Werkelijk niemand heeft trek in de cookiewet

| AE 3037 | Ondernemingsvrijheid, Privacy | 128 reacties

Er viel niet aan te ontkomen gisteren: de cookiewet is van kracht. Vanaf gisteren is het verboden cookies te plaatsen zonder toestemming (behalve voor “functionele cookies”, maar dat is hooguit 1% van de cookies). En prompt gaat iedereen als kip zonder kop rondrennen alsof ze niet al twee jaar hadden kunnen weten dat dit eraan zat te komen en ze nú acuut failliet gaan omdat het fundamenteel onmogelijk is om aan die wet te voldoen.

Maar toegegeven, het ís ook een rare wet. Het idee is leuk (bescherming tegen nare spionagebestandjes en meer algemeen het “wat moet dat op mijn pc”-gevoel), maar een uitwerking die gebaseerd is op het idee dat de gemiddelde internetter een zorgvuldige studie maakt van een cookieverklaring en daarna een weloverwogen beslissing maakt om al dan niet het cookie te accepteren, is gedoemd te falen. Op internet geldt: leg mensen een vraag voor in een popup en ze klikken “ja”. Oh sorry, ben ik nu weer te cynisch?

Weinig sites – tot en met de overheid zelf aan toe – lijken daadwerkelijk van plan iets te gaan doen met de cookiewet. Bij Opta.nl krijg je cookies zonder dat daarom gevraagd is, Rijksoverheid.nl idem, en ook de commerciële jongens en meisjes zetten gewoon vrolijk cookies alsof het niets kost. De enige opmerkelijke uitspringer was Fok!.nl, dat je een buitengewoon lompe tussenpagina geef en eist dat je toestemming voor hun cookies geeft.

Om de reden (update inmiddels aangepast, zie ook de reactie van Fok!-directeur Roodbol in de comments) moest ik erg hard lachen:

De reden dat FOK.nl alleen bezocht kan worden als je aangeeft alle cookies te accepteren, is dat het voor ons onmogelijk is te garanderen dat er geen cookies geplaatst worden. Onze bezoekers kunnen bijvoorbeeld zelf reacties plaatsen waarin plaatjes opgenomen kunnen zijn. Zelfs via die plaatjes kunnen er cookies op jouw computer terechtkomen.

Van alle redenen waarom je mensen zou willen weren die geen cookies accepteren, is dit zo ongeveer de enige die gewoon écht nergens op slaat. Ten eerste: Fok! is niet aansprakelijk voor zulke cookies, omdat zij geen kennis daarvan heeft of hoeft te hebben. Net zoals ze niet auteursrechtelijk aansprakelijk is voor de plaatjes zelf.

Ten tweede: het is juridisch volstrekt onmogelijk om toestemming te geven voor “alle cookies”, zeker als je daar ook cookies onder rekent die mogelijk gezet gaan worden door vage plaatjeshostingsites die je bezoekers uitzoeken. Toestemming moet namelijk specifiek zijn, en “ik wil alles” is niet specifiek.

Ik ben eerlijk gezegd vooral benieuwd hoe lang ze het volhouden – en of andere sites ze gaan volgen. Want ergens zie ik het nog wel werken bij een communitysite (behalve dan bij nieuwe leden), maar bij een nieuwssite is het commerciële zelfmoord. Vandaar dat Telegraaf.nl niet verder gaat dan een banner aan de bovenkant van de site, overigens met een impliciete toestemming die volgens mij niet geldig is in Nederland. En Nu.nl heeft alleen een opt-outmelding in haar privacy- en cookiebeleid (“Je hebt op dit moment één actief cookie, klik op opt-out om jouw keuze te wijzigen.”).

En de oplettend klikkende lezer is het wellicht al opgevallen: ja, we hebben een nieuwe site – Cookierecht.nl. Met zo ongeveer alles dat we de afgelopen tijd hebben geschreven over cookies, en heel wat meer ook.

Arnoud Arnoud

Deel dit artikel

  1. @Arnoud Ik neem graag je aanbod mbt het cookiestatement van je aan 🙂 En met ‘niet weten hoe de wet in elkaar zit’ bedoelde ik meer dat ook jij voor een groot deel in het duister moet tasten over hoe een rechter diverse factoren zal meewegen en hoe de implementatie nu precies moet. We vertellen in principe precies welk soort cookies we gebruiken en wat ze doen. Melden welke specifieke bedrijven allemaal cookies zetten is feitelijk onmogelijk. We werken met diverse adverteerders die vaak weer uitbesteden aan andere adverteerders. De bedrijven die daar bannerruimte inkopen kunnen in hun flashbanners en html-banners óók weer cookies verwerken. Er is geen enkele manier om dat 100% inzichtelijk te krijgen. Laat staan waar elk specifiek cookie voor gebruikt wordt. Anyway, bedtijd 🙂

  2. Overigens zijn onze crewleden en ikzelf ook gewoon users die afbeeldingen en video’s in reacties plaatsen. Met 300+ man vrijwillige crew kunnen we die onmogelijk allemaal verbieden om afbeeldingen en video’s in berichten te plaatsen. Tellen zij (en ikzelf) dan ook als UGC als het om reacties gaat? Want zo nee gaat het punt dat eerder in het stuk stond wel degelijk op natuurlijk.

  3. Je crew zit in een grijs gebied wat UGC betreft. Als het een vrije ruimte is (column, reactie die toevallig door crewlid geplaatst is) dan is Fok! denk ik niet aansprakelijk voor wat zij zeggen of doen. Natuurlijk zijn ze dat zélf wel, dus als jij cookies gaat plaatsen of auteursrechten gaat schenden ga jij de claim krijgen als privépersoon.

    Een crewlid dat werkt in zijn rol als crew genereert geen UGC maar Fok!-content en daarmee is Fok! aansprakelijk voor die inhoud. En of dat dus een cookie is, een copyrightschending of smaad maakt niet uit.

    Je hebt twee routes voor schadevergoeding: allereerst naar je concurrenten toe omdat die de wet schenden en jou schade bezorgen, en daarnaast naar de overheid toe voor een onrechtmatige wetsimplementatie. Die laatste is lastig want zó illegaal is de cookiewet niet. Men koos de strengste optie zo ongeveer maar dat mag van Europa. Maar je hebt op zich een kans(je) als je nu Tweakers.net aan gaat klagen omdat die onrechtmatig voordeel trekken uit de schending van de cookiewet.

  4. Nou ja, hoe aantrekkelijk het verkrijgen van poen van enkele honderden concurrerende sites ook klinkt is dat niet direct de route die nu al voor de hand ligt. Maar het is fijn om te weten dat er wat dat betreft in ieder geval mogelijkheden liggen. Gaat mij niet om het innen van cash, maar om een ‘level playingfield’. Wij moeten onze users afschrikken en dan zou het niet meer dan fair zijn als iedereen dat zou doen. Webwereld kondigde dinsdag aan dat ze vanaf woensdag een opt-in zouden hebben, maar sindsdien is het daar ook volledig stil. Persoonlijk vind ik ’t vooral vreemd dat gerenommeerde sites dit gewoon negeren. En dan niet alleen de opt-in, maar ook de informatieplicht. Als ik inderdaad een t.net als voorbeeld neem dan had ik daar persoonlijk echt veel meer van verwacht. En gezien de reacties onder hun bericht van dinsdagmiddag veel van hun gebruikers met mij.

  5. | Persoonlijk vind ik ???t vooral vreemd dat gerenommeerde sites dit gewoon negeren.

    dit vind je vreemd? Ik zou het zelf vreemd vinden als iedere grote site in nederland gisteren een verandering had ingevoerd om zich aan de cookie wet te houden.

    Iedereen gaat eerst gewoon eens lekker rustig de kat uit de boom kijken om te zien wat er gaat gebeuren met handhaving en de wet zelf. Mogelijk met wat minimale inspanning om een half gaar argument te hebben dat ze zich aan de wet houden.

    Boete kost geld, maar die wijzigingen doorvoeren kost ook geld. Dat laatste is zeker, dat eerste moet eerst nog gebeuren voordat we een zich hebben op hoe dat in de praktijk er uit gaat zien. Dus het is gewoon logisch om nog even de hand op de knip te houden en dat risico op een boete te nemen om te kijken wat de opta gaat doen.

    Want wie weet, misschien gaat de opta eerst wel achter een andere speler aan die daarna een procedure er over begint waardoor uiteindelijk de wet aangepast word. Had je die wijzigingen toch voor niets doorgevoerd en mag je nog een keer geld gaan uitgeven aan een aanpassing op de veranderingen.

    Roepen dat dat niet eerlijk is is in mijn opinie gewoon een beetje dom. Had je maar niet beste jongetje van de klas willen zijn en je meteen in bochten te wringen om je aan de regels te houden. Win je niks mee.

  6. Dat de cookiewet er zou komen was al héél lang bekend. Dat je daar niets mee hebt gedaan wil niet zeggen dat het ok is je niet aan de wet te houden natuurlijk, hoe achterlijk die wet ook moge zijn. Dat je je niet aan de wet houdt als je alleen jezelf ermee hebt, soit, maar dit gaat om het informeren van je users. Als dat verplicht is heeft de user daar recht op en het is natuurlijk niet heel netjes naar je users toe om ze hun rechten te ontnemen. Nog schandaliger vind ik het trouwens dat de politieke partijen en overheidssites zich nog niet aan hun eigen wet houden. Ik vraag me ook af of de EU het gaat accepteren dat de wet er nu dan wel ‘op tijd’ doorheen is gedrukt door Nederland, maar ze ‘m vooralsnog niet handhaven.

  7. @ Elroy

    “Hoe zit het dan met mijn website. Die gebruikt een cookie om een login bij te houden (als je login gegevenens onthouden aanvinkt)zodat je niet iedere keer hoeft in te loggen. Verder gebruikt hij geen enkele andere cookie, maar worden de settings in een MySQL database opgeslagen.

    Ik moet nu dus alle gebruikers toestemming gaan vragen om cookies te zetten? Dat is toch complete onzin? De cookie is noodzakelijk voor de functionaliteit die de gebruiker wenst te gebruiken (login op zijn PC onthouden)”

    Je hebt misschien gemist dat het toestemming vragen niet nodig is voor direct functionele cookies, zoals session cookies en winkelwagen cookies. Dus jouw login cookie is geen probleem (dat is een session cookie).

    Zie bijvoorbeeld ook de discussie in dit eerdere blog: http://blog.iusmentis.com/2012/05/25/mag-google-analytics-nog-onder-de-cookiewet/

  8. want overheid staat er om bekend altijd up-to-date te zijn met de laatste ontwikkelingen rondom internet. Ze staan er zeker niet om bekend om internet websites bij de goedkoopste aanbieder af te nemen en daarna overbudget en overtijd een wanproduct online te zetten. Oh kijk, http://www.crisis.nl/ is af, duurde maar 7 jaar sinds de eerdere incarnatie een wanproduct bleek.

    niet om het een of het ander, maar ik zie niet in hoe het schandalig is. Wetten en regels en afspraken zijn leuk, maar we moeten ook gewoon realistisch zijn. Ik heb zelf liever dat overheid en gemeenten zich richten op hun kerntaken dat dat er hals over kop opeens aan hun website gesleuteld moet worden omdat een nieuw wetje is dat ongetwijfeld binnen nu en 6 maanden weer aangepast gaat worden.

    en het ‘think of the child… users’ argument, want gut wat zou het een ramp zijn als die niet meteen geïnformeerd zouden worden over cookies en wat voor afschuwelijke dingen er allemaal mee gedaan worden. Een maandje meer of minder maakt simpelweg geen zak uit, handhaving is in handen van de opta en die hebben ongetwijfeld een prachtig formulier waar jij of ieder ander de snode websites die zich nog niet aan de regels houden kunt aanmelden voor de opta.

    Je niet aan de wet houden is een keuze. Als het geen keuze was hadden we ook geen consequenties nodig. Uiteraard, theoretisch zouden we ons allemaal onmiddellijk aan de wet moeten houden, ik ga er enig sinds vanuit dat dat wel in de wet staat 😉 Maar in de realiteit lijkt het mij niet waarschijnlijk dat de opta meteen met zware boetes gaat gooien. Waarschijnlijker lijkt het mij dat de opta een paar waarschuwingen gaat uitdelen die daarna mogelijk in boetes kunnen veranderen.

    Alzo, het is beter om om vergeving te vragen dan om toestemming, in dit geval.

    “maar ze ???m vooralsnog niet handhaven.” Het is 2 dagen geweest nu 😉 Bij een snelheidsverminderings-bord zal de flitspaal er ook niet direct achter staan.

  9. @Frankie | 6 juni 2012 @ 9:42

    Dat wordt dan snel de website naar het buitenland verplaatsen.
    Helpt niet, want richt je je op Nederland (qua taal, markt, doelgroep, onderwerpen etc.) dan val je toch onder Nederlands recht. Is jurisprudentie van en heeft Arnoud al vaak over geblogd.

    @hAl | 6 juni 2012 @ 10:51

    Deze wet maakt het overduidelijk dat je niet het internet meer kunt bezoeken zonder tracking van derden.
    Jawel hoor, dan stel je toch je browser zo af dat helemaal geen cookies meer worden geaccepteerd? Of je gooit ze zelf regelmatig weg. (Doe ik wel eens, maar daarna erger ik me kapot dat ik overal opnieuw moet inloggen.) Of je laat je browser alleen ‘session only’ cookies toestaan, waarbij je regelmatig de browser sluit en weer opnieuw start.

    Het kan allemaal, al jaren.

    Dat is een gevaarlijke inbreuk op de vrijheden van mensen om informatie tot zich te nemen. Dat fundamentele recht op informatie mag niet worden geblokkeerd doordat je daarvoor altijd verplicht bent om je privacy op te geven.
    Sorry, maar dit vind ik toch een verdraaide weergave van de feiten.
    Ik denk ook dat het hoog tijd wordt dat bijvoorbeeld Europa ???Do not Track??? wetgeving gaat invoeren die afdwingt dat de Do not track signalen van gebruikers worden gerespecteerd en dat bijvoorbeeld adverteerders en andere 3rd parties sowieso niet meer gebruikers mogen tracken die dat niet willen.
    Daar is deze wet ook voor bedoeld, denk ik, evenals de EU-richtlijn (welke eigenlijk, iemand het nummer bij de hand?) waar de wet een implementatie van is.
    De situatie is nu zo alsof je bij alle supermarkten alleen nog maar spullen kan kopen als je verplicht een stuk of 6 klantenkaarten hebt zodat de partijen achter die klantenkaarten allemaal kunnen bijhouden waar, wanneer, en hoe vaak je welke spullen koopt.
    Het staat je vrij die klantenkaarten meteen bij uitreiking, of bij de uitgang van de supermarkt, of eens per week of eens per jaar, wat je maar wilt, weg te gooien.

    @Jeroen Hellingman | 6 juni 2012 @ 11:21

    Dat ik na een bezoek aan een site voor vakantieparken nog twee weken extra advertenties voor diezelfde site op allerlei niet-gerelateerde sites kan vinden stoort mij niet zo.
    Mij ook niet. En bovendien: als gezegd: als je gewoon even alle cookies wist in de browser, is dat meteen weg. Ik heb het wel eens getest en het werkt echt.

    In plaats van Richtlijn en wet hadden ze beter geld kunnen besteden aan voorlichting aan het publiek, over hoe cookies werken en wat de mogelijkheden van browsers zijn. Maar ja, die info is er nu ook al, maar de meeste mensen lezen dat toch niet.

  10. @MikeN | 6 juni 2012 @ 11:59

    Alleen je Adsense zal je probleem zijn, maar dat moet Google maar gewoon oplossen. Het is tenslotte helemaal niet nodig voor hen om een cookie te plaatsen, ze moeten gewoon een advertentie laten zien.
    Vind ik ook. En ook zonder cookies kunnen ze dat gericht doen: gebaseerd op de tekst die op die pagina staat (de gebruiker was daar kennelijk in geïnteresseerd, waarom was die daar anders? Dus advertenties in diezelfde sfeer hebben ook betere kansen op belangstelling) en op bijvoorbeeld land (via IP-nummer): ik wil liever geen advertentie voor een fysieke winkel in Virginia, ik noem maar wat, terwijl ik in Nederland ben en niet van plan ben naar Amerika te gaan.

    @Jan | 6 juni 2012 @ 12:22

    Dat geeft een vals gevoel van veiligheid want elke buitenlandse site mag mij nog steeds tracken.
    1) Buiten-EU’se, binnenkort, want het schijnt te berusten op een EU-richtlijn, die dus alle lidstaten moeten implementeren. 2) Een buitenlandse site die zich kennelijk ook op Nederland richt, valt onder Nederlandse wetten en rechtspraak. Kunnen afdwingen is weer een tweede.

    @erik | 6 juni 2012 @ 13:45

    De vraag is nu eigenlijk wat de opta gaat doen. Een paar keer boetes uitdelen om daarna naar de minister te gaan om te vertellen dat niemand zich aan de wet houd dus dat de wet maar veranderd moet worden, of gelijk terug naar de minister gaan om te vragen of de wet veranderd kan worden.
    Goeie vraag. Overigens zijn in Nederland regering en parlement SAMEN wetgever, dus de Opta moet dan ook en vooral bij de Tweede Kamer zijn. En gezien de EU-richtlijn (welke?) ligt het nog beperkter.

    @hAl | 6 juni 2012 @ 13:57

    Het is belachelijk om te verlangen dat mensen een plugin moeten downloaden om hun recht op privacy te beschermen.
    Vergelijk: “Het is belachelijk om te verlangen dat mensen dure sloten op al hun deuren en ramen moeten zetten om te voorkomen dat dieven binnendringen.”

    @Ralf van den Broek | 6 juni 2012 @ 14:43

    Bedrijven zetten geen websites op uit de goedheid van hun hart, […]
    Ik wel! (;-)

  11. @Arnoud Engelfriet | 6 juni 2012 @ 16:40

    Andere context: stel een advertentie schendt auteursrechten door bv. een foto te gebriken zonder toestemming, dan is Fok! daarvoor aansprakelijk. Zij kan het verhalen op de adverteerder, maar de claim niet pareren met ???dit is niet onze advertentie???.
    Interessante vergelijking. Als Adsense-gebruiker heb ik zelf geen sturing over welke advertenties Google toont op MIJN site. Ik kan wel gericht bepaalde advertenties blokkeren, maar pas als ik weet welke precies.

    Geheel vergelijkbaar, m.i., met een discussiesite die reacties van gebruikers toestaat, of een upload-deel-site met foto’s e.d.

    Toch vreemd dat de aansprakelijkheid dan heel anders geregeld is, d.w.z. meteen verantwoordelijk en geen notice-and-takedown?

    Moet ik nu constant alle Adsense-advertenties op mijn site (ca. 1400 pagina’s!) gaan monitoren? Dat kan niet eens, want overal ter wereld worden andere getoond. Dat wordt dus een duizendkoppig wereldwijd monitoringteam inhuren. Beetje duur.

    Zie je werkelijk géén verschil tussen user-contributed content en een widget of banner die Fok! zelf opneemt?

    Wel als de websitebeheerder zelf de onderhandeling en facturering enz. met de adverteerder doet. Maar niet als het via een tussenpersoon loopt, zoals Google Adsense. Maar ook in het eerste geval, zoals Fok!-baas Danny Roodbol, verderop aangaf, door ruimtehuurders met eigen invulling en subcontracting, in de praktijk onuitvoerbaar.

  12. @Wim ten Brink | 6 juni 2012 @ 19:46

    LinkedIn is gehacked!??? Okay, da???s een ander onderwerp voor Arnoud, maar het raakt deze discussie natuurlijk wel. Want het gaat om privacy en ook een site als LinkedIn handelt in gevoelige informatie.
    Voor de goede orde: er zijn geen wachtwoorden gestolen, maar alleen hashes van wachtwoorden. Met heel veel rekenkracht zouden daar in principe wachtwoorden van af te leiden zijn, en dan nog alleen bij zwakke wachtwoorden, namelijk korte en die met namen of woordenboekwoorden erin.

    Dus voor de zekerheid even wachtwoord veranderen (weer een heel sterk wachtwoord, uiteraard!), verder niets aan de hand.

  13. @Patrick | 6 juni 2012 @ 20:56

    Ten tweede om lastige sites de mond te snoeren. Schrijf een critisch blog en de opta komt langs.
    Paranoia-alarm. Ik ben zelf erkend (ex-)complotgelovige, maar hier geloof ik dus echt niet in. Ik schrijf al jaren kritisch over zo ongeveer de hele wereld (nog niet over Arnoud, maar dat komt nog wel, haha) en mij is NOG NOOIT door wie dan ook een strobreed in de weg gelegd. Zolang je niet opzichtig de wet gaat zitten overtreden (zoals bijvoorbeeld Micha Kat wel deed en doet) is er echt niks aan de hand in Nederland.

  14. @Karin Tempelaar | 6 juni 2012 @ 22:04

    Aan de andere kant, het filmpje embedden vergroot het gemak voor de bezoeker, […]
    Zucht. Dus die fraaie geëmbedde Siteviewplaatjes in mijn stukje http://rudhar.com/toerisme/lmrkstyn/nl.htm mogen ook niet meer zonder toestemming? Want Google Maps zal ook wel weer tig cookies plaatsen, ook al vind IK dat helemaal niet nodig.

    Dit vind ik echt een aantasting van mijn artistieke vrijheid als stukjesschrijver, als dit niet meer mag.

    Dan maar screenshots, zoals ik deed in http://rudhar.com/toerisme/alcercth/en.htm . Maar daarmee schend ik misschien weer het Auteursrecht van Google of hun kaartenleverancier, tenzij een beroep op het citaatrecht steekhoudt. Bij een recensie zoals dat in wezen was wel.

    @Ralf van den Broek | 6 juni 2012 @ 22:17

    […] en in de tweede plaats zijn de meeste websitebeheerders helemaal niet geïnteresseerd in jouw profiel, maar alleen in meer geld verkrijgen per bannervertoning en wat leuke sitestatistiekjes.
    Precies, zo is het maar net.

  15. @Ruud: Het is prettig dat de gebruiker er van alles aan kan doen om niet getracked te worden door plugins te downloaden, cookies weg te gooien, etc. Maar dat is hetzelfde als dat ik een camera voor je huis zet en je vertel dat je toch echt de gordijnen dicht kan doen en een zak op je hoofd als je naar buiten gaat.

    Je wordt helemaal niet aangetast in je artistieke vrijheid (beetje een stretch) want je mag nog steeds allerlei diensten gebruiken die cookies plaatsen en je mag ook een heel kunstwerk van cookies maken als je wilt. Je moet alleen toestemming vragen aan je gebruikers.

    Het is toch gek dat iedereen die tegen is, dat voornamelijk lijkt te zijn omdat ze bang zijn dat hun gebruikers wel eens nee zouden kunnen zeggen. Als je het prima vindt om geld te verdienen door de privacy van je bezoekers aan te tasten, wees dan ook zo eerlijk om dat gewoon aan ze te melden.

    Oh, en het ís ook belachelijk dat je dure sloten op je ramen en deuren moet zetten omdat er anders iemand je spullen steelt. Op het moment dat je dat als normaal (en wenselijk) gaat zien, zijn we in mijn optiek al te ver heen als maatschappij…..

  16. Ik ben niet tegen omdat het blokkeren van cookies mij inkomsten zou schelen, ik ben tegen omdat de wetgeving gebaseerd is op een totaal onbegrip van de onderliggende technologie, en bijna geschreven lijkt vanuit een soort van gecultiveerde onkunde: “ik begrijp niets van IT, ik wil het niet begrijpen, het kan me niets schelen maar ze moeten wel stoppen met het plaatsen van cookies zonder mijn toestemming.” Hetzelfde type parlementariërs dat ook een verbod op dihydromonoxide zou afkondigen als je ze genoeg toesteekt… Ze maken zichzelf gewoon onsterfelijk belachelijk.

  17. @N.P.

    “Maar dat is hetzelfde als dat ik een camera voor je huis zet en je vertel dat je toch echt de gordijnen dicht kan doen en een zak op je hoofd als je naar buiten gaat.”

    Nee, want een website is geen publieke ruimte. Dit is meer iets als een camera zetten in je bedrijfspand: als je niet gevolgd wil worden, staat het je vrij naar de concurrent te gaan. En eigenlijk is het niet eens dat — het is als een bonuskaart waar je zelf je adresgegevens op gezet hebt, die de winkel dan gebruikt om je aankopen te tracken. Wil je dat niet, neem je die kaart toch lekker anoniem (i.e., zet je je cookies uit)

  18. @Jeroen Ik ben het helmaal met je eens dat het een monsterlijke wet is maar ik denk dat het valt of staat met de handhaving ervan. Ik vraag me wel af of er een betere wet te bedenken zou zijn. Als je het alleen over het gebruik van de gegevens hebt (iets wat je volgens mij hierboven schreef) dan is de bewijslast veel te lastig en wordt er al snel naar andere partijen gewezen. Immers de webmaster bewaart deze gegevens niet, dat doet Google, en omdat die in de USA zit wordt het voor de OPTA wel heel erg lastig om daar iets mee te doen. Dus moet je het wel bij de bron aanpakken.

    @Ralf Het ging mij er om dat er telkens wordt gezegd dat je er zelf iets tegen kan doen maar dat geldt voor alles. Ik zal mijn voorbeeld wat verfijnen. In de winkelstraat hangen camera’s met automatische gezichtsherkenning. Deze camera’s zijn verdekt opgesteld en alleen techneuten kunnen de camera’s met moeite herkennen. Deze camera’s nemen iedereen op en ook in de winkels zelf hangen deze camera’s. Alles wordt centraal opgeslagen.

    Ook hier kan je iets tegen doen, je hoeft niet naar deze winkelstraat (lastige is dat het in vrijwel elke winkelstraat is). Je kan een masker op doen, een papieren zak op je hoofd of een Burka op…

    Het probleem met deze cookies is dat het onzichtbaar gebeurt. Natuurlijk een techneut kan de headers gaan bekijken of met addons kijken welke cookies precies gezet zijn maar dat is geen werkbare situatie. Het enige dat deze wet nu stelt is dat je het moet melden aan je gebruiker en dat deze toestemming moet geven. Het verbied het gebruik van deze cookies niet maar eist alleen transparantie.

    Bij de bonuskaart kan iedereen zelf kiezen of en wanneer je deze gebruikt want de kassa mevrouw/meneer vraagt zelf om deze kaart. Dus wederom opt-in en transparant.

    De variant waar de UK voor gekozen heeft zou mijn voorkeur verdienen maar ook daar zal je zien dat de industrie van alles zal bedenken om die melding zo klein en onopvallend te maken.

  19. Je wordt helemaal niet aangetast in je artistieke vrijheid (beetje een stretch) want je mag nog steeds allerlei diensten gebruiken die cookies plaatsen en je mag ook een heel kunstwerk van cookies maken als je wilt. Je moet alleen toestemming vragen aan je gebruikers.

    Ja maar, ik heb een heel simpele html-only site, ik spreek vrijwel geen javascript o.i.d., dus voor dat toestemming vragen moet ik eerst een zelfstudie webprogrammeren gaan doen. Kan ik best leren (ben C-programmeer geweest), maar het kost tijd, ik heb er helemaal geen zin in, ik heb er geen belang bij en ik heb belangrijker dingen te doen. Ook hoeven die cookies voor mij helemaal niet, maar anderen waarvan ik de gratis diensten gebruik, die zetten ze, misschien (want ik weet het niet eens, zou ik moeten onderzoeken en ook dat kost tijd).

  20. Het is toch gek dat iedereen die tegen is, dat voornamelijk lijkt te zijn omdat ze bang zijn dat hun gebruikers wel eens nee zouden kunnen zeggen. Als je het prima vindt om geld te verdienen door de privacy van je bezoekers aan te tasten, wees dan ook zo eerlijk om dat gewoon aan ze te melden.

    Ik verdien alleen geld met Adsense (heueueul weinig maar overigens, maar het gaat om het principe). Google zet daar duidelijk bij dat het advertenties door Google zijn, dus iedereen die een beetje nadenkt zal begrijpen dat zowel Google als ik dat niet voor de lol doen.

    Tracking cookies hoeft daarbij voor mij niet, maar als Adsense dat meent te moeten doen, kan ik dat niet helpen. (Misschien is er een optie om dat uit te zetten? Ik heb niet eens tijd om dat uit te zoeken. En waarom dan wel tijd om hier te discussiëren? Tja, story of my life.)

  21. Er zijn nu al genoeg scripts te downloaden (zie wat ictrecht.nl gebruikt) die dit voor je doen dus je hoeft daar echt niet heel veel kennis voor te hebben. Het is natuurlijk wel zo dat jij besluit webmaster te worden en advertenties te plaatsen. Ik moet ook mijn auto APK laten keuren terwijl ik daar ook echt geen tijd voor heb…

    De hoop van de EU is misschien dan ook wel dat Google en consorten hun beleid aan gaan passen en stoppen met de tracking omdat anders webmasters zoals jij er mee zullen moeten stoppen. Als dit strak gehandhaafd gaat worden en iedereen met Google of facebook op z’n site een boete krijgt dan zal Google echt wel met alternatieven komen.

  22. @N.P. Je kunt zelf 3rd party cookies heel simpel in je browser blokkeren. Daar is geen plugin voor nodig. Je kunt zeggen dat het onwenselijk is, maar de NEE | NEE sticker op de brievenbus is ook gemeengoed, werkt prima en kost véél meer moeite om op te plakken dan het kost om één lullige instelling in je browser aan te passen. Daarnaast ga je voorbij aan het feit dat ik niet kan voorkomen dat facebook een cookie plaatst, behalve facebook verwijderen van de site. Zelfde voor twitter, analytics, adsense, zoom-in video’s, youtube en wat al niet meer. Dat moeten die bedrijven doen. Wij als sitebeheerders KUNNEN dat helemaal niet zelf. Het is – als je werkelijk zo op je privacy gesteld bent – vele malen veiliger om het zelf even in je browser in te stellen. Dat weet je meteen dat het GOED gebeurt en voor alles en iedereen geldt. Zeker nu niemand de wet volgt en je dus gewoon je cookies alsnog krijgt (behalve op FOK blijkbaar) is het al helemáál zaak om rap zelf maatregelen te treffen lijkt me. Doe je dat niet dan valt het met je bezwaren tegen dergelijke cookies ook wel mee imho.

  23. Dany, het verschil met de Nee | Nee sticker is dat mensen die folders in hun bus kregen. De cookies zie je niet, niemand heeft daar direct last van en zal dus getriggerd worden om iets aan te passen.

    De irritante meldingen op sites zullen er voor zorgen dat er wel besef komt bij de burger en dat het misschien wel met 1 setting in je browser geregd kan worden. De Do Not Track header wordt nog steeds niet door alle partijen gerespecteerd.

  24. Het gevolg van de wet lijkt te gaan worden dat iedereen gedwongen wordt cookies te accepteren, als andere sites het voorbeeld van fok.nl gaan navolgen.

    In mijn browserinstellingen worden cookies standaard geblokkeerd. Ik kende, tot eergisteren, geen websites die ik niet kon bezoeken met die browserinstelling. Sinds eergisteren ken ik er één.

    Het accepteren van cookies was, tot eergisteren, vrijwel alleen noodzakelijk bij het invullen van formulieren. Niet iets waar ik op internet constant mee bezig ben. Het veranderen van de browserinstellingen moet dan even gebeuren (cookies accepteren, formulier invullen, cookies blokkeren, alle cookies wissen), maar neem je in de handelingen gewoon mee.

    Voor mij had die anti-cookie-wet dus niet gehoeven. Zeker niet nu blijkt dat de wet juist een averechts gevolg lijkt te krijgen.

    Voor de bezitters van internetsites is het natuurlijk geen nadeel. Ze kunnen de overheid de schuld van de wet geven, en vervolgens alle bezoekers dwingen om cookies te accepteren alvorens die toegelaten worden tot de site. Gelet op het geld wat er kennelijk te verdienen valt met effectieve cookies, heeft de overheid hun een prachtige uitbreiding van het verdienmodel in de schoot geworden.

  25. Ik verdien alleen geld met Adsense (heueueul weinig maar overigens, maar het gaat om het principe). Google zet daar duidelijk bij dat het advertenties door Google zijn, dus iedereen die een beetje nadenkt zal begrijpen dat zowel Google als ik dat niet voor de lol doen.

    Dit is al helemaal een non-argument. Adverteren mag sowieso dus het is ook niet gek dat mensen advertenties zien. Wat er juist niet bij staat is dat aanvullend op die advertentie ook nog even door de adverteerder de privacy van mensen geschonden wordt zonder dat ze daarom gebvraagd hebben. Ook advertenties kunnen prima verspreid worden zonder privacy schendingen bijvoorbeeld door aan te sluiten bij de content van de pagina (contextuele reclame).

  26. @Ruud, een plaatje (iframe, object) dat van een andere webserver wordt geladen kan eigen cookies zetten. Deze cookies zijn “first party” cookies voor de webserver van het plaatje. (Daarom is een adblocker een hulpmiddel om je privacy te beschermen.)

    @Hallo: Als je de wetstekst leest (onder andere bij de OPTA te vinden) dan kun je zien dat het de bedoeling van de wetgever is om het volgen van bezoekers van websites onder de bescherming van de WBP te brengen, met alle gevolgen van dien. Het is niet specifiek op cookies gericht. Aan alle amateur-website-bezitters: Denk eens goed na of je alle ballast van de WBP op je nek wil meeslepen, misschien is het uitschakelen van tracking cookies voor jou de beste oplossing!

  27. @Hallo Geen nadeel voor de websitebezoeker? Sorry, maar ik heb honderd maal liever dat iedereen gewoon cookies blokkeert dan dat wij worden gedwongen dit soort rare dingen te doen. JUIST omdat het de keuzevrijheid van de gebruiker alleen maar negatief beïnvloedt. Daarnaast is deze wet slecht voor de inkomsten van ALLE websites. Ook die van FOK.nl.

  28. @Danny Roodbol | 7 juni 2012 @ 21:39

    Bij nadere test na blokkeren 3rd party cookies in Chrome werkt het wel naar behoren. Was ik gisteren zeker in de war.

    Alle cookies weggegooid, naar nu.nl, naar eigen site. Chrome afsluiten en weer openen (hij werkt niet acuut de weergave bij). Dan zie ik alleen nu.nl en http://www.nu.nl. Ook geen Sitemeter- of Adsense-dingen via eigen site. (Wel alexa, maar dat komt vast door een toolbar die ik zelf heb toegestaan.)

    Dat is toch een veel en veel betere oplossing, dames en heren wetgevers? Wettelijk afdwingen dat alle browsers standaard 3rd-party cookies NIET toestaan, plus wat publieksvoorlichting: resultaat: tracking cookies teruggebracht tot 2 procent van het vroegere niveau, en die 2% kiest er zelf voor.

  29. Ben nu ook naar fok.nl geweest, heb gezegd dat ik alle cookies accepteer (maar 3rd party in browser Chrome staat lekker nog uit), resultaat: 3 cookies erbij van fok.nl en 3 van frontpage.fok.nl (en iusmentis.com, waardoor ik niet mijn post-gegevens opnieuw hoef in te tikken).

    Keurig toch? Alles alleen functioneel, geen tracking, privacy. Dat was de eigenlijke bedoeling van de wetgever.

    De wet die nu is ingevoerd is een mug op een olifant, niet uitvoerbaar, niet effectief, niet handhaafbaar.

  30. Hallo | 7 juni 2012 @ 22:37

    In mijn browserinstellingen worden cookies standaard geblokkeerd. Ik kende, tot eergisteren, geen websites die ik niet kon bezoeken met die browserinstelling. Sinds eergisteren ken ik er één.
    Test: nu browser Chrome afgericht om helemaal geen cookies meer te accepteren van niemand niet. Reeds aanwezige gewist. Naar fok.nl. Krijg weer de vraag, en ik accepteer alle cookies (ik wel, maar de browser niet, haha).

    Resultaat: ik kan alle discussies op fok.nl naar believen bekijken, alleen krijg ik bij elk nieuw scherm dat ik aanklik weer die vraag/voorlichting over cookies. Dat is irritant, maar het valt fok.nl niet te verwijten: ik sta ze immers ZELF niet toe te onthouden wat ik net al geantwoord heb. Dan hebben ze geen andere keus dan het opnieuw te vragen. Logisch.

    Oplossing (zie voorgaande test): cookies wel toestaan, alleen 3rd party niet.

    1st party cookies (in de bekeken webpagina zelf) zijn ook nooit een probleem geweest. Het probleem was het tracken: je komt heel ergens anders, en iets (een webpartij) weet dat je daar was en eerder ook op die andere pagina. Dat kan doordat en indien beide pagina’s naar een stukje code van dezelfde iemand anders verwijzen (embedden), bijvoorbeeld Facebook (like-knop) of Adsense.

    Maar de browser kan dat zien, want die maakt die extra stap om die andere code ook op te halen. Dus kan die browser op verzoek alleen de cookies daarvan blokkeren.

    Dit is allemaal kennis die al 10 jaar of langer bekend is (misschien wel 20). Maar de wetgever heeft er geen gebruik van gemaakt. Jammer, jammer.

    Toch maar Arnoud in de Tweede Kamer dan?

  31. MathFox | 8 juni 2012 @ 9:19

    @Ruud, een plaatje (iframe, object) dat van een andere webserver wordt geladen kan eigen cookies zetten. Deze cookies zijn ???first party??? cookies voor de webserver van het plaatje.
    Juist: 1st party voor die tweede webserver, maar 2nd party (maar dat noemen we dan meteen 3rd party, in het spraakgebruik) voor de webbrowser. En het is de webbrowser die daadwerkelijk (op verzoek van de webserver) de cookies opslaat op schijf. Dus kan die browser dat ook weigeren. En dat doet-ie ook, blijkt uit tests.

  32. Dat is toch een veel en veel betere oplossing, dames en heren wetgevers? Wettelijk afdwingen dat alle browsers standaard 3rd-party cookies NIET toestaan, plus wat publieksvoorlichting: resultaat: tracking cookies teruggebracht tot 2 procent van het vroegere niveau, en die 2% kiest er zelf voor.

    Helaas is dat makkelijk te omzeilen doordat advertentiesites dan de tracking cookie zullen kunnen aanmaken via een 1st party script. In feite doet Google analytics dat al.

  33. Helaas is dat makkelijk te omzeilen doordat advertentiesites dan de tracking cookie zullen kunnen aanmaken via een 1st party script.

    Server-side of client-side script? Indien client-side, dan moet de browser dat toch kunnen detecteren en dus blokkeren?

    Maar dit gaat mijn technisch inzicht even te boven.

  34. Dat gebeurt dan clientside maar als je dat wil verbieden dan wordt het middel echt erger dan de kwaal. Advertenties zijn dan helemaal niet meer mogelijk, net zo als Google Maps, de like buttons, etc.

    Ook zou je het makkelijk kunnen omzeilen met een locale proxy op de webserver.

    Misschien was een compleet verbod op profiling beter geweest. Dit zou dan gelden voor zowel de adverteerder, de webmaster en de advertentie partij (Google, etc). Dus als er advertenties getoond worden op basis van profiel of prijzen getoond worden op basis van het profiel is iemand in overtreding?

  35. Even simpel gezegd. Jij bezoekt een website blog.iusmentis.com , deze plaatst een cookie met userid 123 en stuurt vanaf elke pagina userid 123 en de pagina die je bezoekt naar http://www.badprofile.com/. Als dat verboden wordt, dan stuurt de site het request niet meer naar badprofile.com maar naar blog.iusmentis.com/proxy. Daar wordt het verzoek met userid, ip-adres, pagina, etc (serverside) doorgestuurd naar badprofile.com.

    In dat geval is er dus bij de client alleen contact met iusmentis.com maar worden de gegevens toch doorgestuurd naar badprofile.com zonder dat de bezoeker dit door heeft.

    Bijna elke wet die je gaat bedenken om dit soort dingen tegen te gaan kan je technisch omzeilen.

  36. @N.P. Dat maakt voor de wet niet uit. De wet maakt geen onderscheid tussen first en third party cookies. Het enige onderscheid is tussen “strikt noodzakelijk voor de gewenste dienst” en “niet strikt noodzakelijk”. Dit cookie is voor tracking en profiling en is dús niet strikt noodzakelijk. Ongeacht welke partij het zet, hoe het geproxied wordt en wat dan ook. Het mag niet zonder toestemming.

  37. @Arnoud Het was een reactie op Ruud die het een betere wet vond om 3rd party cookies te verbieden maar zoals ik uitlegde is dat te makkelijk te omzeilen.

    Wat ik al schreef, was het niet beter geweest om een verbod te maken voor op profielen toegespitste content? Dus o.a. getarget adverteren en dynamic pricing wordt verboden. Op die manier ontneem je de partijen ook de noodzaak tot het profileren.

  38. Ah sorry, dan had ik even niet goed meegelezen.

    Dat was wellicht een oplossing geweest maar dan zeg je in feite dat de hele advertentieindustrie op de fles moet. Het compromis was daarom “toestemming”, zo van “als mensen het góed vinden dat je ze profileert dan mag het”. Maar ja, in theorie klinkt dat heel leuk maar in de praktijk heeft het nul waarde.

  39. @N.P. | 8 juni 2012 @ 13:23

    Oké, maar om tracking door http://www.badprofile.com (de ‘Bad Guy’) mogelijk te maken, moet dan wel blog.iusmentis.com (‘Good Guy 1’) paginacode veranderen ten behoeve van de Bad Guy, en iets unieks van de bezoeker doorgeven. Als Good Guy dat niet doet gaat het verhaal niet op.

    Bovendien moet Good Guy 1 afstemmen met Good Guy 2 dat diezelfde bezoeker ook op diens site ID 123 krijgt, anders weet Bad Guy nog niks en kan die niet tracken.

    In de concrete situatie ben ik (rudhar.com) de Good Guy 1 (ik heb geen belang bij tracking), en is Google Adsense de Bad Guy (maar ook weer zo erg Bad), want die wil de bezoeker op grond van diens bezoek bij mij weer soortgelijke advertenties tonen op de site van een andere Good Guy 2. Daarvoor moet Adsense weten dat het weer dezelfde bezoeker is.

    Ik heb daar geen belang bij, Adsense wel. Ik zie dat zonder 3rd party cookies (namelijk die die Adsense zet op basis van de aanroep in het stukje javascript dat ik op hun voorstel in mijn pagina’s heb gezet) nog steeds niet lukken.

  40. @Arnoud Engelfriet | 8 juni 2012 @ 15:07

    Dat was wellicht een oplossing geweest maar dan zeg je in feite dat de hele advertentieindustrie op de fles moet.

    Volgens mij niet. Want Adsense e.d. kunnen dan nog steeds gerichte advertenties plaatsen op basis van content en van geolocatie van het IP-nummer.

    Beide zijn gericht en effectief: als ik op een pagina over gitaren ben, vind ik advertenties van gitaarwinkels waarschijnlijk ook interessant. En doe ik dat in Nederland dan liever van winkels daar en niet in Taiwan of New York.

    Wat Google zonder tracking (en dus 3rd party cookies, denk ik) niet meer kan, is daarna mij op allerlei andere pagina’s ook gitaaradvertenties tonen, want hij weet niet dat ik het weer ben, en dus dat ik interesse heb in gitaren. Dat is het privacyaspect.

    Ik vind die derde soort gerichtheid persoonlijk helemaal niet zo erg. Maar wie het wel erg vindt, kan het via de browser uitzetten. Was helemaal geen wet voor nodig geweest.

    Waar zit mijn denkfout, if any?

  41. Wat ik al schreef, was het niet beter geweest om een verbod te maken voor `op profielen toegespitste content`? Dus o.a. getarget adverteren en dynamic pricing wordt verboden. Op die manier ontneem je de partijen ook de noodzaak tot het profileren.

    Maar geprofileerde reclame is OOK in het belang van de bezoeker/lezer/consument. Op internet krijg ik namelijk nooit reclame voor dingen die me geen bal interesseren (zeg de beruchte wasmiddelen en maandverband), maar op radio/tv en tijdschriften wel.

    Tracking betekent dus minder privacy, maar ook minder irritatie. ??n lagere prijzen in de winkel, vanwege minder verspild reclamebudget.

    Wat kies je?

  42. Ruud: Ja maar nu komt het, Bad Guy belooft jou meer omzet (targeted ads) als je wel die informatie doorspeelt of geeft je prachtige statistische gegevens (analytics) waarmee je je site nog beter kan maken. De meeste webmasters zullen dus nog steeds voor deze mogelijkheid kiezen.

    De userid wordt door Bad Guy uitgedeeld op basis van ip, browser, plugins, resolutie, etc. Daarmee is iemand redelijk goed te herkennen en dus te profileren. Kortom het kan dan zelfs helemaal zonder cookies. Het is alleen duurder en misschien iets minder betrouwbaar.

  43. De denkfout zit wat mij betreft in opt-in vs opt-out. Veel gebruikers weten helemaal niet wat (of zelfs dat) er iets van ze opgeslagen wordt. Dit gebeurt allemaal onzichtbaar. Wie reclames over maandverband en wasmiddelen erg vindt kan het aan zetten dmv de cookies of via sites als youronlinechoices en krijgt dan de leuke gitaar advertenties.

    Ander voorstel dan. De EU verplicht alle grote browser makers om binnen 1 maand een update te maken waarbij 3rd party cookies uit gezet wordt en waarbij de DO NOT TRACK header aan staat. Gebruikers kunnen dan eenmalig dit weer veranderen als ze willen (opt-in). Het is daarnaast verplicht om de DONOTTRACK header te eerbiedigen en niets van deze gebruiker op te slaan tenzij strikt noodzakelijk voor je dienst.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS