Europa wil cookiewet wijzigen met pseudo-anonieme cookies

analytics-cookie.pngZelfs de makers van de cookiewet zijn er niet meer blij mee. Europarlementariërs pleiten ervoor cookies in te zetten die niet tot de persoon herleidbaar zijn, maar wel interessant zijn voor adverteerders, las ik bij Nu.nl. Concreet: Europarlementariër Seán Kelly presenteerde een voorstel voor “pseudo-anonieme cookies”, meldde Emerce. Data moet niet aan een persoon maar aan een activiteit gekoppeld worden, zodat je wel getarget kunt adverteren maar niet weet over wie het gaat.

De cookiewet is op zijn zachtst gezegd nogal een tegenvaller. Waar de wet bedoeld was om mensen de controle terug te geven over hun PC, werd hij uitgevoerd als “laat overal een irritante popup zien én dwing mensen ja te zeggen”. En dat terwijl er niet eens aan cookies was gedácht bij de eerste wetsvoorstellen: het ging over browserbalken, add-ons en spyware die niet meer stiekem mocht worden geïnstalleerd.

Op zeker moment is ook cookies deel geworden van die wet, en toen ging het ineens ook over privacy – hoewel de cookiewet zelf niet over privacy gaat. Waarschijnlijk dacht er ergens iemand, cookies gaan over privacy, privacy gaat over controle, dus laten we cookies in die wet frommelen dan hebben we dat óók geregeld. Plus, dan kun je meteen dat enge targeten en profilen reguleren.

Het concept van Kelly pakt het anders aan. Cookies moeten niet tot de persoon herleidbaar zijn, maar wel interesseprofielen samenstellen. Hoe ik me dat precies technisch moet voorstellen, weet ik niet. Ik vermoed dat het idee is dat een cookie alleen interesses vastlegt (roddelnieuws=0&tech=9&politiek=4 bij een nieuwssite) en dat er getarget wordt op basis van die interesses. Zo weten ze niet dat ík die techlovin’, politiekvolgende en roddelhatende nieuwslezer ben.

Hoe nieuw is dat? Cookies wérken min of meer zo, alleen zit het profiel dan in een database en bevat het cookie de sleutel om dat profiel te vinden (visitorid=123 in het cookie en 123:roddelnieuws=0&tech=9&politiek=4 op de server). Volgens mij is dat functioneel hetzelfde en hoe het eerste dan minder de privacy schendt, ontgaat me.

In Nederland wordt al een hele tijd gewerkt aan een geplande wijziging van de cookiewet, waarbij met name analyticscookies moeten worden uitgesloten van het toestemmingsvereiste. Er ligt nu een wetsvoorstel voor internetconsultatie, maar of dit het haalt én of dit standhoudt bij de Europese rechter, valt nog te bezien.

De insteek van Kelly lijkt me véél beter. Leg vast tot hoe ver bedrijven mogen gaan, verbied de rest en leg er stevige boetes op. Mensen kúnnen geen fatsoenlijke privacytoestemming geven, zeker niet bij het internetten waarbij je gewoon op dingen klikt enkel omdat je die pagina met kattenfilmpjes wil zien.

Arnoud

36 reacties

  1. Mensen kunnen prima privacytoestemming geven, maar 99% van de mensen vindt kattenfilmpjes nu eenmaal belangrijker dan privacy. En, als privacy te zwaar beschermd gaat worden zal het grootste deel van het internet achter een paywall verdwijnen.

    1. Dat waag ik dus te betwijfelen. Mensen kunnen prima lezen wat er in een privacyverklaring staat, maar dóen dat niet. En als ze om akkoord gevraagd wordt, dan geven ze dat zonder echt bij de consequenties na te denken.

      Mijn stelling is dat mensen er vanuit gaan dat “het wel goed zit”. De Albert Heijn dóet geen gekke dingen met die bonuskaart (dat mag niet, dat is onfatsoenlijk, de AH is een keurig bedrijf, dat soort gedachtes) dus ik kan ze prima mijn persoonsgegevens verstrekken. En wat leuk, ik krijg allemaal korting.

      Gaat de AH op zeker moment samenwerken met je verzekeraar in het kader van “Als je bonuskaart laat zien dat je alleen gezonde dingen koopt, dan krijg je 5% korting op je premie” dan gaat iedereen gillen dat dát niet mag. Maar je hebt er toestemming voor gegeven. Ja maar nee dát had ik niet bedoeld.

      Ik bedoel dus niet te zeggen dat mensen incompetent of dom zijn maar dat ze de consequenties niet overzien en/of verwachten dat die wettelijk ingeperkt zijn. Neem het Equens-verhaal van eergisteren: mensen verwachten niet dat je pintransactieboer zoiets doet. Dan kan het honderd keer in de AV van je bank hebben gestaan, of zelfs buiten de Wbp vallen want geaggregeerde data, maar dan nog worden ze boos. Het feit dat mensen er boos om worden, geeft aan dat ze het als een privacy-schending ervaren.

      En dan klopt er dus iets niet met het wettelijk mechanisme: als je toestemming geeft voor X, dan word je niet boos als men X gaat doen. Toch?

  2. Mensen kunnen prima lezen wat er in een privacyverklaring staat, maar dóen dat niet

    Ik denk dat de gemiddelde burger juist niet kan lezen wat er in de privacyverklaring staat. De gemiddelde lezer van dit blog kan dat prima want die heeft enige kennis van juridische zaken en/of techniek. Maar een normale burger (mijn ouders) die begrijpen echt niet wat er in die privacyverklaring staat en zeker niet wat de consequenties daar van zijn.

    Dit is vergelijkbaar met de financiele producten die mensen hebben aangeschaft. Een normaal iemand snapt alle voorwaarden en consequenties gewoon niet en komt er dus na jaren achter dat zijn product niet doet wat het in de grote letters beloofde maar alleen doet waarvoor gewaarschuwd werd in de kleine lettertjes.

    Het zou al helpen als de privacy verklaringen in vijf zinnen samengevat zou worden: – Wij verzamelen de volgende gegevens van u: ….. – Deze gegevens bewaren wij maximaal x periode waarna de gegevens verwijderd zullen worden/ Deze gegevens bewaren wij voor altijd. – Wij verhandelen deze informatie wel/niet met onze klanten en/of leveranciers zodat deze inzicht krijgen in uw gegevens en daarmee alles mogen doen wat ze willen. – De opslag van deze gegevens gebeurt in NL/US/… waardoor de wetgeving van dat land van toepassing is op uw gegevens en deze overheden toegang kunnen krijgen tot uw gegevens. – De verzamelde en opgeslagen gegevens zijn maximaal te herleiden tot een persoon/huishouden/internetverbinding/wijk/stad/regio/land/…

    1. Mensen kunnen prima lezen wat er in een privacyverklaring staat?

      Als ik niet beter zou weten, zou ik me afgevraagd hebben of je zo’n ding ooit gezien hebt. De gemiddelde privacyverklaring is compleet onbegrijpelijk. En dan ben ik nog hbo opgeleid. Wat denk je dat mijn moeder van een privacyverklaring vindt, zij die enkel ouderwetsch huishoudschool gedaan heeft? Of een lieve heel zorgzame vriendin van mij, die amper weet dat je goet goed fout gespeld hebt?

      Nee, dat de gemiddelde privacyverklaring goed leesbaar is, dat ben ik het niet met je eens, Arnoud.

      1. Oké, toegegeven, daar ging ik te kort door de bocht. Ik bedoelde vooral, mensen wíllen niet lastiggevallen worden door een jurist die op sonore toon privacygerelateerde zinnen gaat geven. En inderdaad is extra complicatie dat je er vaak maar nauwelijks wijzer van wordt. Het bekende “om uw gebruikservaring te verbeteren en de kwaliteit van de dienstverlening te garanderen”. Of “om u adequaat te blijven informeren over relevante uitingen van ons en zorgvuldig geselecteerde partners”.

  3. Ik ben het helemaal met Arnoud eens. Zorgen dat wat wettelijk mag dicht ligt bij wat mensen verwachten is het enige dat helpt om ‘normale’ mensen enige privacybescherming te geven. Het feit dat je zelf met je cookieinstellingen kunt klooien of Ghostery kunt installeren is geen “oplossing”.

  4. Waarom niet gewoon afdwingen dat websites verplicht ‘Do not Track’ header van browsers moeten volgen.

    Dus als die header aanstaat mogen sites en de daarop geembedde 3rd party site elementen geen tot een persoon traceerbare info vastleggen die buiten het domein worden gebruikt dat je op dat moment bezoekt.

    En bij browsers die door europeanen worden geinstalleerd eisen dat die header default aan staat of dat een keuze voor meer of minder privacy tijdens het surfen bij de installatie/1e gebruik van de browser aan de gebruiker wordt voorgelegd.

  5. Waarom ook niet meteen de “cookiewall” verbieden? Ik erger me dood dat sites zoals uitzendinggemist (nota bene een door de bahlastingbetaler gefinancierde site) niet meer bereikbaar zijn zonder de “lariecookies” te accepteren… Niet buigen voor commerciële belangen maar doen wat je moet doen, het VOLK vertegenwoordigen…

      1. Je kan ook prima een website exploiteren zonder uitgebreide profielen van je bezoekers te maken en zonder deze gegevens te verhandelen/delen met derden.

        Daarnaast zouden sites die gefinancierd worden met (semi) publieke middelen alleen strict noodzakelijke cookies mogen plaatsen en strict noodzakelijk gegevens mogen verzamelen. En met strict noodzakelijk bedoel ik dat de site niet meer zou werken zonder deze cookies en niet noodzakelijk om onze site te verbeteren of interessante reclames te laten zien, etc

  6. Vraagje: is het wegens die cookiewet dat de cookies van je blog niet goed meer werken? 🙂

    In ieder geval heeft de cookiewet nu tot het tegenovergestelde geleidt dan wat de bedoeling was. Nu klikken veel mensen gewoon meldingen weg omdat ze teveel worden geirriteerd…

      1. Goed punt. Misschien moet je vandaag gewoon een extra post aanmaken om de techneuten hier te vragen of ze met je mee kunnen denken over dit probleem. 🙂 Je wilt er immers niet de bestaande posts mee vervuilen. Of even bij StackOverflow hulp inroepen. 🙂

        De caching plugin zou het probleem kunnen veroorzaken door de expiry time aan te passen, maar dan zou ik verwachten dat alle cookies een korte tijd krijgen, maar het cookie voor de checkbox-status is wel een jaar geldig. De rest niet.

        Welke plug-in gebruik je eigenlijk? Misschien dat iemand weet of er problemen mee zijn…

        1. Ik heb inderdaad W3 Total Cache. Maar ik snap niet veel van die beschrijving, ik zie daar dat je de cookie expiry tijd op 10 seconden moet zetten en dat lijkt me nu juist niet de bedoeling. Dan onthoudt ie toch juist NIET wie je was?

          Wat is exact het probleem met de cookies? Foutmeldingen? Niet-onthouden informatie?

          1. Die site geeft aan dat het dus zo moet zijn anders werkt het cachen niet. Dus dat er geen oplossing is.

            Maar sinds versie 0.9.2.6 is er een nieuwe optie waarmee het wel zou moeten kunnen.

            Changelog: Added control for comment cookie lifetime

            Dus wellicht even updaten en dan kan je het fixen.

            Het probleem is nu dat ie je naam, email en website niet onthoudt en je dat dus telkens moet invullen als je een comment plaatst. Voor de wat meer frequentere reageerders is dat lastig maar zoals je ziet aan het aantal reacties niet onoverkomelijk 🙂

          2. Het probleem is dat “Naam”, “E-mail” en “Website” niet worden onthouden, maar het vinkboxje “Stuur me een mail bij nieuwe reacties.” weer wel. Als ik in Chrome de ‘Page info’ bekijk, en dan met name de cookies zie ik dat er 4 cookies zijn. Drie comment* cookies en 1 subscribecheckbox_* cookie. De eerste drie hebben een tijdstip van 30 minuten na mijn laatste reactie en de 4e een tijdstip van bijna een jaar in de toekomst. Het probleem treedt ook op bij Internet Explorer en ik heb het op zowel mijn desktop, als mijn laptop en mijn web server. Drie cookies zijn kort houdbaar en de 4e lang houdbaar.

  7. De hele cookiewet is onzinnig juist als het cookies betreft.

    Verbied juist het creëren van databases op ip-adres en browser fingerprinting in apparatuur van bedrijven, daar heb je als gebruiker geen invloed op.

    Cookies zijn een stuk veiliger en anoniemer, omdat de gebruiker erover gaat hoe lang ze houdbaar zijn. Gebruikers kunnen zelf cookies weggooien, elke keer als ze de browser afsluiten of überhaupt in site-preferences verbieden (alle of alleen 3rd party) of toestaan. Je ip-adres of OS verbergen of weggooien is een stuk moeilijker.

    De naam cookiewet is wel heel ongelukkig gekozen, het ging om veel meer en cookies zijn juist de minst erge vorm van mogelijke tracking en privacy schending.

    Je hebt als gebruiker toch een stuk meer invloed over wat op jouw computer staat opgeslagen dan wat zit opgeslagen in databases van anderen. Verbiedt ip-logging en browser fingerprinting en moedig juist het gebruik van cookies aan! 😉

    1. Je moet ook niet zozeer cookies verbieden als wel de tracking van personen waarbij van personen/IP adressen het surfgedrag wordt vastgelegd.

      Daarnaast zou je ook ng maatregelen kunnen nemen tegen het uitwisselen van persoonsgegevens door sites. Bijvoorbeeld dat sites alleen persoonsgegevens mogen door geven aan organisaties waarvoor expliciete toestemming is gegeven per organisatie. (dus niet aan ‘diverse partners’)

      1. Is het meer werk dan setup.exe opstarten, even op Next, Next, Next, Next, Finish klikken en dan verder browsen? 🙂 Maar het zou best kunnen dat er al webbrowsers bestaan die al automatisch TOR kunnen ondersteunen. Zo nieuw is het namelijk niet. Daarnaast moet je als gebruiker ook maar het knopje “Delete cookies on exit” weten te vinden, wat betekent dat je moet weten dat die feature sowieso bestaat. En hopen dat deze niet steeds uit wordt gezet bij iedere update van je browser. In Chrome heb ik deze niet gevonden, hoewel ik bij Chrome natuurlijk een igcognito window kan gebruiken.

        1. Zelf gebruik ik wel de Torbundle met gemodificeerde Firefox. Werkt goed. Overigens nooit gebruikt voor internetbankieren.

          Probleem van privatetabs is dat je steeds op de cookiemuur stuit. Privacygevoelige gebruikers worden juist extra gestraft door de cookiewet en een boel cookiemuren werken alleen met javascript, dus politici die roepen dat verdwijnende waarschuwingsbalken voldoen begrijpen het ook niet.

  8. Mensen kúnnen geen fatsoenlijke privacytoestemming geven, zeker niet bij het internetten waarbij je gewoon op dingen klikt enkel omdat je die pagina met kattenfilmpjes wil zien.

    Je moet eens proberen de factuur van je telecombedrijf in te zien zonder dat je cookies wilt toestaan. Kan niet. Cookies zijn geen keus.

    Laat ze lekker (visitorid=123) opslaan, gooi ik die cookie weg, en visitorid=123 zien ze nooit meer terug. Mijn ip-adres wel, en mijn browser fingerprinting ook. En ip-adressen worden ook overal opgeslagen, zo werkt de meeste antispam, en vast ook jouw WordPress.

    1. Volgens mij verwoordt DrikZwager in nette juridische termen de teneur van wat wij hier roepen. Don’t shoot the messenger: the cookie.

      Wat me wel stoort is dat ook hij het alleen over cookies heeft, waarom valt de cache niet onder de cookiewet? Met een expliciete HTTP opdracht slaan websites hier zaken op in mijn browsercache. Je zou kunnen zeggen: dat dient de communicatie, maar zonder cache werken websites ook, en aangezien je een cookie kan nabootsen met een speciaal geconstrueerd plaatje in de cache, kan je niet volhouden dat de cache UITSLUITEND dient om de communicatie over een elektronisch communicatienetwerk uit te voeren. De cookiewet is alleen al hopeloos vanwege de technische kanten, laat staan de juridische.

      Het beste zou zijn om internet te herschrijven en third party cross domain content te verbieden: alleen maar mogelijk om dingen te laden van het domein waarop je bent. Scheelt een boel privacy en security issues. 😉

          1. De toezichthouder OPTA maakt zich er niet druk over
          2. het wordt in geen der toelichtende stukken genoemd AFAIK
          3. buiten alle cookiemuren, die ik heb gezien wordt de cache volop gebruikt, dus voordat toestemming is gegeven Dat is verdedigbaar als je stelt dat de cache de technische opslag of toegang tot gegevens betreft met als uitsluitend doel: de communicatie over een elektronisch communicatienetwerk uit te voeren. Feit is dat de cache voor andere doeleinden gebruikt KAN worden, al zullen de meeste sites dat niet doen. Dan is de vraag of uitsluitend moet worden opgevat als onmogelijkheid voor misbruik, of als de wijze waarop een site er in de praktijk gebruikt van maakt. Dat is verdraaid lastig te controleren. Op z’n minst wonderlijk dat het in de discussie niet ergens als pijnpunt wordt vermeld.
  9. Het beste zou zijn om internet te herschrijven en third party cross domain content te verbieden

    Verdomd als het niet waar is, dat is precies wat de Content Security Policy (CSP) kan voorschrijven Als browsermakers dat nu eens instelbaar maken voor gebruikers, dan kan je simpel alle externe rommel weigeren 😉 Maar dat zal wel weer niet, vast alleen een header die door servers kan worden gezet.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.