Weinig onderwerpen waar ik zó over platgemaild werd als de vraag “Mag Google Analytics nog als de cookiewet in werking treedt”. Analytics is een handige tool voor webmasters maar het perfide Google maakt er meteen ook gebruikersprofielen mee – én plaatst cookies. Wij hadden ooit een oplossing gevonden voor het profileren (anonimiseer het IP-adres) maar dat levert geen oplossing voor de cookiewet. Ik heb er uitgebreid over zitten peinzen en dacht eerst dat het wel moest kunnen, maar ik loop steeds vast op de tekst van de wet.
Je kunt, aldus Google, met Analytics werken zonder dat deze persoonlijke gegevens opslaat. Allereerst zeg ik daar meteen bij dat Google een geheel eigen definitie heeft van “persoonlijke gegevens”, kort door de bocht moet je naam en je adres erbij staan anders vinden zij het niet persoonlijk. Dat gaat lijnrecht in tegen de Europese privacyregels, die het al “persoonlijk” vinden als je er twee personen mee kunt onderscheiden, ongeacht of je weet welke personen het zijn. Het getal 461 is dus een persoonsgegeven – voor mij, want dat identificeert een klant in mijn klantenbestand (hoi Erik).
Maar zelfs als de Analyticsdata die wordt verzameld compleet geaggregeerd wordt en totaal niet naar individuele users te herleiden is (ok ok maar stél), dan nog helpt ze dat helemaal niets. Want cookie zetten is toestemming vragen, punt. First party, third party, persoonsgebonden of niet; compleet irrelevant. Behalve dus als het cookie strikt noodzakelijk is voor het goed functioneren/leveren van een dienst. De wet wil met één zin zowel cookies als dialers, toolbars en dergelijke meuk afdekken. Vandaar de brede bewoordingen. Een toolbar trackt op zichzelf niets (kan wel) maar het installeren van een toolbar vereist toestemming. En een cookie dus ook.
De standaardvoorbeelden van toestemmingsloze cookies zijn de houd-me-ingelogdcookies en de webwinkelwagentjescookies. Zonder die cookies moet je continu je wachtwoord invullen of kun je niet fatsoenlijk een serie producten in één keer bestellen, dus dat moet gewoon kunnen. Maar iedere meelezende techneut zal nu uitroepen “nou, noodzakelijk, noodzakelijk, dat kan prima op een andere manier hoor”. Maar omdat het de bedoeling is dat dergelijke cookies zonder toestemming gezet moeten worden, mag je “strikt noodzakelijk” dus lezen als “net zo noodzakelijk als een webwinkelwagentjescookie”. Leuk hè, rechten?
Hoe noodzakelijk is een cookie voor Google Analytics? Niet zó noodzakelijk, vond de minister in de Eerste Kamer:
Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.
Hm. Minder snel. Dus het zóu kunnen.
… voor diensten waarbij wordt ingelogd op een persoonlijk account, kan het noodzakelijk zijn om met gebruik van cookies te controleren of er niet met deze accounts wordt gefraudeerd.
Ook hier: nee, hij bedoelt niet “noodzakelijk” als in “geen andere technische oplossing is mogelijk”. (En nee ik weet ook niet hoe ik met een cookie -clientside info- kan controleren of een client fraudeert.) Waar het om gaat is of het cookie het belang van de gebruiker dient en dan ook alléén diens belang. Bij een houd-me-ingelogd-cookie of een rot-op-met-je-enquête-cookie is dat duidelijk. Maar bij Analytics? Wat heeft de bezoeker aan Analytics?
Iets later:
Wanneer van het gebruik van analytics cookies in een bepaald geval gezegd kan worden dat dit noodzakelijk is voor het goed kunnen functioneren van de door de gebruiker bezochte site, valt dit gebruik van analytics cookies onder de uitzondering in het derde lid van artikel 11.7a.
Soms voel ik me net een oude Griek die het orakel van Delphi moet duiden. Wanneer is aan de uitzondering voldaan? Nou, als aan de eis genoemd in de uitzondering is voldaan dan gaat de uitzondering op. Eh. Ja.
Goed. Welk nut heeft Analytics voor de eindgebruiker? Wat ik van Google lees, gaat alleen over de voordelen van de webmaster. Die krijgt mooie plaatjes met statistieken en kan op allerlei niveaus draaitabellen, filters en meerdere dimensies visualiseren. En ja, dat is leuk maar als eindgebruiker merk je niet of Analytics aan of uit staat. Het Analyticscookie draagt op geen enkele manier bij aan de dienst die de gebruiker afneemt en is ook niet in diens belang.
Ik ontkom dus niet aan de conclusie dat je voor Google Analytics écht toestemming nodig hebt onder de cookiewet. Ja, ook als je de IP-adressen anonimiseert en ook als je geen Adsense draait. Dat dat niet gaat werken, moge duidelijk zijn – maar wishful thinking of roepen dat je er geen last van hebt, is geen juridisch argument.
Arnoud
Als ik op de server wel eens dingen test met lynx (dat is een text-based browser): dat ding vraag default bij ELKE cookie om toestemming. Is dat fijn? Nee, bloedirritant, en ik weet niet eens hoe het uit moet.
Dus: na invoering van die wet gonst het straks op 500 fora van de discussies “hoe geef ik blind overal toestemming, voor want ik ben die zeikvragen zat”. Wedden om een doos met 100 koekjes naar keuze?
En 98% van de bevolking gaat de oplossingen daarvoor dan ook gebruiken. Mensen willen wel zeuren over privacy maar ze willen NIET constant vragen beantwoorden. Dat is psychologie.
Dus: de EU-regelgeving is eigenlijk crypto-nep op verzoek van de trackingcookiemaffia. Toch? In de volgende ronde gaat het er wegens onwerkbaar weer uit en mag voortaan alles zonder toestemming.
@ N.P. 85 Dat kun je dus wel. http://support.google.com/analytics/bin/answer.py?hl=nl&answer=181881 Google biedt voor alle browsers een plugin waarmee je als gebruiker Analytics ‘uitschakelt’ voor alle websites die je bezoekt. Noem mij een andere webstatistieken tool die dat biedt? Het klopt dat je als gebruiker iets moet doen, maar dat moet je ook als je een nee/nee sticker op je brievenbus plakt. Het is inderdaad opt-out, maar lang voordat er wetgeving was biedt Google dit soort mogelijkheden al. Dit is ook de richting waar de EU over nadenkt.
In Duitsland is via proefprocessen door de rechter bepaald onder welke voorwaarden Google Analytics gebruikt mag worden en het aanbieden van deze ‘do not track’ optie op je website hoort daarbij. Ik kom liever op een website met Analytics dan op een site met welke andere statistische tool dan ook. Op EU niveau wordt gesproken over een simpele manier om ‘do not track’ voor alle statistieken en advertentie tools in je browser in te schakelen. Dat is een veel betere oplossing dan het gedrocht van een wet waar wij nu mee opgezadeld zitten; niet duidelijk en niet uitvoerbaar.
Ik wordt nooit gevraagd om google analytics cookies toe te staan… Ik heb google-analytics.com geblokkeerd met adblock. Ik geef toe, dat is een gevalletje eigenrichting; maar met zoveel webmasters die “slinkse kunstgrepen” toepassen waarmee mijn privacy wordt geschonden heb je niet veel keus anders dan zelf je browser dichttimmeren.
@ Arnoud Wat ik in deze discussie echt niet begrijp en ik hoop dat jij dat kunt verklaren; wat is de reden dat er zo kritisch gekeken wordt naar het bijhouden van statistieken op het internet. Wordt het MacDonalds net zo moeilijk gemaakt om bij te houden op welk tijdstip ze welke producten het meest verkopen en daar hun marketing op af te stemmen? Waarom weten telecom bedrijven exact hoeveel ik sms en bel zodat ze mij een abonnement kunnen aanbieden dat zogenaamd beter is voor mij maar waarmee ze vooral zelf meer kunnen verdienen?
Als ik het nu eens omdraai; het is mijn website, het is mijn content en ik heb het recht om te meten welke content goed en welke content minder goed wordt bekeken. Ik heb het recht om te meten hoeveel bezoekers ik krijg op welk tijdstip. Ik heb het recht om met advertenties de kosten van mijn website te betalen en ik heb het recht om die advertenties zo goed mogelijk af te stemmen op de bezoekers. Het interesseert mij niet of het Jan of Piet is die mijn website bezoekt, maar wel of het aantal bezoekers omhoog gaat. Ik garandeer de privacy van de bezoekers van mijn site maar wil gewoon getallen zien. Dat is mijn recht omdat ik het niet voor mijzelf doe, maar om mijn bezoekers tevreden te houden. Maar die weten niet precies hoe dat werkt en gaan dus nooit via opt-in toestemming geven voor dit soort zaken. Als mij dat onmogelijk wordt gemaakt dan zit er niets anders op dan te stoppen met die site.
En dat zou wel eens precies het effect kunnen zijn van deze wet in de uitleg die er nu aan gegeven wordt. Consumenten krijgen minder goede websites, minder goede content, zeker minder goede gratis content. Ze krijgen meer irritante advertenties zoals homepage-take overs en allerlei popups.
Maar ik blijf positief. Innovatieve bedrijven zoals Google, maar ook anderen, gaan vast technologie bedenken waarmee je binnen deze wet toch statistieken kunt bijhouden.
@ Mathfox Dat gaat je niet helpen, want Analytics plaatst geen Analytics cookies. Het zijn first party cookies van de website die je bezoekt met het domein van die website, niet van Google.
Maar zoals ik in mijn eerdere reactie schreef biedt Google voor mensen die dat willen voor iedere browser een simpele do not track plugin om Analytics te blokkeren.
Heb je sitestat, comscore en scorecardresearch wel geblokt? Want die plaatsen thirdparty cookies. Veel overheidswebsites en publieke omroepen gebruiken dat.
@Rolf/103:
Ik ben wel nieuwsgierig hoe jij precies de privacy van je bezoekers garandeert als je van Google Analytics gebruik maakt.
@ Bastiaan – Mijn Analytics account staat zo ingesteld dat informatie met niemand gedeeld kan worden, ook niet met andere Google diensten – Analytics plaatst een first-party cookie van mijn website, niet van Google – Mijn Analytics werkt alleen op 1 domein, er wordt niets over meerdere domeinen ‘meegenomen’ – Analytics staat zo ingesteld dat IP adressen gemaskeerd worden – Analytics data is mijn eigendom en mag niet door Google bekeken worden (uitgezonderd op last van de overheid of verdenking van illegale praktijken) – De Analytics data is multi-tenant en gecodeerd – Analytics bouwt geen profielen op van gebruikers. Een bezoek is een anonieme tik voor de ’tellertjes’. Niet te herleiden naar een persoon of apparaat – Ik informeer de bezoekers in een duidelijk privacy statement.
En voor wie dan nog niet overtuigd is biedt ik in het privacy statement een linkje aan naar de do-not-track plugin van Google Analytics: https://tools.google.com/dlpage/gaoptout
@Rolf: Statistieken zijn nooit de focus geweest. Het ging primair om privacy, en als afgeleide daarvan is er vanuit “je gaat niet zomaar data op andermans computer zetten” een regel over cookies ingevoerd.
Dat Analytics dus niet meer mag van de cookiewet, is collateral damage. Er zijn -zie de citaten- pas in een heel laat stadium vragen gesteld over hoe dat uit zou pakken, en er is duidelijk niet over nagedacht want de antwoorden aarzelen nogal.
Het doet me een beetje denken aan robocalls. Ooit een slim mechanisme om snel je boodschap overal te kunnen verspreiden (een computer belt en leest een bandje voor), maar zo zeer misbruikt dat er keiharde wetgeving is gekomen die het gewoon verbiedt. En daarmee is óók het onmogelijk om legitieme robocalls te doen, zoals een gesproken boodschap van de politie bij bv. een Amber Alert.
Je hebt echter NIET het recht om cookies op andermans computer te plaatsen, tenzij jij een direct en functioneel nut van dat cookie voor die ander kunt aantonen.
@103, Rolf, 26 mei 2012 @ 22:54:
Vind ik ook. Mijn http://rudhar.com/cgi-bin/lstviewd/mstviewd.cgi werkt zonder cookies, maar er vindt wel een bewerking plaats, namelijk het uitwaarden (hé, waarom hebben we dat woord niet? Duits: auswerten) van de Apache-logfile. Zou dus volgens de privacywet alleen toegestaan zijn als er een belang is dat boven privacy gaat. Is mijn nieuwsgierigheid wel zo’n belang? En ook: ik publiceer geen IP-nummers, sorteer er hoogstens op (nee, ook niet eens) en weet geen personen bij de IP-nummers.
Sitemeter vertaalt wel IP-nummers statistisch naar bijvoorbeeld landen. Misschien is dat zo’n boven privacy gaand belang, dat ik weet waar ik gelezen word en mogelijk daarmee het aanbod gestuurd kan uitbreiden? Inderdaad vergelijkbaar met McDonalds?
@ Ruud Jij slaat ip nummers op en dat is privacygevoelig. Dat je ze niet publiceert of gebruikt doe niet terzake. Deze wet gaat niet alleen over cookies. In feite doe jij dus meer dan ik met Analytics, omdat bij mij IP nummers gemaskeerd zijn.
@ Arnoud Het woordje ‘direct’ staat voor zover ik weet niet in de wet, maar corrigeer me als ik het verkeerd heb. En over het woordje ‘functioneel’ verschillen de meningen. Volgens mij kan daar alleen een proefproces duidelijkheid geven.
@Rolf: In de wet staat dat het “uitsluitend doel” moet zijn levering van een dienst en “strikt noodzakelijk” daarvoor.
Uit de citaten uit mijn blog blijkt dat dit moet worden geïnterpreteerd als direct en functioneel (en dus niet als technisch noodzakelijk). Als je een andere formulering hebt die óók past bij wat de minister zegt dan hoor ik het graag. Maar het juridische “spel” is dat wat de wetgever zegt, per definitie juist is en elke interpretatie daar dus binnen moet passen.
Rolf: > Jij slaat ip nummers op en dat is privacygevoelig.
Dus iedereen die een website draait met webserver Apache met de default logging (d.w.z. er komen o.a. IP-nummers in een serverinterne logfile te staan), die moet zich aanmelden bij de privacywaakhond wegens het verwerken van persoonsgegevens?
Ik hoop niet dat dat waar is, want dan ben ik al vele jaren in overtreding, en waarschijnlijk velen met mij. (Ik gooi ze na een dag of wat weg, overigens, maar dat maakt voor het principe niet uit.)
http://httpd.apache.org/docs/2.2/mod/modlogconfig.html#logformat LogFormat “%h %l %u %t \”%r\” %>s %b” Erboven staat de betekenis uitgelegd. Remote host houdt een IP-nummer in.
> In feite doe jij dus meer dan ik met Analytics, > omdat bij mij IP nummers gemaskeerd zijn.
Sitemeter toont ze ook gemaskeerd, voorzover überhaupt. (Google Analytics heb ik nooit gebruikt en snap ik niet goed, maar ik vermoed dat het vergelijkbaar is met Sitemeter.)
@ Arnoud 111 ‘uitsluitend doel levering van een dienst en strikt noodzakelijk daarvoor’; daar kan ik wel iets mee, zelfs meer dan met de interpretatie ‘direct en functioneel’. Ik vraag me af waarom een andere formulering dan ‘strikt noodzakelijk’ nodig is voor Analytics.
Een paar voorbeelden: Het geven van informatie is een plicht van de overheid en een recht van de burger. Dat gebeurt steeds meer online. In 2009 brak er een grieppandemie uit waarbij heel veel onzinverhalen op internet verschenen die grote maatschappelijke gevolgen hadden. De overheid is toen direct begonnen om via Adwords en SEO onafhankelijke informatie te verstrekken aan de burgers. Om dat goed te doen en de slag te kunnen winnen van de broodje aap verhalen is een analysetool zoals Analytics strikt noodzakelijk. Juist in het belang van de burger. Anders is het schieten met hagel in het pikdonker.
Ander voorbeeld. De NPO verdeelt het geld van de overheid over de publieke omroepen en aan specifieke programma’s. Dat gebeurt voor een belangrijk deel op basis van bereik. Het online bereik vormt de basis voor de verdeling van het online budget. Daarbij gaat het bijvoorbeeld om unieke bezoekersaantallen, maar ook om verkeersbronnen zoals Youtube en Facebook. Betrouwbare en professionele statistieken uit Analytics of een andere tool zijn daarvoor strikt noodzakelijk. Juist in het belang van de burger om te voorkomen dat willekeur, persoonlijke voorkeuren of vriendjespolitiek de basis gaan vormen voor de verdeling van het geld.
Bewust heb ik gekozen voor twee voorbeelden die ik zelf goed ken uit de publieke sector, om te laten zien dat het echt niet alleen maar gaat om commerciële belangen.
Het gebruik van Analytics is strikt noodzakelijk, dat durf ik wel te verdedigen. En het kan heel goed, zoals ik al in eerdere reacties heb uitgelegd volgens zeer strikte privacyregels.
@Rolf: Ik maak een vertaalslag van “strikt noodzakelijk voor de dienst” naar “direct en functioneel” omdat je er zuiver taalkundig niet komt. Het is immers niet technisch gezien strikt noodzakelijk om cookies te zetten, je kunt prima zonder cookies state bewaren of mensen herkennen (laat ze inloggen, bijvoorbeeld). De wetgever bedoelt dus met “noodzakelijk” iets dat zwakker is dan technisch noodzakelijk.
Je voorbeelden waardeer ik, ik weet alleen niet of je daarmee categorisch in elke situatie Analytics kunt rechtvaardigen. Want dat kán niet de conclusie zijn, immers (zie citaten) volgens de wetgever is Analytics alleen “onder omstandigheden” legaal. Niet altijd.
Ik kan me iets voorstellen bij een overheidssite die Analytics inzet om een goed geoptimaliseerde site over HPV-vaccinatie of zo te maken, en die kan onderbouwen dat ze zonder Analytics de gebruiker niet bereiken. Alleen: het “noodzakelijk” moet wel de gebruiker raken, en dat mis ik toch een beetje. Het algemeen belang of het belang van de burger is níet “belang van de gebruiker”.
Vergelijk: het is in het algemeen belang dat politieke partijen hun mening kunnen uiten, maar het is niet in mijn belang dat ze posters op mijn muur plakken. Het is dat laatste belang dat de cookiewet verdedigt (naast de privacy): het is mijn computer dus jij mag daar geen cookie op zetten zonder mijn toestemming.
Het argument moet dus iets zijn als “in dit geval mag ik wél een cookie op jouw computer zetten, en dat hoef ik niet te vragen, want anders dan kan ik niet doen wat jij vraagt”. Met dat argument zijn logincookies en onthoudvoorkeurcookies evident te rechtvaardigen. Jouw stelling “we moeten het online budget betrouwbaar en eerlijk verdelen” krijg ik niet met dit argument gerechtvaardigd.
Het eerdere voorbeeld van de webshop die Analytics gebruikt om de productpresentatie voor de gebruiker te verbeteren/personaliseren vind ik dan mooier. Dat heeft een direct nut, je krijgt een voor jou relevante storefront voor je neus. Ik denk dat dát een situatie is die men als “onder omstandigheden legaal” gebruik van Analytics kan aanmerken.
En negeer even het punt of Analytics privacy schendt of niet want daar gáát het niet om. Ook een niet-privacyschendend cookie vereist toestemming tenzij strikt noodzakelijk.
Wat zouden concreet de sancties kunnen zijn als een website toch Google Analytics gebruikt? Boetes? Ik verwacht namelijk dat er talloze (vooral kleine) websites zullen zijn die het gewoon blijven gebruiken, al is het al uit onwetendheid.
Bij het spamverbod zien we dat de OPTA best wat grote zaken (miljoenen spamberichten) aanpakt en heel serieuze boetes oplegt, maar twee spamklachten voor een of andere nieuwsbrief zal waarschijnlijk te klein zijn om tot actie te leiden. Een vergelijkbare situatie bestaat, voor zover ik heb begrepen, bij het CBP: door gebrek aan capaciteit, blijven kleinere zaken gewoon liggen, ook al is de wet in principe ook daarvoor net zo streng.
Voor degenen die nu al niet getracked willen worden door tracking cookies van advertentiebedrijven en nog weinig vertrouwen hebben in de uitvoering van deze wetten bieden bijvoorbeeld een aantal van deze TPL lijsten voor de IE9 (en IE10) gebruikers een goede bescherming tegen tracking.
http://ie.microsoft.com/testdrive/Browser/TrackingProtectionLists/
De tracking lijsten die je hebt gekozen worden regelmatig automatisch geupdate.
First party cookies worden niet geblocked dus herkenning door je favoriete sites, shoppingkartcookies of automatisch inloggen op een site worden niet gehinderd.
Door de aard van de tracking protectie worden ook diverse 3rd party reclame uitingen in IE9 geblokkeerd als die bijvoorbeeld gebruik maken van tracking scripts.
@ Arnoud
Dat is ook een interpretatie waar je veel kanten mee op kunt. Zo vragen gebruikers snelle pagina’s. De vraag wat ‘snel’ precies betekent is lastig te beantwoorden. Daarvoor moet je je website kunnen analyseren en bekijken hoeveel tijd iedere pagina nodig heeft om te laden en hoe zich dat verhoudt tot de bouncerate en het uitstappercentage. Zonder Analytics onmogelijk en dan kan ik niet doen wat de bezoeker vraagt. Een bezoeker vraagt bepaalde content en verwacht die te vinden op een site. Hij klikt door de navigatie maar het lukt niet en hij zoekt via het zoekveld naar die content. Eindelijk lukt het maar de bezoeker is ontevreden omdat het zo lastig is te vinden via het menu. Zonder Analytics kom ik hier niet achter en kan ik niet doen waar de bezoeker om vraagt.Zo kan ik nog eindeloos doorgaan. Ik heb daarom ook het idee dat we niet anders kunnen dan de conclusie trekken dat de wet gewoon niet duidelijk is. Als ook jij voorbeelden kunt bedenken waar een first party Analytics cookie eigenlijk wel noodzakelijk is, dan komen we terecht in het bepalen van uitzonderingen op de wet en dat is een drama omdat je die uitzonderingen nooit objectief kunt bepalen.
Het zou veel beter zijn om first party cookies zonder toestemming vooraf toe te staan, mits ze aan bepaalde strenge voorwaarden voldoen, vooral op het gebied van privacy.
Ja, natuurlijk kun je er veel kanten mee op. 😉 Het is een wet, de toelichting is bepaald onduidelijk en er is nog geen rechtspraak of OPTA-richtsnoer waar we wat mee kunnen.
Wél denk ik dat je geen automatisch onderscheid tussen first/third party cookies mag maken. De cookiewet is breder en dekt naast cookies ook toolbars, dialers, plugins etcetera. Het lijkt me absoluut onwenselijk dat een site een toolbar of plugin gaat installeren zonder toestemming, ook al is die first party en ook al roepen ze dat die gunstig is voor de gebruikerservaring (en sommige toolbars of plugins zíjn dat ook natuurlijk).
@ Arnoud Nog een belangrijke vraag die mij bezig houdt: als het blijkbaar gaat om het vooraf toestemming geven voor het opslaan van ‘iets’ op de computer of ander apparaat van de gebruiker, wat is dan het verschil tussen een first party cookie waarmee geen privacy gevoelige gegevens worden opgeslagen en het opslaan van plaatjes, html, CSS, Flash, javascript, en vele andere bestanden die websites in dezelfde map opslaan als de cookies? Tijdens het surfen wordt je computer helemaal volgestouwd met bestanden. Gaan we dan ook meldingen krijgen in de trant van: “deze website slaat CSS, HTML, javascript, jpg, gif, Shockwave Flash en vergelijkbare bestanden op uw computer op. Gaat u daarmee akkoord? Ook het opslaan van al die bestanden heeft alleen maar tot doel om de site sneller te laden als je later terugkomt. Fijn voor de gebruiker, maar als je dezelfde redenatie volgt die jij hanteert voor cookies niet strikt noodzakelijk. Of zie ik iets over het hoofd?
re: Rolf | 28 mei 2012 @ 12:15
Ja, goed punt. Samengevat: wat is het principiële verschil, technisch en juridisch, tussen caching en cookies?
Misschien dit: het initiatief voor een cookie ligt bij de webserver aan de overkant van de lange lijnen, terwijl caching een beslissing is van de webbrowser, een programma dat de gebruiker zelf heeft besloten te gebruiken en ook vaak zelf moedwillig geïnstalleerd heeft.
(En dan heb je ook nog proxy-caching, bij de ISP, en waarschijnlijk ook ISP-caching zonder proxy, enz. enz.).
Die bestanden lijken mij noodzakelijk voor de dienst; sterker nog zij zíjn de dienst. En daarmee is de uitzondering erop van toepassing.
@ Ruud en Arnoud Die bestanden zijn noodzakelijk, maar niet het opslaan van die bestanden op je computer. Er is een principieel verschil tussen bekijken en opslaan. Een website functioneert prima, ook als alle bestanden niet worden opgeslagen. Als ik een plaatje van een website wil opslaan, wil ik dat zelf kunnen beslisen zou je ook kunnen zeggen. Als ik de site wel wil bekijken maar ik wil niet dat ze ongevraagd de complete site op mijn PC opslaan, wat is het verschil met first party cookies?
De browser voert dat opslaan uit, dat klopt. Maar dat is bij cookies niet anders. Je kunt je browser ook zo instellen dat er helemaal niets wordt opgeslagen of dat alles bij het afsluiten van de browser wordt weggehaald, inclusief cookies. Browsercaching is wel degelijk ook een instelling van de website/server zelf. Browsercaching kun je namelijk ook als webmaster uitschakelen. Het initiatief ligt dus ook bij browsercaching aan de andere kant, want de webmaster wil graag dat de gebruiker het gevoel heeft dat zijn site lekker snel is. Het is niet voor niets dat er voor populaire CMSen als WordPress speciale browsercaching plugins beschikbaar zijn.
Nee, ik zei werkelijk geen verschil met first party cookies.
Als een tracking dienst toestemming vraagt om je te tracken op 1 website mag de trackingdienst die toestemming dan ook voor alle sites laten gelden.
Een generieke vraag als:
“U geeft Google analytics toestemming om persoonlijke informatie in een bestand op u computer op te slaan en weer uit te vragen”
Zo kan bijvoorbeeld Google door deze vraag te stellen op een belangrijke supergrote site als Youtube mensen dwingen om tracking te accepteren op alle andere sites terwijl concurrenten dat niet kunnen.
@ hAI Google Analytics slaat geen persoonlijke informatie op. We moeten de discussie wel zuiver houden
@Arnoud
Voorbeeld ven een bestand dat ook wordt opgeslagen. Ik ben net op de website van een publieke omroep geweest. Vervolgens staan er twee XML bestandjes op mijn computer: http://b.scorecardresearch.com/crossdomain.xml http://nl.sitestat.com/crossdomain.xml
Beide bestandjes zijn eigendom van Comscore die de webstatistieken verzorgt van een heleboel sites, vooral in de publieke sector. Ze staan niet bij de cookies, maar worden ze door de wet wel als zodanig beschouwd? Persoonlijk vind ik ze wel eng, omdat ze niet van de betreffende omroep zelf zijn, ze zijn crossdomain en van Scorecardresearch weet ik dat ze de verzamelde gegevens verkopen als marktinformatie.
Ik moet je bekennen dat ik 100 keer liever een first party Analytics cookie op mijn computer zie dan dit soort rommel. Maar wat zegt de nieuwe wet hierover?
Weet jij dat wel zeker? Google analytics data wordt vaak gedeeld met andere Google services zoals adwords en adsense. Weet jij precies wat Google dan aan info over bezoekers opslaat?
@Rolf: klopt, het opslaan is niet technisch noodzakelijk maar dat was dan ook niet de juridische eis. 😉 Is het functioneel noodzakelijk? Ik zeg ja, want zonder zelfs maar tijdelijke opslag wordt het wel een beetje onhandig allemaal (ik word gék van browsers die elke keer de pagina reloaden).
Ik zie het verschil ook niet tussen cookies en content. Misschien dat je bij cookies als afzender het dóel hebt ze op te slaan voor later, en bij content niet? Dat plaatje moet de gebruiker zelf weten wat hij ermee wil, maar dat cookie móet opgeslagen voor de volgende keer. Anders werkt je cookie-based dienst niet.
Je kunt ook redeneren dat er toestemming is via de browserinstellingen, maar voor cookies is gezegd dat de huidige instellingsmechanismen onvoldoende zijn. Ik vermoed vooral omdat ze geen onderscheid first/third-party maken zodat je te grofmazig ja/nee zegt. En toestemming moet specifiek (kunnen) zijn. @hAl: Toestemming kan voor meerdere sites ineens worden gegeven. Wel denk ik dat Google het moet vragen dan. Ik kan jou wel toestemming vragen voor mijn cookies en voor Analyticscookies via mijn site, maar niet voor Analyticscookies op de site van Rolf.
@Rolf #126): ik zie nu deze reactie pas, dus maar even apart reageren.
De “cookiewet” gaat echt niet alleen over cookies. Het gaat naar de letter om de situatie dat men “gegevens wenst op te slaan in de randapparatuur van de gebruiker”. ALLE gegevens dus, van een HTML-pagina tot een cookie of een toolbar of een Flashplugin of HTML5 local storage. Of een gepushte firmwareupdate naar mijn telefoon. Of een nieuw IP-adres naar mijn modem (hoewel die volgens mij meestal gevráágd wordt).
Die XML-bestandjes zijn “gegevens” die de PO wenst op te slaan in mijn randapparatuur (=computer) dús is er toestemming nodig. Tenzij “de opslag tot gegevens strikt noodzakelijk is voor levering van de dienst waar de gebruiker om vraagt”.
@ hAI: Ja, dat weet ik zeker. Lees mijn reactie nr 106 maar.
@ Arnoud Ik ben benieuwd hoe prettig de gebruikers de gevolgen van deze wet gaan vinden die toch voor hun gemaakt schijnt te zijn. Als ik het even kort door de bocht mag zeggen; de geldingsdrang van onwetende politici om voorop te lopen in de wereld heeft het weer gewonnen van zorgvuldigheid en uitvoerbaarheid. Je zou ook kunnen zeggen dat het kind met het badwater wordt weggegooid. Of: herdlopers zijn doodlopers 🙂
Voor mij is het inmiddels wel duidelijk en ik ga deze discussie hier denk ik maar afronden. Volgende stap lijkt mij het lobbycircuit in Den Haag in om te kijken of er nog wat te repareren valt, daarbij verwijzend naar Duitsland en Engeland.
Rolf schreef:
Is dat zo? Mij niet bekend, maar ik ken natuurlijk niet alle Apache-configuratiemogelijkheden uit mijn hoofd, om van andere webservers maar te zwijgen. Protollen en versies daarvan ken ik ook niet allemaal precies.De webserver en/of het OS waarop de server draait cachet veel opgevraagde pagina’s waarschijnlijk zelf ook. Dat is weer wat anders. Lijkt me voor de server juridisch totaal niet van belang. Wat voor database er eventueel achter zit, enz. enz., dat wil de normale gebruiker ook niet weten. Als het maar werkt, daar gaat het om.
@130 Wat voor jou site geldt geldt niet voor iedereen.
Rolf | 28 mei 2012
Precies. Ik noemde al de browser lynx op Unix-commandoregel. Die vraagt dus inderdaad bij ELKE cookie of je dat wel wilt. Daar word je dus bij de derde cookie echt gillend gek van, ik wel tenminste.
Ik kan me echt niet voorstellen dat de doorsnee gebruiker dit gaat waarderen als gewone browsers en sites dat ook doen (niet altijd, maar wel vaak), maar wel dat het gros van de mensen dan reageert met “HOU ASJEBLIEFT OP MET DAT GEZEUR en laat me gewoon die content zien, nu!” (of veel grovere f*ing bewoordingen naar eigen keuze).
En dat geldt volgens mij ook voor mensen die zich bij andere gelegendheden vreselijk boos kunnen maken over privacykwesties, want zo inconsequent zijn mensen namelijk vaak. Kwestie van psychologie en evolutie, zoals zo vaak.
@ 132 Maar dat kan heel gemakkelijk afgedwongen worden door wetgeving. Makkelijker dan de uitvoering van de wet waar wij hier over discussiëren.
> Lijkt me voor de server juridisch totaal niet van belang.
Server te lezen als gebruiker. Ook of vooral.
Het is een EU wet maar tot nog toe heb ik alleen gelezen dat het in Nederland en in de UK ingevoerd is.
Hoe dan ook, dit gaat de e-commerce klanten kosten omdat de gemiddelde klant niet kan inschatten wat een cookie doet, het niet snapt en uit voorzorg het maar weg klikt. Het andere uiterste is dat iedereen op termijn die meldingen zat wordt, het wel best vindt, en ‘ok, ik ga akkoord’ klikt en die opt-in volstrekt teniet wordt gedaan. En ondertussen is er weer veel geld uitgegeven aan oplossingen om dit te realiseren.
Gezien de discussie hier wordt het blijkbaar tijd voor een Internet Rechtbank, want hier gaat een normale rechter natuurlijk helemaal nooit iets van begrijpen. Geldt ook voor het OM trouwens….Politici dienen eens in te zien dat bij wetgeving maken rondom de nieuwe media/technologie er iets meer komt kijken….wellicht moeten ze eens, in het kader van de verkiezingsprogramma’s eens duidelijker benoemen wat er volgens een politieke partij nu wel en wat niet geregeld moet gaan worden…
Jawel, komt goed, die huren dan gewoon een expert in om het uit te komen leggen, bijvoorbeeld Arnoud. Zo is dan de cirkel weer rond.
Mijn server plaatst geen cookies op welke andere computer dan ook. Ik biedt in een HTTP header cookies aan, die de browser, die draait op verzoek van de gebruiker van die computer dan, wel of niet, afhankelijk van de instellingen van die gebruiker, die die bovendien zelf op elk moment kan aanpassen, wel of niet opslaat, en op een later moment (wederom werkend in opdracht van diezelfde gebruiker) weer terug geeft. De eindgebruiker heeft hier dus te allen tijde hier controle over, en geeft dus door zijn acties aan dit te willen. Wat wil de wetgever nou eigenlijk, je vragen of we je mogen vragen iets te doen? Daar waren nou net die instellingen in de browser voor gemaakt.
Ik heb in principe helemaal geen cookies nodig voor wat dan ook. Ik kan bijvoorbeeld ook systematisch alle URLs herschrijven, zodat er een uniek sessie-id in verwerkt wordt. Dat kan ik dan net zo goed gebruiken om iets te traceren, en daar kan de gebruiker veel moeilijker iets tegen doen (alle URLs zelf weer herschrijven, en alle data in een database bij te houden, iets wat bijzonder moeilijk is aan te tonen todat die informatie weer ergens opduikt.) Als de wet hard wordt gehandhaafd, ontnemen we dus gebruikers een middel om zelf hun privacy te reguleren, omdat dan alle sites overstappen op URL-herschrijven. Conclusie: de cookie-wetgeving is kortzichtig, en ondermijnd zijn eigen doelstellingen.
@Jeroen Hellingman | 29 mei 2012 @ 10:14
Wel heel goeie punten die Jeroen hier naar voren brengt, vind ik.
Alleen, het verhaal “third-party cookies”, dus siteoverkoepelend, dat is toch een beetje anders en daar richt die wet zich vooral tegen, denk ik.
@139: Je conclusie gaat niet helemaal op, om twee redenen:
Gaan we nu websites zien de bij het eerste bezoek simpelweg een dialoogvenster weergeven met de tekst
“Door op OK te klikken geeft u toestemming tot het plaatsen van een cookie. Als u geen toestemming geeft kunt u deze website niet gebruiken”
o.i.d.? Ik denk dat je weinig gebruikers afschrikt, om eerlijk te zijn (vooral als ze op de hoogte zijn van de cookiewet).
@ Jeroen en Reinier Alles dat in de browsercache wordt opgeslagen en “niet strikt noodzakelijk is” mag alleen met toestemming vooraf. Dus geen cookies, geen URLS, geen HTML, geen CSS, geen jpg, geen XML, etc., etc. Dis is deze wet niet uitvoerbaar. Want iedereen gaat natuurlijk claimen dat het strikt noodzakelijk is en ik zie het niet gebeuren dat we over al dit soort bestanden rechtszaken gaan krijgen…
Beste Arnoud,
Bedankt voor jouw sterke analyse en commentaar.
Helaas blijkt dat de praktische uitwerking van de wetgeving voor veel collega’s in de branche nog niet duidelijk is. Dat blijkt wel uit alle reacties. Ik wil zelf ook graag een vraagteken plaatsen bij jouw opmerking:
“En wederom, als je zegt dat optimaliseren en lange termijn functioneren een ???direct nut??? heeft: dat hebben getargete advertenties ook. En die mogen niet. Dat kán dus het argument niet zijn, hoe redelijk het nut ook is.
Waarom hebben getargete advertenties dan ook een “direct nut”? “Nut” is iets wat de gebruiker verder helpt, hetzij op korte of lange termijn. Een advertentie daarentegen zal altijd gezien worden als een (noodzakelijk) kwaad. Zou de wet op basis hiervan een tweedeling kunnen maken tussen a) cookies die de website en gebruikerservaring verbeteren en b) cookies die advertising performance verbeteren.
En als ik hierover doorga: stel dat je cookies gebruikt voor AB-testen en/of dynamische contentweergave of behavioural targeting? Als de look-and-feel van de website direct wordt aangepast a.h.v. cookie-inhoud? Zou dit wel mogen?
@ Olaf Als advertenties getarget zijn op content of zoekopdrachten (zoals de gesponsorde links in het Google zoekscherm), dan hebben ze wel degelijk direct nut voor de gebruiker. Dat blijkt uit het onderzochte feit dat steeds meer consumenten bewust op die advertenties klikken omdat je dan snel bij de juiste informatie komt.
Het voordeel van deze manier van adverteren is dat er geen cookies voor nodig zijn, dus heeft deze wet daar geen invloed op 🙂
@Olaf
Je mist het punt.
Als ik gebruik maak van analytics van tracking cookies om mijn website te verbeteren, dan komt dat de gebruiker ten goede.
Als ik advertenties die gebruik maken van tracking cookies op mijn website plaats, krijg ik meer betaald van het advertentiebedrijf. Dat geld kan ik gebruiken om de gebruikerservaring te verbeteren. Dat komt de gebruiker ten goede.
Het punt van Arnoud is: Als het eerste voorbeeld te kwalificeren is als “direct nut”, dan is het tweede dat ook. Gezien de historie en bedoeling van de wet is het daarom niet mogelijk dat het beschrevene in voorbeeld 1 als direct nut gekwalificeerd kan worden.
In de wet gaat het over de specifieke gebruiker waar jij het cookie bij plaatst, niet de gebruiker van je site in het algemeen. De gebruiker waar jij het cookie bij plaatst heeft geen direct nut van dat cookie omdat jij in de toekomst wellicht je site gaat verbeteren. De algemene gebruiker van je site misschien wel maar niet de gebruiker waar je op dat moment het cookie bij plaatst en misschien wel nooit meer terug komt.
Beste Rodney, bedankt voor jouw reactie.
Ik ben het niet eens met jouw tweede voorbeeld:
“Als ik advertenties die gebruik maken van tracking cookies op mijn website plaats, krijg ik meer betaald van het advertentiebedrijf. Dat geld kan ik gebruiken om de gebruikerservaring te verbeteren. Dat komt de gebruiker ten goede.”
…is het nut erg indirect. Effectievere advertenties hebben nut voor de site-eigenaar. Die verdient er geld mee. De content wordt er niet direct beter van, zeker niet als de eigenaar een nieuwe auto een nuttigere besteding van het geld vindt. Bezoekers komen voor de content, niet de advertenties.
@123, @144,
Rolf (en alle anderen),
Ik zou nu toch wel eens eerst de wetstekst willen zien. Op wetten.nl (http://wetten.overheid.nl/BWBR0009950/Hoofdstuk11/geldigheidsdatum_29-05-2012) kan ik er niets over terugvinden. Klopt Arnouds collage nog? Daarin staat dat toestemming nodig heeft:
Dit is toch wel bijzonder schimmig.
Ik kan hier echt niet duidelijk uit opmaken dat naar schijf geschreven cookies hieronder vallen; immers, zoals @123 opmerkt, het is niet de ‘iemand’ die schrijft, maar (de browser van de) gebruiker, en de gebruiker kan dat bovendien uitzetten.
Als ze eronder vallen kan ik er totaal niet uit opmaken dat zulke cookies in enig ander opzicht anders zijn dan een browsercache op schijf, en ook niet dat er verschil is tussen first- of third-party cookies.
Ook kan ik er de beperking niet in lezen dat de gegevens in kwestie eerst door de browser weggeschreven zouden moeten zijn, immers er staat ‘dan wel’ dus het gaat om willekeurige gegevens die zich op die harde schijf bevinden. Dat is ook opzettelijk, om fingerprinting tegen te gaan maar nu valt alleen een IP-adres lezen er ook al onder.
Kortom, deze discussie heeft voor mij meer vragen opgeroepen dan beantwoord.
-edit Arnoud: Excuses namens het spamfilter, reactie hersteld op 30/5 8:40-