Kun je wel cookietoestemming geven bij een cookiemuur?

cookiemuur-npoOh jee, de cookiewet is nóg erger dan we al dachten: “Van in vrijheid gegeven, rechtsgeldige toestemming is geen sprake” wanneer een website het geven van cookietoestemming verplicht, meldde het College bescherming persoonsgegevens tegenover Webwereld. Tenminste, als die site een “situationele monopoliepositie” heeft, zoals bij de Publieke Omroep die achter een cookiemuur zit. Maar eigenlijk, zo meldde de OPTA al tijdens het Grote Cookiedebat, is een cookiemuur sowieso niet helemaal in de geest van de cookiewet.

Nee, nergens in de cookiewet staat dat het mogelijk moet zijn om ook zónder cookietoestemming een site te bezoeken. In het algemeen is het immers ook zo dat je mensen mag weigeren je site te bezoeken, zonder opgaaf van redenen. (Hooguit zou dat níet mogen bij verboden discriminatie, ik mag geen vrouwen weigeren op deze blog bijvoorbeeld.) Dat mensen weigeren persoonsgegevens aan je te geven, kun je dus als grond aanvoeren om ze te weigeren.

Zou je denken. Want er is wel degelijk een tegenargument te verzinnen: persoonsgegevens afgeven kan niet zomaar, daar moet je “vrije, specifieke en geïnformeerde” toestemming voor geven. Niet zomaar “toestemming”, nee “vrije, specifieke en geïnformeerde”. Dat is een extra eis uit de Telecommunicatiewet en de Wet bescherming persoonsgegevens die in het gewone recht bij de rechtshandeling ’toestemming’ niet bestaat. En die eis is er met reden: persoonsgegevens raken aan je privacy, een grondrecht.

Het is dat ‘vrij’ waar het Cbp en de OPTA over vallen. Als ik zeg “cookies of opzouten” en jij wilt graag mijn content, kun je dan nog wel zeggen dat er ‘vrij’ toestemming is gegeven?

Bij een algemene site misschien, maar bij de Publieke Omroep niet, zo concludeert het Cbp. Die site heeft een “situationele monopoliepositie”, een term waar het mededingingsrecht doorheen schermt (maar dat mogen ze niet zeggen want dat is het terrein van de collega’s van de NMa). Het idee achter die term is dat je geen alternatief hebt voor de NPO site als je bv. gemiste TV-uitzendingen wilt terugzien, en als je geen alternatief hebt dan is een ‘ja ik wil’ per definitie niet in vrijheid gegeven.

Deze lijn doortrekkend levert op dat óók Facebook en Google geen cookiemuur mogen optrekken. Of, nog erger: dat Facebook je moet toestaan dat je pseudoniemen hanteert en je een opt-out voor targeted advertenties moet bieden. Eh. Wacht. Dán gaan er toch dingen even niet helemaal goed.

Ik snap de positie van het Cbp, en het ís ook de intentie van de cookiewet dat mensen niet zomaar cookies meer zetten, maar het levert wel een volstrekt onwerkbare situatie op.

Arnoud

41 reacties

  1. Volgens mij valt het Cbp er voornamelijk over dat de content van uitzendinggemist.nl gefinancierd is met publiek geld en dús publiek beschikbaar moet zijn. Daarnaast is de content van de publieke omroep alleen daar te zien.

    De vergelijking met FB en Google snap ik wel maar ik weet niet zeker of de uitspraak voor die sites hetzelfde zou zijn.

    1. Probleem bij het NPO is dat ze de cookies gebruiken om te meten waar het geld heen moet. Nu is dat natuurlijk geen argument om mensen te blokkeren. Als je niks weet over een bezoeker, dan verdeel je het geld dat voor die bezoeker staat toch gewoon ‘eerlijk’ over alle omroepen en afdelingen? Meen dat dat ook helpt voor de acceptatie van cookies 🙂

      “U moet toestemming geven voordat wij u gedrag kunnen meten met cookies. Nu kunt u deze toestemming natuurlijk niet geven, maar besef dan dit; we zullen uw belastinggeld, jawel UW GELD, dan eerlijk moeten verdelen over ALLE publieke omroepen. Ook degene waar u een hekel aan heeft of principieel op tegen bent. Maar dat is dan uw keuze geweest.”

        1. Helemaal mee eens. Er is echt nul reden om dit soort tracking met cookies te doen – daar zijn net zo simpel gewoon de access logs voor te gebruiken, en dan hoef je dus geen cookies te plaatsen. Ok, iets minder nauwkeurig, maar niet significant minder dan cookies zijn.

          Geen van mijn websites plaatst onnodige cookies: als er een login wordt gebruikt ergens, plaats ik een cookie om die login te kunnen opslaan (niet ingelogd is dus ook geen cookie) en niet meer dan dat. Snap niet helemaal waarom je ooit meer nodig zou moeten hebben…

          1. Server logs parsen wordt echter een stuk lastiger zodra je met meer dan Een webserver te maken hebt. Om nog maar te zwijgen over het feit dat alle bezoekers die achter een (bedrijfs of mobiele-) proxy zitten als 1 gebruiker worden geteld.

      1. Dat mag toch gewoon clientside via een cookie? Het probleem is niet dat je geen cookies mag gebruiken; je mag geen thirdparty cookies gebruiken. M.i. kan je best verklaren dat je een clientsidecookie gebruikt om viewcounts (anoniem) bij te houden.

  2. Wat ik nooit heb begrepen, is waarom wetgevers niet ook een best-practice maken als ze dit soort wetten introduceren. Je kan natuurlijk nooit alle mogelijkheden en gevallen afvangen met zo’n voorbeeld, maar het lijkt me een stuk beter dan achteraf klagen dat dit niet ‘de intentie’ van de wet is.

    Maak dan een uitgewerkt voorbeeld van de intentie! Je schept er een hoop duidelijkheid mee en je kan door de oefening directer zien waar bedrijven en websites problemen mee kunnen krijgen.

    1. De best practice is: Stop met tracking cookies! (Behalve waar het gaat om login en winkelwagen cookies.)

      Het probleem is dat er teveel sites (advertentienetwerken) zijn die vinden dat een internetgebruiker maar moet betalen met zijn privacy. Die sites hebben jarenlang de privacyregelgeving overtreden en vinden het niet leuk om nu met hun billen bloot te moeten.

      1. Daar gaat het niet om.

        Die tracking cookies worden gebruikt om op maat advertenties te kunnen aanbieden. Veel websites, en dan met name grote websites, kunnen gratis bestaan door reclame inkomsten.

        Dit was ook al voor vijftien jaar geleden bekend. Men deed er niets aan en nu dat het niet meer uit het dagelijks leven gehaald kan worden, gaat men nu opeens klagen. Iedereen wordt gevolgd: op internet, op straat, het surfgedrag op internet (de providers dienen immers het surfgedrag van de klanten te loggen en voor een bepaalde periode vast te leggen), in de winkels. En ga maar door.

        Dat men nu klaagt dat de internet gebruiker ongevraagd gevolgd wordt, is niet meer dan hypocriet. In de grote steden wordt men door camera’s compleet gevolgd. Door de OV-chipkaart kan de reiziger compleet gevolgd worden.

        Daarnaast zie ik dat onderhand iedere website die gebruik maakt van cookies de bezoeker informeert, terwijl dat helemaal niet hoeft. Ik beheer zelf diverse websites en ik maar bij die sites ook gebruik van cookies. Maar ik informeer de bezoeker er niet over, omdat het domweg niet hoeft. Het gaat daarbij alleen om cookies die de gebruikersnaam en wachtwoord opslaat en sessiecookies. En over die cookies hoef ik de gebruiker niet de informeren en toestemming te vragen.

  3. Volgens mij vergeet de OPTA en het CPB dat de simpelste en misschien beste manier voor de publieke omroep aan al die wetten te voldoen is gewoon de website uitzetten. Doe dat een week lang en eens zien wat er gebeurt.

  4. Voor Facebook en Google lijken me toch genoeg alternatieven beschikbaar lijkt me?

    Het lijkt me meer een probleem als alle nieuwssites een cookiemuur krijgen. Is dat geen limiet op de vrije nieuwsgaring om daar persoonsgegevens voor te vragen?

      1. Wellicht omdat geld gewoon een ruilmiddel is waar persoonsgegevens dat normaliter niet zijn? Is maar een ideetje, maar hoewel begrijpelijk gezien de handel in persoonsgegevens door allerlei bedrijven, lijkt het mij toch onwenselijk om ‘persoonsgegevens’ en ‘geld’ beide als ruilmiddel te zien.

  5. Vrijwel iedere site heeft een auteursrecht op zijn inhoud, en daarmee dus een “situationeel monopolie” op zijn inhoud… Zo ken ik er nog wel een paar. Die cookie wetgeving is een monument voor gecultiveerde domheid en onkunde waarvan er maar weinig in de wetsgeschiedenis zijn te vinden. (Doet mij denken aan de poging om pi bij wet gelijk te stellen aan 4 ergens in de VS in de 19de eeuw).

    1. Het merkenrecht geeft Nike ook een monopolie op “Nikes”, maar dat is niet zo erg want er zijn dozijnen andere schoenenfabrikanten, het gaat er om hoeveel alternatieven er beschikbaar zijn. (Of iets een alternatief is hangt van de functionele vraag af.) Waar het gaat om het lezen van nieuws zijn er voldoende alternatieven voor “nos.nl”, maar uitzending-gemist heeft een uniek aanbod… maar mag je de websites van de commerciële zenders als alternatief beschouwen? (Ja en nee, afhankelijk van je functionele vraag.)

      Wat ik buitengewoon irritant vind is dat ik, als belastingbetaler die meebetaalt aan de site, buitengesloten wordt omdat ik niet nogmaals wil betalen, dit keer met mijn privacy. First party tracking (voor eigen omroep.nl statistieken) vind ik niet erg, maar ik wordt niet graag door facebook of de advertentienetwerken gevolgd.

      1. MathFox, maar dat heb je helemaal zelf in de hand. Je kunt met je browser gewoon die cookies blijven weigeren, ook al heb je toestemming gegeven aan de site. (Of gaat een site je straks aanklagen omdat je toestemming hebt gegeven voor cookies, en ze dan toch niet laat plaatsen door je browser)….

        1. Als je browswer cookies weigert op nos.nl wordt je doorverwezen naar cookies.publiekeomroep.nl; na het accepteren van cookies daar kom je in een oneindige doorverwijzingslus terecht. Prima implementatie!

          (Ik denk aan het implementeren van een cookie-plugin die de optie biedt om (per cookie instelbaar) de waarde in de cookie te vervangen door een willekeurige andere waarde. Is dit computervredebreuk of legaal?)

          1. Ik denk dat een dergelijke plugin geheel legaal is, als je er netjes bij zegt wat hij doet. Hij zal waarschijnlijk in strijd zijn met de Terms of Service van bepaalde sites, maar dat lijkt mij de verantwoordelijkheid van de eindgebruiker, heeft weinig met computervredebreuk te maken.

          2. Incognito window van Chrome staat toch gewoon cookies toe? Zodra je echter het incognito venster sluit worden deze pas gewist. Je zou dus nooit in een oneindige loop moeten komen. Je moet alleen iedere keer als je incognito opent opnieuw moeten accepteren.

      2. Auteursrecht is een monopolie. Dat er een aantal economen zijn die dat niet vinden vanuit het perspectief van mededinging is een ander verhaal, maar zeggen dat er een alternatief is voor het lezen van Rushdie’s Duivelsversen als je wilt begrijpen waarom sommige groepen zo boos werden om dat boek is klinkklare nonsens. Daarmee moet je dus langs de kassa van Rushdie’s uitgever (of de bieb induiken).

  6. In het geval van NPO kan ik me nog iets voorstellen dat ze er niet echt voor kunnen kiezen om bezoekers te weigeren op grond van hun cookieweigering, maar het lijkt me toch een stap te ver gaan als dit ook gaat gelden voor sites door private instellingen.

  7. Het idee achter die term is dat je geen alternatief hebt voor de NPO site als je bv. gemiste TV-uitzendingen wilt terugzien, en als je geen alternatief hebt dan is een ‘ja ik wil’ per definitie niet in vrijheid gegeven.

    Maar dit geldt in bepaalde mate toch voor elke content-maker? Ik heb bijvoorbeeld geen andere mogelijkheid om Arnoud’s stukjes te lezen dan deze site te bezoeken.

  8. De aggressieve houding van website-eigenaren toont in elk geval aan dat de strenge Nederlandse cookiewet hoognodig was. Als een webwinkel als mediamarkt.nl je al simpelweg de toegang verbiedt zolang je hun cookies niet accepteert, dan weet je hoeveel het schenden van je privacy waard is (en hoeveel belang je moet hechten aan de mening van mensen die zeggen dat het allemaal wel meevalt, dat gevaar van cookies).

    1. Nu vraag ik me af: is die agressieve opstelling een bewuste keuze van de directie van zo’n bedrijf of een ijzerenheinige interpretatie van een IT-er of marketingmannetje dat niet buiten zijn eigen oogkleppen kan kijken?

      Oftewel, wil de Mediamarkt écht zo structureel en groots de privacy schenden, of zit er iemand in de lagere echelons die niet beter weet dan dat zijn statistiekenspeeltje onbruikbaar wordt en dan maar een cookiemuur verordonneert?

      1. Ik heb vergelijkbare reacties in de Verenigde Staten gezien op het standaard aan zetten van “Do Not Track” in IE. Een aanzienlijk aantal bedrijven verklaarde daar dat ze het recht moesten hebben om de privacy van willekeurige internetgebruikers te schenden. Het gaat dan voornamelijk om bedrijven die zelf geen waarde toevoegen, met name advertentieverkopers.

      2. Het probleem is niet zozeer dat je zelf als website privacy-schendend bezig hoeft te zijn, maar meer dat je niet kan instaan voor de eventuele 3rd-party content op je site, en de gevolgen van het moeten uitschakelen van dergelijke ‘includes’ wanneer een gebruiker geen toestemming geeft voor het plaatsen van niet-functionele cookies nogal ingrijpend kan zijn. Als website beheerder weet je feitelijk nooit zeker wat 3rd-party providers doen, dus de enige manier om aan de wet te voldoen – naast geen toegang geven – is dan om alle 3rd-party includes te verwijderen van de pagina. Uiteindelijk worden bezoekers daar niet happy van, maar de website beheerders ook niet want die kunnen ook geen reclame meer tonen in ruil voor ‘gratis’ content.

        Het is eigenlijk ook onbegrijpelijk waarom de uitvoering van deze wet wordt neergelegd bij de partijen die feitelijk weinig kunnen doen aan de privacy-schendende praktijken. Google, Facebook en advertentie-bozoos kunnen gewoon doorgaan met hun praktijken omdat de websites die gebruik maken van hun diensten nu toch wel voor de toestemming zorgen…

        Daarnaast is de grote fout gemaakt om dit niet op een technisch niveau (zoals Do-Not-Track-header) op te lossen waarmee de uitvoering dus ook volledig website-afhankelijk is geworden.

        Daarnaast stoor ik me mateloos aan de oplossingen van bepaalde grote Nederlandse uitgevers die duidelijk niet aan de huidige wet voldoen, maar die daarmee wel concurrentievoordeel daaruit halen. Ik mag toch hopen dat die eerdaags een leuke rekening krijgen van de OPTA 😛

  9. De situatie is alleen maaronwerkbbaar omdat er een dwangmatige neiging bij websites is ontstaan om mensen te tracken. Websites zou per definitie eigenlijk nooit personen moeten volgen op het internet. Dat is vanuit de privacy gezien volstrakt ongewenst. Daarom zou het ook wenselijk zijn als de overheid en/of de EU zou vastleggen dan websites altijd verplicht worden een Do Not Track header vanuit een bezoeker te honoreren en browser verplicht worden die ‘Do not track’ setting default aan moeten zetten en alleen door een expliciete opt-in aangezet mag worden.

  10. Laten we de situatie eens anders stellen: Als de bezoeker de cookies accepteert dan gaat hij naar de normale website. Indien de gebruiker cookies weigert dan gaat hij naar een mirror-site van de NPO die vele malen trager is, meer reclame bevat en lastiger te doorzoeken is. Ofwel, gebruikers ontmoedigen om cookies te weigeren door die personen met een slechtere website “af te straffen”.

    Zou dat wel mogen? 🙂

    1. Dit doet me denken aan de uitdrukking “maatregel van gelijke werking” die je soms in rechtspraak terugziet om een inperking op grondrechten aan te kunnen pakken. Het idee is dan dat als X verboden is, een maatregel die eigenlijk equivalent is aan X, ook verboden moet zijn. Zo is het bijvoorbeeld verboden om getalsmatige invoerbeperkingen op te leggen aan de grens. Een exponentieel stijgende invoerbelasting komt effectief op hetzelfde neer en mag dus ook niet, dat heeft “gelijke werking”.

      Iemand straffen met een trage site omdat hij geen X doet, komt op hetzelfde neer als hem verplichten X te doen.

      1. “Iemand straffen met een trage site omdat hij geen X doet, komt op hetzelfde neer als hem verplichten X te doen.”

        Late reactie, maar betekent dat dat Google ook voor de rechter kan worden gedaagd? Want ze maken YouTube namelijk bewust trager in browsers die niet op Chromium gebaseerd zijn: https://www.ghacks.net/2018/07/25/google-making-youtube-slower-for-non-chromium-browsers/ Dus dan straffen ze eigenlijk ook mensen af, want ze verplichten je dan eigenlijk een bepaalde browser te kiezen als je wél een snellere site wil.

  11. Bij een algemene site misschien, maar bij de Publieke Omroep niet, zo concludeert het Cbp. Die site heeft een “situationele monopoliepositie”, een term waar het mededingingsrecht doorheen schermt (maar dat mogen ze niet zeggen want dat is het terrein van de collega’s van de NMa).

    Enige idee waar het CBP dit argument gebruikt en niet gewoon de publieke functie van de site? Ik zou zeggen dat de publieke omroep, Belastingdienst, sites OV-maatschappijen en ministeries etc. ook zonder cookies te bezoeken moeten zijn en Facebook, Google etc. misschien met cookies.

    1. “Publieke functie hebben” is geen argument dat je uit een wet kunt afleiden. “Monopoliepositie misbruiken” doet denken aan het mededingingsrecht, dus dat geeft je argument een juridisch sausje.

      Bovendien, hoe definieer je dan “publiek”? Heeft Google een publieke functie? De facto wel, maar ze zijn “gewoon een bedrijf” uiteindelijk en die moeten helemaal niks met het publiek.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.