Kun je wel cookietoestemming geven bij een cookiemuur?

| AE 5089 | Privacy | 40 reacties

cookiemuur-npoOh jee, de cookiewet is nóg erger dan we al dachten: “Van in vrijheid gegeven, rechtsgeldige toestemming is geen sprake” wanneer een website het geven van cookietoestemming verplicht, meldde het College bescherming persoonsgegevens tegenover Webwereld. Tenminste, als die site een “situationele monopoliepositie” heeft, zoals bij de Publieke Omroep die achter een cookiemuur zit. Maar eigenlijk, zo meldde de OPTA al tijdens het Grote Cookiedebat, is een cookiemuur sowieso niet helemaal in de geest van de cookiewet.

Nee, nergens in de cookiewet staat dat het mogelijk moet zijn om ook zónder cookietoestemming een site te bezoeken. In het algemeen is het immers ook zo dat je mensen mag weigeren je site te bezoeken, zonder opgaaf van redenen. (Hooguit zou dat níet mogen bij verboden discriminatie, ik mag geen vrouwen weigeren op deze blog bijvoorbeeld.) Dat mensen weigeren persoonsgegevens aan je te geven, kun je dus als grond aanvoeren om ze te weigeren.

Zou je denken. Want er is wel degelijk een tegenargument te verzinnen: persoonsgegevens afgeven kan niet zomaar, daar moet je “vrije, specifieke en geïnformeerde” toestemming voor geven. Niet zomaar “toestemming”, nee “vrije, specifieke en geïnformeerde”. Dat is een extra eis uit de Telecommunicatiewet en de Wet bescherming persoonsgegevens die in het gewone recht bij de rechtshandeling ‘toestemming’ niet bestaat. En die eis is er met reden: persoonsgegevens raken aan je privacy, een grondrecht.

Het is dat ‘vrij’ waar het Cbp en de OPTA over vallen. Als ik zeg “cookies of opzouten” en jij wilt graag mijn content, kun je dan nog wel zeggen dat er ‘vrij’ toestemming is gegeven?

Bij een algemene site misschien, maar bij de Publieke Omroep niet, zo concludeert het Cbp. Die site heeft een “situationele monopoliepositie”, een term waar het mededingingsrecht doorheen schermt (maar dat mogen ze niet zeggen want dat is het terrein van de collega’s van de NMa). Het idee achter die term is dat je geen alternatief hebt voor de NPO site als je bv. gemiste TV-uitzendingen wilt terugzien, en als je geen alternatief hebt dan is een ‘ja ik wil’ per definitie niet in vrijheid gegeven.

Deze lijn doortrekkend levert op dat óók Facebook en Google geen cookiemuur mogen optrekken. Of, nog erger: dat Facebook je moet toestaan dat je pseudoniemen hanteert en je een opt-out voor targeted advertenties moet bieden. Eh. Wacht. Dán gaan er toch dingen even niet helemaal goed.

Ik snap de positie van het Cbp, en het ís ook de intentie van de cookiewet dat mensen niet zomaar cookies meer zetten, maar het levert wel een volstrekt onwerkbare situatie op.

Arnoud

Deel dit artikel

  1. Volgens mij valt het Cbp er voornamelijk over dat de content van uitzendinggemist.nl gefinancierd is met publiek geld en dús publiek beschikbaar moet zijn. Daarnaast is de content van de publieke omroep alleen daar te zien.

    De vergelijking met FB en Google snap ik wel maar ik weet niet zeker of de uitspraak voor die sites hetzelfde zou zijn.

  2. Wat ik nooit heb begrepen, is waarom wetgevers niet ook een best-practice maken als ze dit soort wetten introduceren. Je kan natuurlijk nooit alle mogelijkheden en gevallen afvangen met zo’n voorbeeld, maar het lijkt me een stuk beter dan achteraf klagen dat dit niet ‘de intentie’ van de wet is.

    Maak dan een uitgewerkt voorbeeld van de intentie! Je schept er een hoop duidelijkheid mee en je kan door de oefening directer zien waar bedrijven en websites problemen mee kunnen krijgen.

    • De best practice is: Stop met tracking cookies! (Behalve waar het gaat om login en winkelwagen cookies.)

      Het probleem is dat er teveel sites (advertentienetwerken) zijn die vinden dat een internetgebruiker maar moet betalen met zijn privacy. Die sites hebben jarenlang de privacyregelgeving overtreden en vinden het niet leuk om nu met hun billen bloot te moeten.

      • Daar gaat het niet om.

        Die tracking cookies worden gebruikt om op maat advertenties te kunnen aanbieden. Veel websites, en dan met name grote websites, kunnen gratis bestaan door reclame inkomsten.

        Dit was ook al voor vijftien jaar geleden bekend. Men deed er niets aan en nu dat het niet meer uit het dagelijks leven gehaald kan worden, gaat men nu opeens klagen. Iedereen wordt gevolgd: op internet, op straat, het surfgedrag op internet (de providers dienen immers het surfgedrag van de klanten te loggen en voor een bepaalde periode vast te leggen), in de winkels. En ga maar door.

        Dat men nu klaagt dat de internet gebruiker ongevraagd gevolgd wordt, is niet meer dan hypocriet. In de grote steden wordt men door camera’s compleet gevolgd. Door de OV-chipkaart kan de reiziger compleet gevolgd worden.

        Daarnaast zie ik dat onderhand iedere website die gebruik maakt van cookies de bezoeker informeert, terwijl dat helemaal niet hoeft. Ik beheer zelf diverse websites en ik maar bij die sites ook gebruik van cookies. Maar ik informeer de bezoeker er niet over, omdat het domweg niet hoeft. Het gaat daarbij alleen om cookies die de gebruikersnaam en wachtwoord opslaat en sessiecookies. En over die cookies hoef ik de gebruiker niet de informeren en toestemming te vragen.

  3. Vrijwel iedere site heeft een auteursrecht op zijn inhoud, en daarmee dus een “situationeel monopolie” op zijn inhoud… Zo ken ik er nog wel een paar. Die cookie wetgeving is een monument voor gecultiveerde domheid en onkunde waarvan er maar weinig in de wetsgeschiedenis zijn te vinden. (Doet mij denken aan de poging om pi bij wet gelijk te stellen aan 4 ergens in de VS in de 19de eeuw).

    • Het merkenrecht geeft Nike ook een monopolie op “Nikes”, maar dat is niet zo erg want er zijn dozijnen andere schoenenfabrikanten, het gaat er om hoeveel alternatieven er beschikbaar zijn. (Of iets een alternatief is hangt van de functionele vraag af.) Waar het gaat om het lezen van nieuws zijn er voldoende alternatieven voor “nos.nl”, maar uitzending-gemist heeft een uniek aanbod… maar mag je de websites van de commerciële zenders als alternatief beschouwen? (Ja en nee, afhankelijk van je functionele vraag.)

      Wat ik buitengewoon irritant vind is dat ik, als belastingbetaler die meebetaalt aan de site, buitengesloten wordt omdat ik niet nogmaals wil betalen, dit keer met mijn privacy. First party tracking (voor eigen omroep.nl statistieken) vind ik niet erg, maar ik wordt niet graag door facebook of de advertentienetwerken gevolgd.

  4. Het idee achter die term is dat je geen alternatief hebt voor de NPO site als je bv. gemiste TV-uitzendingen wilt terugzien, en als je geen alternatief hebt dan is een ‘ja ik wil’ per definitie niet in vrijheid gegeven.

    Maar dit geldt in bepaalde mate toch voor elke content-maker? Ik heb bijvoorbeeld geen andere mogelijkheid om Arnoud’s stukjes te lezen dan deze site te bezoeken.

  5. De aggressieve houding van website-eigenaren toont in elk geval aan dat de strenge Nederlandse cookiewet hoognodig was. Als een webwinkel als mediamarkt.nl je al simpelweg de toegang verbiedt zolang je hun cookies niet accepteert, dan weet je hoeveel het schenden van je privacy waard is (en hoeveel belang je moet hechten aan de mening van mensen die zeggen dat het allemaal wel meevalt, dat gevaar van cookies).

    • Nu vraag ik me af: is die agressieve opstelling een bewuste keuze van de directie van zo’n bedrijf of een ijzerenheinige interpretatie van een IT-er of marketingmannetje dat niet buiten zijn eigen oogkleppen kan kijken?

      Oftewel, wil de Mediamarkt écht zo structureel en groots de privacy schenden, of zit er iemand in de lagere echelons die niet beter weet dan dat zijn statistiekenspeeltje onbruikbaar wordt en dan maar een cookiemuur verordonneert?

      • Ik heb vergelijkbare reacties in de Verenigde Staten gezien op het standaard aan zetten van “Do Not Track” in IE. Een aanzienlijk aantal bedrijven verklaarde daar dat ze het recht moesten hebben om de privacy van willekeurige internetgebruikers te schenden. Het gaat dan voornamelijk om bedrijven die zelf geen waarde toevoegen, met name advertentieverkopers.

      • Het probleem is niet zozeer dat je zelf als website privacy-schendend bezig hoeft te zijn, maar meer dat je niet kan instaan voor de eventuele 3rd-party content op je site, en de gevolgen van het moeten uitschakelen van dergelijke ‘includes’ wanneer een gebruiker geen toestemming geeft voor het plaatsen van niet-functionele cookies nogal ingrijpend kan zijn. Als website beheerder weet je feitelijk nooit zeker wat 3rd-party providers doen, dus de enige manier om aan de wet te voldoen – naast geen toegang geven – is dan om alle 3rd-party includes te verwijderen van de pagina. Uiteindelijk worden bezoekers daar niet happy van, maar de website beheerders ook niet want die kunnen ook geen reclame meer tonen in ruil voor ‘gratis’ content.

        Het is eigenlijk ook onbegrijpelijk waarom de uitvoering van deze wet wordt neergelegd bij de partijen die feitelijk weinig kunnen doen aan de privacy-schendende praktijken. Google, Facebook en advertentie-bozoos kunnen gewoon doorgaan met hun praktijken omdat de websites die gebruik maken van hun diensten nu toch wel voor de toestemming zorgen…

        Daarnaast is de grote fout gemaakt om dit niet op een technisch niveau (zoals Do-Not-Track-header) op te lossen waarmee de uitvoering dus ook volledig website-afhankelijk is geworden.

        Daarnaast stoor ik me mateloos aan de oplossingen van bepaalde grote Nederlandse uitgevers die duidelijk niet aan de huidige wet voldoen, maar die daarmee wel concurrentievoordeel daaruit halen. Ik mag toch hopen dat die eerdaags een leuke rekening krijgen van de OPTA 😛

  6. De situatie is alleen maaronwerkbbaar omdat er een dwangmatige neiging bij websites is ontstaan om mensen te tracken. Websites zou per definitie eigenlijk nooit personen moeten volgen op het internet. Dat is vanuit de privacy gezien volstrakt ongewenst. Daarom zou het ook wenselijk zijn als de overheid en/of de EU zou vastleggen dan websites altijd verplicht worden een Do Not Track header vanuit een bezoeker te honoreren en browser verplicht worden die ‘Do not track’ setting default aan moeten zetten en alleen door een expliciete opt-in aangezet mag worden.

  7. Laten we de situatie eens anders stellen: Als de bezoeker de cookies accepteert dan gaat hij naar de normale website. Indien de gebruiker cookies weigert dan gaat hij naar een mirror-site van de NPO die vele malen trager is, meer reclame bevat en lastiger te doorzoeken is. Ofwel, gebruikers ontmoedigen om cookies te weigeren door die personen met een slechtere website “af te straffen”.

    Zou dat wel mogen? 🙂

  8. Bij een algemene site misschien, maar bij de Publieke Omroep niet, zo concludeert het Cbp. Die site heeft een “situationele monopoliepositie”, een term waar het mededingingsrecht doorheen schermt (maar dat mogen ze niet zeggen want dat is het terrein van de collega’s van de NMa).

    Enige idee waar het CBP dit argument gebruikt en niet gewoon de publieke functie van de site? Ik zou zeggen dat de publieke omroep, Belastingdienst, sites OV-maatschappijen en ministeries etc. ook zonder cookies te bezoeken moeten zijn en Facebook, Google etc. misschien met cookies.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS