Mag Google Analytics nog onder de cookiewet?

analytics-cookie.pngWeinig onderwerpen waar ik zó over platgemaild werd als de vraag “Mag Google Analytics nog als de cookiewet in werking treedt”. Analytics is een handige tool voor webmasters maar het perfide Google maakt er meteen ook gebruikersprofielen mee – én plaatst cookies. Wij hadden ooit een oplossing gevonden voor het profileren (anonimiseer het IP-adres) maar dat levert geen oplossing voor de cookiewet. Ik heb er uitgebreid over zitten peinzen en dacht eerst dat het wel moest kunnen, maar ik loop steeds vast op de tekst van de wet.

Je kunt, aldus Google, met Analytics werken zonder dat deze persoonlijke gegevens opslaat. Allereerst zeg ik daar meteen bij dat Google een geheel eigen definitie heeft van “persoonlijke gegevens”, kort door de bocht moet je naam en je adres erbij staan anders vinden zij het niet persoonlijk. Dat gaat lijnrecht in tegen de Europese privacyregels, die het al “persoonlijk” vinden als je er twee personen mee kunt onderscheiden, ongeacht of je weet welke personen het zijn. Het getal 461 is dus een persoonsgegeven – voor mij, want dat identificeert een klant in mijn klantenbestand (hoi Erik).

Maar zelfs als de Analyticsdata die wordt verzameld compleet geaggregeerd wordt en totaal niet naar individuele users te herleiden is (ok ok maar stél), dan nog helpt ze dat helemaal niets. Want cookie zetten is toestemming vragen, punt. First party, third party, persoonsgebonden of niet; compleet irrelevant. Behalve dus als het cookie strikt noodzakelijk is voor het goed functioneren/leveren van een dienst. De wet wil met één zin zowel cookies als dialers, toolbars en dergelijke meuk afdekken. Vandaar de brede bewoordingen. Een toolbar trackt op zichzelf niets (kan wel) maar het installeren van een toolbar vereist toestemming. En een cookie dus ook.

De standaardvoorbeelden van toestemmingsloze cookies zijn de houd-me-ingelogdcookies en de webwinkelwagentjescookies. Zonder die cookies moet je continu je wachtwoord invullen of kun je niet fatsoenlijk een serie producten in één keer bestellen, dus dat moet gewoon kunnen. Maar iedere meelezende techneut zal nu uitroepen “nou, noodzakelijk, noodzakelijk, dat kan prima op een andere manier hoor”. Maar omdat het de bedoeling is dat dergelijke cookies zonder toestemming gezet moeten worden, mag je “strikt noodzakelijk” dus lezen als “net zo noodzakelijk als een webwinkelwagentjescookie”. Leuk hè, rechten?

Hoe noodzakelijk is een cookie voor Google Analytics? Niet zó noodzakelijk, vond de minister in de Eerste Kamer:

Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.

Hm. Minder snel. Dus het zóu kunnen.

… voor diensten waarbij wordt ingelogd op een persoonlijk account, kan het noodzakelijk zijn om met gebruik van cookies te controleren of er niet met deze accounts wordt gefraudeerd.

Ook hier: nee, hij bedoelt niet “noodzakelijk” als in “geen andere technische oplossing is mogelijk”. (En nee ik weet ook niet hoe ik met een cookie -clientside info- kan controleren of een client fraudeert.) Waar het om gaat is of het cookie het belang van de gebruiker dient en dan ook alléén diens belang. Bij een houd-me-ingelogd-cookie of een rot-op-met-je-enquête-cookie is dat duidelijk. Maar bij Analytics? Wat heeft de bezoeker aan Analytics?

Iets later:

Wanneer van het gebruik van analytics cookies in een bepaald geval gezegd kan worden dat dit noodzakelijk is voor het goed kunnen functioneren van de door de gebruiker bezochte site, valt dit gebruik van analytics cookies onder de uitzondering in het derde lid van artikel 11.7a.

Soms voel ik me net een oude Griek die het orakel van Delphi moet duiden. Wanneer is aan de uitzondering voldaan? Nou, als aan de eis genoemd in de uitzondering is voldaan dan gaat de uitzondering op. Eh. Ja.

Goed. Welk nut heeft Analytics voor de eindgebruiker? Wat ik van Google lees, gaat alleen over de voordelen van de webmaster. Die krijgt mooie plaatjes met statistieken en kan op allerlei niveaus draaitabellen, filters en meerdere dimensies visualiseren. En ja, dat is leuk maar als eindgebruiker merk je niet of Analytics aan of uit staat. Het Analyticscookie draagt op geen enkele manier bij aan de dienst die de gebruiker afneemt en is ook niet in diens belang.

Ik ontkom dus niet aan de conclusie dat je voor Google Analytics écht toestemming nodig hebt onder de cookiewet. Ja, ook als je de IP-adressen anonimiseert en ook als je geen Adsense draait. Dat dat niet gaat werken, moge duidelijk zijn – maar wishful thinking of roepen dat je er geen last van hebt, is geen juridisch argument.

Arnoud

314 reacties

  1. @Gerard, het spijt mij om het te moeten zeggen maar de gemiddelde internet-gebruiker is gewoon dom. Gebruikers die een PC delen merken al snel dat het handig is om accounts te scheiden, alleen weten ze niet altijd hoe dat moet. Maar iemand met meer PC-kennis komt vroeg of laat wel langs om uit te leggen hoe je meerdere accounts aanmaakt, iedere account met bepaalde rechten en wachtwoorden beschermt en desnoods hoe je in Chrome met meerdere Google-accounts kunt werken. En dan merken gebruikers dat ze elkaar niet meer in de weg zitten. Maar de privacy-instellingen aanpassen is voor veel gebruikers veel te complex om te vinden. Hier op dit blog zul je voornamelijk ervaren PC-gebruikers vinden die denken: “Huh, zo dom is de gemiddelde gebruiker toch niet?” maar de waarheid is dat gebruikers soms nog veel dommer zijn als het gaat om computer-gebruik… Getuige ook het feit dat bij de LinkedIn hack het wachtwoord ‘1234’ wel heel erg populair is…

    Er zijn momenteel enorm veel manieren waarop mensen het Internet op kunnen. Niet alleen maar via de PC of laptop maar ook via de mobiele telefoon, via tablets en iPads, via televisies en game consoles en nog veel meer. Dat zorgt ervoor dat iedereen die een dergelijk apparaat kan aanzetten al een gebruiker wordt op het Internet, varierend van kinderen vanaf 4, 5 jaar tot aan over-over-overgrootmoedertjes van 98. En die snappen het niet als je het over “privacy-instellingen in de webbrowser” hebt.

    Ikzelf heb al internet-ervaring toen ik in 1993 mijn eerste Compuserve-account kreeg. Dat is dus al bijna 20 jaar ervaring. Maar er zijn genoeg mensen op deze wereld waar hun DVD-recorder nog continu knipperend de waarde ‘0:00’ toont en die via hun tablet nog net Facebook weten te vinden en daar hun dagelijkse status 5 keer per dag aanpassen, niet snappende dat ze zo veel van hun privacy opgeven. (En die ook niet snappen waarom ze ‘Goede tijden, slechte tijden’ maar niet via de timer-functie kunnen opnemen…)

  2. @Wim ten Brink | 12 juni 2012 @ 9:09

    Getuige ook het feit dat bij de LinkedIn hack het wachtwoord ???1234′ wel heel erg populair is???
    Yes! Kostelijk toch? Als het niet zo tragisch was.

    Ikzelf heb al internet-ervaring toen ik in 1993 mijn eerste Compuserve-account kreeg.

    Dat was geen internet en ik was lekker ruim 4 jaar eerder! (Maar dat was niet mijn verdienste, eerder toeval.)

  3. @253 tensai | 14 juni 2012 @ 10:13

    En wat als je nog een stapje verder gaat en je voegt voor bezoekers de mogelijkheid aan de site toe om de inhoud van hun cookie te bekijken. Wordt het bewaren van cookies – ongeacht wat hun oorspronkelijke functie was – dan niet een “technische noodzaak”? Zonder cookies werkt die functie immers niet 😉

    Een juridische trucje natuurlijk, maar het zou kunnen werken. Ik geef toe, de kans is klein, maar er zijn voorbeelden van legale ontwijking van een wet door wel aan de letter maar niet aan de geest te voldoen.

  4. Hoe moeten straks de armlastige landen als Griekenland en Spanje nog betaald worden. Ik heb dit jaar weer duizenden euro’s inkomstenbelasting websiteverdiensten af moeten schuiven. Gisteren een test gedaan met toestemmingsverzoek op een website, resultaat was dat tweederde van de bezoekers was afgehaakt.

  5. Het gaat met de cookie wet straks net zoals met het rode voetgangerslicht in Amsterdam; die wordt massaal genegeerd.

    De grote sites die al naam hebben gemaakt en niet zoveel schade ondervinden van een irritante vraag voor je de site op kan zullen het implementeren. Alleen al omdat die de meeste kans lopen erop aangesproken te worden. En iedere nieuwe website houdt zich van de dommen tot er een keer een controle op komt.

    Ik heb hier op mijn eigen website geen last van, maar zo moeilijk is het niet om de website in de US onder te brengen met een .com domein. En daar de site ook nog eens in het Engels is, kan ik dan gerust roepen dat ik mij op de Amerikaanse markt richt, niet op de Nederlandse. DMCA proceduretje implementeren voor de user generated content en ik ben af van geitenwollensokken europa. Ik acht de kans namelijk heel klein dat een kleine Engelstalige in de US gehoste website door een nederlandse instantie gecontroleerd gaat worden.

  6. @ Rodney Met in het artikel de veel gemaakte fout dat Piwik first party cookies plaatst en Google Analytics third party. Dat is onjuist. Piwik plaatst zowel first als third party cookies en GA plaatst alleen first party cookies. Misschien is het voor veel mensen moeilijk te verteren, maar de massa consumenten is veiliger bij websites die GA gebruiken met de juiste instellingen dan met Piwik. Piwik in handen van een grote uitgeverij met tientallen websites bijvoorbeeld is gewoon harde cross-domain tracking en profiling.

  7. Pikant is het stuk over third party cookies en Google Analytics (het onderwerp van deze posting). Als je Google Analytics installeert, dan zorgt die code die je van Google krijgt ervoor dat jouw site een first party cookie plaatst. In de opinie van de Artikel 29 werkgroep brengen first party cookies voor statistisch doeleinden een zodanig klein risico met zich mee dat ze een uitzondering op de wet rechtvaardigen. Daarmee zou GA dus wél mogen.

  8. @ Arjen

    Klopt helemaal. Dit is de officiële tekst: “However, the Working Party considers that first party analytics cookies are not likely to create a privacy risk when they are strictly limited to first party aggregated statistical purposes and when they are used by websites that already provide clear information about these cookies in their privacy policy as well as adequate privacy safeguards. Such safeguards are expected to include a user friendly mechanism to opt-out from any data collection and comprehensive anonymization mechanisms that are applied to other collected identifiable information such as IP addresses.

    In this regard, should article 5.3 of the Directive 2002/58/EC be re-visited in the future, the European legislator might appropriately add a third exemption criterion to consent for cookies that are strictly limited to first party anonymized and aggregated statistical purposes. First party analytics should be clearly distinguished from third party analytics, which use a common third party cookie to collect navigation information related to users across distinct websites, and which pose a substantially greater risk to privacy.

    Verder zegt de tekst dat bij first part cookies waarbij de berekening wordt uitgevoerd door een derde partij (zoals bij GA) er technische of contractuele afspraken moeten zijn die het onmogelijk maken dat die ‘processor’ de gegevens voor zichzelf gebruikt.

    Aan al die voorwaarden wordt door Google Analytics ruimschoots voldaan, dus mogen we concluderen dat als Nederland bereid is om volgens de europese lijnen te werken, GA voorlopig gewoon mag.

  9. http://dirkzwagerieit.nl/2012/06/12/opinie-van-de-europese-privacytoezichthouders-over-functionele-cookies/

    “1 cookies die worden gebruikt voor de overdracht van signalen over een netwerk; 2 cookies die worden gebruikt voor het uitvoeren van een door de gebruiker opgevraagde dienst.”

    Wat een raar taalgebruik! Bij het eerste punt kan ik me technisch al meteen niets voorstellen. En “een dienst opvragen”, wat is dat? Een dienst vragen, om een dienst verzoeken, dat zou nog kunnen. Informatie kun je ook opvragen. Maar een dienst? Ik kan me daar werkelijk niets concreets bij voorstellen.

  10. Ik vind het ook verder geen sterk stuk. Het gaat totaal niet uit van het praktische belang van de gebruiker. Wat heb je nou aan winkelwagen- en inlogcookies die na elke sessie weer vergeten zijn? Dat wekt toch alleen bij irritatie bij gebruikers?

  11. @Rolf, ik lees de Analytics voorwaarden:

    Google en haar 100% dochterondernemingen mogen, met inachtneming van de voorwaarden van haar Privacybeleid, (zie http://www.google.com/intl/nl/privacy.html of andere URL die Google van tijd tot tijd opgeeft), tijdens Uw gebruik van de Service verzamelde informatie behouden en gebruiken.
    en
    Google behoudt zich te allen tijde het recht voor om enige voorwaarde van deze Overeenkomst of enig beleid waarnaar in deze Overeenkomst wordt verwezen te veranderen of te wijzigen
    zich met (nadruk toegevoegd)
    waarbij de berekening wordt uitgevoerd door een derde partij (zoals bij GA) er technische of contractuele afspraken moeten zijn die het onmogelijk maken dat die ???processor??? de gegevens voor zichzelf gebruikt.
    Mijn conclusie is dat Google Analytics dus niet aan die voorwaarden voldoet.

  12. @ MathFox Je citeert niet uit de Google Analytics voorwaarden, maar uit de Google gebruiksvoorwaarden. Terwijl je in de linktekst ‘Analytics’ schrijft en dat is op zijn minst misleidend. Dat zijn de voorwaarden die jij accepteert als je als gebruiker de Google diensten gebruikt zoals (ingelogd) zoeken, Gmail, etc. Dat heeft echt niets hiermee te maken en is sowieso opt-in en dus heeft de gebruiker expliciet vooraf toestemming gegeven. Als website bezoeker ben je geen gebruiker van Analytics.

    De Analytics voorwaarden vallen onder de algemene privacy voorwaarden, maar zijn bestemd voor degene die een Analytics account maakt en beheert en dat is de website eigenaar. De Analytics voorwaarden bevatten aanvullende afspraken, bijvoorbeeld over het feit dat Google GEEN toegang heeft tot de Analytics informatie. Dat zijn de afspraken waar de werkgroep naar verwijst.

    Uiteraard kan Google dergelijke afspraken wijzigen en als dat gebeurt moeten we die opnieuw langs de wet leggen. Maar dat geldt ook voor alle andere tools die gebruikt worden zoals Piwik en met name Sitestat die third party cookies plaatst.

  13. @Rolf, bovenaan het document waar ik naar link staat GEBRUIKSVOORWAARDEN GOOGLE ANALYTICS. En als jij beweert dat “de Analytics voorwaarden aanvullende afspraken bevatten, bijvoorbeeld over het feit dat Google GEEN toegang heeft tot de Analytics informatie”, dan wil ik graag een URL naar een document dat Google bindt.

  14. http://www.google.com/analytics/learn/privacy.html

    Het gaat om de optie de standaard ingesteld staat: Do not share my Google Analytics data. Verder staat hierin: “No data-sharing without consent – Google Analytics data may not be shared without user consent, except under certain limited circumstances, such as when required by law.”

    In dergelijke uitzonderingsgevallen wordt er op werknemer niveau toegang verschaft binnen bepaalde procedures (Employee access controls and procedures) en nooit via geautomatiseerde koppelingen van databronnen.

    Ik voel mij hier als privacy gevoelige internetgebruiker helemaal goed bij.

    Uiteraard zal het voor jou mogelijk zijn om op basis van deze privacy voorwaarden een andere interpretatie te geven, maar de conclusie van de officiële instanties zoals deze werkgroep is natuurlijk wat straks werkelijk van belang is. Tot die tijd is bij iedereen en waarschijnlijk ook bij mij, de wens de vader van de gedachte. Voorlopig voel ik mij in mijn mening gesterkt door deze werkgroep. In ieder geval zie ik een duidelijke beweging die het verzamelen van anonieme gegevens op basis van first party cookies mogelijk maakt zonder toestemming vooraf.

  15. @Rolf, je praat over een setting: Do not share my Google Analytics data. Hoe weet ik als bezoeker dat de websitebeheerder die setting ingesteld hebt?

    Hoe bindend is:

    This option excludes data from being included in any automated processes that aren’t specifically related to operating and improving Google Analytics or protecting the security and integrity of the data.
    als in de algemene voorwaarden iets anders staat?

  16. @ MathFox Binnen de nieuwe wet is er een informatieplicht en die is heel uitgebreid. Je bent verplicht om ieder cookie daarin te benoemen, uit te leggen wat het doet en hoe je m.b.t. dat cookie met de privacy omgaat. Mijns inziens is dus iedere website eigenaar die GA gebruikt verplicht om deze ‘do not share’ setting te vermelden. Uiteraard kan daarmee gesjoemeld worden, maar dat geldt voor alle cookies die binnen de uitzonderingen vallen en alle andere privacy statements. Gebruikers die daar niet op willen vertrouwen moeten daarom altijd een gemakkelijke opt-out mogelijkheid krijgen, ook voor de cookies waarvoor geen toestemming vereist is. Google Analytics biedt die mogelijkheid en ik vind dat iedere website eigenaar die GA gebruikt dat moet aanbieden.

    M.b.t. je tweede opmerking: zelf denk ik niet dat er in de algemene voorwaarden iets anders staat omdat er telkens dingen worden gezegd als “met inachtneming van de privacy voorwaarden”. Daarnaast denk ik dat de nederlandse versie niet geheel actueel is en dat is natuurlijk slecht van Google. In de (UK) engelse versie is de door jou geciteerde paragraaf in je eerste reactie 263 anders en gaat het erom dat Google de gegevens opslaat en bewerkt om ze vervolgens aan jou als account eigenaar te kunnen presenteren in rapporten. Omdat het een Cloud service is moet je als gebruiker er uiteraard wel mee akkoord gaan dat Google de gegevens voor jou opslaat en bewerkt. En dat moet je ook melden aan je gebruikers, dat die gegevens bij Google worden opgeslagen. Google controleert overigens of je je aan die informatieplicht houdt. http://www.google.com/intl/en_uk/analytics/tos.html

  17. Een website heeft een informatieplicht voor het zetten van haar eerste niet-functionele cookie; dat betekent dat iemand die kiest voor opt-out zonder tracking-cookie de website moet kunnen verlaten. Het kan nog interessant worden om dat voor elkaar te krijgen wanneer bezoekers je site via een deeplink kunnen bereiken. (Ik neem aan dat de sitebeheerder niet liegt over zijn Analytics configuratie.)

    OK, de en_UK tekst is anders (en privacy-vriendelijker), maar bevat nog steeds de clausule dat Google de voorwaarden eenzijdig kan wijzigen. Hetgeen kan betekenen dat de voorwaarden volgend jaar niet meer aan de wettelijke eisen voldoen. (Nu verwacht ik dat Google slimmer is dan dat…) En welke versie geldt nu eigenlijk voor mij (of kan ik gewoon het pakket voorwaarden kiezen dat me het beste uitkomt)?

  18. @ MathFox Klopt, maar mijn uitgangspunt is dat het GA first party cookie onder de uitzonderingen valt en geen toestemming vooraf nodig heeft. Dan geldt de informatieplicht en de opt-out optie na het plaatsen van het cookie. Dit uitgangspunt is gebaseerd op het meest recente advies van de Artikel 29 werkgroep.

    Tja, welke voorwaarden nu uiteindelijk gelden durf ik niet te zeggen. Daar zou Google zelf iets van moeten vinden lijkt me. Het meest voor de hand liggende is dat de voorwaarden gelden waar je mee akkoord gaat op het moment dat je een nieuw account aanmaakt.

  19. @ Reinier Post 272 Misschien moet je de tekst toch nog een keer goed lezen en dan met name paragraaf 4.3. Daar staat dat volgens de letter van de regel deze cookies niet “strictly necessary” zijn en dus op dit moment niet onder de uitzonderingen vallen, maar dat ze geen privacy risico vormen als ze op de juiste manier (“safeguards”) worden gebruikt. Daarom adviseert de commissie om in de toekomst naast Criterion A en B een derde groep van uitzonderingen te maken waarvoor geen toestemming nodig is: “add a third exemption criterion to consent for cookies that are strictly limited to first party anonymized and aggregated statistical purposes.”

    Het Dirkzwager artikel zegt dit ook, maar vliegt daarna uit de bocht door te stellen dat GA een third party cookie is en dat klopt niet.

  20. @273: Rolf, je hebt gelijk. Ik was in de war door de zin

    Such safeguards are expected to include a user friendly mechanism to opt-out from any data ollection and comprehensive anonymization mechanisms that are applied to other collected identifiable information such as IP addresses.
    maar ‘opt-out’ bieden is niet hetzelfde als toestemming vragen.

  21. Interessante discussies! Erg vervelend dat zelfs geanonimiseerd gebruik van Google Analytics niet lijkt te mogen. Ik hoop dat het in de praktijk voorlopig zo’n vaart niet zal lopen, want ik vind het onzin dat we niet eens anonieme statistieken zouden mogen bijhouden over het bezoek aan onze site zonder toestemming te vragen van de bezoekers. Maar daar gaat het me nu niet om. Wat ik in de discussie nu mis: hoe los ik nu met HTML/Javascript(?) technisch op dat ik de toestemming van de gebruiker vraag om Analytics te mogen gebruiken? Het opnemen van Google Analytics in je eigen site is simpel: een account aanvragen bij Google Analytics, en plak dan een stukje code dat Google voor je aanlevert onderaan elke html-pagina. Maar hoe zorg ik als niet-zo-technische webmaster er nu voor dat onze site toestemming gaat vragen van een gebruiker om Analytics te mogen gebruiken? Ik heb wel verstand van HTML, maar wil geen programmeur worden van Cookies, het moet dus eenvoudig blijven. Zijn er al sites waar wordt uitgelegd hoe ik dit op een simpele en elegante manier kan regelen? Bij voorbaat dank!

  22. Ik rij straks over de A50. Dan naar de A12… dan staan er op de N325 camera’s die mijn auto van achteren fotograferen zodat alleen mijn kenteken kan duiden richting privé gegevens. Ik ben zelf niet herkenbaar op de foto. Nou zeg ik wel ‘mijn’ auto, maar eigenlijk staat het op naam van mijn vrouw.. zij krijgt dus de ‘vriendelijke groeten uit Leeuwarden’ van CJIB. En zij staat dan ook nog es geregistreerd als verkeersdelinquent… niet ik.

    Google ziet aan mijn ip adres en het cookie geen ene reet wat mij privé aangaat tenzijn mijn provider mijn ip adres met klantgegevens vrijgeeft aan Google. Het ziet hooguit dat vanaf een computer in mijn huis er een bepaalde belangstelling bestaat en een beetje van de aard van deze machine.

    Nou kan de cookie wet wel stellen dat er niets op mijn harde schijf mag worden geplaatst zonder mijn toestemming… maar wat is toestemming? In mijn temp folders staan een hele hoop files die daar vrolijk op de harde schijf blijven staan na een dagje webbrowsen… heb ik niet gevraagd en kan ik wat aan doen zodra ik de cache leeg… (samen met de cookies, nu een handmatige klus of beter … ingesteld te doen zodra ik mijn browser sluit – opt out dus)

    Vroeger werd de geboden site inderdaad beter/sneller van het hebben van een browser cache… maar in deze tijd van breedst-band internet geen technisch argument/juridisch argument dus lijkt het me het verbieden waard binnen deze wet.

    Ik wil ook dat op basis van de telekomwet er voor iemand die mij belt geen gehoor krijgt er vóórdat ie ophangt eerst toestemming vraagt zijn telefoonnummer te mogen opslaan in mijn mobiel…. er wordt tenslotte ongevraagd iets opgeslagen… en nee… niet komen met dat is niet privacy gevoelig… het is iets ongevraagd opslaan op mijn mobiel….

    De wet is er… het zal moeten worden nageleefd… (zal wel weer op gedogen uitdraaien… 😉 ) maar dat de wet de plank misslaat is duidelijk voor wat betreft de cookies….

    FF benieuwd? Hebben de indieners van deze wet dit uit eigener beweging gedaan of is er écht een petitie ingediend door duizenden bezorgde en boze burgers? Lulkoekwetje om indruk te maken op bange burgers… daar lijkt het op…

  23. Google ziet aan mijn ip adres en het cookie geen ene reet wat mij privé aangaat tenzijn mijn provider mijn ip adres met klantgegevens vrijgeeft aan Google. Het ziet hooguit dat vanaf een computer in mijn huis er een bepaalde belangstelling bestaat en een beetje van de aard van deze machine.
    Je zoekt even op Google en het eerste cookie is gekoppeld aan je IP adres. Je IP adres verandert tegenwoordig niet zo snel en in combinatie met het cookie ben je als unieke “computer” op te sporen. Je vindt wat je zoekt en dat is een blog dat Google Analytics gebruikt. Google weet nu wat je interesses zijn. Je hebt natuurlijk geen GMail want anders is dit een hele simpele oefening maar je bezoekt ook nog eens een forum waar je je ooit op hebt geregistreerd. Ook hier weer Google Analytics. Je bekijkt je profiel, verandert je avatar en je plaatst twee comments. Worden allemaal door GA geregistreerd. Vervolgens gaat de Google SearchBot aan het werk op het Internet. Ze vinden het forum, het blog dat je hebt bezocht, ze vinden diverse andere sites die jij in het verleden hebt bezocht en waarvoor je allemaal dezelfde gebruikersnaam voor hebt gebruikt. Ze koppelen termen aan elkaar dus die sites zijn aan elkaar verbonden door jouw gebruikersnaam. En plotseling heeft Google al een vrij herkenbare vingerafdruk van jouw acties online. Niet dat het Google echt interesseert want ze hebben zo wel vingerafdrukken van een biljoen mensen. Of meer…

    Ja, het is wel een beetje een onzinwet, maar helaas zijn steeds meer mensen aktief op “sociale media” waarop ze heel veel blootgeven over zichzelf. Koppel al die gegevens aan elkaar, pas wat datamining toe en je kunt behoorlijk waardevolle informatie terugvinden. Misschien niet over jou, omdat jij niets over jezelf vrijgeeft. Of over je vrouw omdat ze nooit online zit. Maar mogelijk wel over je tiener-dochter en haar vriendje in Lunetten omdat zij hun vakantiefoto’s van het strand in Spanje op Facebook hebben geplaatst. Daar staat ook een foto van jou met een korte beschrijving en via die paar gegevens is het bedrijf te vinden waar jij voor werkt omdat jij als contactpersoon op wordt genoemd. Via je werk-URL en je gebruikersnaam wordt een archief teruggevonden van een mailinglist van 8 jaar geleden en daar komt meer informatie naar boven. En dat kan zo door blijven gaan tot Google weer een volledig beeld van jou heeft, zelfs al werk je daar zelf nauwelijks aan mee!

    Het is onzin omdat mensen met een beetje gezond verstand niet teveel details over zichzelf online dumpen. Helaas heeft 80% van de Internet een chronisch gebrek aan gezond verstand… 😉

  24. Het opnemen van Google Analytics in je eigen site is simpel: een account aanvragen bij Google Analytics, en plak dan een stukje code dat Google voor je aanlevert onderaan elke html-pagina. Maar hoe zorg ik als niet-zo-technische webmaster er nu voor dat onze site toestemming gaat vragen van een gebruiker om Analytics te mogen gebruiken?
    Een technische vraag en hopelijk kan ik wat adviezen geven hiervoor. Cookies komen eigenlijk automatisch mee met iedere webrequest. En technische cookies zijn gewoon legaal. Het enige wat je dus hoeft te doen is te controleren of er een cookie is gezet en of daarin staat dat dat je toestemming hebt voor de overige cookies. Als de controle faalt dat moet de serverside code dus de Google Analytics code weghouden uit de webpagina. Bij diverse ontwikkel-omgevingen kun je gebruik maken van een masterpage waarbinnen de rest van de site kan worden geplaatst. Voor de gebruiker lijkt dit 1 HTML bestand (dus geen iframes of zo) maar aan de serverkant is de pagina dan opgebouwd uit meerdere bronbestanden. Deze masterpage kan deze cookie-controle uitvoeren en als er geen toestemming-cookie is gezet dan wordt de gebruiker doorverwezen naar een pagina die tekst en uitleg geeft en waar de gebruiker kan aangeven of deze wel of geen cookies wil. (Of de code voegt b.v. een Javascript module toe die een popup toont en om toestemming vraagt. Is het cookie wel gezet dan zul je op basis van die instelling dus wel of geen Analytics kunnen gebruiken.

    Helaas is dit wel iets dat de web developer moet bouwen en niet de niet-zo-technische webmaster. Dat is vrij lastig als je site is opgebouwd uit diverse commerciele en open-source producten en je dus eigenlijk geen developers in dienst hebt. De aanpassing hoeft in principe niet veel werk te zijn, hoewel dat sterk van het project afhangt. Maar je zult er wel een techneut bij moeten halen die de code kan aanpassen.

    Bij commerciele software kun je eventueel de fabrikant ervan wijzen op de Nederlandse wetgeving en vragen of ze het willen aanpassen. Zeker aan te raden indien je maatwerk hebt gekocht! Bij open-source even contact opnemen met de auteur(s) en hen hetzelfde verzoek doen, hoewel niet zeker is dat ze dit willen doen.

    Daarnaast zullen er wel de nodige plug-ins beschikbaar zijn die je eventueel kunt gebruiken op de webserver maar de mogelijkheden daarvan zijn dusdanig groot dat je dat beter aan een andere webmaster kunt vragen. Ik ben meer een developer dan master. 🙂

  25. @Pieter de meeste zaken die je aanhaalt gebeuren niet doordat een derde stukjes informatie op jouw randapparatuur plaatst. Het opslaan van van alles en nog wat door Google gebeurt op de servers van Google. Dat mag op grond van de Telecommunicatiewet. Wel moet Google de privacywetgeving in de gaten houden. Jouw cache-geheugen en je lijst gemiste bellers in je telefoon worden door jouw eigen systemen opgeslagen (in casu je browser danwel je telefoon).

  26. Wat ik me nu eigenlijk afvraag, wat is nu in eerste instantie het doel van deze wet? Het beschermen van je privacy of het voorkomen van ergernissen als je doodgegooid wordt met de banners van de Wehkamp?

    Als we hier nou een goede analogie voor moeten vinden zou je dit kunnen vergelijken met lussen in de weg en file-camera’s. Ik wordt ongevraagd geregistreerd als ik nietsvermoedend over de A20 rijdt en dit alleen maar omdat de overheid wil weten of een bepaald stuk weg vaak problemen ondervindt qua drukte. Hoe verschilt dit van het verzamelen van statistieken van je site?

    Als mensen mijn rode Volvo zien staan bij de AH en later bij de Hema, wat weten ze dan van mij… dat de bestuurder van een rode Volvo de rookworst van de AH niet lekker vindt? Dat is toch in principe wat Google bijhoudt?

  27. Om nog even terug te grijpen naar je quote in het artikel:

    Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.
    Zoals ik het lees: als je kan aantonen dat je de statistieken actief gebruikt om de site te verbeteren zijn ze toegestaan. Als je ze alleen gebruikt om mooie grafiekje te maken en daarop te geilen, val je buiten die uitzondering.

    Is dat een aannemelijke conclusie?

    1. Volgens mij wordt er in de wet onderscheid gemaakt tussen 1) directe verbeteringen, waarvan de bezoeker nog tijdens het bezoek profiteert, en 2) verbeteringen op lange termijn (zoals AB-testen), waarbij het plaatsen van een cookie geen invloed heeft op de functionaliteit en/of look-and-feel van de bezoeker tijdens de betreffende sessie.

      Als we hiervan uitgaan is het “verbeteren van de website” niet genoeg reden om cookies toe te staan, en jouw conclusie onjuist.

      Helaas…

  28. Mijn twijfels zijn met name over de laatste zin uit die quote:

    Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.
    Met jouw redenering zouden analytics cookies nooit als uitzondering gezien kunnen worden omdat deze nooit een direct effect hebben op de bezoeker. Maar er staat toch wel degelijk ‘minder snel’, dus er is een situatie waarin analytics cookies wel onder deze uitzondering vallen…

    Ik was overigens gister nog even op de site van de belastingdienst en daar hanteren ze nog steeds een opt-out voor de cookies. Ook al geven ze aan dat ze gebruikt worden voor analytics…

    Een unieke identificatie voor iedere computer. Wordt gebruikt om het aantal unieke bezoekers voor de verschillende onderdelen van belastingdienst.nl vast te stellen.
    (source).

    In mijn ogen heeft de belastingdienst een voorbeeld functie en ze geven, om eerlijk te zijn, niet het goede…

    1. Een situatie waarin Analytics legaal zou kunnen zijn, is dat je de site dynamisch vult met relevante content(*) die wordt geselecteerd op basis van wat Analytics zegt dat relevant voor jou is. Die functie bestaat binnen GA. Wel moet je dan GA alléén daarvoor gebruiken, dus niet ook nog statistieken voor de webmaster.

      (*) En daarmee bedoel ik dan niet advertenties natuurlijk maar redactionele/inhoudelijke inhoud. Op deze blog zou het blokje rechts met “Zie ook” gevuld kunnen worden met links die volgens GA voor jou relevant zijn.

  29. Ik bedenk mij net een variant op de cookies van Google Analytics: Google Webmaster Tools! Deze tools zijn bedoeld om een website te kunnen beheren en je krijgt dan, als webmaster, ook allerlei extra informatie over je website. Veel van deze gegevens komen van de Google crawler maar je krijgt ook een lijst van zoek-opdrachten te zien die jouw website als resultaat opleveren. En je krijgt te zien wie er naar je website toe linken.

    In hoeverre zou dit ook onder de cookiewet kunnen vallen?

  30. Gelukkig ziet de politiek in dat het anoniem bijhouden van statistieken geen privacy gevaar oplevert voor de burger en zal de cookiewet aangepast worden. Google Analytics mag dus gewoon, mits op de juiste wijze ingesteld (ip anonimiseren en gegevens niet delen). Het anonimiseren van ip adressen gebeurt bij Analytics aan de bron, letterlijk te zien in de broncode van een website, en is dus gemakkelijk te controleren. Bij andere pakketten ligt dat anders dus ik hoop wel dat de Piwiks en de Sitestats van deze wereld op gelijke wijze gecontroleerd kunnen worden. Bron: http://www.nu.nl/internet/2987889/cookiewet-versoepeld.html

    De publieke omroep heeft overigens nog wel een probleem, want die gebruiken Sitestat met Comscore en daar gebeuren twee dingen die niet deugen: de bezoekers worden gevolgd over alle websites van de publieke omroep zodat er een profiel opgebouwd wordt. Het tweede is dat de data gedeeld worden met Comscore voor ‘marktonderzoek’. Ik ben benieuwd hoe de NPO het bijhouden van statistieken volledig anoniem gaat maken, dus ook zonder de ip adressen te gebruiken.

    Voor remarketing en retargeting van advertenties zal nog wel toestemming nodig zijn dus de affiliate netwerken en uitgevers zullen nog steeds aan de wet moeten voldoen.

  31. @ Michel: Nee hoor, Google Analytics is formeel een first party cookie; de website eigenaar plaatst het cookie en niet Google. Analytics cookies dragen daarom ook de naam van de website. De software is van Google, maar het gebruik ervan valt volledig onder verantwoordelijkheid van de eigenaar van de website. De informatie is ook juridisch eigendom van de website eigenaar en niet van Google.

      1. @ Michel; dat kun je dus als gebruiker zelf bepalen en tegenwoordig staat dat zelfs standaard uit. Google kan zonder jouw toestemming niet bij de gegevens komen. Nu zijn er mensen die zeggen dat Google dat stiekem wel doet, maar zo’n discussie heeft weinig zin. Met ip-maskering zijn het sowieso gegevens die nooit naar een persoon of apparaat te herleiden zijn, dus ik begrijp ook niet waar mensen zich druk om maken. Dan zijn er wel andere situaties waar internet gebruikers écht privacy risico lopen. Facebook om er maar één te noemen.

        1. @Rolf: Hoe stel je je voor dat Google Analytics kan werken als het niet al die gegevens krijgt? Dat het plechtig belooft ze niet te zullen gebruiken is geloof ik wat telt voor de wet; in zoverre heb je denk ik gelijk.

          Maar het moet de ongemaskeerde gegevens bewaren om ze correct te kunnen aggregeren, denk ik.

          En we weten dat er wetten zijn waarmee overheden Google kunnen dwingen al hun data door te geven, en bovendien werken er zeker mensen bij Google die bij die data kunnen en er mogelijkerwijs wat anders mee doen dan wat hun bedrijf belooft (al verwacht ik dat Google dat zo moeilijk mogelijk maakt).

          Daarom schreef ik boven dat je bij gebruik van GA in wezen op hun blauwe ogen afgaat. De enige echte oplossing is Piwik of een equivalent.

          1. @ Reinier; wat bedoel je met “al die gegevens”? Analytics registreert alleen hoeveel bezoekers op een website komen, hoelang ze blijven, waar ze vandaan komen, etc. Er wordt niet geregistreerd wie er op je site komt. Zelfs niet welk ip adres een bezoeker heeft als je Analytics goed inricht. Als een ip-adres aan de bron wordt gemaskeerd dan is er geen enkele manier om die toch ergens in Analytics toch te slaan. Als je aangeeft dat het voor de wet klopt wat ik zeg, maar vervolgens toch allerlei verdachtmakingen noemt dan is dat pure stemmingmakerij. Je schaadt hiermee de sector. Google raak je hier echt niet mee want die verdient zijn geld met andere dingen dan Analytics.

            En wat ik al helemaal niet begrijp; alle argumenten die je noemt gelden ook voor Piwik. Het gaat namelijk niet om de techniek, om de software, maar om degene die het gebruikt. Vanwege allerlei functionaliteiten in Piwik zoals het profileren van bezoekers (iets wat niet kan in Analytics) is dat in potentie een gevaarlijker product dan Google Analytics. En ook bij Piwik moet je vertrouwen op de blauwe ogen van degene die het gebruikt. Stel je maar eens voor wat er mogelijk is met Piwik bij grote commerciële mediabedrijven die bezoekers profileren over tientallen websites. Google kan zich op het gebied van privacy echt geen imagoschade veroorloven, maar er zijn andere bedrijven die daar heel anders mee omgaan. En Piwik installeer je op je webserver, maar van wie is die webserver? Van een externe hostingpartij. En is daar volgens jou wel altijd iedereen te vertrouwen?

            Nee, helaas worden er veel argumenten gebruikt in deze discussie die gebasserd zijn op emoties en niet op nuchtere zakelijke argmenten.

            1. @Rolf:

              Nee, helaas worden er veel argumenten gebruikt in deze discussie die gebasserd zijn op emoties en niet op nuchtere zakelijke argmenten.
              Ik zou het waarderen als je zo’n opmerking ondersteunt met voorbeelden, afgezien van de opmerking zelf natuurlijk.

              Maar dat terzijde. Google zelf schrijft:

              Summary

              When a customer of Google Analytics requests IP address anonymization, Google Analytics anonymizes the address as soon as technically feasible at the earliest possible stage of the collection network. The IP anonymization feature in Google Analytics sets the last octet of IPv4 visitor IP addresses and the last 80 bits of IPv6 addresses to zeros in memory shortly after being sent to the Google Analytics Collection Network. The full IP address is never written to disk in this case. Ze krijgen het dus. (Nu vraag ik me af waarom, want de documentatie beweert ok dat GA het niet gebruikt om ‘sessies’ te construeren voor het geval dat de gebruiker cookies uit heeft staan. Maar daar gaat het niet om.) Waar het om gaat is dat jij als websitehouder verantwoordelijk bent voor het beschermen van de privacy, zoals je zelf ook zegt, maar het eerste wat je doet is elke hit met IP-adres naar Gogle doorsturen. Je maakt je dus voor het kunnen houden van die verantwoordelijkheid afhankelijk van een derde partij, namelijk Google.

              Je zegt terecht: met Piwik doe je dat ook, dan ben je namelijk afhankelijk van degenen die je de hosting service leveren waar je website en Piwik op draaien. Die zijn met dit soort dingen gemiddeld slordiger dan Google. Ja, dat zit er dik in.

              Maar ik denk ook dat dat partijen zijn die in de praktijk beter op hun ansprakelijkheid an te spreken zijn dan Google, dat zijn datacentra als een soort militaire forten schijnt te beveiligen en zich waarschijnlijk niet zo snel voor de Nederlandse rechter zal komen verantwoorden. De risico’s van grote gecentraliseerde databestanden komen niet voort uit de emoties van de mensen die ze ter sprake brengen maar zijn gewoon een standaard veiligheids- en privacyrico in de verhalen van computerbeveiligingexperts zoals Bart Jacobs (zie bv. de homepage van zijn afdeling), wat overigens niet wil zeggen dat hij mordicus tegen zulke grootschalige databestanden met privacygevoelige informatie is (hij is voor het EPD).

              1. @ Reinier: Iemand die én voor privacy is én voor het epd begrijp ik niet. Naast de enorme technische uitdagingen lopen er straks een paar honderdduizend mensen rond die op één of andere manier (deel)toegang hebben tot zeer persoonlijke dossiers en spelen er zeer grote commerciële belangen met zorgverzekeraars, zorgaanbieders en de farmaceutische industrie. Dat gaat natuurlijk mis en dan hebben we het over veel serieuzere zaken dan Google Analytics. Want laten we nu eens eerlijk zijn; over wat voor informatie praten we hier nu eigenlijk bij Analytics? Hoe kan iemand voor het EPD zijn en tegen Google Analytics?

                IP adressen van bezoekers zijn altijd beschikbaar voor website eigenaren, of je nu Analytics gebruikt of niet. De werking van het internet is gebaseerd op ip adressen en die zijn altijd zichtbaar als je een website bezoekt. De vraag is wat die eigenaar van de website met jouw ip adres doet. Google Analytics doet daar bijna niets mee (vooral geolocatie) en biedt de mogelijkheid om dat ip adres te maskeren. De link die jij geeft reinier werkt niet en ik lees bij Google het volgende:

                Wanneer IP-masking is ingeschakeld, verwijdert Google Analytics de laatste byte van het IP-adres van de bezoeker voordat dit wordt gebruikt en wordt opgeslagen.
                Bron: http://support.google.com/analytics/bin/answer.py?hl=nl&answer=2905384 Je eigen reactie illustreert waarom ik vind dat er veel emotionele argumenten gebruikt worden. Je geeft toe dat hosting providers slordiger zijn, dat Piwik niet veel anders is dan Analytics en toch kies je daarvoor, zonder duidelijke argumenten. Ik hoef maar even te verwijzen naar het nederlandse bedrijf DigiNotar en DigiD om te illustreren hoe erg het mis kan gaan hier in Nederland. Mijn Analytics gegevens die absoluut niet privacy gevoelig zijn, zijn veel veiliger bij Google dan hier. En als je jouw redenering doortrekt, dan zou ik als bedrijf voor de opslag van mijn bestanden ook geen Google Drive mogen gebruiken (wat ik nu wel doe) of SkyDrive, of DropBox. Allemaal Amerikaans. Dan ben ik als MKB ondernemer overgeleverd aan de dure en gebruiksonvriendelijke cloud diensten in Nederland. De emotie zit hem in het feit dat het hier gaat om grote, dominante Amerikaanse bedrijven en daar hebben “wij” in Nederland een hekel aan. In Europa lopen we gewoon achter en ik wil als vooruitstrevend ondernemer niet beperkt worden in mijn keuze om de beste en meest veilige diensten te gebruiken die er zijn.

                1. Hoe kan iemand voor het EPD zijn en tegen Google Analytics?

                  Vanwege het doel. Het EPD heeft de potentie om de gezondheidzorg te verbeteren en medische fouten te verminderen.

                  Google analytics is puur bedacht om meer reclamegelden op mensen los te laten om ze zo tot meer bestedingen te verleiden.

                  1. Eigenlijk zou ik op zulke stemmingmakerij niet moeten reageren, maar ik doe het toch maar. Veel ervaren medische professionals trekken het doel van het EPD zoals jij dat omschrijft in twijfel. En ook al was het waar; het doel kan nooit de middelen heiligen. En met betrekking tot wat je zegt over Analytics; ik betwijfel of je wel weet wat Analytics is, wat het kan en ook wat het niet kan. Verder wek je de indruk alsof je een hekel hebt aan reclame. Dat geldt denk ik voor veel mensen, ook voor mij bij bepaalde vormen van reclame, maar ik hoop dat je beseft dat het internet in zijn huidige vorm zonder reclame niet kan bestaan. Gratis bestaat niet.

                2. Rolf,

                  Mijn Analytics gegevens die absoluut niet privacy gevoelig zijn, zijn veel veiliger bij Google dan hier.

                  Het zou kunnen, maar ik kan het niet garanderen. Ik begrijp niet dat je niet ziet dat die gegevens juist privacygevoelig worden doordat ze van zoveel websites allemaal bij dezelfde partij terechtkomen (Google in dit geval).

                  1. Ik begrijp niet dat je niet ziet dat al die gegevens niet te herleiden zijn tot een persoon of tot een apparaat en daarom per definitie niet privacygevoelig kunnen zijn. Google is niet in staat om op basis van Analytics een profiel van mij als persoon op te bouwen. Dat kan alleen bij advertentiecookies (remarketing) van Google of welke andere partij/netwerk (retargeting) dan ook en daar moet terecht eerst toestemming voor gevraagd worden. De hele discussie rond Analytics leidt af van het werkelijke probleem, namelijk het adverteren op basis van surfgedrag. Daar moet paal en perk aan gesteld worden. Door de manier waarop we nu deze wet implementeren in Nederland (alles of niks) accepteren mensen cookies die ze beter niet zouden kunnen accepteren.

                    Deze wet is een gedrocht en er wordt terecht nu een uitzondering gemaakt voor first party analytics. Nog beter zou zijn om de mensen te leren hoe ze via hun browser hun privacy kunnen waarborgen. Nu geven we ze slechts schijnveiligheid.

  32. het doel kan nooit de middelen heiligen.

    Dat is echt een onzin opmerking. Bijna alle dingen in het leven zijn een afweging van doel en middelen. Ook ten aanzien van privacy.

    Google is niet in staat om op basis van Analytics een profiel van mij als persoon op te bouwen

    Dat is te naief voor woorden. Als je kan tracken waar iemand naartoe surft dan kun je ene profiel opbouwen.

    1. @ hAL: Je weet als het gaat om Analytics duidelijk niet waar je over praat; met Analytics is het profileren van bezoekers niet mogelijk en als je een account aanmaakt van Analytics accepteer je zelfs de voorwaarden waarin staat dat je dat ook nooit zult proberen, bijvoorbeeld door Analytics gegevens te koppelen met andere systemen of informatie. Discussiëren met iemand die de feiten niet kent of verdraait heeft weinig zin. Bron: http://www.google.com/analytics/terms/us.html Als je doorklikt naar deze bron: http://support.google.com/analytics/bin/answer.py?hl=en&topic=2611283&answer=2700409 Dan zie je ook hoe Google er op aandringt om websitebezoekers duidelijk te maken hoe ze via browser opt-out Analytics kunnen weigeren. Zo hoort het te gaan en niet via veel te complexe en niet werkende overheidsbemoeienis.

      1. @Rolf de vraag is niet of de webmaster profielen opbouwt maar of Google dat doet. Google zégt van niet maar hoe weet je of dat klopt?

        “Ze zouden wel gek zijn” is een beetje mager; Amerikaanse bedrijven doen wel meer dingen die wij gek vinden. Rondrijden en draadloos netwerkverkeer van iedereen capturen bijvoorbeeld. Of foto’s nog maandenlang bewaren nadat de gebruiker uitdrukkelijk had gezegd dat deze gewist moet worden (Facebook).

        Als Google dit doet ondanks hun mededeling van niet, dan ben jij als webmaster aansprakelijk. Google is jouw toeleverancier en jij moet (bewerkersovereenkomst) regelen dat zij het volgens de Nederlandse wet doen. De Wbp maakt jou afzonderlijk aansprakelijk voor je toeleveranciers. Je kunt het wél op Google verhalen.

        1. @ Arnoud; ik heb in mijn leven samen met bedrijfsjuristen heel veel contracten onderhandeld en getekend. Er zijn twee dingen die bepalen of je met een bedrijf in zee gaat; 1) Wat je op papier zet en 2) vertrouwen. Vertrouwen is misschien wel het belangrijkste, maar het begint wel met wat er op papier staat. Als Google zwart op wit zegt dat ze geen profielen maken dan lopen ze een enorm risico (imago + claims + omzetverlies) als ze het wel gaan doen. Ik denk dat ze daarvoor te slim zijn en hun business model zit daarvoor te goed in elkaar, in tegenstelling tot Facebook. Google zal hier en daar wel een fout maken, maar vanwege de redenen die ik hiervoor noem ben ik ervan overtuigd dat ze nooit hun eigen afspraken structureel gaan schenden. Facebook vertrouw ik in dat opzicht veel en veel minder en daar lopen consumenten ook veel meer risico.

          Ik vind het wel raar Arnoud dat je als jurist zegt dat vooral Amerikaanse bedrijven ‘gekke’ dingen doen. Dat lijkt me geen objectief argument. Er zijn genoeg voorbeelden van nederlandse bedrijven die hele gekke dingen doen m.b.t. privacy. Duik maar eens in de affiliate advertentie netwerken waar grote mediaconcerns bij betrokken zijn. Kijk eens naar de publieke omroep die met behulp van sitestat/comscore profielen van ons opbouwt op basis van bezoeken aan alle (!) websites van alle (!) publieke omroepen. Het is nogal naïef om te denken dat vooral Amerikanen rare dingen doen. Wij Nederlanders doen dat ook. En daarbij lopen we technisch ook nogal achter, ook niet zo fijn voor je privacy.

          1. @Rolf: Google heeft zo zijn eigen interpretatie van Europese regels. Zo zeggen ze dat een log die alleen IP-adressen en activiteiten bevat, niet onder de regels van persoonsgegevens valt. Dat is Europees onjuist maar volgens Google waar. Net zoals Google meent dat je op straat mag fotograferen en dat mag publiceren zonder enige afweging met de persoonlijke levenssfeer van de mensen op straat. Ook dat vindt Google normaal, wederom vanuit Amerikaansrechtelijk standpunt waar privacy alleen bestaat met de gordijnen dicht.

            In die lijn der verwachting kan ik me goed voorstellen dat ze het aggregeren van Analyticsdata “ter verbetering van de dienst Analytics” (zie de privacystatement) best een eindje oprekken. Dit is wat ik met ‘gek’ bedoelde; een interpretatie die wij gek vinden maar daar doodnormaal is. Net zoals het daar doodnormaal is dat je een haatsite online zet (free speech) terwijl wij dat vanuit discriminatie en zo best wel gek vinden.

            Het is dan geen structureel schenden maar een verschil in opvatting. Net zoals Google meent dat ze best haar eigen diensten nét een tikje meer voordeel mag geven. Terwijl de EC dit machtsmisbruik noemt en onderzoekt.

            Verder staat het je vrij om Google op haar blauwe ogen te geloven maar jíj draagt het risico en jíj krijgt de claims als Google de dingen anders blijkt te hebben ingericht. En oh, die bewerkersovereenkomst is sowieso een tekortkoming

            Ik heb ook heel veel contracten onderhandeld – en ook achteraf gezien hoe contractsbepalingen worden opgerekt, genegeerd of compleet anders gelezen als dat voor de businesscase beter uit komt drie jaar later. En doe me een lol en houd op met “jij als jurist”. Laten we debatteren op de inhoud.

            1. @ Arnoud: Als jij je zo duidelijk als jurist profileert, waarom mag ik je dan niet als jurist aanspreken? Maar goed, ik zal het weglaten en focussen op de inhoud. Google is inderdaad een Amerikaans bedrijf met een Amerikaanse cultuur. Misschien ook wel de reden waarom ze op dit gebied zo groot zijn geworden en er geen enkele Europese concurrent is die ook maar enigszins bij ze in de schaduw kan staan. Dat ‘Amerikaanse’ kunnen ze dus niet wegpoetsen. Wij besluiten tenslotte om Google te gebruiken; om te zoeken (95% van de Nederlanders) om te adverteren, Gmail te gebruiken, Analytics te gebruiken, etc. Het is in eerste instantie de verantwoordelijkheid van de gebruikers om aan de wet te voldoen van het land waarin zij opereren. Daarom benadrukt Google altijd dat de manier waarop je hun diensten gebruikt in overeenstemming moet zijn met de lokale wetgeving. Vandaar ook dat ze zich niet in het cookiedebat hebben gemengd en was hun officiële reactie; als de Nederlandse wet vraagt dat je toestemming moet vragen voor een bepaald soort cookie, dan moet je dat doen. Google op zijn blauwe ogen geloven is hier niet aan de orde, dat zou naïef zijn. Het is veel meer inzien hoe het businessmodel van Google werkt en op basis daarvan concluderen wat ze zich wel en niet kunnen permitteren.

              Dat Google zijn eigen diensten bevoordeelt is vooral een verhaal van gefrustreerde Europese partijen en vooralsnog niet bewezen. De EC onderzoekt inderdaad, maar heeft het ook nog altijd niet kunnen bewijzen. En zou dat niet ingegeven zijn door enige nationale gevoelens bij bepaalde Europese lidstaten? Ik werk dagelijks met deze materie, maar heb het in de praktijk nog niet kunnen vaststellen. Dat wil uiteraard niet zeggen dat het helemaal niet gebeurt, maar ik durf wel te stellen dat het bijna niet gebeurt. En zou een dominante Nederlandse zoekmachine als die al zou bestaan niet in de verleiding komen om zoiets te doen? Het wel of niet Amerikaans zijn vind ik in een globale internet economie gewoon geen goed argument. Als MKB ondernemer ben ik maar wat blij met Microsoft en Google die mij in staat stellen om voor weinig geld en vaak zelfs gratis diensten te gebruiken die vele malen beter werken en veiliger zijn dan al het andere dat in de Nederlandse markt beschikbaar is.

              De grote vraag voor mij, en ik zou het fijn vinden als je daar op zou willen reageren, is of dit soort wetgeving nu werkelijk waarde heeft voor de grote massa gebruikers. Wordt het internet voor hen nu écht veiliger? Want het draait toch om die vraag, of we nu jurist, politicus, online marketeer of IT-er zijn? Welke andere motivatie zou er anders kunnen zitten achter een wet als deze? Het zal je niet verbazen dat ik hele grote twijfels heb over het nut van dit soort wetgeving. De standaard do-not-track functie in IE 10 bijvoorbeeld heeft voor mijn gevoel meer effect dan de hele cookiewet. Eenvoudige do-not-track functies in de browser werken beter en hebben als groot voordeel dat de gebruikers zich bewust worden van de gevaren en ook beseffen dat ze zelf een verantwoordelijkheid hebben. Je kunt niet voor alles naar de overheid gaan wijzen.

              1. @Rolf: ik ervaar “jij als jurist” als een ad hominem (“een echte jurist zegt zoiets niet dus Arnoud is een slechte jurist”). Jij bedoelt dat vast niet zo, maar ik ben er allergisch voor geworden. Dus dank dat we op de inhoud focussen.

                Ik ben het helemaal met je eens dat Google heel innovatief en sterk bezig is geweest, en dingen neer heeft gezet die geen Europees bedrijf had durven doen. De Amerikaanse ontwikkelcultuur (gewoon doen en zien waar het schip strandt) is zo veel beter dan die van ons.

                Wel ben ik ervan overtuigd dat Googles standpunt “wij conformeren aan lokale wetgeving” in eerste instantie vooral lippendienst is. Pas als het land groot genoeg is (China, soms Duitsland) of het punt heel principieel wil men nog wel eens in actie komen. Maar Nederland met z’n expliciete opt-in krijgt niet meer dan een “wij menen dat wij voldoen” in een persbericht.

                Dit hebben we gezien bij eerdere privacydiscussies. Google vindt een IP-adres geen persoonsgegeven, Google meent dat fotograferen & publiceren op de openbare weg zomaar mag (en vastleggen van SSID’s ook) en ze meent dat ze alle gegevens van al haar diensten mag combineren en dat opt-out daarbij genoeg is. Elke keer komt er niet meer dan “Google streeft naar compliance met lokale regelgeving en waardeert het belang van de gebruiker” of iets dergelijks in vaagtaal.

                Regelmatig zie je dat de lokale regelgever er toch net iets anders over denkt; het regende sancties en boetes bij Streetview, Google moest Belgische kranten uit de News index halen en zo kan ik nog wel even doorgaan. De vraag is dan gerechtvaardigd of Google bij de Analyticsdienst wél werkt zoals de Europese regels eist, of dat men toch weer een voor zichzelf net iets comfortabeler interpretatie erop nahoudt.

                De vraag voor mij is dan ook, hoe wéten we dat Google doet wat nodig is onder onze regels. Ik kan niet meer vinden dan FAQs die me vertellen dat ik vinkjes weg moet halen en dat ze dan niets meer doen met mijn gegevens, behalve “to improve the Analytics service”. Wat is dat, en hoe ver wordt er dan mijn data gecombineerd met andermans data?

                Ik vind dat een wezenlijk andere vraag of de cookiewet zinnig is. Nee, die cookiewet slaat nergens op, het draagt bij aan onveiligheid want we maken mensen hersenloos klikvee. Ik ga op 1 april onze cookiemelding veranderen in “Ik geef toestemming voor automatische incasso van 100 euro van mijn bankrekening”. Hoe veel mensen gaan daar Akkoord op klikken denk je?

                Echter, hoe frustrerend ook, wet is wet. En totdat die wet wijzigt, moet je eraan voldoen. En daarom is de vraag relevant, kan ik me met Google Analytics aan de wet houden.

                Prima dat Google zegt dat jij als webmaster de lokale wetgeving moet naleven, maar een groot deel van jouw verantwoordelijkheid zit in diensten die Google in een black box uitvoert. JIJ bent verantwoordelijk voor de veilige opslag van Analyticsdata. Maar je kunt geen enkele feitelijke controle uitvoeren op wat Google doet. Blijkt dat zij tóch Analyticsdata delen, dan heb jij dus een probleem.

                Jij zegt, Google kan het niet maken om Analyticsdata te delen met derden dus ik mag erop vertrouwen dat ik (met de strenge privacysettings) data alleen zelf kan gebruiken. Ik zie vage frases in de privacystatement én eerdere draaikonterij (pardon, verschil van inzicht over toepasselijkheid van relevante wetsartikelen) over wat de wet zegt, en stel dus vraagtekens bij jouw standpunt.

                1. @Arnoud. Het lijkt mij vrij logisch dat een innovatief internetbedrijf regelmatig tegen een grens aanloopt. Soms terecht, soms onterecht. Klagende kranten bijvoorbeeld die via hun regering Google proberen dwars te zitten. Kranten hebben gewoon zitten slapen. Maar m.b.t. privacy is het absoluut terecht dat regeringen waakzaam zijn. Als Google echter vindt dat een ip adres geen persoonsgegeven is zijn ze daarin niet de enige. Een jaar of vier geleden bepaalde een Duitse rechter ook dat een ip adres niet als persoonsgegeven beschouwd kan worden. Bijvoorbeeld vanwege het feit dat een apparaat door meerdere mensen gebruikt wordt, dat achter één ip adres meerdere apparaten kunnen zitten en dat het vrijwel onmogelijk is om via hosting providers een naam bij een ip adres te krijgen. Ik weet dat de Europese commissie hier anders over denkt, maar dit lijkt me geen zwart/wit kwestie die heel gemakkelijk te bepalen is zoals bij een BSN, een bankpas of een rijbewijsnummer. En als ip adressen gemaskeerd worden is het probleem er bij Analytics al helemaal niet.

                  een groot deel van jouw verantwoordelijkheid zit in diensten die Google in een black box uitvoert. JIJ bent verantwoordelijk voor de veilige opslag van Analyticsdata. Maar je kunt geen enkele feitelijke controle uitvoeren op wat Google doet. Blijkt dat zij tóch Analyticsdata delen, dan heb jij dus een probleem.

                  Dat geldt ook voor een Nederlandse hosting provider die zijn klanten een gedeelde Piwik installatie aanbiedt. Het geldt zelfs voor een website eigenaar die Piwik op zijn ‘eigen’ webserver draait (gedeeld met andere websites en beheerd door derden) omdat het zeker bij de goedkope hosting regelmatig voorkomt dat je bij andere websites zomaar op de FTP kunt komen. Het geldt ook voor Sitestat/Comscore. En dan heb ik het er nog niet eens over dat Piwik en Sitestat qua functionaliteit al veel meer privacy risico opleveren dan Analytics. Het geldt ook voor klantgegevens die ik in de Cloud beheer (Skydrive, Dropbox), etc., etc.

                  Ik ben een groot voorstander van Analytics zo inrichten dat de privacy van website bezoekers gewaarborgd is, maar waar ik mij tegen verzet is de ongelijke behandeling en de onzin die er door sommigen wordt verkondigt over Analytics (niet door jou overigens). Tegen de onterechte conclusie die je bijvoorbeeld vaak leest; “Analytics mag niet en Piwik mag wel”. Tegen het feit dat er zo goed als geen aandacht is voor Sitestat/Comscore (publieke omroep) terwijl het daar gaat om keiharde profilering en cross-website tracking. Tegen het feit dat er vrijwel geen aandacht is voor remarketing en retargeting van advertenties terwijl daar een groot deel van de irritatie en achterdocht bij de consumenten vandaan komt. De balans lijkt zoek en ik probeer slechts hier en daar wat tegenwicht te bieden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.