Mag Google Analytics nog onder de cookiewet?

| AE 3027 | Ondernemingsvrijheid, Privacy | 306 reacties

analytics-cookie.pngWeinig onderwerpen waar ik zó over platgemaild werd als de vraag “Mag Google Analytics nog als de cookiewet in werking treedt”. Analytics is een handige tool voor webmasters maar het perfide Google maakt er meteen ook gebruikersprofielen mee – én plaatst cookies. Wij hadden ooit een oplossing gevonden voor het profileren (anonimiseer het IP-adres) maar dat levert geen oplossing voor de cookiewet. Ik heb er uitgebreid over zitten peinzen en dacht eerst dat het wel moest kunnen, maar ik loop steeds vast op de tekst van de wet.

Je kunt, aldus Google, met Analytics werken zonder dat deze persoonlijke gegevens opslaat. Allereerst zeg ik daar meteen bij dat Google een geheel eigen definitie heeft van “persoonlijke gegevens”, kort door de bocht moet je naam en je adres erbij staan anders vinden zij het niet persoonlijk. Dat gaat lijnrecht in tegen de Europese privacyregels, die het al “persoonlijk” vinden als je er twee personen mee kunt onderscheiden, ongeacht of je weet welke personen het zijn. Het getal 461 is dus een persoonsgegeven – voor mij, want dat identificeert een klant in mijn klantenbestand (hoi Erik).

Maar zelfs als de Analyticsdata die wordt verzameld compleet geaggregeerd wordt en totaal niet naar individuele users te herleiden is (ok ok maar stél), dan nog helpt ze dat helemaal niets. Want cookie zetten is toestemming vragen, punt. First party, third party, persoonsgebonden of niet; compleet irrelevant. Behalve dus als het cookie strikt noodzakelijk is voor het goed functioneren/leveren van een dienst. De wet wil met één zin zowel cookies als dialers, toolbars en dergelijke meuk afdekken. Vandaar de brede bewoordingen. Een toolbar trackt op zichzelf niets (kan wel) maar het installeren van een toolbar vereist toestemming. En een cookie dus ook.

De standaardvoorbeelden van toestemmingsloze cookies zijn de houd-me-ingelogdcookies en de webwinkelwagentjescookies. Zonder die cookies moet je continu je wachtwoord invullen of kun je niet fatsoenlijk een serie producten in één keer bestellen, dus dat moet gewoon kunnen. Maar iedere meelezende techneut zal nu uitroepen “nou, noodzakelijk, noodzakelijk, dat kan prima op een andere manier hoor”. Maar omdat het de bedoeling is dat dergelijke cookies zonder toestemming gezet moeten worden, mag je “strikt noodzakelijk” dus lezen als “net zo noodzakelijk als een webwinkelwagentjescookie”. Leuk hè, rechten?

Hoe noodzakelijk is een cookie voor Google Analytics? Niet zó noodzakelijk, vond de minister in de Eerste Kamer:

Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.

Hm. Minder snel. Dus het zóu kunnen.

… voor diensten waarbij wordt ingelogd op een persoonlijk account, kan het noodzakelijk zijn om met gebruik van cookies te controleren of er niet met deze accounts wordt gefraudeerd.

Ook hier: nee, hij bedoelt niet “noodzakelijk” als in “geen andere technische oplossing is mogelijk”. (En nee ik weet ook niet hoe ik met een cookie -clientside info- kan controleren of een client fraudeert.) Waar het om gaat is of het cookie het belang van de gebruiker dient en dan ook alléén diens belang. Bij een houd-me-ingelogd-cookie of een rot-op-met-je-enquête-cookie is dat duidelijk. Maar bij Analytics? Wat heeft de bezoeker aan Analytics?

Iets later:

Wanneer van het gebruik van analytics cookies in een bepaald geval gezegd kan worden dat dit noodzakelijk is voor het goed kunnen functioneren van de door de gebruiker bezochte site, valt dit gebruik van analytics cookies onder de uitzondering in het derde lid van artikel 11.7a.

Soms voel ik me net een oude Griek die het orakel van Delphi moet duiden. Wanneer is aan de uitzondering voldaan? Nou, als aan de eis genoemd in de uitzondering is voldaan dan gaat de uitzondering op. Eh. Ja.

Goed. Welk nut heeft Analytics voor de eindgebruiker? Wat ik van Google lees, gaat alleen over de voordelen van de webmaster. Die krijgt mooie plaatjes met statistieken en kan op allerlei niveaus draaitabellen, filters en meerdere dimensies visualiseren. En ja, dat is leuk maar als eindgebruiker merk je niet of Analytics aan of uit staat. Het Analyticscookie draagt op geen enkele manier bij aan de dienst die de gebruiker afneemt en is ook niet in diens belang.

Ik ontkom dus niet aan de conclusie dat je voor Google Analytics écht toestemming nodig hebt onder de cookiewet. Ja, ook als je de IP-adressen anonimiseert en ook als je geen Adsense draait. Dat dat niet gaat werken, moge duidelijk zijn – maar wishful thinking of roepen dat je er geen last van hebt, is geen juridisch argument.

Arnoud

Deel dit artikel

  1. De dag erna is je partner even op de computer
    Iemand die op mijn computer mag, kan veel en veel meer over mij te weten komen, dan door die paar retargeted advertenties. In plaats van te weten wat ik heb overwogen als cadeau, kan mijn vrouw ook in mijn mail de opdrachtbevestiging van haar werkelijke cadeau aantreffen. Misschien popt die wel gewoon omhoog in zo’n Outlook popupje rechtsonder wanneer ze over mijn schouder meekijkt naar iets heel anders.

    En serieus, wanneer ik een cadeau voor mijn vrouw zoek, doe ik dat dus inderdaad in private browsing mode. Ik ben dus prima in staat om een risico in te schatten en daar zelf mijn maatregelen voor te nemen. Daar heb ik geen wetgeving voor nodig om mij te beschermen. Ik ben niet zwak.

    @50, het kan mij niet schelen omdat mijn privacy niet wordt geschonden. Jij zegt: het kan mij niet schelen dat mijn privacy wel wordt geschonden.

  2. @Richard, de Nederlandse wet gaat er van uit dat de burger bepaalde rechten heeft met betrekking tot de verwerking van persoonsgegevens. De “cookie wet” trekt de lijn van de WBP door naar het Internet. Nee, ik kom niet in aanmerking voor je bonuspunten, volgens het CBP is een IP adres een “identificerend persoonsgegeven” en iemand volgen op basis van IP adres (al da niet in combinatie met “user agent”) is net zo fout als iemand volgen met een cookie. (Zie mijn commentaar @42.) Het gaat niet om het cookie, het gaat om de (ongebreidelde) gegevensverzameling en verwerking.

    Hoe vernielt deze gegevensverzameling jouw privacy: heel simpel, een uitgever kan bijhouden dat jij (jouw IP) doorklikt naar alle artikelen over [enge ziekte] of [mentale afwijking] en daaruit conclusies trekken. Of dat jij een sterke interesse vertoond in berichten over mensen die hun chef vermoord hebben en berichten over sabotage aan auto’s. Er komt een rechercheur op bezoek: jouw chef heeft net die dag een ernstig auto-ongeval gehad. Leg dat maar eens uit.

  3. @NP Ik ben blij met je reactie over Google, want dat maakt je motivatie duidelijk. Achterdocht en wantrouwen jegens grote amerikaanse bedrijven. Die discussie is ondanks je voorbeelden subjectief. 4 voorbeelden van fouten van een megagroot bedrijf dat actief is over de hele wereld zegt mij dat je altijd goed moet oppassen en controleren wat je doet, maar het zegt niet dat dit bedrijf structureel kwaadaardig is. Dat is een persoonlijke overtuiging die niemand in deze discussie verder helpt. Het maakt helaas wel je argumentatie behoorlijk subjectief.

  4. @N.P., Rolf en anderen:

    Google is, naar mijn mening, een van de beteren in de branche: Google geeft tenminste (deels) opening van zaken op het gebied van welke gegevens zij verzamelen en verwerken. Andere adverteerders (inclusief Microsoft) weigeren openheid van zaken te geven (en lappen daarmee de EUropese regelgeving aan hun laars.)

  5. @ Mathfox Deze discussie gaat over Analytics. Samen met Richard gaan jullie teveel naar het adverteren toe. Dat is jammer, het heeft heel weinig met alkeer te maken. Als advertentiecookies gaan verdwijnen heb ik daar niet zoveel moeite mee. Content targeting blijft nog dteeds mogelijk. En als de consequentie is dat consumenten meer moeten gaan betalen voor content dan is dat indirect hun eigen keuze. Wil je geen advertenties. Prima. Maar accepteer dan ook dat er minder gratis is.

    Laten we terug gaan naar Analytics waar dit artikel over gaat. Met analytics op de juiste manier ingesteld wordt er helemaal niets van de gebruiker opgeslagen, geen ip-adres (anonymize IP), geen geberuikersgegevens, geen MAC adres, of wat dan ook. Er vindt geen profiling plaats. Je zorgt er alleen voor dat de tellertjes gaan lopen, net zoals wanneer je door het draaipoortje gaat van een gebouw. Wie legt mij objectief en zonder emoties, persoonlijke meningen, interpretaties of wantrouwen naar amerikaanse bedrijven uit waar het probleem zit op basis van de nieuwe wet? Ik heb het nog niet gezien.

  6. Doen je moeder en oma dat ook ook, naar private browsing overgaan? Of weet 95% van de internet gebruikers niet dat het er is? Jij hebt die technische kennis, heel veel andere niet en die zal je moeten beschermen. Wat maakt het jou nu uit om 1 keer in te loggen bij Google en toestemming aan ze te geven om alles te doen wat ze willen? Wat is er tegen opt-in?

    Wat ik in #47 zeg, is dat het jou niet uitmaakt dat je gegevens verzameld worden. Mij maakt dat wel uit en ik heb daar graag zelf de hand in. Als ik naar een website ga, wil ik graag van te voren weten of ze gegevens van mij gaan verzamelen en zo ja, wat. En dan wil ik bepalen of dat mag.

  7. Leuk dat opt-in ter sprake komt. Naar mijn idee is internet op zichzelf staand al een opt-in. Je kiest er zelf voor bepaalde zaken uit te voeren op het internet en dus gebruik te maken van een online product bijvoorbeeld. In het geval van gratis producten betaal je met je, overigens vaak niet publiekelijk gemaakte, data.

    Het analytics verhaal behoort naar mijn mening bij het pakket wat een website aan kan bieden, gedrag van bezoekers is belangrijk om zoveel mogelijk omzet uit je webwinkel te krijgen bijvoorbeeld. Het is daarbij wel handig om hierven melding te maken ergens op de website…dus iets van: “Op deze website maken we gebruik van datatracking die het bezoekersgedrag verzameld en monitort. Wanneer u dit niet op prijs stelt klik hier”. Zet dit ergens duidelijk neer en je brengt je bezoeker op de hoogte.

    Zelf lees ik altijd zoveel mogelijk en let ik op bij alles wat ik online plaats of gebruik. Ik denk dat het verstandiger is mensen hierin op te voeden en ze leren dit ook te doen.Om nu het internet zoals het was aan banden te gaan leggen…naar mijn idee zonde!

  8. Sorry. Ik heb niet alle reacties gelezen dus de kans is aanwezig dat ik iemand anders herhaal…

    Maar volgens mij is het allemaal niet zo heel moeilijk. Over de technische noodzakelijkheid zijn we het volgens mij allemaal wel eens, die bestaat gewoon niet. Back in the day hadden veel frameworks ook de mogelijkheid om de links in je applicatie te herschrijven zodat alle informatie in de url is opgenomen (lelijk, maar het werkt, tenminste voor 1 enkel bezoek).

    Als je volledige site echt gebaseerd is op het tonen van gepersonaliseerde content op basis van analytics dan zijn cookies noodzakelijk, juridisch gezien, lijkt me. Geen cookies, geen site, dus noodzakelijk. Indien dit niet het geval is, dan zou je kunnen denken aan een pagina waar een gebruiker de eerste keer terecht komt om vinkjes te zetten. Ik zou ook zeggen dat alle webshops dit zo ostentatief als mogelijk moeten doen, met duidelijk erbij dat dit wettelijk verplicht is en dan hopen dat de wet snel genoeg weer aangepast wordt 🙂

    Mag je eigenlijk op basis van die toestemmingen ook de rest van de gebruikerservaring aanpassen? Dus “[ ] Ja, ik geef toestemming voor tracking cookies van Google Analytics en ontvang 10 euro korting op mijn eerstvolgende bestelling”. Oftewel, mag je andere (nadelige dan wel voordelige) gevolgen koppelen aan de beslissing van de gebruiker?

  9. Laten we terug gaan naar Analytics waar dit artikel over gaat. Met analytics op de juiste manier ingesteld wordt er helemaal niets van de gebruiker opgeslagen, geen ip-adres (anonymize IP), geen geberuikersgegevens, geen MAC adres, of wat dan ook. Er vindt geen profiling plaats. Je zorgt er alleen voor dat de tellertjes gaan lopen, net zoals wanneer je door het draaipoortje gaat van een gebouw. Wie legt mij objectief en zonder emoties, persoonlijke meningen, interpretaties of wantrouwen naar amerikaanse bedrijven uit waar het probleem zit op basis van de nieuwe wet? Ik heb het nog niet gezien.

    Analytics zet een cookie op je PC. Dát enkele feit vereist toestemming van de cookiewet. (Ik zie nu dat de DDMA dit ook zegt.)

    Er is dus een uitzondering voor functionele cookies, maar “doet niks met persoonsgegevens of profiling” is niet hetzelfde als “is functioneel”.

  10. @Rofl 53. Je kan niet alles af doen als foutjes. In de voorbeelden die ik geeft heeft Google bewust(!) dingen gedaan die (m.i.) niet door de beugel kunnen. Uiteraard zeg je daarna dat het een foutje was. Ik heb ook niet gezegd dat ze structureel kwaadaardig zijn maar wel dat ze iets te vaak kwaadaardige dingen laten zien. En met iets te vaak bedoel ik, iets te vaak om mijn persoonlijke gegevens mee te delen.

    En ik kom tenminste nog met voorbeelden, jouw enige argument tot nu toe is, het maakt mij niet uit, dus moeten anderen ook niet zeuren. Jouw motivatie is duidelijk dat je geld verdiend met de tools van Google en het je omzet zou kunnen gaan kosten als dit allemaal verboden wordt. Dat is prima, maar maakt dat jouw argumenten dan ook subjectief?

  11. @57 Nee, internet is geen opt-in. Inmiddels is internet een onmisbaar iets geworden waar je niet meer normaal zonder kan. Daarbij kan je pas weten of een site cookies plaats, ná dat je op die site geweest bent. Dus niet vooraf. Kortom je hebt al geen keuze meer. @58 Waarom dan steeds strengere eisen aan voedsel, mensen kunnen toch ook zelf leren dat te veel zout slecht is. Of een verplichte duidelijke financiele bijlage. Mensen kunnen zich toch ook beter verdiepen in financiele producten?

    Soms moet je mensen beschermen omdat je niet alles kan leren. Ja, we gaan daar vaak veel te ver in. Maar in dit geval vind ik dat een opt-in de enige juiste manier is. Ik zie ook geen enkel probleem met een opt-in, behalve voor de mensen die er financieel afhankelijk van zijn zoals waarschijnlijk Rolf en bedrijven als Google.

  12. Wat is er zo kwaadaardig aan die voorbeelden dan? Ik bedoel je gegevens liggen niet op straat en worden (waarschijnlijk) gebruikt om jouw te voorzien van betere zoekresultaten en dergelijke. Daarmee wil ik niet zeggen dat het goed is…met name de Safari work around is niet netjes en smerig te noemen. Goed dat de FTC daar hard tegenin gaat.

    Buzz is een geval apart. Daar hebben ze de plank misgeslagen door alles standaard open te zetten zoals Facebook dat ook doet/deed en de instellingen verwarrend te maken voor de “gewone” gebruiker. Alhoewel, als men gelezen had dan hadden ze het direct goed in kunnen stellen. Desalniettemin een grove en naieve fout vanuit Google. Ze hebben daarbij laten zien hoe het wel moet met Google+ waar je als gebruiker veel meer controle hebt.

    Het WiFi verhaal was wat mij betreft daadwerkelijk een foutje aangezien de uitgebreidde reactie vanuit Google. Nu hoef je dat niet te geloven, maar gezien de geschiedenis en openheid die Google meer biedt dan andere grotere concerns geloof ik het eerder dan bijvoorbeeld een Apple.

  13. @64, zullen we dat maar op “domheid” gooien? Strenge eisen zijn oké, maar dat zegt dus letterlijk dat mensen het niet interesseert wat er op een verpakking staat. Ze maken dan de keuze het toch te gebruiken == hun keuze, dus zijn ze zelf verantwoordelijk voor de nevenschade. Zoals je al zegt gaan we met die strengere regels veel te ver naar mijn mening. We worden er allemaal alleen maar dommer van.

    M.b.t. het opt-in verhaal. Ik geloof stellig in lering. Leer mensen dat data wordt bijgehouden wanneer ze internetten en laat de keuze aan hun. Het merendeel aan sites zal namelijk cookies gebruiken. Wanneer we zorgen dat mensen dat als feit gaan zien worden ze bewuster in hun internet gebruik.

    En nogmaals, dit soort dingen leren we al voor niet internet zaken. Blijf het raar vinden dat men internet als iets heel anders ziet. We doen hetzelfde als offline alleen met andere tools.

  14. Het kwaadaardige is, dat ze bewust de regels omzeilen. Je kan dus niet zeggen dat ze nooit iets zullen doen wat niet mag, of wat ethisch twijfelachtig zou zijn omdat ze hebben aangetoond dat wel te doen (al dan niet bewust).

    Natuurlijk is Google niet het kwaad en zijn er bedrijven die het op ethisch vlak nog slechter doen (bijv Apple). Maar laat iedereen nu zelf in controle zijn over wat er wordt hem/haar wordt bijgehouden, dus met een opt-in.

    Bonuspunten voor degene die mij kan uitleggen wat er tegen een opt-in zou zijn? En dan niet voor elke site apart die Google gebruikt maar gewoon bij Google, Facebook, Twitter, etc.

  15. Ik vraag me af of heatmaps nog wel zijn toegestaan. Daarbij wordt de beweging van de muis opgenomen, zodat je weet waar mensen ongeveer kijken en wat ze wel en wat niet goed zien.

    In principe heb je daar geen cookie of andere opslag voor nodig; de opname gebeurt per pagina. De enige ‘opslag’ is dus in javascript gedurende de levensduur van de pagina.

  16. @66 Ja de mensen zijn dom en worden misschien nog wel dommer gemakzuchtiger door alle regels. Maar ik denk dat je het mensen niet uitgelegd krijgt wat er allemaal over ze bekend is online, en pas als ze er nadelen van ondervinden is het te laat. Ook maakt het de meeste mensen niet uit (kijk wat ze allemaal plaatsen op Facebook, Twitter ,etc). Dat is allemaal prima, je mag ook als Google eisen dat je de cookies moet accepteren als je Gmail wilt gebruiken of Google Docs (of hoe heet dat). Maar laat de mensen het wel duidelijk weten.

    Sommige dingen zijn niet (makkelijk) te leren, zoals financiele zaken maar ook privacy op internet.

  17. @67 Op die manier is het inderdaad kwaadaardig! Maar daarbij kan je wel zeggen (als ik het goed heb) dat ze nooit iets zullen doen wat niet mag…ze moeten daarvoor eerst toestemming aan de gebruiker vragen. Als die er niet is mag het niet. Als ze dat al zouden doen zou dat resulteren in duizenden rechtzaken (alleen al in geldwolvenland Amerika). Alleen daarom zou ik het persoonlijk niet misbruiken. Hopelijk denkt Google daar ook zo over.

    Daarnaast is er niets mis met opt-in behalve wanneer ik het straks voor elke website weer moet doen. Daar heb ik geen zin in. Het mooiste zou zijn een browser die, wellicht met een plugin, de mogelijkheid aan de gebruiker geeft. Op één plek alles regelen voor elke website en service die je gebruikt.

    Overigens lijkt opt-in terrein te winnen. Al kan ik alleen Google+ als voorbeeld (zo snel uit het hoofd) geven waarin jezelf kiest om iets publiekelijk te plaatsen voor de zoekmachine. Die optie stond bij mij in ieder geval standaard uit.

  18. @66 overigens hebben mensen veelal geen idee dat iets publiekelijk op Twitter of Facebook staat. Dat merk ik onder andere uit reacties binnen de familie. Als ik dan vraag of ze wel goed gelezen hebben komt het weerwoord, maar ja ik zal toch zeker niet alles gaan lezen :P.

    Ik blijf toch bij mijn standpunt van lering…ik zie in dat het niet werkt, maar zo komt het kwartje extra hard aan. Uit ervaring kan ik vertellen dat dat toch het beste werkt.

    (voegt verder niets toe aan de discussie, maar wilde het gewoon even vermelden).

  19. Ok, wat te denken van deze maffe work around: Facebook begint een Analytics programma. Facebook kan de data koppelen aan de Facebook login. De login gebruikt een login cookie en die zijn toegestaan. Van iedere ingelogde Facebook gebruiker kunnen we dan statistiek verzamelen. Dat is een aardige subset. Google kan hetzelfde doen met Google accounts (gmail, g+, youtube, etc).

  20. Waar is nu dat wetsvoorstel? Wordt daarin onderscheid gemaakt tussen het gebruik van cookies en het gebruik van server-side logging? Zo ja, hoe en waarom? Gaat het om het feit dat het niet de aanbieder van de dienst zelf is die de data verzamelt? Daar vind ik in het bovenstaande geen aanwijzing voor (lees ik er overheen)? Hoe weet ik of een standaard Apache/IIS-log volgens deze wet nu verboden is?

    PS: Arnoud schreef: ik denk niet dat dat bedoeld wordt. Ik begrijp dat we niet moeten kijken naar wat er in de wet staat, maar wat er bedoeld wordt. Want mijn IP-adres is wel degelijk op mijn randapparatuur opgeslagen. Voor andere HTTP-headers (zoals User-agent) kun je nog zeggen: die zijn eigenlijk samenvattingen van data op mijn randapparatuur, niet die data zelf.

  21. @N.P. 62 Je hebt mij niet horen zeggen dat het mij niets uitmaakt. Integendeel. Ik ben een groot voorstander van het tegengaan van het opslaan van privacygevoelige gegevens. Het enige dat ik steeds probeer aan te tonen is dat Analytics dat niet doet. En in deze discussie heeft niemand mij nog van het tegendeel kunnen overtuigen. Ik heb veel argumenten genoemd, met linkjes naar uitleg, maar ik heb nog geen tegenargumentehn gezien.

    @ Arnoud 60 Het komt dus inderdaad neer op de interpretatie van het woord ‘functioneel’. Daarover is de wet gewoon niet duidelijk en zijn we afhankelijk van de uitwerking in de praktijk. Stellen dat het Analytics cookie niet functioneel is, zie ik als een mening. Van jou, van de DDMA (wat zouden de leden daarvan vinden…). Maar daarmee is het nog geen feit. Het enige dat ons hierbij kan helpen is een proefproces. En ik stel me daarvoor beschikbaar met mijn website. Ik heb geen idee hoe dat werkt, maar als er mensen zijn die dat wel weten en dit lezen; ik ben bereid om daaraan mee te werken.

    Verder hoop ik dat de discussie ook breder wordt dan alleen Google Analytics. Zelf heb ik Sitestat/Comscore al genoemd met hun enge scorecardresearch.com cookie.

  22. Wat mij verwart is de bewijslast dat je geen persoonsgegevens verwerkt.

    “Dat wil zeggen dat vanaf 1 januari 2013 een organisatie die cookies plaatst moet aantonen/ bewijzen dat zij geen persoonsgegevens verwerkt (guilty till proven innocent), in plaats van dat de toezichthouder moet bewijzen dat jij wel persoonsgegevens verwerkt (innocent till proven guilty).”

    Daarmee lijkt gezegd dat als je onderbouwd kan aantonen dat je geen persoonsgegevens verwerkt – niet naar het individu terug te voeren gegevens – je ook geen toestemming hoeft te vragen. Maar hoe je dat bewijst, weet ik niet.

    Ik kan me dan voorstellen dat een advertentie wel naar een individu is terug te voeren omdat je iemand op individueel niveau aanspreekt. Dat is anders dan het op geaggregeerd niveau gegevens opslaan zonder dat je dit terug wilt voeren naar individueel niveau.

    En ik vroeg me af of je gebruikers mag weigeren als ze niet akkoord gaan met het neerzetten van cookies. En wat er gebeurt als een website vervolgens verplicht gebruikt moet worden door een klant.

  23. @Rolf 74. Excuses, Richard had dat gezegd, jij niet.

    In #35 geef je inderdaad een link naar de settings van Google maar als gebruikers niet kiezen voor het niet delen van de informatie dan wordt de informatie gewoon gebruikt en opgeslagen door Google. Ik weet als gebruiker niet op wat voor setting de webmaster deze heeft staan.

    We also use this information to offer you tailored content ??? like giving you more relevant search results and ads.
    Google bouwt dus met de gegevens een profiel van mij op. Wat ik al een aantasting van mijn privacy vind.

    Tevens wordt de data niet verwijderd van de servers als jij stopt met Analytics en misschien wel het belagnrijkste zal Google deze informatie doorgeven als ze dat nodig vinden:

    We will share personal information with companies, organizations or individuals outside of Google if we have a good-faith belief that access, use, preservation or disclosure of the information is reasonably necessary to: meet any applicable law, regulation, legal process or enforceable governmental request. enforce applicable Terms of Service, including investigation of potential violations. detect, prevent, or otherwise address fraud, security or technical issues. protect against harm to the rights, property or safety of Google, our users or the public as required or permitted by law.

    Zeker dat laatste is een potentiele aantasting van mijn privacy.

    En let wel, ik heb er helemaal niets aan om mijn profiel te laten aanvullen door de sites die ik bezoek en de gegevens uit Analytics.

  24. @Joost: De vraag is niet dom, zeker niet. Het antwoord is alleen best last. We blijven terugkomen op de vraag of het cookie dat Analytics zet “functioneel is”.

    In de blog citeer ik de minister die aangeeft dat het daarvoor een direct nut voor de eindgebruiker, de bezoeker moet hebben. Bij gewone Analytics zie ik dat niet (maar de meningen zijn verdeeld, zie de overige reacties).

    Bij jouw toepassing kan ik er misschien nog wat in zien omdat Analytics daar gekoppeld wordt aan iets dat direct profijt/nut voor de gebruiker ziet. Misschien, want het doet me wat gezocht aan, maar ik vind het iets meer aansluiten bij wat de minister heeft gezegd dan “met Analytics kun je je site optimaliseren en daar heeft de gebruiker wat aan”.

  25. Nog twee vraagjes n.a.v. de opmerkingen over ‘functionele cookies’:

    1. De wet spreekt over het lezen of schrijven van randapparatuur. Main memory wordt voor zover ik weet niet beschouwd als randapparatuur. Dus gaat dit verhaal niet over alle cookies, alleen over persistente, die naar je harde schijf geschreven worden. Gewone houd-me-ingelogdcookies en webwinkelwagentjescookies zijn niet persistent – hoeven dat in elk geval niet te zijn. Of vergis ik me?
    2. Kan iemand me een webapplicatie noemen waarvan de functionaliteit (voor de gebruiker dus) afhangt van persistente cookies? (Voor zover ik weet gebruiken de sites die ik bezoek logins en is “Automatisch inloggen”, als ze het al aanbieden, altijd optioneel.)
  26. @ N.P. 77 Excuses aanvaard! Het klopt wat je zegt over de instellingen van het Analytics account waar jij als gebruiker geen invloed op hebt. En daarom nogmaals: ik zou er een voorstander van zijn om op basis van deze nieuwe wet te zeggen dat Google geen andere opties meer mag aanbieden naast de ‘do not share’ instelling. Overigens zijn Analytics accounts nu al standaard zo ingesteld en moet je als beheerder expliciet kiezen voor de andere opties. Het weghalen van die ‘share’ opties is een kleinigheid en zou een ferme stap in de goede richting zijn.

    Je conclusie dat Google Analytics een profiel van jou persoonlijk opbouwt lijkt me niet correct. Wat het door jouw geciteerd stukje tekst zegt is dat gegevens uit Analytics die door de eigenaar van het account gedeeld worden met Google, helpen om gebruikers relevante zoekresultaten en advertenties te geven. Dat is niets meer en niets minder dan dat ze de statistieken gebruiken om hun zoekalgoritme te verbeteren en daar profiteer jij wel degelijk van als je snel relevante informatie wilt vinden. Ook Adwords zijn inmiddels razend populair bij het grote publiek omdat je daardoor snel vindt wat je zoekt. Die functioneren zonder cookies overigens.

    Maar, als het delen van gegevens uit Analytics niet meer toegestaan zou zijn is dat probleem toch ook opgelost?

  27. Mijn citaat was misschien niet helemaal goed, dat stukje kwam uit de privacy policy van google: http://www.google.com/intl/None/policies/privacy/ ….We may collect information about the services that you use and how you use them, like when you visit a website that uses our advertising services or you view and interact with our ads and content….. We use the information we collect from all of our services to provide, maintain, protect and improve them, to develop new ones, and to protect Google and our users. We also use this information to offer you tailored content ??? like giving you more relevant search results and ads.

    Dus volgens mij wordt het er op basis van de Analytics gegevens wel degelijk een profiel gemaakt.

    Maar stel(!) dat Google deze gegevens daar niet meer voor zou gebruiken en stel(!) dat de webmaster de gegevens zou kunnen verwijderen dan zouden mijn grootste problemen opgelost zijn. Maar dan zou ik het nog steeds erg prettig vinden om daar zelf over te mogen oordelen zodat Google niet per ongeluk toch iets met de gegevens zou kunnen doen.

    *Lees voor Google overigens elk willekeurig ander bedrijf, zoals Apple, MS, Facebook, etc maar ook overheden.

  28. @ N.P. 83 Als het gaat over Analytics moet je citeren uit de voorwaarden van Analytics: http://www.google.com/analytics/learn/privacy.html Lees die eens goed en beoordeel pas daarna of Analytics een profiel van je maakt. Dat is dus niet het geval, zeker niet als je IP masking gebruikt en geen data sharing als optie hebt ingesteld.

    Waar jij uit citeert zijn de voorwaarden van de gratis diensten zoals Gmail, Google+, GoogleDoc, Google Drive, zoekmachine (ingelogd). En als je die voorwaarden niet fijn vindt, dan kan ik je alleen maar aanbevelen wat Eric Smith gisteravond zei tijdens zijn bezoek aan Nederland; You don’t like Google? Don’t use it!

    Analytics is van een andere orde omdat dat geen dienst is voor gebruikers zoals Gmail en al die andere dingen. Daarvan zijn de voorwaarden totaal anders.

  29. Rolf, ik heb als bezoeker niets te maken met de analytics voorwaarden, die gaan voornamelijk over jou als analytics gebruiker. Voor mij zijn dus de gewonen Google privacy voorwaarden van belang: We use various technologies to collect and store information when you visit a Google service, and this may include sending one or more cookies or anonymous identifiers to your device. We also use cookies and anonymous identifiers when you interact with services we offer to our partners, such as advertising services or Google features that may appear on other sites.

    Nu is het natuurlijk de vraag of ik interact met analytics maar volgens mij interact ik ook niet met de advertenties dus ik ga er maar vanuit dat dit ook voor analytics geldt. Ik kan namelijk nergens terug vinden (ook niet in de analytics voorwaarden) dat het niet zo zou zijn. Als data sharing uit staat worden jouw gegevens niet gebruikt maar ik kan niet met zekerheid terug vinden of mijn gegevens niet gebruikt worden (heowel ik daar voor het gemak wel vanuit ga).

    Met het advies van Eric Smith komen we bij het punt wat ik wil maken. Ik heb geen keuze om het niet te gebruiken. Uiteraard laat ik Gmail, Google+, Docs etc links liggen maar je kan niet normaal op internet zonder dat je adsense en/of analytics tegenkomt. Op het moment dat je op zo’n site bent en het ziet (analytics zie je normaal gesproken niet eens) is het al te laat en heeft Google al je informatie.

    Natuurlijk kan ik helemaal van internet af maar dat lijkt me een wat drastische stap en dan lijkt me opt-in een beter alternatief. Let op ik heb het hierbij ook uitdrukkelijk over het maken van een profiel van gebruikers. Als gegevens volledig anoniem worden verzameld en daarna verwerkt én er geen gegevens van meerdere sites/services worden gecombineerd heb ik er geen minder moeite mee. Zo heb ik er ook geen probleem mee als een site gebruik maakt van zijn eigen analytics software (iets als piwik) mits deze weer niet gedeeld wordt en anoniem blijft.

  30. @Arnoud Interessant artikel en interessante discussie. Ik heb nog niet alle reacties kunnen lezen (tot reactie 25) maar heb in de tussentijd wel een vraag.

    Quote: Welk nut heeft Analytics voor de eindgebruiker? Wat ik van Google lees, gaat alleen over de voordelen van de webmaster. Die krijgt mooie plaatjes met statistieken en kan op allerlei niveaus draaitabellen, filters en meerdere dimensies visualiseren. En ja, dat is leuk maar als eindgebruiker merk je niet of Analytics aan of uit staat. Het Analyticscookie draagt op geen enkele manier bij aan de dienst die de gebruiker afneemt en is ook niet in diens belang. Ik ontkom dus niet aan de conclusie dat je voor Google Analytics écht toestemming nodig hebt onder de cookiewet.

    Vraag: Wij gebruiken in websites de geaggregeerde Google Analytics data via de Google Analytics API om o.a. productsorteringen te doen. Kortom, producten waar bezoekers afhaken worden niet getoond in tegenstelling tot producten die wel relevant zijn voor bijvoorbeeld een zoekwoord. Op basis van deze informatie wordt de volgorde (mede) bepaald waarin producten getoond worden op de website. Deze functionaliteit stopt als GA niet meer geplaatst mag worden. De hele discussie focust zich nu op de Google Analytics web interface. Maar hoe zou de wetgever kunnen kijken naar technische cookies als met name de GA API gebruikt wordt om op pagina’s en winkelmand producten te tonen?

  31. Ik heb nog een vraag wanneer je onder de nieuwe wet valt.

    Laat we de volgende voorbeelden nemen:

    1. Website eigenaar leeft in Nederland, server staat in Duitsland onder welk land valt hij nu.
    2. Website eigenaar leeft in Nederland, server staat buiten de EU heeft hij dan ook met die wet te maken.
    3. Website eigenaar leeft in de EU, server staat in de EU (zelfde als vraag 1 maar nu welk land dan ook).
    4. Website eigenaar leeft buiten de EU, server staat in de EU.

    Hoe werken de regels dan?

  32. @Joost (#86): Dat is wel een heel merkwaardige. Implied consent wil zeggen stilzwijgende toestemming, en wordt dus uitgelegd als “je vindt alles goed totdat je zegt van niet”. Volgens mij heet dat opt-out en niet opt-in, maar dat zal wel aan mij liggen.

    Bij ons zie ik dit niet opgaan, want bij ons is “toestemming” gedefinieerd als “zoals bedoeld in de privacywet” en die sluit stilzwijgen uit als mogelijkheid om toestemming te geven.

    @We are Borg: Je valt onder NL recht als je server op computers in NL een cookie zet. Althans volgens de privacywerkgroep waar ons Cbp de sturende kracht in is. Er zijn geen rechterlijke uitspraken over cookies, wel algemene uitspraken die neerkomen op “als je site zich duidelijk richt op een bepaald land, dan valt ie onder het recht van dat land”. Daarbij is de serverlocatie of de vestigingsplaats van de eigenaar dus irrelevant, maar moet je kijken naar de taal, de contactmogelijkheden, betaalopties, vermeldingen over leveringen, etcetera.

  33. Even een praktijkcasus. Niet precies over cookies, wel verwant. Ik heb pas weer een nieuwe webserver ingericht en al snel bleek wat ik eerder ook wel eens merkte: een paar keer per dag gaat iemand herhaaldelijk zitten proberen in te loggen in ssh (secure shell) met gerade gebruikersnamen en wachtwoorden.

    Ze komen er toch niet in, want ik heb alleen ongebruikelijke users en heueul goeie wachtwoorden. Inloggen als root is zelfs helemaal uitgeschakeld: zelfs al zou je het wachtwoord weten, kom je nog niet binnen.

    Maar ik vind dat gehack dermate onbeschoft dat ik een scriptje heb gebakken (variant op voorbeelden die her en der op het web staan), dat elke paar minuten draait. Als dat ziet dat een bepaald IP-nummer zit te proberen in te breken, dan wordt dat nummer voor altijd geblokkeerd in de firewall.

    Als we nu een IP-nummer even als een persoonsgerelateerd gegeven zien, dan vindt hier duidelijk een bewerking van persoonsgegevens plaats. Betekent dat nu dat ik onder de nieuwe wet vooraf toestemming aan mijn hackers moet gaan vragen? Toestemming om hun pogingen te (laten) monitoren en uiteindelijk te blokkeren? (Dat monitoren , ofwel loggen, zat overigens al standaard in FreeBSD Unix, dat heb ik niet gebouwd.)

    En als ze dan nee zeggen, dan mag ik dat niet doen en moet ik ze door laten hacken (los van dat dan misschien wel weer strafbaar is)?

    Dat zou wel een beetje belachelijk zijn, of niet? Ik ga dat ook beslist niet doen. Maar hoe zit het wettelijk? Zonder mijn beveliging doet de server het even goed, dus dat is geen argument.

  34. Antispamblacklists: mag niet meer in de EU, de spammer heeft immers geen toestemming gegeven zijn gegevens erop te plaatsen.

    Milter-greylist: mag van de EU geen legitieme mails meer doorlaten, want het SMTP-protocol voorziet niet in de mogelijk dat de afleverende mail agent toestemming geeft om de eerste afleverpoging te registreren, opdat het even later wel meteen lukt.

    Tell me this is a bad dream. Please wake me up.

    (Analoog: kraken is legaal, huiseigenaar mag bewoners er niet uit jagen, want dat zou huisvredebreuk zijn.

    En: knuppel onder het bed mag niet, verboden wapenbezit, geweld tegen een inbreker is strafbaar. Gelukkig: dat is niet waar: zelfverdediging.)

  35. Ruud: voor zover ik weet is de situatie voor het verwerken van persoonsgegevens ten behoeve van blacklists niet veranderd sinds de invoering van de cookiewetgeving. Ik vermoed dat iemand die je SSH-server probeert te bruteforcen niet geldt als ‘gebruiker’, waar de cookiewetgeving over spreekt. De cookiewetgeving gaat over het al dan niet registreren van gegevens over legitieme gebruikers van jouw online diensten. Ik denk dat de Wet bescherming persoonsgegevens van toepassing is op het verwerken van persoonsgegevens voor blacklists, zoals vanouds.

    (Overigens vermoed ik dat iemand voor altijd in jouw blacklist laten staan niet toelaatbaar is volgens de Wbp; je mag persoonsgegevens namelijk niet langer verwerken dan noodzakelijk. Bedenk dus een redelijke termijn…)

  36. @90 Geldt dat dan ook omgedraaid als iemand buiten de EU een server heeft staan die richt zich op de EU dat hun dan ook de regels dienen te volgen als we de redenatie volgen “taal, de contactmogelijkheden, betaalopties, vermeldingen over leveringen, etcetera”.

    Ik zeg het niet snel maar de gene die dit verzonnen heeft met cookies een ritje noordpool geven en niet meer in de beschaafde wereld laten komen. Ligt het nu aan mij maar is de EU een beetje aan het doordraaien wat betrefd regels enz.

  37. @Ruud: de cookiewet staat grotendeels los van de privacy. Je parkeert data op andermans computer, daar moet je toestemming voor vragen. Dat is het in essentie.

    De achtergrond is privacy/tracking, vandaar dat de terminologie door elkaar loopt. Dat iemand data parkeert op je pc is één ding, maar die data bespioneert je ook nog eens. Daar moeten we wat aan doen, was de gedachte.

    Met beveiliging heeft dit niets te maken. Je mocht en je mag onder de privacywet securitymonitoring doen. Dat doe je serverside dus de cookiewet is irrelevant. En toestemming onder de privacywet is niet nodig want er is een uitzondering – de dringende noodzaak die zwaarder weegt dan de privacy. En die geldt bij dit soort securitymonitoring.

    Let wel: als je data op clients parkeert dan is die uitzondering niet doorslaggevend. De cookiewet zegt immers dat je altijd toestemming moet vragen, ook als je onder de privacywet dat niet hoeft en zelfs als de privacywet niet van toepassing is. Alléén functionele, noodzakelijke data mag zonder toestemming op andermans computer gezet.

    TLDR cookiewet en securitymonitoring hebben niks met elkaar te maken.

  38. Oké, dus in mijn geval speelt het dus alleen met Sitemeter en Adsense. Sitemeter kan ik missen, Adsense wil ik houden.

    Ik zal volgende week als ik meer tijd heb eens zoeken in de Google Webmaster Forums, daar zal vast al wel een discussie over deze kwestie lopen en anders start ik er een. Er praten medegebruikers mee maar ook mensen van Google zelf.

    Als er toestemming gevraagd gaat of moet worden, moeten zij dat programmeren, want ik kan en wil dat niet, en mag het misschien ook wel niet van Google.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS