De cookiewet: ook voor affiliate marketing een probleem

| AE 3047 | Privacy | 48 reacties

cookie-bril.jpgDe cookiewet. Weinig onderwerpen hebben zó veel reacties losgemaakt vanuit de branche. Je mag geen cookies meer zetten, geen browserdetails meer uitlezen en mensen niet meer volgen zonder hun toestemming.

Meest gehoorde misverstand: de cookiewet gaat over tracking cookies, dus als je geen tracking doet (of op andere manier persoonsgegevens verwerkt) dan is er niets aan de hand. Niets is minder waar. De cookiewet gaat over élk cookie, ongeacht welk doel. Alleen cookies die “strikt noodzakelijk” zijn voor de door de gebruiker gewenste dienst, vallen buiten de wet. En gezien het doel van de cookiewet en de gekozen formulering van dat stukje uit de wet, is het erg moeilijk om onder deze uitzondering te vallen.

Eén soort cookies waar ik nog maar weinig over gezien heb maar die wél een probleem heeft met de cookiewet, is(*) het affiliatecookie. Wanneer iemand een site bezoekt en vanaf daar doorgelinkt wordt naar een webwinkel waar hij iets koopt, kan de winkel de eigenaar van die site (de partner of affiliate) belonen met een deel van de aankoopsom. Hierbij wordt een cookie gezet bij de affiliatesite en uitgelezen bij de webwinkel, zodat de winkel weet wie de affiliate was die deze koper aanbracht. (Naast koop kun je ook beloond worden voor het aanbrengen van leads, mensen die interesse hebben maar nog niks kopen).

Dit soort cookies vereist toestemming, ook al identificeert het alleen de affiliate en niet de bezoeker zelf. Net als overigens de andere trucs waarmee affiliates herkend worden, zoals codes in de URL of zelfs de referrer header die meegestuurd wordt. De cookiewet is als naam immers licht misleidend: het gaat niet om cookies, het gaat om uitlezen van gegevens van de computer van de bezoeker. En een referrer is net zo goed “gegevens” als een cookie.

En nee, dit is volstrekt onwerkbaar want je wilt bezoekers écht niet lastigvallen met zulke vragen. Probeer überhaupt eens uit te leggen wat een affiliate is en hoe hij werkt, aan iemand die gewoon je artikel wil lezen. Ik zou alleen écht niet weten hoe dit anders kan onder de cookiewet. Gegevens lezen is toestemming vragen, tenzij je die gegevens echt nodig hebt om de data te kunnen sturen waar de bezoeker om vraagt. En affiliate-cookies zijn niet nodig om een webpagina op het scherm te krijgen of naar een webwinkel te verwijzen.

Een sprankje hoop biedt nog de recente cookiewetopinie van de Artikel 29 Werkgroep. Deze analyseert op onnavolgbaar juridische wijze de uitzondering onder de cookiewet om zo toch een aantal dingen te kunnen noemen die legaal zouden moeten zijn. Maar veel verder dan dat load balancing cookies en Flash cookies (mits niet persistent) legaal zijn, komen ze niet.

Opmerkelijk is wel dat men constateert dat first-party Analytics tools (zoals Piwik) óók toestemming vereisen maar dat dit eigenlijk anders zou moeten (kunnen?) zijn:

[F]irst party analytics cookies are not likely to create a privacy risk when they are strictly limited to first party aggregated statistical purposes and when they are used by websites that already provide clear information about these cookies in their privacy policy as well as adequate privacy safeguards. Such safeguards are expected to include a user friendly mechanism to opt-out from any data collection and comprehensive anonymization mechanisms that are applied to other collected identifiable information such as IP addresses.

Ik hoop dat de OPTA hieruit de wijze les trekt dat handhaving tegen dergelijke bagatelcookies weinig productief is.

Oh, wie meer wil weten over deze wet: schrijf je in voor onze Cookie Workshop op 28 juni aanstaande. Lezers van deze blog krijgen met code iusmentisblog 25 euro korting.

Arnoud<br/> * Het soort cookies is? Het soort cookies zijn? Ruud, help!

Deel dit artikel

  1. Wordt de affiliate cookie wel tijdens het bezoeken van de affiliate site geplaatst? Bij mijn weten wordt de cookie pas geplaatst als de bezoeker de website weer verlaat na het klikken op een affiliate link. Dus bij wie ligt de verantwoordelijkheid dan. Het is uiteindelijk de affiliate link die de cookie plaatst (triggered), en die URL is van het affiliate netwerk of in sommige gevallen (bij Tradetracker bijvoorbeeld) zit de URL van de webshop in de affiliate link. Een affiliate zou hiermee moeten gaan waarschuwen voor cookies die mogelijk na het verlaten van zijn site gezet worden, en dat lijkt me ondoenlijk. Want dan kan je voor elke uitgaande link een waarschuwing plaatsen: “de website die u wilt bezoeken kan mogelijk een cookie bij u plaatsen, wilt u deze website bezoeken?”

    Ik dacht dat het ging bij de cookiewet om de cookies die op de betreffende website worden ingeladen.. afgebakend. Wat er na het klikken op een linkje gebeurt is niet meer het probleem van de webmaster, en in dit geval de affiliate.

  2. Vooralsnog ga ik er meer vanuit dat de wetgever een aantal zaken dusdanig heeft geformuleerd die indien je ze strikt uitlegt zorgen voor een hoop problemen. Ik moet nog maar zien dat (a) dit soort zaken worden aangepakt en (b) de rechter dan ook oordeelt dat het niet mag.

    Voorts heb ik nog een heel andere vraag. Ik zie niet helemaal waarom met een GET http://www.shoplalala.org/referrerid/20123 een persoonsgegeven wordt verwerkt. Dat hoeft helemaal niet. Of ik snap het niet.

    Bovendien geldt dat het voor functionele cookies niet nodig is. Het lijkt me dat een affiliate model niet kan werken zonder dat de refererende site duidelijk maakt aan de doelsite dat de bezoeker – via zijn site – komt.

  3. In een zekere zin volgt zo’n affiliate cookie natuurlijk ook mensen. Het zorgt ervoor dat de ene website weet op welke andere website jij was. Zeker als je later nog een aankoop doet. In het echte leven zouden we dit met flyers, coupons, stickers, vouchers en overige plaktroep opgelost hebben. Dan zou ik zeggen, als je die dingen bij houdt, weet je ook wel dat je informatie over jezelf prijs geeft.

  4. Er zijn natuurlijk technische alternatieven te bedenken voor de referer en de cookie voor redirect-sites. (Het is mij overigens nooit duidelijk geworden waarom zulke sites bestaan.) Men kan een gehasht IP-adres opslaan (in de eigen database) voor elk bezoek en aan het eind van de maand een rekening sturen naar de klant voor het aantal ‘unieke’ bezoeken. Of dat mag weet ik niet.

    Als deze wetgeving ertoe leidt dat redirect-sites verdwijnen, lijkt me dat een fantastisch resultaat.

  5. Een affiliate cookie registreert overigens niet dat een verkoop bij een CD-webshop via domein leukecdkopen.nl is gedaan, maar koppelt de sale aan een ID/Gebruikersnaam in het affiliate netwerk. Het hele technische afhandelen gebeurt bij het affiliate netwerk en de webshop, het enige wat de affiliate heeft gedaan is het doorsturen van een bezoeker. Alhoewel het voor de affiliate een risico kan zijn om de Cookie melding aan het netwerk of de webshop over te laten, het is altijd beter dan 2 keer een waarschuwing.

  6. Het soort cookies is? Het soort cookies zijn?» imho kun je ook zeggen: de cookies zijn = meervoud, maar het soort VAN DE cookies is enkelvoud, het soort is, waar ‘VAN DE cookies ‘ iets aan toevoegt maar geen onderwerp is.

    Analoog : is het niet de geest van de wet om toch vooral de profiel-schuiverij in het kader van bijv. retargeting aan te pakken? En valt een link – weliswaar voorzien van een affiliatecode – buiten dit bestek. Je kunt stellen dat een link zonder code ook kan, alleen wanneer de bezoeker over een specifiek artikel informatie wenst, komt hij/zij bij een willekeurige webwinkel terecht en moet gaan zoeken. Neem van mij aan, dat de meeste zoekfunkties belabberd zijn. Affiliates maken juist het zoeken gemakkelijker en effectiever. Is daarmee de affiliatelink wel degelijk funktioneel ?

  7. @5: Jij denkt aan redirect sites, maar stel je hebt een blog over muziek. Dan kan je leuk wat van je kosten terug verdienen door een affiliate link naar Amazon te maken naar de CD/DVD waar je het over hebt.

    En dat zonder mateloos irritante reclames etc… Gewoon een miniatuurtje van de cover onder je artikel met een link eraan. Cover afbeelding gebruik je natuurlijk onder het citaatrecht ter illustratie welke CD je beschrijft 😉

  8. Wanneer iemand een site bezoekt en vanaf daar doorgelinkt wordt naar een webwinkel waar hij iets koopt, kan de winkel de eigenaar van die site (de partner of affiliate) belonen met een deel van de aankoopsom. Hierbij wordt een cookie gezet bij de affiliatesite en uitgelezen bij de webwinkel, zodat de winkel weet wie de affiliate was die deze koper aanbracht.

    Het lijkt me niet logisch dat de affiliate site een cookie aanmaakt. Dat moet de winkelsite gewoon doen als er een affiliate referred klant binnenkomt via een link of een affiliate site.

    Verder is het hele principe van affiliate tracking natuurlijk gebaseerd op een (milde) vorm van privacy schending.

  9. @3: De uitzondering voor ‘functionele cookies’ gaat hier niet op. Die geldt alleen als het functioneel is voor het gebruik van de bezoeker van de website. En de bezoeker gebruikt de website om (hopelijk voor de websiteaanbieder) een produkt af te nemen, niet om het affiliate-programma in stand te helpen houden.

    Toch, al met al ben ik het zonder meer met je eens dat de wetgever hier een veel te wijd net heeft uitgeworpen. Wat moet je bijvoorbeeld met browserspecifieke instellingen? Als een toevoeging aan het url of een referrer-header als ‘uitlezen van gegevens van de computer van de bezoeker’ geldt, dan toch zeker de useragentstring van de browser. Dus als je de gebruiker een IE- Firefox- of Opera-specifieke pagina wilt tonen, zul je daar eerst toestemming voor moeten vragen. En voor die toestemmingsvraag mag je het natuurlijk ook niet gebruiken, dus zul je die toestemming ook moeten vragen aan personen die helemaal geen browser gebruiken waarvoor je speciale instellingen hebt… Overigens, als toevoegingen aan het url niet mogen, dan zou ik maar snel een toestemmingsknopje toevoegen aan het formulier dat ik hier heb ingestuurd, want dat mag dan kennelijk ook niet? O wacht, nee, dat is een geval van ‘benodigd voor het gewenste gebruik’.

    Ik hoop toch werkelijk dat hier in de praktijk redelijker mee om wordt gegaan dan de wettekst luidt…

  10. @ Bram: Arnoud geeft juist aan dat het niet om persoonsgegevens hoeft te gaan om verboden te zijn. Zie de tweede alinea over het misverstand.

    Zoals hij verderop zegt “het gaat om uitlezen van gegevens van de computer van de bezoeker.” (niet per se cookies). Dat mag dus alleen als het om direct functioneel is voor de bezoeker. Middels affiliate links kan de winkel in feite tracken waar klanten vandaan komen. Zonder dat die klant daar direct wat aan heeft.

    @Ruud: Waarom zou een affiliate code in een link nodig zijn om direct bij een artikel uit te komen? Je kan toch gewoon direct naar dat artikel linken zonder een affiliate code erbij te zetten?

    Voorbeeld:

    webshop.nl/index.php?artikelid=123456

    werkt toch net zo goed als

    webshop.nl/index.php?artikelid=123456&affiliateid=4321

    (om even ouderwetse niet opgeleukte urls te gebruiken).

  11. Dit soort cookies vereist toestemming, ook al identificeert het alleen de affiliate en niet de bezoeker zelf. Net als overigens de andere trucs waarmee affiliates herkend worden, zoals codes in de URL of zelfs de referrer header die meegestuurd wordt.

    Wanneer een affiliate een unieke code aan de URL meestuurt aan de hand waarvan de partner of shop de gebruiker kan identificeren kan ik me nog enigszins voorstellen dat je hiermee inderdaad onder de “cookie” wet valt omdat je hiermee een specifieke gebruiker kan volgen.

    Maar als zelfs de referrer header hieronder valt dan begrijp ik echt niet meer waar de wetgevers mee bezig zijn. Het is immers volstrekt oncontroleerbaar of een website deze gegevens wel of niet uitleest. Sterker nog, als je het puur technisch bekijkt worden deze gegevens altijd uitgelezen; ze komen (in het geval van Apache) bijvoorbeeld altijd in het log terecht. Ook het dozijn externe sites waar deze pagina naar linkt kunnen gewoon uitlezen dat bezoekers hier vandaan komen. Dat is dus strafbaar?

    kraagjes.nl:80 x.x.x.x – – [14/Jun/2012:11:06:39 +0200] “GET / HTTP/1.1” 301 347 “http://blog.iusmentis.com/2012/06/14/de-cookiewet-ook-voor-affiliate-marketing-een-probleem/” “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_4) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.56 Safari/536.5”

    Klik vooral niet op mijn naam, want als je m’n weblog bezoekt kan ik zien dat je hier vandaan komt en geef ik misschien wel een affiliate-centje aan Arnoud! 😛

  12. @Arnoud:

    “Dit soort cookies vereist toestemming, ook al identificeert het alleen de affiliate en niet de bezoeker zelf. Net als overigens de andere trucs waarmee affiliates herkend worden, zoals codes in de URL of zelfs de referrer header die meegestuurd wordt. De cookiewet is als naam immers licht misleidend: het gaat niet om cookies, het gaat om uitlezen van gegevens van de computer van de bezoeker. En een referrer is net zo goed ???gegevens??? als een cookie.”

    Sorry, hier kan ik je even echt niet volgen. De cookiewet spreekt over uitlezen uit randapparatuur. In de eerste plaats komt de referrer-header niet uit de randapparatuur (daar kan je intern geheugen lijkt me met goed fatsoen niet onder scharen) en in de tweede plaats worden zulke headers ongevraagd meegestuurd met het request (in tegenstelling tot cookies, waar nog een Set-Cookie response header dan wel een document.cookie JavaScript assignment aan voorafgegaan is), er wordt dan hierdoor toch niets uitgelezen uit welk onderdeel van de computer van de gebruiker dan ook?

  13. @MartijnV: Waarom zou een affiliate code in een link nodig zijn om direct bij een artikel uit te komen? Je kan toch gewoon direct naar dat artikel linken zonder een affiliate code erbij te zetten? Zeker kan dat. Maar zouden er veel mensen te vinden zijn, die een gemiddeld assortiment van ca 80.000 produkten per warenhuis/webshop en dat over zeg 40-100 webshops, willen uitpluizen en gesorteerd, obv eigenschappen en prijzen , aan te bieden aan wie het maar weten wil voor 0,nop ? Dan verdwijnt er dus een funktie. Heb ik het even over affiliates die serieus bezig zijn, probleemoplossers en niet een “gooit u de doos daar maar neer”.

    Het lijkt me redelijk geaccepteerd dat ook een zoekmachine als Google die truuc niet anders wil vertonen dan tegen betaling, alleen gebeurt het via net iets andere methoden. Binnen die context is een affiliate niets anders dan een “manuele snuffelaar”. 😉 De hele wereld zit zo in elkaar, ook de ober krijgt een fooi, de portier die de auto wegzet, de reisleider die een excursie aanprijst noem maar op.

    Bij de affiliate steekt er doorgaans ook een behoorlijk stuk technische kennis en vaardigheden achter, “om de knoppen zodanig te bedienen dat ze datgene opleveren voor de bezoeker wat nodig is”.

  14. Het grootste probleem met de cookiewet zie ik in de vorm van de vele open-source web applicaties waarmee miljoenen gebruikers hun blogs, forums en CRM systemen mee opgebouwd hebben. Want als bouwer van een open-source systeem hoef je je niet te beperken tot bepaalde locale wetgevingen. Een hobbyist in Canada kan rustig open-source websites bouwen die allerlei cookies instelt en informatie ophaalt. Maar wie vervolgens een dergelijk systeem zelf gebruikt moet wel controleren of de software cookies zet en zo ja, een keuze maken om de code aan te passen (kost geld) of om een ander alternatief te vinden. En helaas zijn er van bepaalde producten niet veel varianten, zeker niet indien deze moet passen binnen een bepaalde server architectuur…

    Echter, een open-source project kan ook nog eens een affiliate zijn met een link terug naar de SourceForge website of waar het project ook maar gedeeld wordt, plus een logo dat rechtstreeks als image gelinkt wordt binnen het project. En ja, ook een link naar een plaatje kan een cookie plaatsen. De maker van het open-source project zou in theorie in staat kunnen zijn om alle draaiende versies bij te houden met informatie over de diverse bezoekers van al die websites…

    Nu is in een open-source project een dergelijke link terug naar het project wel te verwijderen maar de licentie die erbij zit kan dit mogelijk tegenhouden als onderdeel van de voorwaarden. En dan wordt een mooi stukje software behoorlijk onbruikbaar. Gallery Server Pro is hier een mooi voorbeeld van, maar heeft volgens mij geen cookies die rechtstreeks terugverwijzen naar de maker van dit product. Toch zou een enkel icoontje dat door de maker op de eigen site wordt gehost deze maker al veel informatie geven over waar de software wordt gebruikt en hoeveel bezoekers deze site heeft. (En mogelijk zelfs indien deze binnen een intranet-omgeving wordt gebruikt, maar waarbij wel ook normaal internet-toegang mogelijk is.)

  15. Een affiliate code in de link is uniek voor de affiliate, niet voor de gebruiker. Iedere website gebruiker gebruikt deze zelfde code. Deze is ook onderdeel van de link op de website, niet iets dat op de computer van de gebruiker wordt geplaatst. Het wordt zelfs niet geplaatst, het is er gewoon als onderdeel van de link waar de gebruiker voor kiest om op te klikken.

    Als zo danig denk ik zelf dat affiliate programs die met cookies werken gewoon over kunnen stappen op links. Het is wel een rare situatie dat het met links wel zou mogen een cookies niet. Maar ik kan me eigenlijk niet voorstellen dat er nog veel met cookies werken aangezien inmiddels veel mensen en browsers standaard 3rd party cookies blokkeren.

  16. @20 Het probleem met alleen een link is dat de consument dan gelijk iets zou moeten kopen in de webshop om de sale naar de affiliate te herleiden. Meestal is het zo dat er pas na een paar dagen of langer de beslissing wordt gemaakt om iets te kopen en dan zou het zonder (cookie) tracking niet naar de affiliate herleid kunnen worden.

  17. @21: Dat is een probleem voor de verkoop site om op te lossen en niet voor de affiliates. De affiliates hoeven geen cookies te plaatsen.

    Voor een site als amazon is het toch eenvoudig om bij het aanmaken van een account akkoord gaan met deze cookies te eisen. Geen akkoord, geen account. Huidige accounts kunnen akkoord gaan of raken hun account kwijt.

    Komen ze mee weg ook, geen hond die al die voorwaarden bij het openen van een account leest. Enkele uitzonderingen, zoals ongetwijfeld Arnoud en wat bezoekers hier daar gelaten.

    En voor degene zonder account kunnen ze toestemming vragen voor een cookie op het moment dat de persoon deze in een basket wil stoppen. De basket werkt sowieso met cookies

  18. Technische principes naar mijn weten:

    Als het enkel om aantallen doorverwijzingen gaat, zal de affiliate op zijn affiliate site linken naar http://www.affiliate.nl/?linkout=www.jouwsite.nl . Hiermee kan de affiliate zelf nameten hoeveel mensen hij heeft doorgestuurd. Jij kan aan de hand van de referer of aan de hand van nog een extra te plaatsen parameter in de url zelf ook nameten of de metingen van de affiliate kloppen.

    Als het gaat om aantallen verkopen nav doorverwijzingen, zal de affiliate ook een cookie neerzetten op zijn http://www.affiliate.nl site. Daarnaast spreekt hij ook nog met jou af dat jij op jouw verkoop-afrondingsscherm ( http://www.jouwsite.nl/bedanktverkoopafronding ) een “meetpixel” van hem ( http://www.affiliate.nl/meetpixel ) neerzet, waarmee hij zijn eigen cookie kan terug herkennen.

    Het verhaal in de blog klopt niet geheel, daar een jij niet de cookies van de affiliate kan uitlezen. Je kan hooguit “meetpixels” implementeren, waarmee de affiliate zijn cookies kan terug herkennen… De browser zal namelijk niet toestaan dat site X de cookies mag lezen van site Y.

  19. @arnoud Ook cookies komen ‘ongevraagt’ mee met de request, en anders zou je ook prima kunnen tracken zonder cookies, bijvoorbeeld door middel van sessieid’s in (gecachte) pagina’s – je kan gewoon een image een lange expire meegeven, en vervolgens zal de browser met enige regelmaat een request erop doen zolang je je cache niet leegt.

    Kortom, als ik de wet goed begrijp zul je voor elke mogelijkheid waarbij je een gebruiker (uniek) kan identificeren en je gebruikt dat voor niet strikt noodzakelijke doeleinden, dan moet je toestemming hebben/vragen. Dus ook voor statistieken, dus ook voor access logs, dus ook als je een gecachte image gebruikt als ‘cookie’ – kortom, dat is gewoon helemaal niet te controleren tenzij je echt een audit bij een bedrijf zelf doet en op de servers kijkt wat er met de data gedaan wordt.

    En aangezien eigenlijk elke site accesslogs opslaat, heeft vrijwel elke site de mogelijkheid om mij te tracken – of ze het doen of niet is irrelevant, ze slaan de data op, dus dan kunnen ze het ook over 10 jaar doen. En ik heb nog nooit een site daar toestemming voor gegeven. Ook niet voor het opslaan van images/pagina’s in mijn cache, terwijl dat in theorie ook misbruikt kan worden voor tracking.

  20. @Kees: Cookies komen niet ongevraagd mee, cookies komen mee nadat de server een keer Set-Cookie heeft gzegd. Dus daar ligt het initiatief wel degelijk bij de server. Ik vind dat wezenlijk anders dan zeg de browseridentificatieheader.

    De wet heeft als doel tracking te reguleren, maar doet dat door het installeren van informatie bij clients te onderwerpen aan een toestemmingsplicht. Daarmee hangt men het doel dus op aan een implementatie, en wel eentje waarbij de server eerst een stukje informatie stuurt of eentje waarbij de server zélf kan verordenen dat bepaalde informatie wordt geleverd.

  21. Arnoud: gaat dit ook op als ik bijvoorbeeld in mijn tweets een code meegeef aan links die ik naar mijn website plaats zodat ik die in mijn statspakket kan uitlezen? En als ik dit op een andere site van mezelf evenzo doe? Dat is eigenlijk hetzelfde affiliate-URL trucje. En hoe zit het met het bijhouden van clicks via bv bit.ly links.. #paranoia

  22. Aha, als het zo gelegen is heb ik nog wel een paar elementen om over na te denken. 1. Hoe zit het met cms-en zoals wordpress, joombla enz? Dit laten ook cookie achter op de pc. Geen flauw idee waarvoor trouwens. 2. Hoe zit het met aanlog gegevens? Sommige sites zetten de username/cookie in een cookie op de pc zodat je de volgende keer niet hoeft in te loggen. Meestal moet je dan een boxje vinken waarin dat wordt gevraagd. Is dat voldoende? 3. Hoe zit het met session gegevens? Dit lijkt erg op een cookie maar wordt alleen gebruikt tijdens het surfen op een site en niet op de pc opgeslagen. A.d.h.v. een session weet een site b.v. of een gebruiker is ingelogd. Deze gegevens komen uit het interne geheugen van de PC. 4. Hoe zit het met Post en Get variabelen? Deze gegevens worden vaak hidden doorgegeven van de ene pagina naar de andere pagina om b.v. de affiliate door te kunnen geven. Deze gegevens komen ook uit het interne geheugen van de PC.

    Wie nog meer?

    In feite maakt deze wet het gebruik van internet onmogelijk…

  23. ‘cookie’ is omstreeks 1700 over gekomen uit Nederland en een afgeleide van ‘koekie’.

    http://taaladvies.net/taal/advies/tekst/40/

    3. Woordspecifieke redenen voor de keuze van het bestaan in de volgende gevallen:

    Een Engels leenwoord neemt het geslacht over van een naastgelegen Nederlands woord, als dat bestaat. Het gaat hierbij om de naastgelegenheid van het rechterdeel. Naastgelegen moet als volgt worden gepreciseerd:

    a De betekenis moet een zodanige overeenstemming vertonen dat ten minste een subset van de referenten samenvalt. Shirt en schort voldoen bijvoorbeeld niet aan deze voorwaarde.

    b Op voorwaarde dat aan (3a) is voldaan, speelt de vormovereenkomst een rol. Dat wil zeggen dat de klinkers mogen verschillen, maar dat de medeklinkers gelijk moeten zijn. Enkele uitzonderingen zijn daarbij toegestaan. Zo mag de Engelse gh in het Nederlands een ch zijn. (Let er wel op dat het bij samenstellingen steeds gaat om de gelijkheid van het rechterdeel.) Bijvoorbeeld: het pocketbook vanwege het boek, het clipboard vanwege het bord, het copyright vanwege het recht, het sciencepark, vanwege het park.

    Aangezien het ‘het koekje’ / ‘het koekie’ is zijn er m.i. voldoende overeenkomsten om te stellen dat het lidwoord in deze ‘het’ moet zijn.

    Staat voor mij nog wel open wat je doet met het zijn van een verkleinwoord. Koekie/koekje is in het Nederlands duidelijk een verkleinwoord (stam is ‘koek’). Toch weet ik niet of in het Engels ‘cookie’ ook als diminutive/verkleinwoord gezien mag worden, aangezien er niet echt een stam als ‘cook’ is. Als het in het Nederlands wel een verkleinwoord is maar in het Engels niet, weet ik niet of bovenstaande regel nog steeds geldt.

  24. @ Arnoud

    first-party Analytics tools (zoals Piwik)
    Verbazingwekkend hoe overal Piwik opduikt. Dat getuigt van enig gebrek aan kennis. Piwik plaatst inderdaad first party cookies, maar biedt zeer eenvoudig de mogelijkheid om third party cookies te plaatsen en vanaf je eigen server bezoekers over grote aantallen domeinen te volgen en te profileren. Advertentienetwerken en grote uitgevers zouden dit bijvoorbeeld kunnen doen. En dit is nu precies waar de werkgroep terecht tegen waarschuwt!

    De werkgroep verdeelt statistische cookies eigenlijk in drie groepen: – First party cookies waarbij de berekeningen plaatsvinden door de first party – First party cookies waarbij de berekeningen plaatsvinden door een third party – Third party cookies Bij de eerste groep ziet de werkgroep eigenlijk geen problemen. Bij de tweede groep ziet de werkgroep ook geen problemen, mits het technisch of contractueel zo is ingericht dat de derde partij die de berekeningen uitvoert de data niet voor eigen doeleinden kan gebruiken. Voor de eerste twee groepen pleit de werkgroep dan ook voor een extra uitzondering op de wet. Third party statistische cookies vindt de werkgroep een groter gevaar voor de privacy dan third party statistische cookies; je kunt hiermee namelijk cross-domain tracking doen. Het verschil tussen first party en third party statistische cookies is heel erg relevant en gelukkig erkent de werkgroep dat. De werkgroep spreekt ook terecht niet over de plek waar de gegevens worden opgeslagen. Dat is in dit Cloud tijdperk niet meer relevant. Als het eigendom van de data maar goed juridisch is afgedekt, evenals de toegang en beveiliging.

    Ik ga hier geen namen van statistische producten noemen, maar de kenners weten precies welk product in welke groep valt.

  25. Piwik profileert zich nadrukkelijk als privacyvriendelijk alternatief voor Google (en geef ze eens ongelijk, marketing opportunity eerste klas). Het is veel eenvoudiger om Piwik zo in te zetten dat je geen enkele privacyschending pleegt. Bij Google moet je uiteindelijk maar hopen dat de grote G geen rare dingen doet.

    En Piwik ís toch jouw groep 1? Je installeert het op je eigen site. GA is groep 2 in jouw indeling.

    Ik vind het verder prima als je namen noemt van betere pakketten, kunnen we allemaal iets van leren.

  26. Die marketing opportunity zie ik ook wel voor de juristen 🙂

    Piwik valt inderdaad in groep 1, mits je geen gebruik maakt van third party cookies. Dat die mogelijkheid zo gemakkelijk voorhanden is maakt het voor mij persoonlijk een risicovol product. Google Analytics valt in groep 2, mits ip adressen gemaskeerd worden en ingesteld als ‘do not share’. Dat GA geen mogelijkheid biedt om third party cookies te plaatsen maakt het risico voor mij beperkt. Uiteraard moet je kunnen vertrouwen op de afspraken die ik als gebruiker maak met Google, maar dat risico vind ik acceptabel, omdat het bestaansrecht van Google ligt bij de grote massa consumenten. Ze zullen vast hier en daar eens een (grote) fout maken, maar het is in hun eigen belang om geen slecht imago bij de gewone gebruiker te krijgen, want daar leven ze van. En zonder vertrouwen werkt niets. Ik moet Salesforce.com ook vertrouwen als ik al mijn klantgegevens in hun Cloud zet. En wat te denken van Financiële software en dataopslag in de Cloud? Allemaal veel risicovoller dan het opslaan van volledig anonieme webstatistieken lijkt mij. Sitestat plaatst een third party cookie. Vaak in combinatie met een cookie van scorecardresearch.com Omniture plaats default third party cookies, maar biedt de mogelijkheid voor first party. Deze lijst is uiteraard lang niet volledig, maar het zijn wel de meest gebruikte producten in Nederland.

  27. Je vindt Piwik risicovoller dan Google Analytics? Ik zou zeggen, ik kan zelf precies nagaan wat Piwik doet en het instellen zoals het hoort. En bij GA moet ik maar afgaan op wat Google me belooft (met in het achterhoofd hun ietwat aparte invulling van “persoonsgegevens” en “privacy”).

    Of bedoel je, als bezoeker moet je bij iedere site maar hopen dat ze Piwik netjes afstellen terwijl je bij Google maar één keer die beslissing hoeft te nemen? Ja, daar zit wel wat in.

  28. Jou zou ik nog vertrouwen als je Piwik gebruikt, maar een groot advertentienetwerk of een grote uitgever met tientallen of zelfs honderden sites niet.

    We moeten dus niet de kant uit dat we bepaalde producten wel of niet toestaan, daar is de consument niet mee gediend. We moeten duidelijkheid hebben over cookies en de bijbehorende privacy policies. De leveranciers van deze producten en de gebruikers ervan (website eigenaren) moeten dan maar zorgen dat ze daar aan voldoen. En we zouden de uitvoering van de wet al een stuk gemakkelijker maken als we onderscheid zouden maken tussen first party en third party cookies. Dat is namelijk echt relevant als het gaat om privacy. En daar was deze wet toch voor bedoeld? En dat is volgens mij precies wat de werkgroep probeert en persoonlijk vind ik dat veel constructiever dan wat er op dit moment in Nederland gebeurt.

  29. Rolf: GA kan ook makkelijk zo ingesteld worden dat Google de data mag delen over alle gebruikers. Dat je dit bij Piwik gevaarlijk noemt maar niet bij Google snap ik niet zo. Daarbij is het bij Piwik nog transparant als het een 3rd party cookie zet. Bij GA moet je maar vertrouwen op wat de webmaster je vertelt (Ja we hebben echt het vinkje aan staan dat Google het niet mag inzien)

    Tot slot, hebben de grote uitgevers niet net zo’n belang voor een goed imago bij het publiek? Ik denk zelfs meer omdat de concurrentie daar toch echt groter is en er voor veel Google producten (Adsense/Adwords/Zoeken) geen goede alternatieven zijn.

  30. @ N.P. Er zijn naast ‘do not share’ twee data delen opties: Met andere Google diensten die jij gebruikt (bijvoorbeeld om je Analytics te koppelen aan Adwords); dat heeft ook geen gevolgen voor de privacy, zeker niet als je ip-adressen maskeert. Aoniem delen met Google en derden ten behoeve van benchmarking. Bijvoorbeeld om je eigen statistieken te vergelijken met het gemiddelde in jouw sector. Heeft voor de consument ook geen gevolgen m.b.t. privacy. Zeker als je ip-adressen gemaskeerd hebt aan de bron dan is het qua privacy risicoloos. En dat maskeren van ip-adressen kun je wettelijk afdwingen. Heel gemakkelijk. Overigens zou ik het begrijpelijk vinden als de wetgever die tweede optie gewoon niet meer toestaat en dan moet Google het voor alle gebruikers uitschakelen.

    Het verschil met Piwik vind ik het third party cookie. Die optie bestaat niet bij GA. Maar als je bij Piwik ip-adressen niet opslaat vind ik het verschil met GA niet zo groot.

    Grote uitgevers zouden net zo’n groot belang moeten hebben bij het publiek, maar als ik zie hoe ze daarmee omgaan dan hebben ze dat vaak niet door. Kijk alleen naar het aantal irritante advertentievormen zoals popups, expandables en homepage takeovers. Daarmee jaag je bezoekers weg. Het is niet voor niets dat die vormen van adverteren bij Adwords niet zijn toegestaan.

  31. Kan ik ook over Google zeggen, kijk maar naar de targeted ads en de privacy foutjes die ik eerder al aanhaalde. Het probleem met Google is dat je niet echt ergens anders naar toe kan die een gelijkwaardig product heeft.

    Overigens zijn we het inmiddels redelijk eens over wat wel/niet wenselijk is en hoe dat op te lossen zou zijn. Het moet echter wel echt af te dwingen zijn met hoge boetes (10% van de jaaromzet?)

  32. Targeted ads via de remarketing functie van Google Adwords heeft niet zoveel met Analytics te maken. Maar het klopt wel dat hier een third party cookie voor nodig is en dus toestemming van de gebruiker. Advertenties die getarget zijn op content zijn niet privacy gevoelig. Persoonlijk vind ik dat ook de beste manier van adverteren; relevant bij de content.

    Het grote voordeel van Google vind ik dat je regels centraal kunt afdwingen bij Google en dan in één keer klaar bent.

    Geldboetes ben ik niet zo’n fan van. Daar zijn toch weer de kleine MKB-ers die niet goed geïnformeerd zijn de dupe van, terwijl de ‘grote jongens’ boetes gewoon kunnen incalculeren en dure advocaten kunnen inhuren. Misschien een bepaalde tijd de website offline met in de plaats daarvan een neutrale pagina met de mededeling dat deze website zich niet heeft gehouden aan afspraken over het waarborgen van de privacy van bezoekers? Een beetje zoals FOK het nu als protestactie doet, maar dan met een ander soort mededeling.

  33. De targeted ads waren een voorbeeld van dat Google ook z’n publiek niet serieus neemt (net als uitgevers met Pop-ups.

    De gevallen waar je het hier over hebt zal niet zo snel per ongeluk door een kleine MKB-er gedaan worden. Als je met Piwik bezig bent, zou je moeten weten waar je mee bezig bent.

    De site op zwart zetten kost natuurlijk ook geld dus verschilt niet zo veel met een boete (behalve het opvoedkundige effect voor de bezoekers) maar treft potentieel ook vele anderen. Als Google een weekje dicht moet, hebben heel veel sites geen inkomsten (adsense) of geen klanten (adwords/search).

    Om nog maar te zwijgen over een privacy schending van Android of Google Docs (heet dat nog zo?)

  34. Google biedt alleen de mogelijkheid aan van remarketing. De adverteerders bepalen hoe irritant ze dat inzetten. Met de juiste instellingen hoeft het niet irritant te zijn en werkt het perfect. Het probleem zit hem zoals vaak bij adverteerders of bureaus die het zonder nadenken inzetten en gewoon blijven doorgaan, ook als het niets oplevert. Stomweg sturen op grote aantallen ‘vertoningen’ bijvoorbeeld.

    Dat geldt ook bij Piwik. MKBers zijn voor dit soort dingen afhankelijk van bureaus en in dat wereldje lopen helaas heel wat cowboys rond.

    Maar even een slotvraag; geloof jij nog echt dat wij met zijn allen mobiel kunnen bellen en het internet gebruiken zonder iets van onze privacy op te geven? Dat is een gepasseerd station. Mensen moeten zich ervan bewust zijn en er goed mee omgaan. De wetgever moet misbruik voorkomen en de burgers waar mogelijk beschermen. Maar in deze context is het ‘bestrijden’ van het opslaan en analyseren van totaal anonieme website statistieken door de eigenaar van de site om zijn site te verbeteren voor de gebruiker een non-discussie. Dat gaat echt nergens meer over.

  35. Nee natuurlijk niet. Onze privacy stelt helemaal niets meer voor in de online wereld. Maar daarom is het juist goed om daar grenzen aan te stellen.

    Mijn telecom provider mag best mijn bel gegevens op slaan omdat ik snap dat ze dat nodig hebben voor hun dienst. Dat Android deze gegevens verzameld en dat niemand dat erg schijnt te vinden is mij een raadsel. Datzelfde geldt voor mijn surf gedrag. Mijn internet provider mag dat opslaan en ze mogen me zelfs een aanbieding doen voor sneller/langzamer internet als uit mijn gegevens zou blijken dat dat nodig is. Maar dat Google/FB/MS/Apple dat doet en mij dan relevante advertenties laat zien en een compleet profiel van mij op kan bouwen daar heb ik een probleem mee.

    Een aantal van deze partijen zijn zo enorm machtig en beschikken over zo veel informatie over ons dat misbruik echt op de loer ligt en dat moet nodig ingeperkt worden.

    De vraag is alleen hoe dat moet gebeuren. De huidige wet is duidelijk niet goed, ook ik ben het daarmee eens. Maar wat wel? Alleen een verbod op 3rd party cookies gaat niet voldoende doen.

  36. Ik snap dat cookies via affiliatelinks vallen onder de cookiewet. Immers het is een niet functionele cookie wat geplaatst wordt door de affiliatelink. Maar de vraag is wie er voor verantwoordelijk is?

    Is het de websitebezitter (want die plaatst de affiliatelink), is het het affiliatenetwerk (want die plaatst concreet de cookie) of is het de adverteerder want die geeft het affiliatenetwerk de opdracht?

  37. Piwik profileert zich nadrukkelijk als privacyvriendelijk alternatief voor Google (en geef ze eens ongelijk, marketing opportunity eerste klas). Het is veel eenvoudiger om Piwik zo in te zetten dat je geen enkele privacyschending pleegt. Bij Google moet je uiteindelijk maar hopen dat de grote G geen rare dingen doet.

    En Piwik ís toch jouw groep 1? Je installeert het op je eigen site. GA is groep 2 in jouw indeling.

    Ik vind het verder prima als je namen noemt van betere pakketten, kunnen we allemaal iets van leren.

  38. Ik kreeg laatst een mail met links daarin van de vorm: https://www.xyz.com Onderliggend ging de url eerst naar een mail tracking service in de form: http://x.com/track/click/id/www.xyx.nl?code, zonder dat een gemiddelde gebruiker dit ziet (niet zichtbaar in adresbalk). Ik kreeg bij navraag o.a. volgende antwoord:

    Door middel van de links en code in de mail houdt x (geen gratis reclame) statistieken bij als; is de mail aangekomen, hoe vaak wordt de mail geopend, op welke links worden geklikt. Deze statistieken worden gebruikt om de kwaliteitsscore te berekenen. De code is een nummer/id waaraan x de mail en het Mandrill account kan herkennen, zodat ze weten bij welk account de kwaliteitsscore aangepast moet worden.
    Ik heb hier om meerdere redenen moeite mee:

    1. Ik wordt “stiekem” naar een ander domein geleid. Dat voelt niet goed, maar is het verboden?

    2. Er wordt geen toestemming gevraagd (heel misschien heb ik die al ooit eerder ergens gegeven, maar dan als onderdeel van een algemenere overkomst).

    3. Het is ook een klein extra security risico: oorspronkelijke link betreft een inlog pagina

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS