Weinig onderwerpen waar ik zó over platgemaild werd als de vraag “Mag Google Analytics nog als de cookiewet in werking treedt”. Analytics is een handige tool voor webmasters maar het perfide Google maakt er meteen ook gebruikersprofielen mee – én plaatst cookies. Wij hadden ooit een oplossing gevonden voor het profileren (anonimiseer het IP-adres) maar dat levert geen oplossing voor de cookiewet. Ik heb er uitgebreid over zitten peinzen en dacht eerst dat het wel moest kunnen, maar ik loop steeds vast op de tekst van de wet.
Je kunt, aldus Google, met Analytics werken zonder dat deze persoonlijke gegevens opslaat. Allereerst zeg ik daar meteen bij dat Google een geheel eigen definitie heeft van “persoonlijke gegevens”, kort door de bocht moet je naam en je adres erbij staan anders vinden zij het niet persoonlijk. Dat gaat lijnrecht in tegen de Europese privacyregels, die het al “persoonlijk” vinden als je er twee personen mee kunt onderscheiden, ongeacht of je weet welke personen het zijn. Het getal 461 is dus een persoonsgegeven – voor mij, want dat identificeert een klant in mijn klantenbestand (hoi Erik).
Maar zelfs als de Analyticsdata die wordt verzameld compleet geaggregeerd wordt en totaal niet naar individuele users te herleiden is (ok ok maar stél), dan nog helpt ze dat helemaal niets. Want cookie zetten is toestemming vragen, punt. First party, third party, persoonsgebonden of niet; compleet irrelevant. Behalve dus als het cookie strikt noodzakelijk is voor het goed functioneren/leveren van een dienst. De wet wil met één zin zowel cookies als dialers, toolbars en dergelijke meuk afdekken. Vandaar de brede bewoordingen. Een toolbar trackt op zichzelf niets (kan wel) maar het installeren van een toolbar vereist toestemming. En een cookie dus ook.
De standaardvoorbeelden van toestemmingsloze cookies zijn de houd-me-ingelogdcookies en de webwinkelwagentjescookies. Zonder die cookies moet je continu je wachtwoord invullen of kun je niet fatsoenlijk een serie producten in één keer bestellen, dus dat moet gewoon kunnen. Maar iedere meelezende techneut zal nu uitroepen “nou, noodzakelijk, noodzakelijk, dat kan prima op een andere manier hoor”. Maar omdat het de bedoeling is dat dergelijke cookies zonder toestemming gezet moeten worden, mag je “strikt noodzakelijk” dus lezen als “net zo noodzakelijk als een webwinkelwagentjescookie”. Leuk hè, rechten?
Hoe noodzakelijk is een cookie voor Google Analytics? Niet zó noodzakelijk, vond de minister in de Eerste Kamer:
Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.
Hm. Minder snel. Dus het zóu kunnen.
… voor diensten waarbij wordt ingelogd op een persoonlijk account, kan het noodzakelijk zijn om met gebruik van cookies te controleren of er niet met deze accounts wordt gefraudeerd.
Ook hier: nee, hij bedoelt niet “noodzakelijk” als in “geen andere technische oplossing is mogelijk”. (En nee ik weet ook niet hoe ik met een cookie -clientside info- kan controleren of een client fraudeert.) Waar het om gaat is of het cookie het belang van de gebruiker dient en dan ook alléén diens belang. Bij een houd-me-ingelogd-cookie of een rot-op-met-je-enquête-cookie is dat duidelijk. Maar bij Analytics? Wat heeft de bezoeker aan Analytics?
Iets later:
Wanneer van het gebruik van analytics cookies in een bepaald geval gezegd kan worden dat dit noodzakelijk is voor het goed kunnen functioneren van de door de gebruiker bezochte site, valt dit gebruik van analytics cookies onder de uitzondering in het derde lid van artikel 11.7a.
Soms voel ik me net een oude Griek die het orakel van Delphi moet duiden. Wanneer is aan de uitzondering voldaan? Nou, als aan de eis genoemd in de uitzondering is voldaan dan gaat de uitzondering op. Eh. Ja.
Goed. Welk nut heeft Analytics voor de eindgebruiker? Wat ik van Google lees, gaat alleen over de voordelen van de webmaster. Die krijgt mooie plaatjes met statistieken en kan op allerlei niveaus draaitabellen, filters en meerdere dimensies visualiseren. En ja, dat is leuk maar als eindgebruiker merk je niet of Analytics aan of uit staat. Het Analyticscookie draagt op geen enkele manier bij aan de dienst die de gebruiker afneemt en is ook niet in diens belang.
Ik ontkom dus niet aan de conclusie dat je voor Google Analytics écht toestemming nodig hebt onder de cookiewet. Ja, ook als je de IP-adressen anonimiseert en ook als je geen Adsense draait. Dat dat niet gaat werken, moge duidelijk zijn – maar wishful thinking of roepen dat je er geen last van hebt, is geen juridisch argument.
Arnoud
@197: Volgens de wet (en de minister) moet het gebruik functioneel zijn; over het mogelijk bestaan van nog veel functionelere alternatieven wordt niet gerept.
Maar ik mag aannemen dat de geest van de wet ook meegenomen wordt. Het opslaan van tientallen gegevens en verwerken tot profielen om de snelheid van je site te meten lijkt me niet proportioneel en overigens ook niet functioneel. Sterker nog ik zie niet de noodzaak voor het plaatsen van een cookie om dit te meten.
Bij GA lees ik dit:
Ik lees niets over het monitoren van je server. Dat je dit met een hele grote stretch er wel mee kan doen lijkt me nog steeds geen reden om ditfunctioneelgebruik te noemen van je tracking cookies. Daarbij ben ik nog steeds van mening dat dit voor de gebruiker die dan op je site is, in die sessie, geen toegevoegde waarde heeft.Ik heb de tekst ook bestudeerd en de kamervragen die erbij kwamen. Degene die de cookies plaatst moet toestemming vragen. In dit geval google dus. Dus wij hoeven daar geen zorgen om te hebben, want het is google die het plaatst, ook al “doen ze dat in opdracht van ons” Dus het komt op googles hoofd neer en niet de onze. Als ik de kamervragen goed doorlees.
Als dat inderdaad zo is, is het heel goed nieuws, die me een hoop kopzorgen bespaart!
Want het geldt dan, neem ik aan, ook zo voor Adsense en dingen als Sitemeter.
Michael, heb je een link naar de bron? Ik zou ook graag die info lezen.
Ik krijg sterk het gevoel dat sommige mensen hier, omwille van [geen zin/geen tijd/saaaaaai] het vooral heel erg niet eens willen zijn met de uitleg die hier wordt gegeven en daardoor: 1. Het op Arnoud munten. (Don’t shoot the messenger) 2. Een technische work-arround proberen te vinden. (Dat is de uitdaging en daar ben je IT-er voor, maar besef je wel dat rechters meer hebben met de uitleg van de Minister dan jouw creatieve brein).
Weet dat je niet aan de wetgeving hoeft te voldoen. Je kunt het ook gewoon riskeren, fair enough. Maar ga dan niet lopen klagen als je straks wel een sanctie krijgt met “ik wist het allemaal niet en koos de voor mij de meest gunstige uitleg”.
De wet staat inmiddels hier: https://www.officielebekendmakingen.nl/stb-2012-235.html
Ik ben ook wel benieuwd waarom je dat denkt Michael want volgens mij klopt dat absoluut niet.
Bij Google Analytics is het maar de vraag of Google die plaatst of de site zelf en ik denk dat het toch echt de site zelf is die het plaatst. Dat de informatie die erin gezet wordt van Google af komt doet niet ter zake, het daadwerkelijk plaatsen gebeurt door de site.
@Michael: Natuurlijk heeft het consequenties, want het is jouw site waarop nu ineens een popup kan komen ‘Google wil informatie over uw gebruik van deze site opslaan, vindt u dat goed?’ en de gebruiker vindt dat misschien helemaal niet prettig en kan dat jouw site verwijten, waarop jij, als je deze discussie niet gelezen hebt, ruzie gaat maken met Google, die er echt niks aan kan doen.
@Michael: het ligt wat subtieler. Ik ben verantwoordelijk voor de inhoud van pagina’s afkomstig van mijn site, en dus ook voor de scripts die op mijn pagina draaien. Google zet geen Analytics script op mijn pagina, ik zet dat erop. Het uitvoeren van dat script in jouw browser is dus mijn verantwoordelijkheid, niet die van Google.
Als het script dan een handeling verricht waarvoor ik conform de cookiewet jou om toestemming moet vragen, dan moet ofwel Google mij vrijwaren (en het jou vragen), of ik moet dat zelf doen. In beide gevallen ben ik verantwoordelijk.
De Telegraaf denkt in ieder geval een geschikte oplossing te hebben: http://www.telegraaf.nl/static/cookie/index.html
@Arnoud: Helder verhaal dat je toestemming moet vragen i.v.m. het plaatsen van een Google Analytics cookie omdat dit niet functioneel is. Maar wat als je Google Analytics functioneel maakt, dat wil zeggen dat de gebruiker er wel iets aan heeft? Bijvoorbeeld door Google Analytics te tonen aan gebruikers en functionaliteiten van de website directer afhankelijk te laten zijn van de Google Analytics Data (“anderen bekeken ook”, gerichte content, etc)? Heb je op dat moment geen opt-in nodig?
@Michel: Ik denk het wel, als er zo’n duidelijke functionele rol is dan kun je je waarschijnlijk beroepen op deze passage:
Natuurlijk wil dat dan niet zeggen dat je dús ook meteen persoonsgebonden rapportages mag genereren, dat valt dan buiten het functioneel gebruik. Je moet elke toepassing van Analytics apart kunnen rechtvaardigen.
Wij gebruiken Analytics om te kijken waar bijvoorbeeld de bezoekers uitstappen, hoe mensen bij ons komen en of het meerendeel Nederlands is.
Met deze informatie kunnen wij achterhalen of we de website misschien in meerdere talen moeten gaan aanbieden, omdat blijkbaar veel Engelstalige landen de website bekijken.
Of een pagina heeft een uitstap percentage van 100%, conclusie deze pagina schrikt mensen af dus dienen we aan te passen zodat deze wel nut voor de bezoeker heeft.
Browser gebruik van bezoekers, moeten we nog rekening houden met IE8? Hmm 30% van onze bezoekers gebruikt IE8. Laten we de website toch maar zo aanpassen zodat deze ook hierin foutloos werkt.
Dit zijn maar enkele voorbeelden voor zowel webmaster als bezoekers die je met behulp van deze gegevens kunt achterhalen (daarvoor hoef ik niet zijn exacte locatie, naam, ip adres etc. voor te hebben). Webmasters kunnen deze statistieken gebruiken om de website te verbeteren wat uiteindelijk lijdt tot kwalitatief betere websites waar de bezoeker wat aan heeft.
Zo zijn al deze statistieken van Analytics te gebruiken om de website beter te laten functioneren voor een bezoeker. Wellicht wordt het tijd dat we een Minister van ICT gaan krijgen die een wat bredere kijk op de zaak heeft dan de huidige mensen in de politiek…
@ Willem en Michel
De mening van Arnoud over Analytics wordt niet gedeeld door één van de opstellers van de wet: https://twitter.com/martijnvdam/status/209978692410163200
Trek dus nog geen overhaaste conclusies. Zorg ervoor dat je Analytics tracking code geen ip adressen opneemt (anonymize IP) en dat je Analytics account zo ingesteld staat dat je geen informatie deelt, ook niet met Google. Zorg tevens voor een heldere uitleg die voldoet aan de informatieplicht. Dan zit je voorlopig goed. Wat de juristen ook beweren, er is noch op basis van de wet zelf, noch op basis van uitspraken van de minister een harde en algemene conclusie mogelijk dat voor het Analytics cookie toestemming nodig is. Die conclusie kun je alleen maar trekken op basis van een bepaalde interpretatie. En ik heb er al veel verschillende voorbij zien komen.
Martijn van Dam weet natuurlijk als geen ander wat de bedoeling van de wet is geweest. Laten we met z’n allen proberen om ervoor te zorgen dat die bedoeling gerealiseerd kan worden en niet zodanig doorschieten dat de hele wet een onuitvoerbare flop wordt.
@214: Ik vraag me af of Arnoud meent wat hij daar schrijft – de wet gaat toch niet over cookies die niet opgeslagen worden op schijf? Maar eerlijk gezegd heb ik hem dat hier zien ontkennen noch bevestigen. En als je browserproces wordt uitgeswapt staat het ook op schijf.
@213: Je laatste alinea is een non sequitur: je suggereert dat de minister wat je daarvoor schrijft niet heeft begrepen, maar mij is dat niet duidelijk.
@Rolf
Van Dam kan wel meer zeggen, maar uiteindelijk lijkt me dat de tekst van de wet zelf leidend is. De wet blinkt weliswaar niet uit in duidelijkheid, maar dat Analytics-cookies ‘strict noodzakelijk’ zijn lijkt me zonder expliciete uitspraak van de wetgever niet meer dan een wensdroom.
Voor zover de cookiewet niet al een onuitvoerbare flop is, hoop ik ook dat deze dat zal worden, hij lijkt me opgesteld door mensen niet gehinderd door enige vorm van technisch benul.
@ Ralf De discussie over de noodzakelijkheid van het meten van je internetverkeer durf ik wel aan. Het gaat me niet om GA, maar om het ‘recht’ dat je hebt als websitebeheerder om op basis van objectieve cijfers je werk serieus te doen. Op onze snelwegen wordt toch ook exact het aantal verkeersbewegingen gemeten om te beslissen over infrastructurele investeringen of andere maatregelen? Is die meting in het direct belang van de weggebruiker op het moment dat hij daar rijdt? Nee. Maar is het noodzakelijk voor de gebruiker? Ik zou zeggen van wel. Hetzelfde geldt voor het serieus beheren van websites. En nogmaals; ik juich het van harte toe om dat onder de strengst mogelijke privacy voorwaarden te doen en de gebruiker altijd het recht te geven om het te blokkeren, maar voor deze categorie cookies hoort dat opt-out te zijn. Niet voor tracking over domeinen heen (want dat wordt met tracking bedoeld) en niet voor profiling en targeting op basis van surfgedrag. Dat lijkt me meer opt-in, omdat het daar gaat om de vraag of je als gebruiker geïnteresseerd bent in aanbiedingen op maat. Daar schermen grote adverteerders en webshops mee, maar het lijkt me dat je dat wel zelf wilt bepalen.
Dat laatste ben ik dan wel weer met je eens! En ze worden niet alleen niet gehinderd door enige vorm van technische kennis, maar ook niet door enige vorm van kennis over het functioneel en commercieel beheer van websites.
@Rolf, ik ben het met je eens dat een professioneel websitebeheerder behoefte heeft aan gebruiksstatistieken. Als zelfbenoemd privacy-activist wil ik dan wel even vaststellen dat je met geanonimiseerde gegevens een heel eind komt en dat het “volgen” van gebruikers over meerdere sessies meestal niet nodig is. (Net zoals het meten van verkeer door assen te tellen veelal voldoet; kentekenregistratie is niet nodig.)
Het probleem dat aan de oorzaak ligt van de strenge wetgeving is de “graaicultuur” van een aantal webbedrijven die totaal geen respect tonen voor de principes van “bescherming van persoonsgegevens” maar alle informatie die ze over een webgebruiker kunnen vinden bij elkaar graaien. Daarbij worden slinkse kunstgrepen (Facebook “like” buttons en dergelijke) niet geschuwd. Nu ken ik wel een paar trucs om mijn informatielek te beperken, maar lang niet iedere internetgebruiker is vaardig genoeg om dat ook te kunnen.
Over Google Analytics heb ik nog een paar specifieke vragen/opmerkingen: Als je als webmaster je statistieken uitbesteedt, heb je ook de verantwoordelijkheid om ervoor te zorgen dat jouw uitbesteding aan de WBP voldoet. Heb jij geverifieerd of Google de WBP volgt? Hoe wordt een gebruiker van jouw website geïnformeerd over de (en welke) verwerking Google voor je uitvoert? Hoe heb je de bezwaarplicht tegen de verwerking geïmplementeerd?
@ MathFox Bedankt voor je reactie; ik ben het met je eens m.b.t. de graaicultuur en de slinkse kunstgrepen. Helaas merk ik ook in mijn ongeving dat het veel mensen eigenlijk niet interesseert en ik vraag me ook wel eens af of je die tegen zichzelf in bescherming moet nemen. Maar dat moet de overheid doen en die vertrouw ik als het gaat om mijn privacy ook niet echt. Blijft moeilijk.
Over je specifieke Analytics vragen: Als je Analytics gebruikt besteed je niet uit. Je gebruikt ‘software as a service’. Het Analytics cookie van mijn website is mijn cookie (first party) en niet van Google. Analytics cookies worden niet gedeeld over meerdere domeinen. De verzamelde informatie is juridisch van mij en niet van Google. Deze informatie kan ook niet door Google ingezien of gebruikt worden tenzij ik daar toestemming voor geef (en dat mag ik volgens mij niet onder de nieuwe wet) of de nederlandse of amerikaanse regering dat eist. Deze dingen staan in de privacy voorwaarden van Analytics.
Bezwaarplicht is een onderdeel van de WBP. Als er geen persoonsgegevens worden opgeslagen is de WBP niet aan de orde. Martijn van Dam (PvdA) heeft vandaag nog bevestigd dat Analytics waarin tracking uitgeschakeld is (ip adressen aan de bron geanonimiseerd) niet onder de WBP valt. Een dergelijke Analytics implementatie valt dan volgens hem in een “grijs gebied” en dat is ook precies wat ik in deze discussie probeer te verdedigen. Ik kan me daarom goed voorstellen dat een rechter zou kunnen oordelen dat Analytics toegestaan is zonder toestemming vooraf mits aan bepaalde voorwaarden wordt voldaan. Zo is het in Duitsland ook gegaan.
Overigens kreeg ik vandaag een soort van verklaring van Google onder ogen: “Does Google Analytics comply with the new Directive? If you use Google Analytics on your site, you should take steps to gain consent from your users where required by law. Google Analytics has always believed in user choice & strong privacy practices. Google Analytics uses anonymized and aggregated data for its reporting. In May of 2010, it launched a powerful IP Address anonymization feature and a persistent browser-based opt-out solution for Chrome, Firefox, and IE.
Google Analytics is also working on additional controls and hopes to be able to provide an update in the coming months.”
Je kunt van alles zeggen van Google, maar over Analytics bestaat bij veel mensen echt een verkeerd beeld. Mits op de juiste manier geïmplementeerd is het absoluut veilig m.b.t. privacy. Google verbiedt in de voorwaarden bijvoorbeeld dat je zelf Analytics data gaat koppelen aan persoonsgegevens. Via de API zou dat kunnen en ik weet dat er bedrijven zijn die dat doen, maar Google verbiedt dat uitdrukkelijk.
@Rolf
Ik bedoelde hier ‘strict noodzakelijk’ in termen van de cookiewet. Ik ben er sowieso niet voor om een probleem waar legio technische oplossingen voor zijn juridisch te bestrijden, want dat leidt gegarandeerd tot gedrochten zoals de cookiewet. Ik ben het ook met je eens als je zegt dat Analytics-gegevens uiterst nuttig zijn voor de websitebeheerder, en ook dat de websitebeheerder zelf zou moeten mogen bepalen welke cookies ze willen zetten. Echt niemand is geïnteresseerd in wat Jan de Jong allemaal op het internet uitspookt.
Maar, en dat is het knelpunt, wat ik vind is allemaal niet interessant in het kader van een beschouwing van de cookiewet. Die heeft een doel dat niet aansluit bij hoe het internet werkt en zou moeten werken, maar het is wel de wet zoals die er ligt. In dat opzicht vind ik de methode die Fok gebruikt om de toestemming te verkrijgen wel goed: groot splash screen, duidelijk uitleggen dat de wet een draak is. Als alle websites dat zouden doen zou die cookiewet heel snel verleden tijd zijn denk ik.
De vrees voor IP tracking snap ik niet zo goed. Dat het volgens de WBP een persoonsgegeven betreft, betekent nog niet dat het verboden is. De WBP verbiédt namelijk niet om persoonsgegevens op te slaan, ze schrijft slechts voor wat je moet doen áls je persoonsgegevens opslaat. En dat bestaat eruit dat je een inschrijving bij het College moet hebben waarin je omschrijft wat je opslaat en waarom. Wil een persoon weten of jij diens gegevens hebt opgeslagen, dan moet je die informatie verstrekken maar daar mag je EUR 4,50 administratiekosten voor vragen. Vervolgens kan de persoon eisen dat je de gegevens verwijdert, tenzij je die gegevens nodig hebt voor de uitvoering van een taak. Je kunt bijvoorbeeld niet eisen dat je baas je rekeningnummer verwijdert want anders kan hij je salaris niet uitbetalen.
Als je dus aan profiling via IP tracking gaat doen, dan moet in de omschrijving bij het CBP komen te staan dat je IP-adressen en voorkeuren opslaat om relevante content af te beelden. Daarvan kan een bezoeker kennis nemen voordat hij de site bezoekt en als het in zijn optiek te laat is, dan kan hij altijd verzoeken dat jij die informatie verwijdert.
@Arjen: Dat is één, maar je moet ook een rechtvaardigingsgrond onder de Wbp hebben. Toestemming, nodig bij uitvoering overeenkomst of absolute noodzaak zijn de belangrijkste. En voor tracking kom je al héél snel uit bij het toestemmingsvereiste. Dus je zult mensen toestemming moeten vragen om op basis van hun interesseprofiel de content te customizen (personaliseren).
@216 Ja je mag mijn laatste alinea “non sequitur” vinden, in mijn laatste alinea gaf ik alleen mijn mening: Ik vind dat er iemand in de politiek moet komen die “gespecialiseerd” is in ICT (en met mijn beperkte kennis van de mensen in het kabinet zijn dat er volgens mij vrij weinig).
Voor het opslaan van persoonlijke gegevens geef ik ze groot gelijk, maar ik ben van mening dat de gegevens die Google Analytics opslaat, met uitzondering van het IP-adres, geen persoonsgegevens zijn.
ps. Leuk om te weten, de meeste politieke partijen maken gebruik van Analytics maar vragen mij geen toestemming om mijn gegevens op te slaan.
Eindelijk duidelijkheid, al zal de branche hier niet blij van worden: een publicatie van de OPTA, met daarin de bevestiging dat Analytics cookies daadwerkelijk onder de ccokiewet vallen: http://www.opta.nl/nl/download/publicatie/?id=3595
Even een andere vraag. Uit de affiliatebranche. Stel ik verstuur een mail met een link daarin, die, als er op wordt geklikt, gegevens registreert van degene die er op klikt, denk aan verbinding met Paypro bijv., zodat als er dan iets wordt gekocht op de website waar de link heen verwijst, duidelijk wordt dat ik degene ben die de persoon er heeft heen gestuurd en ik mijn provisie daar voor krijg. Mag dat nog? Moet je dan in de mail vermelden wat er gebeurt als je op de link klikt? Of is dit een noodzakelijk iets anders kan er geen ‘verdeling’ plaatsvinden?
@Luc, degene die het cookie zet moet informeren en toestemming moet vragen, dus Paypro is daarvoor verantwoordelijk. De afrekendienst is geen dienst aan degene die op de link klikt en valt niet onder de uitzondering voor “essentiële” cookies.
@Luc Bij het mechanisme dat je omschrijft, wordt geen informatie op de randapparatuur van de bezoeker geplaatst of uitgelezen. Dat mag dus m.i. Wat veel affiliate netwerken overigens wel doen, is een cookie plaatsen zodat de bezoeker als hij later terugkomt alsnog aan die ‘leverancier’ kan worden gekoppeld. Dat mag dus nu niet meer. Maar dat probleem is niet zo groot want in de praktijk zullen bezoekers ook de tweede of derde keer weer vanuit datzelfde mailtje naar de site toe klikken (dus inclusief jouw affiliate code).
Deze hele discussie gaat volkomen mank, blijkbaar omdat niemand zich realiseert dat geen enkele server cookies, of wat dan ook, op de computer van een derde kan plaatsen. Zij stuurt slechts gegevens op op verzoek van de browser, in opdracht van de gebruiker, en die browser plaatst uiteindelijk die gegevens ergens op een lokale disk of in een cache. Het verzoek (technisch meestal een HTTP GET of POST request) kan ik prima beschouwen als een expliciete toestemming van de eindgebruiker om informatie op te sturen. Wat de ontvangende kant er dan verder mee doet is geheel buiten de macht van de server, als hij daarna zelf besluit de waarde die in een cookie-veld staat over te schrijven in een stukje lokaal geheugen of desnoods op een stukje papier, het is bijna te krom voor woorden om daar toestemming voor te vragen…
Denk maar even aan het equivalent in de analoge wereld: je stuurt mij een briefje met een verzoek om productinformatie; ik stuur jou een briefje terug met een folder waar ook alvast een kaartje met bestelinformatie bij zit (een soort van cookie); jij kunt nu bestellen door mij dat kaartje terug te sturen. Moet ik dan vooraf in een aparte briefwisseling gaan vragen of ik jouw wel zo’n kaartje mag sturen?
Ik vrees dat dit betoog aan dovemansoren is gericht, en dat totaal onbegrip van de onderliggende technologie hier een stukje wetgeving heeft opgeleverd die net zo absurd is als die voorgestelde 19de-eeuwse wet dat pi gelijk is aan 4.
@Mathfox @Arjen Jongeling dank voor jullie reactie. Dus zolang alleen wordt geregistreerd dat de link bijv. van mij afkomstig is, dan is er niets aan de hand. Zo gauw echter een cookie wordt geplaatst om te zorgen dat dat als de klant eerst niets koopt, maar later op een andere manier weer op die website komt (dus niet persé via mijn gestuurde link) men weet (door dus opslag persoonlijke info zoals bijv IP-adres) dat ik degene was die de klant er eerder heb heen gestuurd, dan wordt de wet dus overtreden. Weliswaar plaatst dan bijv. Paypro het cookie maar voel ik mij toch ook “medeplichtig”, want ik stuur de link wetende wat er mee gebeurt als er op geklikt wordt. Dus dan zou ik in de email al uitleg over de link kunnen geven en daarmee mijzelf en tegelijkertijd in dit geval paypro ermee afdekken. Klopt dat?
@226, @229: Ik dacht ook dat sessiecookies niet op randapparatuur schrijven, maar in de OPTA-brochure staat:
Nee, de regels zijn van toepassing op alle randapparatuur van gebruikers zoals onder meer smartphones, spelcomputers en tablets. Dus de OPTA vindt een computer op zich randapparatuur!
Maar dan is de wet volslagen onuitvoerbaar, want ik kan onmogelijk een gebruiker om toestemming vragen zonder gegevens naar die computer te (doen) schrijven, namelijk de tekst van die vraag, die immers in het schermgeheugen van de computer geschreven moet worden om aan de gebruiker te kunnen worden getoond.
@Reinier haha je hebt gelijk! Maar dit zou onder de noodzakelijke uitvoering kunnen vallen. Echter de advertenties mag je niet naar het beeldscherm schrijven. Want dat is alleen maar om jou geld te laten verdienen en dient niet het belang van de bezoeker. Dat jij 60 uur per week werkt om aan die bezoeker gratis content te tonen (althans, dat wil de bezoeker) terwijl je toch aan het eind van de maand een rekening krijgt van de huurbaas doet er niet toe.
@Jeroen Hellingman | 7 juni 2012 @ 14:05
Tot zover mee eens. Maar dit klopt volgens mij niet. Het initiatief om een cookie te laten plaatsen (door het browserprogramma, inderdaad) gaat uit van de website.En ik kan het weten, want ik heb het zelf eens geprogrammeerd (heel lang geleden, vergeten hoe, kan het wel opzoeken) voor mijn kleuromschakeling. (En dat is functioneel, want de bezoeker vraagt dan om andere kleuren en dat kan ik, vind ik, alleen via een cookie regelen. Meer hier: http://rudhar.com/index/coldftnl.htm .)
@Ruud Harmsen | 7 juni 2012 @ 22:23
Nee Ruud, niet helemaal, de website neemt niet het initiatief om een cookie te plaatsen, maar om een cookie aan te bieden.
Hoe dan ook, ik onderneem voorlopig geen actie met betrekking tot mijn eigen website. Of misschien geef ik elke dag een grote buitenlandse website bij de OPTA aan, zodat ze daardoor nooit aan een kleine vis zoals ik toekomen 😉
Ik heb trouwens zojuist een e-mail naar de redactie van de PvdA-site gestuurd om ze te laten weten dat ze momenteel zwaar in overtreding zijn van een nota bene door henzelf gesteunde wet. Ik ben heel benieuwd wat ze daarop te zeggen hebben.
Toch net zo makkelijk op te lossen met een bannertje boven je site?
met een tekst van “Hallo hier een berichtje van de beheerders van deze website. Net als iedere website gebruiken wij cookies, wil je deze site gebruiken dan moet je daar dankzij de europese regelgeving tegenwoordig toestemming voor geven. Klik hier om cookies te accepteren doe je dit niet dan mag je deze website niet bezoeken”
Onverantwoordelijk besluit van de overheid, waarom? Hierom:
Ze hadden het net als “geld lenen kost geld” moeten doen want nu gaat het zwaar ten koste van bezoekersaantallen en bounche percentage wat omhoog zal schieten. Daarbij gaat het internet meer veel energie verbruiken terwijl het internet al verantwoordelijk is voor 2 tot 3 % van de wereldwijde energie consumptie. Maar daar zal geen slimmerik bij stil hebben gestaan. HET is ook kenmerkend dat we altijd achter de feiten aanlopen.
Dus in deze supertijden gaat straks de omzet van een hoop sites naar beneden omdat advertentie inkomsten wegvallen of minder worden…
Alles bij elkaar is het ongelooflijk creatief bedacht maar zo duidelijk een gebrek aan kennis bij de heren die hier over beslissen. Maar we zijn niet anders gewend hé…
Wat denk je Arnold, zijn deze argumenten aan te voeren om een discussie aan te gaan, mbt de mogelijke economische schade en het energieverbruik?
Grt Arjen
@Ruud Harmsen
Dit is een illustratieve reactie. Ten eerste omdat het laat zien dat veel mensen denken iets over computers te weten, omdat ze er wel iets mee kunnen. De meeste mensen, inclusief politici, gebruiken zo’n ding immers dagelijks. Maar vaardigheid om het ding op een manier te bedienen, ja zelfs een vaardigheid om het ding op een bepaalde manier te programmeren, betekend nog niet dat je het ding tot in zijn finesses begrijpt. Een computer is extreem complex ding, waar de gecombineerde inspanning van honderdduizenden mensen in verwerkt is… dus iedereen die claimt dat hij alles van computers weet, die snapt het niet.
Dat terzijde. Cookies zijn relatief eenvoudig uit te leggen. HTTP, het protocol dat ten grondslag licht aan het web is in principe “state-less” (toestandsloos). Je browser stuurt een enkel verzoek en je krijgt een enkel antwoord terug van de server. Na elk vraag en antwoord paar wordt de verbinding verbroken. Dit levert wat problemen op als je vragen in een bepaalde volgorde wilt stellen, en daarvoor bieden cookies een elegante oplossing: de server voegt een header een regeltje toe met het verzoek aan de browser: “de volgende keer als je mij iets vraagt, stuur dan deze gegevens mee.” Dit heeft twee voordelen: de server hoeft die gegevens niet te bewaren (potentieel voor vele duizenden bezoekers) en het gebeurt transparant voor de gebruiker, dus die gegevens hoeven niet iedere keer zichtbaar in een URL gecodeerd te worden. Veel sites zetten in hun cookie trouwens niet meer dan een token waarmee ze alle gegevens gewoon in een eigen database terugzoeken.
Het alternatief is ook eenvoudig: in plaats van cookies kun je dat token ook gewoon in alle URLs opnemen die je terugstuurt.
Zodra je begrijpt hoe cookies werken, snap je ook de onzin van de wetgeving: die komt neer op een verplichting om te vragen of je mag vragen iets te onthouden, op een dusdanige manier geformuleerd dat je er in feite automatisch aan voldoet, omdat de technologie al zo werkt — het enige verschil is dat de wetgever vereist dat je het expliciet zichtbaar voor mensen doet, terwijl je dat juist wil delegeren aan je browser, zodat je niet wordt lastig gevallen met dit soort vragen.
De technische oplossing voor deze wet lijkt mij dan ook eenvoudig. We voldoen aan de wet door op een gestandaardiseerde (denk microformats) manier het wettelijk verplichte cookie-verzoek (inclusief inhoud) in mensentaal met elke pagina mee te sturen. Daarna passen we de browser aan om geheel automatisch deze verzoeken af te handelen. Voldoen we aan de wet, maar hoeven we na een browser update de gebruiker niet meer lastig te vallen. (Als die het alleen even heeft aangezet, maar ach, ook dat kunnen we even voor hem doen.)
Zijn we weer terug bij af…
@238: Zie reactie 128 hierboven. Toestemming moet specifiek zijn. Wel mag je iemands antwoord onthouden.
@238 (Reinier Post): En ik automatiseer dat geven van toestemming, omdat ik geen zin heb er steeds over na te denken. Verbiedt de wet mij dat? Wat een akelig dictatoriaal gedrocht….
Wel tekenend dat de overheid z’n eigen sites niet op orde heeft. Daarnaast gebruikt de overheid ook “microsites” binnen b.v. Facebook (b.v.: http://www.facebook.com/zomercampagne). Daarmee lopen bezoekers heel wat meer gevaren m.b.t. cookies, retargeting en datamining. Daarmee handelt de overheid zelf ook niet naar de letter en de geest van de wet.
Dit maakt het voor ondernemingen ook niet makkelijker om te weten wat nu wel en niet mag. Als je het voorbeeld van de wetgever volgt, moet het goed zijn, toch? Misschien kunnen sommige advocaten of bedrijven nu wat ‘bewijsmateriaal’ vergaren voor het geval ze zich later moeten verantwoorden.
Cookies hebben een “expiration date”. Waarom stelt de wet geen eisen aan de maximale geldigheidsperiode? Voor de “noodzakelijke”cookies lijkt me 30 minuten ruim voldoende. Is het niet eenvoudiger om langer geldige cookies te verbieden? Zo’n maatregel lijkt me een redelijke beperking en helpt de overlast van en het privacyverlies door trackingcookies te verminderen.
@241 (Peter S)
De “expiration date” van een cookie is niet meer dan een suggestie. Het staat de ontvangende partij vrij om een cookie eerder of later weg te gooien, of zelfs om hem eeuwig te bewaren. Met andere woorden, de geldigheidsduur van een cookie wordt feitelijk door de ontvanger bepaalt, en niet door de zender.
@240 Olaf | 11 juni 2012 @ 12:08,
“Wel tekenend dat de overheid z???n eigen sites niet op orde heeft.”
Precies, en daarom stel ik voor dat we allemaal de OPTA gaan overstelpen met klachten over overheidssites (en van politieke partijen) die de cookie-wet overtreden. Laat ze de gevolgen van hun stommiteiten maar voelen!
Hoe zit het trouwens met computers die door meerdere personen worden gebruikt? Stel, gebruiker A geeft toestemming aan een site om cookies te versturen. Vervolgens bezoekt B met dezelfde computer die site. De site kan geen onderscheid maken tussen bezoekers A en B, en stuurt nu dus cookies aan B die daarvoor GEEN toestemming heeft gegeven.
@242: Het staat de ontvangende partij zelfs vrij om het hele cookie meteen weg te gooien. 🙂 Maar wat ik bedoel is het volgende: we hebben nu een wet die toestemming vooraf eist tenzij het cookie “technisch noodzakelijk” is. Dat “technisch noodzakelijk” leidt tot veel discussie (we hebben al meer dan 200 reacties op dit item). Zou het niet effectiever en beter te controleren zijn om zo’n houdbaarheidsdatum als criterium te nemen?
@Peter S dat heeft geen zin want het onthouden van je inloggegevens op een forum is ook een noodzakelijk cookie (mits de gebruiker dat althans aanvinkt bij het inloggen). Dat heeft weinig zin als het cookie na 30 minuten al weer weggegooid wordt. Het is nu juist bedoeld om na 2 maanden niet helemaal je inlognaam en wachtwoord voor het betreffende forum te gaan opzoeken. Of een webwinkel zo je wilt.
@Gerard, een computer die door meerdere personen gebruikt wordt heeft meestal ook meerdere login accounts. En als je Chrome hebt dan heb je binnen Chrome zelfs nog de mogelijkheid om Chrome met je eigen Google account te openen zodat je niet de cookies krijgt van de andere gebruikers. Maar verder, als je een computer (account) deelt met anderen dan accepteer je ook de cookies namens iedereen. Als je dat niet wilt zul je een betere scheiding moeten maken tussen je gebruikers. Sowieso kan gebruiker A bepalen dat er een scherm-achtergrond op de computer staat van een blonde dame in bikini, de taakbalk boven in het scherm zit en alle icoontjes rechts zitten terwijl B liever een achtergrond heeft met een sportauto, de taakbalk links en de icoontjes onzichtbaar. Als je een computer deelt, deel je ook je instellingen…
@246: Dat is toch prima? Minder dan 30 minuten: geen toestemming vereist. Meer dan 30 minuten: toestemming eisen. Als je 30 minuten niet actief bent is het veiligheidshalve goed dat de inlogsessie beëindigd wordt (wat mij betreft zelfs noodzakelijk). Bij een cookie voor het opslaan van inloggegevens zodat je een volgende keer automatisch in kunt loggen wordt nu normaal al toestemming gevraagd.
@247 Wim ten Brink | 11 juni 2012 @ 14:28
Inderdaad, maar als je dan van meerdere gebruikers op één computer mag eisen dat ze ter wille van hun privacy hun eigen activiteiten op de machine goed scheiden, waarom mag je dan niet van een gebruiker die een computer voor zichzelf alleen heeft, eisen dat hij ter wille van zijn privacy zijn browser op het gewenste privacy-niveau instelt?