizer is dat er niets client-side gebeurd, terwijl dit bij Google Analytics wel gebeurd. Overigens laat analytics meer zien dan webalizer (of AW-stats, dat bijna hetzelfde doet). Waar het om gaat is dat de PC-gebruiker baas is over wat er op zijn of haar computer gebeurd. Die Analyzer cookie wordt geplaatst, de volgende website die Analyser heeft draaien, ziet de cookie en dat is weer net dat kleine beetje extra informatie die google wil ontvangen om hun advertenties goed af te stemmen. Analytics verzameld veel meer gegevens en plaatst dit in de google database, waar de Apache logs van je webserver alleen maar de bezoeken op die ene website bij houden. Als de apache logs onderling tussen 10.000.000 websites gedeeld zouden worden, wordt het ineens een heel ander verhaal (waarbij de cookie wet niet op gaat, maar er vast wel een wetgever gaat optreden tegen deze datamining).
Je artikels waardeer ik in het algemeen zeer, maar hier sla je echt volledig de plank mis. Allereerst al door alleen Google Analytics te noemen en niet andere pakketten zoals het door de overheid veel gebruikte Sitestat, sinds kort overgenomen door Comscore. Comscore heeft een zeer dubieus imago als het gaat om privacy.
Maar laat ik het even algemeen houden; Een website zonder een statistiekenpakketis als rijden in een auto zonder kilometerteller. Het is zeer terecht dat we zorgen voor privacy en het is jammer dat met name de online marketeers daar zelf niet voor wilden zorgen, maar we moeten ook niet doorslaan. Bezoekers willen toch ook goede content, gebruiksvriendelijke navigatie en fijne functionaliteit? Hoe gaan website eigenaren daar serieus aan werken als ze niets meer kunnen meten? De kracht van het online kanaal is juist dat alles meetbaar is en dat we websites beter kunnen maken op basis van harde statistieken en dat we niet meer zijn overgeleverd aan het gevoel van grafische designers of de persoonlijke mening van techneuten. Dat bijhouden van statistieken gaat prima samen met goede privacy. Een goed statistiekenpakket is juist ook van groot belang voor de gebruiker. Als je zegt in dit arytikel dat het alleen leuk is voor de webmaster geef je daarmee aan niet veel te begrijpen van dit vakgebied. Sorry voor mijn scherpe bewoordingen, maar ik meen dit oprecht.
Google Analytics plaatst een first party cookie en ik vind dat er hele goede argumenten zijn om die functioneel te noemen, ook voor de gebruikers, zeker als je de tracking code aanpast zodat ip adressen anoniem worden. Het kan toch niet zo zijn dat gebruikers goede content willen die ook nog gratis moet zijn, maar dat website eigenaren niet de instrumenten mogen gebruiken om dat te kunnen realiseren?
@ Arnoud: Adsense heeft hier echt niets mee te maken zolang het niet gekoppeld is aan remarketing. Adsense plaatst advertenties op basis van de content op een website en niet op basis van de gebruiker. Bij remarketing is dat inderdaad anders, maar het is sowieso goed dat daar een einde aan komt.
@Rolf: Ik verneem graag je “hele goede argumenten” want je zegt wel dat ik de plank missla maar jij hebt niet eens een plank. Gaarne een inhoudelijke discussie en niet zo flauw op de man spelen met je “niet veel begrijpen”.
Ik schreef al: wishful thinking en roepen dat Analytics fijn is is géén juridisch argument. De wet is duidelijk: toestemming tenzij functioneel noodzákelijk, en noodzakelijk wil zeggen dat de gebruiker er profijt of praktisch nut van heeft. Zie de citaten uit de parlementaire stukken.
Ik zie werkelijk niet hoe je kunt zeggen dat een gebruiker direct nut heeft van statistieken. Hij ziet ze niet en hij merkt het niet. Als je bedoelt, indirect heeft ie er voordeel van omdat door de statistieken de site beter wordt dan snap ik je maar dat is niet genoeg. Want datzelfde argument kun je loslaten op de advertenties: door advertenties (mooi getarget en relevant) blijft de site gratis en dat heeft nut voor de gebruiker.
Maar het is nu juist de bedóeling dat advertentiecookies (first of third party) toestemming vereisen. Dus ieder argument waarmee ook advertentiecookies toestemmingsvrij worden is juridisch onjuist.
Mijn opmerking over Adsense was bedoeld voor mensen die denken dat het voor de toestemming uitmaakt of je wel of niet de Analytics koppelt aan je Adsense.
Dus dan is het wachten nu op iemand die een proces tegen Google begint? Of is er een instantie aangewezen (Opta?) die op eigen initiatief dit bewaakt en aanpakt?
@ Walter Wat je hier vertelt over Analytics dat gegevens van websites onderling uitwisselt om advertenties op af te stemmen zijn cowboyverhalen waar het moeilijk mee discussiëren is. Deze wet gaat niet over de vraag of iemand baas is over wat er op zijn computer gebeurt, maar over het opslaan van gegevens van die gebruiker. Ook als je niets doet op de computer van de gebruiker maar je slaat wel iets op over die gebruiker op je eigen systeem dan ben je fout en moet je de gebruiker om toestemming vragen. Het ongemerkt opslaan van gegevens is eigenlijk nog veel enger.
En wat als je het zo bekijkt?
Door analytics verzamel ik belangrijke data over me website waarmee ik deze kan optimaliseren voor de eindgebruiker om hem op deze manier een zo goed mogelijke gebruikservaring te leveren…..
Is dat geen uitzondering?
@Gerben: Ik vrees van niet (hoewel ik het wel sympathiek vind hoor) want exact hetzelfde kun je voor getargete advertenties zeggen. En zoals ik al schreef aan Rolf, elk argument dat óók kan worden gebruikt om getargete advertenties te rechtvaardigen is per definitie fout. Want het antwoord móet zijn dat getargete advertenties (die via cookies werken) alleen mogen met toestemming.
@ Hans Tegen Google? Als Analytics gebruiker maak je een account aan op je eigen naam. Je gaat dan akkoord met de voorwaarden. Vervolgens staat er tracking code op je website die een first party cookie plaatst met de naam van jouw website, niet onder de naam van Google. De gegevens die daarmaa verzameld worden zijn jouw eigendom, niet van Google. Google mag daar zelfs niet bij zonder toestemming van jou. Dit is software as a service waarbij de eigenaar van het Analytics account verantwoordelijk is. Als er al een proces moet komen dan tegen iedere website eigenaar die Analytics gebruikt. En dat wordt nog een hele klus 🙂
@ Arnoud Jouw uitgangspunt is dat ‘direct nut’ betekent dat de gebruiker het merkt. En dat uitgangspunt is op zijn minst twijfelachtig. Als websitebezoekers niet kunnen vinden wat ze zoeken (content of producten) en door het gebruik van Analytics komt de website beheerder daar achter en verbetert het. Is dat een direct nut of een indirect nut? Ik ben ervan overtuigd dat dit ook juridisch te verdedigen is als een direct nut. Zonder Analytics kom ik daar niet achter. Er is in onze maatschappij heel veel waar ik niets van merk, maar dat voor mij wel direct nut heeft.
Dat is de reden waarom ik zo scherp ben. Als serieuze statistiekenpakketten worden weggezet als leuk voor de webmaster maar niet voor de gebruiker, dan is er echts iets mis met deze discussie. En dan gaat het allang niet meer over privacy waar het over zou moeten gaan.
En als die gegevens allemaal geagregeerd worden zonder profiling. heeft deze discussie dan überhaupt nog zin?
M.b.t. advertentiecookies zijn we het eens, Het enige dat ik probeer duidelijk te maken is dat lang niet alle (Google) advertenties gebruik maken van cookies en dat we moeten oppassen dat we niet alles over één kam scheren.
Ik ben het met Rolf eens, en ik zie zijn plank wel degelijk. Hij besteedt daar een hele alinea aan. Mijn eigen situatie: ik host een aantal websites, die financier ik met Adsense, en die analyseer ik met Analytics, om ze te verbeteren. Jij denkt volgens mij vooral aan bezoekersstatistieken in leuke grafieken waar alle webmasters zich dan blind op gaan staren, maar er is veel meer, en dat is wel degelijk informatie waarmee je je site aanzienlijk kan verbeteren. Ik geef hieronder een paar echte, real-life voorbeelden.
en zo kan ik nog wel even doorgaan. Op dit moment is de betreffende site de populairste in zijn niche en ik durf te beweren dat dat zonder Google Analytics nooit was gelukt (ik realiseer met dat ik als een fanboy klink, maar elk gelijkwaardig pakket had de klus ook geklaard hoor). Analytics is dus duidelijk noodzakelijk wanneer je de definitie van “profijt of praktisch nut” hanteert. De gebruiker had anders nooit zo’n mooie site van mij gekregen (ja sorry ik ben m’n betoog aan het houden). En zonder die gebruikersaantallen had ik de site nooit kostendekkend kunnen krijgen.
Nou, dat wilde ik inderdaad gaan zeggen. En weet je, dat is in mijn geval ook zo. En ik begrijp dus niet waarom ik dat niet kan zeggen. Omdat de wet “bedoeld was” tegen advertentiecookies? En waarom zou de genoemde uitzondering niet (kunnen) prevaleren boven die intentie?@Rolf: Dat is niet mijn uitgangspunt maar dat is mijn conclusie gebaseerd op wat er in de parlementaire behandeling gezegd is. Zie de citaten in de blog. Ik zou het fijn vinden als je daarop reageerde, zodat je reactie niet overkomt alsof ik zomaar wat uit mijn duim zuig vanuit mijn ivoren toren. Want zo komt je reactie op me over, en ik heb daar moeite mee.
Nergens maak ik onderscheid tussen serieuze of frivole pakketten. Ook het meest serieuze stukje software dat een cookie zet, moet daar toestemming voor vragen. Of tussen fatsoenlijke geaggregeerd werkende statistiekprogramma’s en privacyschendende snuffeltools. Beiden moeten toestemming vragen voor hun cookies (en de snuffeltool óók voor de privacyschending, 2x vragen dus). Waar het om gaat, is of het pakket een cookie zet en of dat direct nut heeft in het kader van de dienst die de gebruiker afneemt.
Met “direct nut” wordt, blijkens deze citaten, bedoeld dat de dienst gewoon werkt. Een winkelwagentjescookie heeft direct nut, zonder dat cookie vergeet de webshop steeds mijn geselecteerde artikelen. (Natuurlijk kún je winkelwagentjes maken zonder cookies maar dat terzijde.) De dienst, de webshop, werkt dus niet goed zonder dat cookie.
Het gaat er NIET om of de dienst fijn is, privacyschendend is, gebruikelijk is, geen nadeel oplevert of wat dan ook. Enkel en alleen de vraag of het cookie bij de dienst noodzakelijk is omdat anders de dienst stuk gaat, is relevant. Analytics kun je uitzetten en je website doet het nog net zo goed. Op de lange termijn niet (omdat je minder goed kunt optimaliseren/afstemmen op basis van je bevindingen uit Analytics) maar dat is echt geen “direct nut”.
Dáárom zeg ik dat het Analyticscookie toestemming vereist.
En wederom, als je zegt dat optimaliseren en lange termijn functioneren een “direct nut” heeft: dat hebben getargete advertenties ook. En die mogen niet. Dat kán dus het argument niet zijn, hoe redelijk het nut ook is.
Je mag de conclusie trekken dat websites hierdoor kapot gaan. Dat doen ze bij de marketingbranche ook al vanwege de advertentiecookies. Dat is prima maar is geen juridisch relevant argument. Een wet kan prima een branche of branchepraktijk kapot maken. Als dat de wens van de wetgever is, dan moet dat kapot. Je mag zeggen dat die wet daarmee dom en onproductief is, maar uiteindelijk zitten we hier op een juridische blog dus gaat het primair om het juridische.
@ Richard Uit mijn hart gegrepen. Zo is het helemaal. Ik ben ook geen Google fanboy, maar er is op dit moment niet veel beters beschikbaar. En eerlijk gezegd denk ik dat Analytics op het gebied van privacy ook verder is dan heel veel andere pakketten. Laten we misschien ook even afwachten met al te snelle conclusies. Ik heb gehoord dat Google hierover al serieus in gesprek is met allerlei organiaties en dat er een goede oplossing komt.
Ik doe even een losse post want ik zie iets nieuws waarop ik wil reageren.
Er is verschil tussen ge(re)targete advertenties en relevante advertenties. Want de gemiddelde AdSense advertentie kijkt gewoon naar wat voor pagina jij aan het kijken bent (de gebruiker vraagt een Adsense script op, en dat Adsense script doet vanaf de Adsense server een HTTP GET naar je HTTP_REFERER) en zoekt op basis van keywords op die pagina de best passende advertentie erbij. Dat functioneert prima zonder cookies!!!AdSense toont ook advertenties van het netwerk wat ze van Doubleclick hebben overgenomen (Dart) en dat werkt wél met cookies.
Ook retargeting komt een eind zonder cookies. Schakel je browser eens even in private-browsing mode (dus geen cookies) en ga een site op die retargeting advertenties gebruikt. Uit mijn hoofd: Alternate, Zalando. Bekijk wat producten. Ga uit private-browsing mode en zie hoe die producten je de komende drie weken achtervolgen. Tenminste, bij mij gaat dat zo. (Offtopic: beste retarget-bedrijven, kunnen jullie een terugkoppeling maken wanneer ik het product al heb aangeschaft? Dan mogen de retargeted-ads namelijk ophouden, ook in jullie belang).
Als we technieken gaan verbieden die door (re)targeted ads gebruiken, is HTTP dan de volgende technologie die verboden wordt? Of misschien moeten we IP-adressen in de ban doen. Of browsers, die tonen immers allerlei soorten ergelijke en inbreukmakende rommel. Zijn we meteen van dat piraterij-probleem af. Of ben ik nu aan het doordraven en waren we er allang achter dat het met een schot hagel verbieden van bepaalde technologie niet in staat is om maatschappelijke problemen op te lossen??
EDIT
Ja maar, wat is het nou, als je winkelwagentjes kan maken zonder cookies, dan zijn die cookies toch niet strikt noodzakelijk? Hetzelfde betoog deed ik hierboven voor advertenties en dan was het niet relevant dat het ook zonder kon, die cookies moesten dood).@ Arnoud Eén van de opstellers van de wet, Martijn van Dam, beschouwt Google Analytics cookies als functionele cookies. Blijkbaar is mijn idee dus zo gek nog niet.
Dan moet je me echt even helpen, want de juridische argumenten zie ik totaal niet.
Wat ik zie, is diverse betogen dat Analytics zo nuttig is dat geen redelijk mens er bezwaar tegen kan hebben. Het snuffelt niet, het schendt geen privacy, het is het meest serieuze en praktische pakket dat er is. Allemaal prima argumenten – MAAR irrelevant want Analytics plaatst een cookie en DUS moet je toestemming hebben.
De ENIGE uitzondering is als het cookie een direct en onmisbaar nut heeft voor de dienst die geleverd wordt – voor de huidige sessie waar de gebruiker in zit.
Je kunt dat “direct nut” niet oprekken naar “statistieken zijn nodig voor een fatsoenlijke website” want dat argument geldt ook voor advertenties en is daarmee dús ongeldig. Je mag geen argument aanvoeren dat ook advertentiecookies toestemmingsloos maakt. Want advertentiecookies MOETEN toestemming krijgen, dat is namelijk het doel van de wet. Een redenering waarom een bepaald soort cookie uitgezonderd is, moet dus altijd een onderscheid maken zodat advertentiecookies niet ook van die uitzondering kunnen profiteren. Je mag niet op een conclusie uitgaan die tegen het doel van de wet ingaat.
Ik weet wat Analytics kan en doet, en ik vind dat prachtige functionaliteit maar ik zie echt met de beste wil van de wereld niet hoe mijn communicatie met jouw website nu, concreet, in deze HTTP sessie, beter werkt omdat jij Analytics loslaat.
@Rolf: heb je een linkje?
@Arnoud, volgens mij heeft de juridische discussie allang plaatsgemaakt voor de technische discussie: zolang de hele juridische discussie drijft op de definitie van ‘strikt noodzakelijk’ gaan we gewoon de techniek in. Niet omdat ik dat graag wil, wetteksten zijn in de regel veel zwart-witter en als beta vind ik dat fijn, maar omdat men een uitzondering maakt voor technische noodzakelijkheid zonder dat goed uit te leggen.
Dan gaan we dus op het woordje ‘direct’ focussen, want dat is jouw argument. Jij wil een ‘direct nut’ horen, waarbij de dienst niet functioneert zonder. Maar dat staat niet in de toelichting. In de toelichting staat het anders. Daar staat “(…) direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.” En als ik dan ga betogen, dan zeg jij, ‘ja, maar da’s niet juridisch’. Nee, dat klopt, ik maak gebruik van de uitzondering. Een andere uitzondering die blijkbaar geldig is, is “Dat is direct in het belang van de gebruiker van een dergelijke dienst die om deze dienst ook duidelijk heeft gevraagd (door in te loggen).” Als je naar mijn website gaat dan doe je dat ook bewust. Omdat je naar mijn website wilde gaan.
http://www.laurens.com/2011/06/17/pvda-kamerlid-martijn-van-dam-liegt-over-cookies/
Daar heb je een goed punt en dat is een zwakte in de wet. Men zegt dat cookies noodzakelijk moeten zijn om toestemmingsloos te blijven. En als voorbeeld worden winkelwagentjescookies genoemd. Dús die zijn “noodzakelijk”.
De vraag is dan, wat is noodzakelijk. Het kan niet “technisch” noodzakelijk zijn, want dat zijn winkelwagentjescookies niet.
Het moet dus een zwakkere vorm van noodzakelijk zijn, maar niet zó zwak dat ook een targetingcookie eronder valt. Want die moeten (zie het doel) altijd met toestemming geplaatst.
Uit de parlementaire stukken haal ik dat het gaat om een direct nut bij de dienst voor de gebruiker. Die hoeft niet elke keer in te loggen, die ziet niet elke keer de enquêtepopup en zijn taalvoorkeur wordt onthouden. Voor dergelijk bij hem merkbaar nuttige diensten mag je dus een cookie inzetten.
De vraag is dan of Analytics daarmee op één lijn te zetten is. Ik denk dus van niet, omdat dat niet hetzelfde soort nut voor de gebruiker is. De webpagina wordt niet sneller, handiger of wat dan ook door de aan- of afwezigheid van Analytics.
Er worden hier een aantal discussies door mekaar gegooid, wat niet helpt om de verschillende punten te evalueren. Een poging: 1) mag een website statistieken en profiling op het gebruik door z’n bezoekers gebruiken? Hieronder valt het gebruiken van de web log analyse tools. Onder welke voorwaarden? a) Meest bezochte pagina: lijkt mij ok. Onderzoek naar meest voorkomende clicktrails: lijkt ok. Gemeenschappelijk: niet individueel gericht, maar gaat over “de” bezoeker. b) profiel van een specifieke gebruiker bepalen om er “iets” mee te doen: gericht product aanbieden, gericht korting geven, …: lijkt mij dat je hiermee nu iets extra moet doen (opt-in, of vrmelden ??) c) profielen bepalen en opslaan en gebruiken over meerdere bezoeken heen het aanleggen van zo’n gegevenbank moet je mogelijk zelfs melden alsook het doel, inzage recht etc. ?
2) op welke manier doe je dat a) met in-house tools en technieken gemakkelijkste: er zijn maar twee betrokken partijen b) de logs door een derde partij laten verwerken dit is een vorm van gebruik van een serviceprovider worden jou data allen voor jou verwerkt (met de nodige garanties), of consolideert/integreert de service provider deze voor zichzelf en anderen? als het ook voor anderen gebruikt kan worden, “verkoop” je informatie over je klanten: wat doen ze op jou site (zonder dat de klanten dit weten of merken) c) volledig in handen van een derde partij google analytics en sitestat verzamelen de gegevens eigendom van de info gaat volledig naar hun jij krijgt inzage in statistieken relevant voor jou In zekere zin “verkoop” je data over jou klanten aan google in ruil voor statistieken e.d. van google of sitestat of … . Je weet zelfs niet wat de derde partij er allemaal mee doet. Noch jij noch jou klanten zijn op de hoogte van welke data voor wat door de derde partij of hun klanten gaan gebruikt worden. Dit lijkt mij van een hééél andere aard.
@22 Hij zegt dat volgens mij nergens direct, maar er is wel discussie over naar aanleiding van deze tweet i.c.m. dat Martijn zijn site Analytics gebruikt. Zevende paragraaf hier
Welles dus… of mag dat niet omdat ik eerst ga analyseren en conclusies trekken? Maar dat kan ook zo zijn voor dit voorbeeld en daar mag het dan weer wel.@Rolf: Dank je. Ik denk dat Van Dam eens moet kijken naar welke cookies hij plaatst 😉
@Richard: Het is een mix van juridisch en technisch, en dat maakt het zo complex. Je moet technische argumenten hebben die passen binnen het juridische kader. En volgens mij is de vertaling van de juridische eis dus dat er een direct nut binnen de HTTP sessie van de dienst is. Daarom kom ik tot mijn conclusie.
Vragen om een login te onthouden (of een dienst achter login te leveren) vind ik wat anders dan een advertentie op mijn scherm krijgen of een Analytics-script. Ik vraag niet om advertenties, en ik vraag niet om Analytics. Ik vraag om content.
@Rolf Wanneer ik de google-analytics voorwaarden doorneem, vind ik nergens dat Google de verzamelde informatie niet mag combineren en gebruiken. Google definieert “Klantgegevens” als volgt:
Wanneer ik de algemene voorwaarden bij Google Analytics afzoek op wat ze met deze gegevens mogen doen, is het enige dat ik kan vinden
Kortom, als Google zelf de verzamelde gegevens wil analyseren en vervolgens wil gebruiken, mag ze dat volgens deze voorwaarden. Het privacybeleid van Google geeft dit zelfs expliciet aan:
Concluderend, Google verzamelt deze gegevens niet voor mijn directe nut, maar juist wel voor haar eigen nut (een goede reden voor mij om deze cookies standaard te blokkeren. Ik vind het eng dat één bedrijf zoveel over mij te weten kan komen).
Voor mij betekent “direct nut” dat het noodzakelijk is voor de website om correct te functioneren”, ofwel, zonder kan de website niet goed functioneren, en verliest het dus haar nut.
Wanneer ik dan de betogen van @Rolf en @Richard analyseer, komen deze op mij over als een goede en valide argumentatie waarom analytics voor de websitebeheerder direct nut heeft. Alleen, volgens mij was dit niet de intentie van deze wet. De intentie van deze wet is de bescherming van de eindgebruiker. Voor mij als eindgebruiker van de website levert dit geen direct nut op in de zin van het correct functioneren van de website. Dat de website hierdoor is geworden zoals hij is, is niet een direct nut voor mij als gebruiker.
Ja, maar daarmee zeg je dus dat cookies die vastzitten aan targeted advertenties “functioneel” zijn en dus buiten de toestemmingseis vallen. En dat kán niet, juridisch, want de wet is bedóeld om cookies bij targeted advertenties aan een toestemmingseis te hangen.
Ik ben het helemaal met je eens dát die advertenties deel van de content zijn, dat ze nodig zijn, dat ze prima getarget horen te zijn (ik hoef geen maandverband in beeld, dank u) en dat het voor websites onvermijdelijk is dat ze die gebruiken.
Maar de cookiewet zegt dat advertenties die cookies zetten, toestemming moeten vragen. Punt. Geen discussie over mogelijk. Toestemming. Daar kan ik niks aan veranderen.
Dat Analytics geen advertenties zijn en een prachtig nuttig programma is, erken ik onmiddellijk. Daar gáát het echter niet om. Waar het om gaat is of Analytics een cookie zet. Dat doet het. Dus moet het toestemming vragen.
Tenzij dus de uitzondering van functionele noodzakelijke cookies opgaat. En ik blijf er tegenaan lopen dat elk argument dat zegt dat Analytics functioneel/noodzakelijk is, óók geldt voor advertenties en dús per definitie ongeldig is.
Nogmaals, ik snap het verschil en ik noem Analytics niet privacyschendend of zo. Maar wélk argument is er dat de conclusie steunt “Analyticscookies mogen wél en een advertentie die een cookie zet, mag niet”.
Wat ik in de reacties hierboven lees is dat Analytics noodzakelijk zou zijn voor de gebruiker maar de fout die hierbij wordt gemaakt is dat dit soort pakketten voornamelijk noodzakelijk zijn voor toekomstige gebruikers.
Het voorbeeld van de bouncerate laat dat natuurlijk mooi zien. Als ik op een site kom en direct weg ga is het cookie geplaatst maar ik als gebruiker heb daar helemaal niets aan. Dat de webmaster nu z’n site gaat verbeteren en toekomstige gebruikers niet meer bouncen is leuk maar daar heb ik niets meer aan. Dus deze cookies zijn niet in het directe belang van de gebruiker (waar de cookie geplaatst wordt).
Ik ben overigens zeker niet tegen analytics programma’s maar wel tegen diegene die de mogelijkheid hebben gegevens van meerdere sites te combineren omdat dat m.i. wel een inbreuk is op mijn privacy.
Dit kan prima zonder cookie, namelijk op basis van de inhoud van de site. Als er op de site 10 keer
maandverband
staat, mag er best een maandverband reclame getoond worden. Bij de Donald Duck zou er een kleine sensor in de pagina zitten die precies bijhoud welke pagina open is en dit doorstuurt naar de uitgever. Omdat er in het huis ook een abonnement is op de Viva en deze vaker gelezen wordt, komt er de volgende keer een advertentie over maandverband in de Donald Duck omdat je daar waarschijnlijk ook in geinteresseerd bent.Ja, ik weet het, het gaat strikt genomen niet over privacyschending maar over het verwerken van persoonsgegevens. Maar het enige wat (volgens mij, correct me if I’m wrong) in deze hele discussie in de buurt komt van een persoonsgegeven, is het IP adres. En dat is dus nét weer niet een cookie.
De enige reden dat er een cookiediscussie bestaat, is mijns inziens dat de enige niet-technische uitleg die je als technicus kan geven, is dat een cookie “een bestandje is wat onzichtbaar op je PC geplaatst wordt”. En dat is me een partij éng voor de gemiddelde gebruiker. Zeker als je ook nog uitlegt dat het stilletjes weer wordt uitgelezen.
@ Jan Martijn Je geeft foute informatie. Ik kan bij het instellen van mijn Analytics account kiezen voor de optie “do not share my data’. Dan wordt er niets gedeeld, ook niet met andere Google diensten en ben ik de enige eigenaar van mijn website statistieken. Een account dat zo is ingericht en ip adressen anoniem maakt levert geen enkel gevaar voor privacy. http://www.google.com/analytics/learn/privacy.html
Dat het jou niet uitmaakt dat dit bijgehouden wordt, is niet zo heel relevant voor de andere mensen in dit land. Blijkbaar wordt jouw privacy niet geschonden (omdat het je niet uitmaakt). Maar die van mij wordt wel degelijk geschonden door het bijhouden en opslaan van dit soort gegevens.
Het cookie is dus niet eng maar het (langdurig) opslaan en analyseren van mijn gegevens is wel eng!
Interessant betoog over de wet. Als ik het vergelijk met de echte wereld is het zo dat de winkeleigenaar in een dichtgetimmerd hok zit en niet kan zien hoeveel klanten er in zijn winkel zijn. Ook niet wat ze bekijken en of er ergens paden zijn die geblokkeerd zijn door een stapel pellets. Bonuskaarten (zoals bij veel pompen en supermarkten) zijn uit den boze en beveiligingscamera’s ook. Het enige wat hij kan zien is wat hij aan het einde van de dag verkocht heeft. Tenzij hij aan elke gebruiker toestemming vraagt of hij mag zien hoe ze door de winkel lopen…
Dan zou ik stellen dat deze wet ons een paar tientallen jaren terugbrengt… Vermoed je niet dat we na een aantal proefprocessen een aanpassing van de wet krijgen?
Interessant betoog over de wet. Als ik het vergelijk met de echte wereld is het zo dat de winkeleigenaar in een dichtgetimmerd hok zit en niet kan zien hoeveel klanten er in zijn winkel zijn. Ook niet wat ze bekijken en of er ergens paden zijn die geblokkeerd zijn door een stapel pellets. Bonuskaarten (zoals bij veel pompen en supermarkten) zijn uit den boze en beveiligingscamera’s ook. Het enige wat hij kan zien is wat hij aan het einde van de dag verkocht heeft. Tenzij hij aan elke gebruiker toestemming vraagt of hij mag zien hoe ze door de winkel lopen…
Dan zou ik stellen dat deze wet ons een paar tientallen jaren terugbrengt… Vermoed je niet dat we na een aantal proefprocessen een aanpassing van de wet krijgen?
@Rolf Dat is niet helemaal waar:
Waarom zouden ze dat doen als ze het niet kunnen gebruiken? Zolang zij het bewaren hebben ze de controle. Misschien maken ze wel een foutje (http://webwereld.nl/nieuws/66002/google-bekent-jarenlang-afluisteren-wifi-verkeer.html) en gebruiken ze het toch of passen ze later hun voorwaarden aan….
Kortom, jij bent géén eigenaar van de gegevens, dat is Google.
@Rolf, Enkel wanneer de analyticsgebruiker, de websitebeheerder dus, deze optie ingesteld heeft, worden mijn gegevens niet gebruikt door Google. Ik als websitegebruiker kan echter niet zien of deze optie gezet is. Daarom ga ik er standaard van uit dat deze optie niet zo is ingesteld. Hoe “aardig” de websitebeheerder hier mee om kan gaan, kan ik niet beoordelen. En dus ga ik uit van de standaard privacyvoorwaarden van Google…
Het is mijn keus om niet gevolgd te willen worden. Dat anderen minder moeite hebben met het weggeven van persoonsgegevens (@Richard, ook het feit dat ik website X bezocht heb is een persoonsgegeven), moeten zij weten. Ik wil zelf de keus hebben om niet gevolgd te worden. Nu ben ik afhankelijk van de websitebeheerder of mijn gegevens wel of niet gebruikt worden. Dáár gaat deze wet m.i. over.
Toestemming onder de cookiewet staat los van de vraag of er persoonsgegevens worden verwerkt of anderszins de privacy wordt geschonden.
De cookiewet gaat breder dan cookies. Ook voor het gebruik van offline storage of het installeren van een toolbar of addon moet je toestemming vragen. Ook als die addon helemaal niet privacytechnisch doet. Gelukkig hebben addon-installatiemechanismen al een toestemmingsvraag ingebouwd, dus dat gaat goed, maar een silent install van een addon is dus net zo hard verboden onder de cookiewet als het plaatsen van een cookie.
Als je het voorbeeld van een echte winkel dan toch wil gebruiken, dan graag goed. De winkeleigenaar wil bij binnenkomst al je bonuskaart zien. Weigeren mag niet meer want je bent nu eenmaal al in de winkel. Vervolgens loopt hij achter je aan met pen en papier en schrijft precies op wat je doet, welke producten je bekijkt en hoe lang je ze bekijkt. Ik weet niet hoe lang deze winkel overleeft….
@Richard, 34:
Begrijp ik uit die woorden dat jij je aanbiedt voor een proefproces?En als je een winkelwagentje zonder cookies weet te bouwen, heb je daarbij een andere vorm van sessie volgen (is gebruiker volgen) geïmplementeerd. Dat mag nog steeds omdat dat technisch noodzakelijk is. Dezelfde techniek toepassen bij advertenties mag nog steeds niet.
We gebruiken deze gegevens ook om gepersonaliseerde inhoud aan u te leveren, zoals relevantere zoekresultaten en advertenties.
Dit valt voor mij onder persoonlijk nut…betere resultaten voor jezelf :-).
Wat ik verder niet zo goed begrijp is waarom hier iedereen zo op die privacy springt. Gebruiken we geen tankpassen en klantkaarten bij de supermarkt? Dat is naar mijn idee net zo erg als een cookie die mij voorziet van relevante advertenties (ok, persoonlijk maakt het me geen flaus aus).
Na het lezen van bovenstaande reacties begrijp ik het meeste wel, maar naar mijn idee maken we hier ons veel te druk over iets waar je je helemaal niet druk over hoeft te maken.
@ Jan Martijn De wet omhelst ook een informatieplicht, daar hoort dit in te staan. Maar ik zou er best voor zijn als deze nieuwe wet tot gevolg heeft dat Analytics in Nederland alleen maar aangeboden kan worden met de ‘do not share’ optie. Jammer voor Google, maar goed voor zowel gebruikers als website beheerders.
Uiteraard is het jouw keus om niet gevolgd te worden. Maar Analytics volgt je niet. Jouw bezoek aan een website met Analytics heeft alleen invloed op de algemene statistieken van de website. Er gaat niets over domeinen heen en er wordt geen profiel van jou gemaakt.
@N.P. Dat gebeurt al. Loyalty programma’s houden precies bij wat jij wanneer koopt. De Bonuskaart is er voor klantenbinding, maar vooral ook om inzicht te krijgen in het koopgedrag van vaste klanten. http://www.ah.nl/artikel?trg=bonus/article.bonuskaartvoorwaarden Daar geeft iedere kaarthouder vooraf toestemming voor, maar ik vraag me af wie zich dat realiseert. En de wetten die hierop van toepassing zijn gaan minder ver dan deze cookiewet. Om nog maar te zwijgen over wat de overheid zelf doet met plannen rond het EPD bijvoorbeeld.
Nee, niet omdat het me niet uitmaakt. Omdat ik werkelijk niet begrijp hoe mijn privacy geschonden kan worden door het bijhouden en opslaan van dat soort gegevens. Er is echt niet iemand die op mij inzoomt, ik ben gewoon object X met gedrag A, B, en C.
Jij vindt van wel, dus kan je dat alsjeblieft aan mij uitleggen? Bonuspunten als je kan in je betoog kan verwerken dat cookies boosaardiger zijn dan jouw IP adres i.c.m. useragent. Aftrek wanneer als aanname Amerikaanse bedrijven per definitie boosaardig zijn of kapitalisme slecht.
Als het allemaal zo erg is, blijf dan van internet weg met z’n allen. Serieus. Of zet je private browsing mode aan. Maar val mij niet lastig. Niet als webmaster, niet als gebruiker die wel betere resultaten wil (zoals @44 terecht betoogt).
..
Dit is opt-in, je kiest er zelf voor deze aan te vragen (al dan niet met fake-gegevens!) en je kan er per keer voor kiezen om deze te tonen als je afrekent. Je hoeft deze dus niet te laten zien bij binnenkomst van de winkel (waarbij je met de cookies dus al geen keus meer hebt om de winkel te verlaten omdat het cookie al (onzichtbaar) is gezet).Dat het jullie niet uitmaakt en misschien 80% van de mensen niet omdat die toch al alles op facebook en twitter plaatsen betekend toch niet dat de andere mensen het maar moeten slikken. Ik maak me wel degelijk zorgen over mijn privacy en de gegevens die iedereen maar over mij kan vinden/verzamelen.
De enorme hoeveelheid privacy gegevens die nu al verzameld zijn, kunnen bij verkeerd gebruik (door overheid en private partijen) erg veel persoonlijke schade opleveren.
@46 Het is een schending van mijn privacy als er dingen over mij verzameld worden waar ik (vooraf!) niet mee instem. Er is waarschijnlijk geen persoon die op jou inzoomt maar het is wel mogelijk. En dat is de schending. Ik zal ook nog een voorbeeld geven hoe het jouw privacy kan schenden:
Jij zoekt een leuk kado voor je partner en bezoekt verschillende websites. De dag erna is je partner even op de computer en ziet alleen maar advertenties van product X. Deze weet dus al wat er gekocht gaat worden. (dit voorbeeld kan natuurlijk ook met sexspeeltjes en je schoonmoeder die even moet googelen).
Ik ben niet tegen cookies, ik ben alleen tegen het ongevraagd verzamelen van mijn gegevens. De bonuspunten moet ik dus aan mij voorbij laten gaan. Aftrek pak ik graag. Amerikaanse bedrijven zijn niet per definitie boosaardig maar Google heeft mij iets te vaak laten zien wel boosaardig te zijn, een paar recente voorbeelden: http://www.iphoneclub.nl/181900/google-riskeert-miljoenenboete-na-privacyschending-in-ios-safari http://www.security.nl/artikel/36682/Googlehardgestraftwegensprivacyschending.html http://www.elsevier.nl/web/Nieuws/Internet-Gadgets/333512/Amerika-en-Europa-onderzoeken-privacyschending-Google.htm http://webwereld.nl/nieuws/66002/google-bekent-jarenlang-afluisteren-wifi-verkeer.html
Daarbij gaat het overigens niet alleen om Google maar ook om overheden die graag veel opslaan en ook graag zoeken in opgeslagen gegevens bij private partijen.