Werkelijk niemand heeft trek in de cookiewet

Er viel niet aan te ontkomen gisteren: de cookiewet is van kracht. Vanaf gisteren is het verboden cookies te plaatsen zonder toestemming (behalve voor “functionele cookies”, maar dat is hooguit 1% van de cookies). En prompt gaat iedereen als kip zonder kop rondrennen alsof ze niet al twee jaar hadden kunnen weten dat dit eraan zat te komen en ze nú acuut failliet gaan omdat het fundamenteel onmogelijk is om aan die wet te voldoen.

Maar toegegeven, het ís ook een rare wet. Het idee is leuk (bescherming tegen nare spionagebestandjes en meer algemeen het “wat moet dat op mijn pc”-gevoel), maar een uitwerking die gebaseerd is op het idee dat de gemiddelde internetter een zorgvuldige studie maakt van een cookieverklaring en daarna een weloverwogen beslissing maakt om al dan niet het cookie te accepteren, is gedoemd te falen. Op internet geldt: leg mensen een vraag voor in een popup en ze klikken “ja”. Oh sorry, ben ik nu weer te cynisch?

Weinig sites – tot en met de overheid zelf aan toe – lijken daadwerkelijk van plan iets te gaan doen met de cookiewet. Bij Opta.nl krijg je cookies zonder dat daarom gevraagd is, Rijksoverheid.nl idem, en ook de commerciële jongens en meisjes zetten gewoon vrolijk cookies alsof het niets kost. De enige opmerkelijke uitspringer was Fok!.nl, dat je een buitengewoon lompe tussenpagina geef en eist dat je toestemming voor hun cookies geeft.

Om de reden (update inmiddels aangepast, zie ook de reactie van Fok!-directeur Roodbol in de comments) moest ik erg hard lachen:

De reden dat FOK.nl alleen bezocht kan worden als je aangeeft alle cookies te accepteren, is dat het voor ons onmogelijk is te garanderen dat er geen cookies geplaatst worden. Onze bezoekers kunnen bijvoorbeeld zelf reacties plaatsen waarin plaatjes opgenomen kunnen zijn. Zelfs via die plaatjes kunnen er cookies op jouw computer terechtkomen.

Van alle redenen waarom je mensen zou willen weren die geen cookies accepteren, is dit zo ongeveer de enige die gewoon écht nergens op slaat. Ten eerste: Fok! is niet aansprakelijk voor zulke cookies, omdat zij geen kennis daarvan heeft of hoeft te hebben. Net zoals ze niet auteursrechtelijk aansprakelijk is voor de plaatjes zelf.

Ten tweede: het is juridisch volstrekt onmogelijk om toestemming te geven voor “alle cookies”, zeker als je daar ook cookies onder rekent die mogelijk gezet gaan worden door vage plaatjeshostingsites die je bezoekers uitzoeken. Toestemming moet namelijk specifiek zijn, en “ik wil alles” is niet specifiek.

Ik ben eerlijk gezegd vooral benieuwd hoe lang ze het volhouden – en of andere sites ze gaan volgen. Want ergens zie ik het nog wel werken bij een communitysite (behalve dan bij nieuwe leden), maar bij een nieuwssite is het commerciële zelfmoord. Vandaar dat Telegraaf.nl niet verder gaat dan een banner aan de bovenkant van de site, overigens met een impliciete toestemming die volgens mij niet geldig is in Nederland. En Nu.nl heeft alleen een opt-outmelding in haar privacy- en cookiebeleid (“Je hebt op dit moment één actief cookie, klik op opt-out om jouw keuze te wijzigen.”).

En de oplettend klikkende lezer is het wellicht al opgevallen: ja, we hebben een nieuwe site – Cookierecht.nl. Met zo ongeveer alles dat we de afgelopen tijd hebben geschreven over cookies, en heel wat meer ook.

Arnoud Arnoud

133 reacties

  1. Als het echt hard wordt gehandhaafd, dan komt er een enkele start pagina voor de mijn website, met een knop, die zegt “Ik geef toestemming voor het plaatsen van cookies”, en alleen door op deze knop te drukken wordt de site verder toegankelijk. Natuurlijk houden we het “ja” antwoord bij door het plaatsen van een cookie.

    Verder komt er op die pagina natuurlijk wat uitleg over de juridische achtergrond, en een formulier waarmee men rechtstreeks een email naar een willekeurig gekozen voorstemmer in de Tweede Kamer kan sturen.

    Hopen dat alle sites precies hetzelfde gaan doen.

    Dit is totaal zinloze wetgeving die een compleet onbegrip van de computertechnologie en de privacyproblematiek in het algemeen demonstreert.

  2. “Ik geef toestemming voor het plaatsen van cookies??? is geen rechtsgeldige toestemming voor het plaatsen van cookies. Toestemming moet specifiek zijn: wélke cookies, en waarom dan? “U mag met een cookie mijn hobby’s bijhouden” of “Onthoud mijn naam en e-mailadres op deze blog zodat ik ’t niet steeds hoef in te vullen”.

  3. Die nieuwe site is handig om alle informatie centraal te hebben. We zullen er toch aan moeten geloven.

    Cookierecht heeft die mooie popup linksonder (De PiratenPartij gebruikte die ook al). Maar daarmee volsta je op dit moment ook nog niet aan de wet. Als ik namelijk JavaScript uitschakel dan zie ik die melding niet meer. Het is natuurlijk een stap in de juiste richting en beter dan niets doen.

    Waar ik toch wel over struikel is de bewijsvoering ( http://www.cookierecht.nl/diensten/juridisch-advies/cookie-toestemming/bewijzen-van-toestemming/ ). [Klopt de zin in die eerste alinea trouwens wel? “De OPTA -die de cookiewet gaat handhaven- hoeft alleen maar te bewijzen dat het cookie is gezet.”] Dan ga je alles netjes implementeren, moet je vervolgens kunnen bewijzen dat iemand toestemming heeft gegeven. Maar als je de toestemming opslaat in een cookie en zonder die cookie geen niet-functionele cookies opslaat, dan ben je toch klaar?

  4. @2 Het lijkt mij behoorlijk paternalistisch als je mensen niet meer toestaat ergens toestemming voor te geven… Als toestemminggever wordt ik op deze manier ernstig aangetast in mijn contractsvrijheid.

    Natuurlijk komt er een lijstje te staan van geplaatste cookies: een enkele sessie-id, waarmee verdere informatie over de betreffende sessie uit een database wordt opgehaald. Natuurlijk kan je de site ook aanpassen dat deze sessie-id in elke URL geschreven wordt, en je dus geheel cookie-loos door het leven kunt.

    Ik zelf vermoed trouwens dat deze wet krijgt wat hij verdient: eeuwige minachting doordat iedereen hem totaal negeert.

    Het kan echter ook zijn dat deze wet een verkapt opzetje is naar toekomstige censuurmaatregelen. Door deze wet is er namelijk bijna altijd een stok te vinden om websites die je even niet ziet zitten een klap mee te verkopen. Je kan hem dus willekeurig toepassen om sites te jennen (of, als ze buiten je jurisdictie opereren, ze op internet-providerniveau te laten blokkeren). In dat opzicht is het een heel akelig ding, waar we zo snel mogelijk vanaf moeten.

  5. @Alex: Bedoel je of er taalkundig iets mis is met die zin? Inhoudelijk klopt het: de OPTA moet bewijzen dat een cookie is gezet door jou, en jij moet dan bewijzen dat ji daarvoor toestemming had. Net zoals ze bij e-mail reclame alleen maar moeten bewijzen dat jij die verzond, en dan jij dat je opt-in had. OPTA hoeft niet te bewijzen dat er géén toestemming was.

    En op zich zou je denken dat “mijn infrastructuur kan alleen mét toestemming cookies plaatsen” genoeg is. Alleen: ook dát moet je kunnen bewijzen. Stel over 2 jaar klopt de OPTA aan vanwege een cookie dat vandaag gezet is. HOe bewijs jij dan dat je site van vandaag (die je misschien niet eens meer hebt, qua code/infrastructuur) op die manier werkte? Een screencast of filmpje hoe dit gaat zou helpen.

  6. Ik heb de discussie de afgelopen weken proberen te volgen, echter wat betekent dit voor een non-profit blogger die enthousiast over zijn vak: onderwijs en ict blogt. Ik gebruik WordPress op een eigen servertje. WordPress plaatst blijkbaar cookies. Ik gebruik Adsense om te kosten van het hosten eruit proberen te halen, maar maak absoluut geen winst. Adsense gebruikt cookies. Ik heb een aantal Widgets die me helpen om te laten zien dat ik 300+ twitter-volgers heb en 300+ RSS-volgers. Ook deze plaatsen blijkbaar een cookie. Alles wat ik blog is onder een CC-licentie vrij beschikbaar. Naast mij zijn er tig van deze hobby bloggers.

    Hoe kan ik (wij), enthousiast blogger, met beperkte technische mogelijkheden (en geen winst oogmerk) en beperkte kennis en mogelijkheden dit toch goed regelen? Kan de wet dit eisen? Ik vind mezelf niet te vergelijken met Google, Twitter, et cetera. Wat is redelijk hierin?

  7. @10: Op die manier is het nauwelijks nog mogelijk om fatsoenlijk een website te runnen.

    Hoe zit het dan met mijn website. Die gebruikt een cookie om een login bij te houden (als je login gegevenens onthouden aanvinkt)zodat je niet iedere keer hoeft in te loggen. Verder gebruikt hij geen enkele andere cookie, maar worden de settings in een MySQL database opgeslagen.

    Ik moet nu dus alle gebruikers toestemming gaan vragen om cookies te zetten? Dat is toch complete onzin? De cookie is noodzakelijk voor de functionaliteit die de gebruiker wenst te gebruiken (login op zijn PC onthouden)

    Ik ga in ieder geval niets met de wet doen. De website werkt uberhaupt alleen met een account die ik zelf op verzoek aan moet maken. Ik ga er vanuit dat mijn vrienden niet gaan klagen en de handhaver kan niet eens op de site komen om te controleren of die sowieso cookies gebruikt.

  8. Ik vind de kreet “I am happy with this” op cookierecht.nl geen duidelijke toestemming. Het kan ook als een soort leesbevestiging worden gezien.

    Ook al omdat er geen alternatieve knop is om je gebrek aan toestemming te indiceren. Als je al kiest om slechts 1 knop aan te bieden dan moet dat wel duidelijk toestemming voor de cookies zijn en niet een mededeling die je ook kan zien als “ik heb dit gelezen”.

  9. Dit is totaal zinloze wetgeving die een compleet onbegrip van de computertechnologie en de privacyproblematiek in het algemeen demonstreert

    Dit is heel interessante wetgeving die voor veel gebruikers blootlegt dat de internet industrie een groot gebrek aan privacy bescherming kent en enorm massaal gegevens van iedereen exploiteert zonder hun toestemming.

    Deze wet maakt het overduidelijk dat je niet het internet meer kunt bezoeken zonder tracking van derden. Dat is een gevaarlijke inbreuk op de vrijheden van mensen om informatie tot zich te nemen. Dat fundamentele recht op informatie mag niet worden geblokkeerd doordat je daarvoor altijd verplicht bent om je privacy op te geven.

    Ik denk ook dat het hoog tijd wordt dat bijvoorbeeld Europa ‘Do not Track’ wetgeving gaat invoeren die afdwingt dat de Do not track signalen van gebruikers worden gerespecteerd en dat bijvoorbeeld adverteerders en andere 3rd parties sowieso niet meer gebruikers mogen tracken die dat niet willen.

    Iedereen moet als persoon het internet ook kunnen gebruiken zonder dat honderen partijnen zonder toestemming gaan bijhouden wat iedereen allemaal doet op het internet.

    Op dit moment is dat dus niet mogelijk. De situatie is nu zo alsof je bij alle supermarkten alleen nog maar spullen kan kopen als je verplicht een stuk of 6 klantenkaarten hebt zodat de partijen achter die klantenkaarten allemaal kunnen bijhouden waar, wanneer, en hoe vaak je welke spullen koopt.

  10. @10 Maar als je vast gaat leggen wie wanneer toestemming heeft gegeven, moet je je dan gaan aanmelden bij het cbp omdat je dan ehh ja wat moet je dan gaan bijhouden?

    Geef hier uw BSN op zodat we kunnen vastleggen dat u cookies wilt hebben?

  11. @14: Privacy is een complex probleem, dat je zeker niet gaat oplossen door mensen te verbieden informatie op te slaan of bij te houden. Dat is niet handhaafbaar, net zo min als bijvoorbeeld het auteursrecht handhaafbaar is in een tijd waarin technologie het net zo makkelijk maakt bestanden van gigabytes te verspreiden alsof het kletspraat in een klein dorp is. Zolang mensen beseffen dat als zij informatie op het net achterlaten deze in principe bewaard kan worden door allerlei partijen, net zo goed als men beseft dat als je op de Zeedijk in Amsterdam rondloopt je gezien kan worden. Als je een site bezoekt, dan zijn er tenminste 3 partijen die daar kennis van nemen: jijzelf, de site die je bezoekt, en je ISP die ertussen zit (en via de bewaarplicht, de overheid in zijn verschillende rollen). Je kunt niet bij hen in de keuken kijken om te zien wat ze allemaal daarvan onthouden.

    Wat je wel (gedeeltelijk) kunt regelen is wat je achteraf met dergelijke informatie kunt doen (ofwel, de externe manifestaties van verzamelde informatie). Uiteindelijk is het pas zinvol informatie te verzamelen als je daar waarde aan kunt ontlenen. Een goed voorbeeld is de huidige praktijk van ziektekostenverzekeringen in Nederland: omdat alle verzekeraars verplicht zijn het basispakket voor dezelfde prijs aan iedereen aan te bieden, heeft het geen zin meer de medische geschiedenis van iedereen nog een keer bij te houden, sterker, maakt het ook niet zo gek veel meer uit dat ze dat doen. (De keerzijde, dat iedereen verplicht is zich te verzekeren, betekend dat ook zeer gezonde mensen zichzelf niet (goedkoper) kunnen verzekeren dan gemiddeld, zodat het systeem ook op die manier niet scheefgroeit).

    In deze tijd is mijn devies daarom: wen er maar aan dat er veel van je bekend is als je on-line gaat, en zorg dat waar misbruik van dit soort kennis te verwachten is, je dat misbruik aanpakt. Dat ik na een bezoek aan een site voor vakantieparken nog twee weken extra advertenties voor diezelfde site op allerlei niet-gerelateerde sites kan vinden stoort mij niet zo.

  12. In jullie voorbeeld op cookierecht.nl zie ik bij de extra informatie over google analytics informatie staan waarvan die al wettelijk is geregeld en die daar dus niet hoeft te staan. Daarintegen mis ik juist het belangrijkste stukje info over google analytics Hebben jullie de Google analytics setting “do not share my Google Analytics data” geactiveerd zodat google de info niet voor andere diensten kan gebruiken. Zo niet dan wil ik graag zien in julie extra info dat de data gedeeld wordt omdat het een data share setting is die jullie als gebruiker van Google analytics in de hand hebben.

    Dus zoiets als “De Google analytics info wordt niet verder gedeeld” of “De Google analytics info wordt gedeeld met andere Google diensten en advertenties”

  13. behalve voor ???functionele cookies???, maar dat is hooguit 1% van de cookies

    Kom kom, we kunnen nu allemaal moord en brand gaan schreeuwen, maar feit is dat alle niet-functionele cookies in essentie gewoon niet noodzakelijk zijn (anders waren het tenslotte wel functionele cookies). Ik betwijfel ook of die 1% een realistisch aantal is, hangt waarschijnlijk af van de sites die je bezoekt.

    Alle internetpro’s roepen nu zielig dat hun Analytics nu niet meer werken, maar gaan compleet voorbij aan het feit dat ze voorheen data bijhielden zonder expliciete toestemming van de gebruiker. Het zou zonder Analytics onmogelijk zijn om sites te maken en te beheren, want blijkbaar bestaan normale gebruikersonderzoeken ineens niet meer. Dat er geen bezoeker-gerelateerde ads meer getoond kunnen worden zal natuurlijk al helemaal niemand iets kunnen schelen.

    hAl (@14) verwoord het juist, het laat zien hoezeer bezoekers van sites zijn omgevormd van klant tot het product dat verkocht wordt. Iedereen die zo fel tegen deze wetgeving is moet zich echt even realiseren dat het niet ‘gewoon’ hoort te zijn dat je maar alles van iedereen altijd bij kan houden.

    @11: WordPress zet geen cookies bij bezoekers, alleen cookies bij inloggen (maar dat zijn functionele cookies, dus vallen hierbuiten). Alleen je Adsense zal je probleem zijn, maar dat moet Google maar gewoon oplossen. Het is tenslotte helemaal niet nodig voor hen om een cookie te plaatsen, ze moeten gewoon een advertentie laten zien.

  14. Er is maar één correcte manier om het internet te gebruiken en dat is er van uitgaan dat elke website probeert jouw browser te besmetten met malware. Hetzelfde geldt voor websitebouwers, elke bezoeker van je website is een potentiele hacker. Alleen als je op deze manier denkt dan kun je veilig zijn op internet, zowel als bezoeker als maker van content.

    Cookies en toestemming moet je dus in je browser regelen, niet via landelijke wetgeving, en al helemaal niet op een wereldwijd ongecensureerd netwerk zoals het internet. Dat geeft een vals gevoel van veiligheid want elke buitenlandse site mag mij nog steeds tracken. Aan welke, mogelijk conflicterende wetgeving, moet een site zich houden die zich richt op zowel Nederland als Costa Rica?

    Wil je geen cookies? Dan kun je dit zelf uitzetten in je browser. Wil je geen trackingcookies? Dan kun je een browserplugin gebruiken, zoals Ghostery.

    De cookiewet is juist een schending van mijn privacy omdat website eigenaren moeten vastleggen dat ik (wie ben ik, een IP adres?) akkoord ga met de opslag van cookies. Daarnaast moeten ze dit een aantal jaar bewaren zodat ze kunnen bewijzen dat ik akkoord ben gegaan hiermee.

  15. Je zou er eigenlijk ook recepten voor koekjes op kunnen plaatsen, gewoon voor de lol. 🙂 Maar ook met tips erbij voor programmeurs en website designers over waar ze op moeten letten als ze websites bouwen.

    Maar vraag mij wel af of er ook gemeld moet worden dat iedere web server standaard al gegevens verzamelt in een logboek voor iedere pagina of deel ervan die op de server wordt opgehaald. Dergelijke logboeken zitten immers vol met informatie die met enig werk aan specifieke gebruikers gekoppeld kan worden. En daaronder valt ook de referrer, ofwel de site die de gebruiker ervoor heeft bezocht. Deze informatie wordt sowieso verzameld door zo’n beetje iedere web server.

  16. Niet al te versassend dat de commerciele sector de wet links laat liggen en/of haar eigen interpretatie ervan aanhoud. Doet me enigszins terug denken aan de invoering van het rook verbod.

    De vraag is nu eigenlijk wat de opta gaat doen. Een paar keer boetes uitdelen om daarna naar de minister te gaan om te vertellen dat niemand zich aan de wet houd dus dat de wet maar veranderd moet worden, of gelijk terug naar de minister gaan om te vragen of de wet veranderd kan worden.

  17. Cookies en toestemming moet je dus in je browser regelen

    Dat zou alleen zinvol zijn als de default waarde is dat mensen niet getracked worden en dat mensen altijd expliciet toestemming geven om getracked te worden (he, dat lijkt best een beetje op deze wetgeving).

    Het is belachelijk om te verlangen dat mensen een plugin moeten downloaden om hun recht op privacy te beschermen. Vooral aangezien de meeste mensen helemaal niet geinformeerde zijn dat hun privacy wordt geschonden en door wie allemaal.

  18. De vraag is nu eigenlijk wat de opta gaat doen. Een paar keer boetes uitdelen om daarna naar de minister te gaan om te vertellen dat niemand zich aan de wet houd dus dat de wet maar veranderd moet worden

    Ideaal gezien gaat de opta eerst achter de honderd meest bezochte sites door nederlanders aan en vervolgens achter de top 1000.

  19. Er is maar één correcte manier om het internet te gebruiken en dat is er van uitgaan dat elke website probeert jouw browser te besmetten met malware.

    Dus in het echte leven moet je er ook maar vanuit gaan dat elke winkelier je probeert op te lichten, en dat alle voedingsmiddelen vervuild zijn met verontreinigende middelen? Wetten zijn er juist om consumenten te beschermen die wat minder verstand hebben van techniek, internet, financiele producten, voeding, etc.

    De cookiewet is juist een schending van mijn privacy omdat website eigenaren moeten vastleggen dat ik (wie ben ik, een IP adres?) akkoord ga met de opslag van cookies. Daarnaast moeten ze dit een aantal jaar bewaren zodat ze kunnen bewijzen dat ik akkoord ben gegaan hiermee.

    Dus het bijhouden van al jouw interesse, welke pagina’s je bezocht hebt, welke producten je gekocht hebt, etc etc is een minder grote privacy schending dan het bijhouden van dat je akkoord gaat met een cookie. Hou eens op, wat een onzin.

  20. @hAl

    ‘Recht op informatie’? Als je wil betalen, kan je misschien wel een dienst vinden die zonder cookies werkt. Anders geldt de standaard stelregel hierover: als een iets gratis is, ben jij niet de klant maar het product. There ain’t no such thing as a free lunch. Bedrijven zetten geen websites op uit de goedheid van hun hart, maar omdat ze centen willen verdienen. Omdat ze ook nog een dienst aanbieden die interessant is voor een boel gebruikers (zeg, een Facebook ofzo) is dat eigenlijk voor iedereen een win-winsituatie. Als je daarin gaat rommelen met een vaag idee over ‘ze kunnen me volgen’ krijg je straks alleen betaalde diensten. Lijkt me voor niemand een wenselijke situatie (behalve voor diegenen die blijkbaar denken dat ze zo belangrijk zijn dat Google ze persoonlijk wil tracken).

  21. @26 Gratis kan best zonder een uitgebreid profiel van mij op te bouwen. Google verdiende genoeg geld met de normale advertenties gebaseerd op de content van de pagina en/of de zoekterm. Maar het probleem is dat ze dit niet genoeg vonden en graag nog meer geld willen verdienen.

    Ik krijg elke week een aantal gratis krantjes in de bus die niet bijhouden of ik het lees, hoe lang ik dat doe, welke advertenties ik lees en bij de lokale middenstand vragen of ik bij ze binnen ben geweest en wat ik heb bekeken. Deze krantjes verschijnen al tientallen jaren en zijn nog steeds gratis.

    Mijn computer staat vol met gratis open source software en ook mijn webservers draaien op gratis producten waarbij er geen enkel product data verstuurd naar de ontwikkelaar.

    Het kan echt hoor, gratis….

    Voor de betere content ben ik graag bereid om te betalen net als dat ik wil dat mijn klanten mij betalen voor mijn producten en diensten.

  22. Grappig dat je zegt dat onze reden niet klopt. We hoeven niet te weten dat afbeeldingen en youtube filmpjes cookies plaatsen? Waarom worden we dan wel geacht te weten dat banners cookies plaatsen? En waarom zou een tracking cookie van facebook hierin anders zijn dan een van youtube of picasa?

    Onze users kunnen vrij reageren en daarbij kunnen zij afbeeldingen en video’s van externe bronnen plaatsen en die kunnen tracking cookies plaatsen. Als wij weten dat flickr tracking cookies plaatst en we staan gebruikers toe afbeeldingen van flickr te plaatsen lijkt me dat – ook voor de wet – gelijk aan het weten dat adsense cookies plaatst en onze site toestaan banners van adsense te serveren. Als dat echt een wezenlijk verschil is zou de oplossing eenvoudig zijn; laat een user banners, like-knoppen en analytics code toevoegen. Dan mag het blijkbaar opeens wel?

    Ik krijg sterk de indruk dat ook jij niet helemaal snapt wat nou wel en niet mag en moet. Dat is niet erg, alleen een rechter kan dat uiteindelijk toetsen, maar ik vind het wel flauw dat je hier zo van leer trekt tegen FOK.nl, terwijl wij als enige een échte poging ondernemen ons aan de wet te houden. Dat anderen dit vooralsnog negeren is op z’n minst oneerlijke concurrentie te noemen lijkt me. We zijn namelijk wel degelijk in het nadeel ten opzichte van onze concurrenten die de wet aan hun laars lappen.

  23. Er is nogal een verschil tussen banners en afbeeldingen van users. Die laatste plaats jij niet; die eerste wel. En daarmee ben jij eindverantwoordelijk én aansprakelijk voor banners van je adverteerders, en niet voor de afbeeldingen en embeds van je gebruikers. Dit mede omdat de wet (art. 6:196c BW) zegt dat je niet aansprakelijk bent voor wat gebruikers plaatsen, nu jij geen voorafgaande moderatie doet.

    Andere context: stel een advertentie schendt auteursrechten door bv. een foto te gebriken zonder toestemming, dan is Fok! daarvoor aansprakelijk. Zij kan het verhalen op de adverteerder, maar de claim niet pareren met “dit is niet onze advertentie”. Het staat op Fok! en dús is Fok! aansprakelijk. Een user-contributed foto die auteursrechten schendt levert géén aansprakelijkheid op voor Fok!, zolang ze maar (notice/takedown) de foto weghaalt bij een klacht van de fotograaf.

    Zie je werkelijk géén verschil tussen user-contributed content en een widget of banner die Fok! zelf opneemt?

  24. @N.P.

    Het is uiteindelijk niet Google die de prijs van advertenties bepaald, maar de adverteerders. En die prijs wordt weer bepaald door de clickthrough-rate van de advertenties. En die is nou eenmaal hoger door getargette advertenties. Het gaat ook niet om Google, maar om contentproviders zoals bijvoorbeeld kranten, maar ook sites als GeenStijl en Fok. Zij bieden gratis hun diensten aan omdat de advertenties kostendekkend zijn, maar die zijn alleen kostendekkend omdat ze getarget zijn.

    Overigens lijken vergelijkingen met huis-aan-huisbladen, me niet zo heel verhelderend. Ik denk ook dat de ‘clickthrough-rate’ daar beduidend hoger ligt dan bij webadvertenties.

    Reken er ook maar op dat als er morgen een wet komt die het leveren van service bij opensourceprojecten vrijwel onmogelijk maakt, Apache en Red Hat ook omvallen.

  25. Ik zie vooral een maas in de wet. We kunnen prima vragen of een user bij het openen van een topic meteen een google advertentie wil plaatsen. Het is dan door de user geplaatst en dus niet ons probleem. Zelfde geldt voor like-knoppen, analytics code enz. Als ik je goed begrijp mag dat dus gewoon want het wordt door de user geplaatst. En als vragen aan users dan gelijk staat aan het zelf plaatsen (want rechters zijn natuurlijk ook niet dom in veel gevallen), dan is het MOGELIJK maken adsense, analytics en social media knoppen te plaatsen een optie. Dat is hetzelfde als het mogelijk maken afbeeldingen te plaatsen. We hebben er niets aan, maar het toont wel aan hoe lomp deze wet is. Er zouden honderden keren meer tracking cookies geplaatst kunnen worden zonder dat we daar ook maar een cent verantwoording over hoeven af te leggen.

    Overigens kiezen we er ook voor social media knoppen NIET te verwijderen. Als we een cookievrij FOK! zouden willen garanderen zou dat inhouden dat we voor een groot deel onze site en haar functionaliteit moeten slopen en dat is wat ons betreft geen optie.

    Het weblog van FOK! staat vol met youtube filmpjes die cookies kunnen plaatsen. Aangezien dat inhoud is die door onze redactie wordt neergezet is dat wel degelijk een probleem begrijp ik. En als dat zo is snap ik wederom je negatieve, neerbuigende rant richting FOK! niet. We zijn en blijven nog steeds de enige site die hier uberhaupt probeert zich aan de wet te conformeren, ondanks het feit dat we 30% traffic hebben ingeleverd. Kennelijk is dat tegenwoordig iets om op neer te kijken. Jammer.

  26. Toch denk ik dat adverteerders ook onder “user created content” kunnen vallen. De advertenties van adverteerders worden vaak via allerlei systemen aangeleverd (AdSense) zonder dat de website beheerder hier enig invloed over heeft. Net als user content zijn advertenties gewoon aangeleverd door derden zonder enige controle hierop. Het enige verschil is dat gebruikers gratis toegang hebben en adverteerders de site eigenaar betalen.

    Zo zie ik dat fok.nl gebruik maakt van M4N/Zanox voor het plaatsen van advertenties. Fok heeft een plug-in die de advertenties op de site weergeeft en M4N levert de advertenties aan. M4N is dan verantwoordelijk voor illegale content, niet Fok. Toch?

  27. Ik snap de opgegeven reden écht niet, zoals ik ook al in de blog aangaf. Als je zegt “ik kan geen banners meer tonen”, prima. Als het is “bij redactionele inhoud zit ik met third-party cookies die ik niet kan/wil screenen”, okee duidelijk. Maar je zegt zó nadrukkelijk dat het is omdat users cookies kunnen doen plaatsen via hun eigen posts, dat ik concludeer dat dat je énige overweging is.

    Ik kan er écht niet bij dat je serieus zegt dat je bang voor aansprakelijkheid bent vanwege cookies door user generated content. Waarom ben je dat dan niet voor auteursrechten of smaad door UGC? Ik kan me gewoon niet voorstellen dat die aansprakelijkheid je eerste overweging is. Je móet toch weten dat je hierin beschermd bent en dus geen zorgen hoeft te maken over cookies?

    Voor social widgets die je zelf opneemt moet je toestemming vragen, tenzij de social site er achter dat zelf al doet. Hyves moet zelf toestemming vragen voor de cookies bij hun Respect-knop, en jij mag er vanuit gaan dat ze dat doen dus die knop kun je wel laten staan. Maar bij Facebook weet je dat ze dat niet gaan doen, dus daar ontstaat voor jou een afgeleide aansprakelijkheid. (En je kunt ervoor kiezen af te wachten wat de rechter of OPTA zegt natuurlijk.)

    Als een user een social widget opneemt, dan ben jij niet aansprakelijk vanwege de UGC exceptie. Wél overigens als jij ze specifiek aanmoedigt want dan val je buiten de wettelijke bescherming van tussenpersonen en platforms.

    Ik vind het loffelijk dat je zo’n harde stap durft te nemen, maar hopelijk kun je begrijpen dat ik als jurist er wérkelijk met de pet niet bij kan als je nu net deze juridische reden noemt in plaats van gewoon “wij weten niet wat onze widgets doen”. Dáár heb ik best sympathie voor want dat is een heel serieus probleem.

  28. Het is natuurlijk evident dat Fok! dit doet om advertentiebanners met tracking te kunnen blijven tonen, want daar verdienen ze geld mee. Daarom is die tekst zo grappig: het is een té makkelijke poging van Fok! om te camoufleren waarom ze dit echt doen.

  29. Hmmm, ik zie al een eerste verandering in de cookieacceptatietekst op cookierecht.nl

    @26 Ja inderdaad, recht op informatie. Allereerst sites van de overheid, de semi-overheid en van bijvoorbeeld de publieke omroep moeten gewoon mijn privacy respecteren en mogen zeker niet hun content blokkeren als ik hun privacy schendende tracking cookies afwijs.

    Hetzelfde zou ook moeten gelden voor gesubsidieerde content van bijvoorbeeld cultuursites, sportverenigingen en dergelijke.

    Verder zou het ook moeten gelden voor alle pagina’s met content die door de (semi)overheid kosteloos beschikbaar wordt gesteld. Dus als de telegraaf eist dat ze de tvgids gegevens van de publieke omroep mag gebruiken dan vind ik de tegeneis gerechtigd dat de telegraaf die gratis tv gidsinfo van de publieke omroep moeten aanbieden op een plek waar ik niet mijn privacy voor op hoef te geven en ik dus cookies kan weigeren en toch die content kan zien.

    En ik wil zelfs nog wel een stapje verder gaan. Veel websites willen zich graag beroepen op journalistieke bronbescherming. Die bronbescherming wordt ze in feite gegeven omdat ze vanuit een journalistieke functie een belangrijke publieke functie vervullen. Als je lezers altijd verplicht om hun privacy gevoelige info aan adverteerder te geven, omdat ze anders niet op de site mogen, hoef je je van mij ook niet meer op die publieke functie te beroepen en zou je best mogen je fluiten naar je bronbescherming.

  30. @hAl

    Als de overheid advertentiecookies gebruikt, ben ik wel met je eens dat dat niet zou moeten (devil’s advocate: dat betekent wel een hogere belasting, als de overheidsdienst daardoor minder kostendekkend is). Analyticscookies hebben echter ook voor de webbeheerders van overheidssites een nuttige functie. Je andere voorbeelden vind ik steeds wat verder afdwalen. Ik zou mij kunnen voorstellen dat de overheid bij het afgeven van subsidies bepaalde eisen stelt hieromtrent, maar om dat achteraf te doen neigt naar mijn mening naar onbehoorlijk bestuur.

    De Telegraaf is echter een commerciële instelling, en die hele zaak met die TV-gids is juist dat ze een recht hebben op die informatie. Als ze daar een recht op hebben, en ook een recht om dat te verspreiden, mogen ze lijkt me vervolgens zelf weten hoe ze dat doen. Dat bronbeschermingverhaal vind ik helemaal gevaarlijk worden. Als je je bronbescherming verliest omdat je geen publieke functie meer verricht zet dat de deur open voor de regering om op andere gronden te claimen dat een organisatie geen valide publieke functie heeft (wie weet? opruiing? je hoeft de krant er maar op na te slaan om legio argumenten in Syrië en omstreken te vinden).

    En je hebt natuurlijk uiteindelijk op privé-sites geen recht op informatie. Dat is een dienst, en die komt met voorwaarden. Als je de dienst niet acceptabel vindt, ben je vrij naar een andere aanbieder te gaan of het zonder de dienst te stellen. Ik stel het wat cru, en ik wil ook niet zeggen dat privacy niets waard is, maar ik denk dat als privacyvoorvechter dit niet de slag is die je wil aangaan, want wederom, er kijkt bij Google echt niemand mee wat Jan de Jong allemaal uitspookt, dat zijn allemaal algoritmes.

  31. @30 Het is prima dat die content providers geld willen verdienen en ook dat ze zo veel mogelijk geld willen verdienen. Maar wees dan eerlijk over de manier waarop je dat doet.

    Om deze gratis dienst mogelijk te maken verzamelen wij zo veel mogelijk informatie over u zodat we een zeer uitgebreid profiel over u kunnen opstellen. Hiervoor controleren wij uw surf- en koopgedrag op internet en slaan dit op. Hierdoor kunnen wij gerichte advertenties aan u tonen en in de toekomst deze gegevens nog verder gebruiken voor nieuwe diensten of producten. Ook kunnen wij deze gegevens verkopen aan derden indien wij dit nodig achten.

    In de toekomst kan het dus gebeuren dat jouw zorgverzekering je afwijst voor een verzekering omdat uit je profiel blijkt dat je vaak naar snowboard stunts zoekt…

    Deze wet verbied dit helemaal niet dus sites mogen hier gewoon mee doorgaan maar dan alleen met toestemming van de gebruiker. De enige reden dat veel webmasters tegen zijn is dat ze snappen dat de meeste gebuikers tegen de cookies zullen stemmen.

    Fok! is wat mij betreft de enige site die het op de goede manier doet (hoewel tekst misschien anders kan) en verdiend daarom alleen maar lof.

  32. @Ralf Het argument dat er echt niemand bij Google* kijkt wat Jan doet is een non-argument. Dat is niet het issue. Het zal mij worst wezen als iemand in Mountain View ziet wat ik heb gedaan. Ik ken die persoon niet en hij kent mij niet. In de miljarden profielen is de kans klein dat ie mij gaat opzoeken.

    Het grote probleem is wat ze met deze data gaan doen. Als ze weten dat ik al een paar dagen heb gekeken naar bezichtigingen in Londen, misschien zelfs weten dat ik al een hotel heb geboekt en ik wil een vliegticket boeken dan is het een koud kunstje om mij een hogere prijs te laten betalen. Immers mijn koopbereidheid is groter dan iemand die dat niet heeft gedaan (en die misschien ook wel naar Parijs wil, of gewoon met de auto gaat).

    En dan hoef ik het helemaal niet te hebben over gevallen waarbij dit soort data in verkeerde handen valt van voor mij vijandige regimes. En de illusie dat Google alles wel goed beveiligd zal hebben is natuurlijk onzin. Zie hiervoor ook de hack van LinkedIn vandaag.

    *Voor Google kan je elk willekeurig bedrijf noemen dat zich met dit soort dingen bezig houdt.

  33. LinkedIn is gehacked!… Okay, da’s een ander onderwerp voor Arnoud, maar het raakt deze discussie natuurlijk wel. Want het gaat om privacy en ook een site als LinkedIn handelt in gevoelige informatie. Informatie die voor collega’s maar ook recruteerders handig kan zijn. Voor veel werknemers is het interessant om een LinkedIn account aan te maken met daarin al je persoonlijke informatie, die je zeer waarschijnlijk wel beperkt deelt met b.v. alleen je vrienden of collega’s… Door cookies te blokkeren worden dit soort problemen niet echt opgelost omdat veel mensen uit zichzelf wel gevoelige informatie delen met websites die daar speciaal voor gemaakt zijn. En sites zoals Facebook en LinkedIn kunnen behoorlijk veel persoonlijke informatie verzamelen. Doordat diverse profiel-sites ook nog eens aan elkaar gekoppeld kunnen worden ontstaat zo een enorm netwerk aan persoonlijke informatie die een behoorlijke waarde heeft, maar alleen niet echt in geld is uit te drukken.

    De nieuwe wet is gewoon waardeloos omdat het mensen “beschermd” die niet online gevolgd willen worden. De realiteit is gewoon dat 9 van de 10 mensen gewoon wel gevolgd willen worden. Nee, niet door adverteerders maar ze laten wel enorme sporen achter voor vrienden, familie en collega’s zonder te beseffen dat deze vrijwillig gedeelde informatie eigenlijk nog schadelijker kan zijn dan de verboden cookies.

    En ik denk ook dat veel websites dit beseffen. De cookiewet is eigenlijk een wassen neus want indien je gebruikers gewoon dwingt om toch cookies te accepteren, zoals Fok doet, dan is er feitelijk niets veranderd.

    En wat Fok doet is meer een vorm van protest in mijn ogen. Wie niet accoord gaat dat er cookies worden gebruikt om bezoekers te volgen, die moet dan maar naar een andere site toegaan. En als alle andere websites dezelfde strategie volgen en bezoekers weren die geen cookies accepteren dan is de cookiewet een complete mislukking. Waarom? Omdat je dan nergens meer heen kunt op het Internet.

    Met dit besef en het idee op de achtergrond dat er veel grotere gevaren zijn lijkt dit mij tot nog toe een onzinwet die -terecht- door velen wordt genegeerd…

  34. Er staat een heel nadrukkelijk ‘bijvoorbeeld’ in de tekst die je aanhaalt. Misschien had je die over het hoofd gezien? Ik heb de tekst nu overigens aangepast. Elders op de site wordt erg uitgebreid ingegaan op andere redenen trouwens. Het is niet onze bedoeling mensen onvolledig te informeren, maar er moet wel een balans zijn tussen relevantie en de lengte van het te lezen document. Als dat té lang wordt zal ook niemand het meer lezen. Zowel in bewoording als uitvoering zijn we erg open. We hadden de tekst ook als ‘disclaimer’ in een tekstarea van 4 regels hoog kunnen zetten in quasi-juridisch jargon. De ‘ok’ knop zou dan waarschijnlijk sneller gevonden worden. We hebben echter gekozen voor de meest sympathieke versie richting gebruiker. En natuurlijk is het tevens een vorm van protest tegen deze wet, maar als je er echt aan wil voldoen is dit voor een site als FOK! de enige manier. Zelfs als banners onnodig zouden zijn om ons te bedruipen.

  35. Ik kan dat met de beste wil van de wereld niet ‘nadrukkelijk’ noemen. Misschien had je een extra voorbeeld kunnen noemen dat wél direct aanspreekt?

    -edit- Overigens jammer dat je niet ingaat op mijn uitgebreide argumentatie. Zie je écht niet een verschil tussen UCG cookies en cookies die jij als site zelf doet plaatsen?

  36. Zie m’n edit. De tekst is aangepast. Gooi het ‘acceptallcookies’ cookie weg en je kunt ‘m opnieuw inzien. Nogmaals, het is niet zo dat we mensen willen misleiden. Er staan erg relevante en subjectieve linkjes over cookies in de tekst (wikipedia, consumentenbond) en we leggen prima uit wat tracking cookies doen volgens mij. Ik blijf het jammer vinden dat je dit op zo’n neerbuigend toontje meende te moeten doen. Zeker nadat je gisteren op radio 1 toch een andere toon aansloeg. Maar goed, je bent actief op t.net en die kijken altijd al neer op ons miezerige FOK!kertjes natuurlijk 🙂

  37. Natuurlijk is dat verschil er wel, maar het is natuurlijk zot dat ik voor één zelf neergezette like-knop een dikke boete kan krijgen terwijl ik users de mogelijk zou kunnen geven zelf de like code te embedden. Dan zouden er 300 like buttons op een pagina staan, maar zou er niets aan het handje zijn.

    Of die bescherming in het artikel dat je noemt boven deze wet gaat zal volgens mij echter nog moeten blijken in de rechtzaal en dat hangt maar helemaal af van welke rechter je krijgt en of die een beetje verstand van zaken heeft.

  38. @24: Ik verwacht dat deze wet op twee manieren flink misbruikt gaat worden door de overheid. Ten eerste om rijke sites aan te klagen en daar flink aan te verdienen, net zoals ze dat met veel flitspalen doen. Ten tweede om lastige sites de mond te snoeren. Schrijf een critisch blog en de opta komt langs. Vergelijkbaar met de wapenwet, deelname aan criminele organisaties is vaak lastig hard te maken, vuurwapenbezit is simpel.

  39. Hee, dat is positief 🙂 Ik zal de blog even aanpassen hierop. En houd het er maar op dat ik tegen iederéén cynisch doe. Uitvloeisel van elke dag een juridische mening erop na houden. Als je wilt, schrijf ik gratis ’t cookiestatement voor jullie.

    Als jij users een directe optie geeft om een like-knopje te embedden, val je buiten je beschermingsregime. Maar gaan mensen zelf iframes in hun posts smijten, dan is dat écht niet jouw verantwoordelijkheid. Ik* vrijwaar bij deze Fok! van alle aansprakelijkheid voor bestuurlijke boetes opgelegd vanwege cookies door gebruikers die zonder bemoeienis of uitlokking van Fok! of haar bestuurders zijn geplaatst. Want -je eerdere opmerking indachtig- ik denk namelijk zelf dat ik wél weet hoe de cookiewet in elkaar zit.

    • Mijn BV dan want ik ben niet helemáál gek.

    @Patrick: Sorry daar geloof ik dan weer geen ene bal van. Al is het maar omdat de OPTA als zelfstandig bestuursorgaan zélf beslist waar ze handhaaft, én je via de rechter hun boetes kunt aanvechten. De minister kan op z’n hoofd gaan staan maar hij beslist niet wie wordt beboet door de toezichthouder.

  40. Ik heb een praktische vraag. Op het weblog van mijn bedrijf gebruiken we met een zekere regelmaat filmpjes van YouTube, die we embedden in de blogpost. Ik heb nu gezien dat YouTube een cookie plaatst, als de bezoeker een url bezoekt waarop een filmpje staat (bijvoorbeeld: http://www.lumaxproducties.nl/blog/byom-bring-your-own-motivation) en een of meer cookies als de bezoeker het filmpje gaat bekijken.

    Natuurlijk zou ik het filmpje ook kunnen aanbieden met een link. Klikt een bezoeker op die link, dan krijgen ze niet alleen een cookie van YouTube maar de hele site ;). Maar ja, ze maken dan wel zelf de keuze om het filmpje te gaan bekijken. Aan de andere kant, het filmpje embedden vergroot het gemak voor de bezoeker, omdat ze het filmpje kunnen bekijken in combinatie met de content die wij daarover gemaakt hebben (bij bovengenoemd voorbeeld een uitgebreide samenvatting van het boek Drive). Ik zou zeggen: dat heeft direct nut voor de bezoeker. De hamvraag is: ziet de OPTA dat ook zo? Oftewel, moet ik mijn bezoekers om toestemming vragen voor YouTube cookies of niet?

  41. Voor de Youtube cookies moet er toestemming zijn, behalve als het gaat om cookies die alléén strikt een nut voor de gebruiker opleveren. Dat zal niet (snel) het geval zijn bij de Youtubecookies.

    De OPTA steekt het simpel in:

    Dat zij niet zelf de advertenties op hun website plaatsen doch dit uitbesteden aan adverteerders al dan niet via advertentienetwerken doet daar niet aan af, immers de gebruiker bezoekt de website van de website eigenaar en niet de website(s) van de adverteerder(s).

  42. @N.P.

    In de eerste plaats ben ik het met je eens dat de koninklijke weg is om aan te geven dat je cookies verzamelt en wat je ermee doet. De bestaande wetgeving vereiste dit al voor zover het persoonsgegevens betrof, maar dat lijkt ook je grootste zorg te zijn dus in zoverre was de bestaande wetgeving hiervoor voldoende. Ik zie dan ook niet hoe extra wetgeving hiervoor noodzakelijk is.

    De disclaimer die je als voorbeeld gebruikt stelt naar mijn smaak een stroman op: in de eerste plaats zijn de websitebeheerders zelf niet degenen die het profiel opslaan, en in de tweede plaats zijn de meeste websitebeheerders helemaal niet geïnteresseerd in jouw profiel, maar alleen in meer geld verkrijgen per bannervertoning en wat leuke sitestatistiekjes. Deze goedwillende groep mensen wordt nu gedupeerd door een vrij draconische wet die is er is gekomen onder druk van een spook dat we allemaal maar door iedereen online gestalkt worden.

    Het is ook niet zo dat Google deze profielen — en ik bedoel hier wel specifiek Google, want bij LinkedIn en dergelijke geef je zelf je informatie op en als je niet wil dat je verzekeraar weet dat je aan extreme sporten doet moet je het misschien niet voor iedereen zichtbaar op Facebook zetten — aan websitebeheerders geeft, ze worden realtime gebruikt om advertenties te tonen.

    Ten slotte, ik respecteer dat je vindt dat dit een aantasting van je privacy is. Dat is ieders goed recht. Maar er zijn al legio bestaande technische mogelijkheden, zoals browserinstellingen, private browsing etcetera, om je hiervan te vrijwaren. Dat is mijn grootste bezwaar tegen deze wet. Het lost geen probleem op waar niet al een goede technische oplossing voor was.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.