Wat mag er nu de cookiewet wordt versoepeld?

cookie-bril.jpgHet voelt een tikje als verplicht nummer, deze blog, maar goed. De versoepelde cookiewet is aangenomen in de Eerste Kamer. Nu is het alleen nog even wachten op inwerkingtreding, maar dan zal het toegestaan zijn om niet-functionele cookies te plaatsen zonder toestemming te vragen zolang het gaat om cookies die “geen of slechts geringe” inbreuk op de privacy maken. Dus ook analytics, en tot mijn verrassing zélfs Google Analytics.

Al sinds de invoering heeft iedereen een hekel aan de cookiewet. Jammer ergens, want het was een goed idee, ze hadden alleen cookies uit moeten zonderen. Het principe is namelijk best sympathiek: geen data zetten op mijn apparatuur zonder mijn toestemming, en geen data uitlezen ook niet. Maar toen kreeg iemand het in zijn hoofd dat cookies ook ‘data’ zijn en toen zei iemand, dat is handig want cookies zijn privacyschendend en spyware en tracking en OMGWTFWBP daar moeten we wat mee. Vandaar.

Het idee was daarbij ook nog eens dat iedereen door de cookiewet zou denken “oei, toestemming vragen is moeilijk, laten we maar zonder tracking en zonder Analytics gaan werken”. Niet dus: dat werd de bekende domme oplossing van het de gebruiker vragen terwijl die geen idee heeft waar het over gaat. Binnen een mum van tijd stond het web vol met popups waar je een door een jurist opgestelde tekst (“Deze website wenst ‘cookies’ te plaatsen, conform artikel 11.7a Telecommunicatiewet is daarvoor specifieke, vrije en geïnformeerde toestemming nodig”) moest lezen en dan “ja” of “nee” kon kiezen. Hoewel vaker je alleen “ja” of je Back-button kon kiezen – de cookiemuur.

Na veel ophef, met name over cookiemuren bij de publieke omroep, is er dan toch gekozen voor een wettelijk compromis: je mag nu zonder toestemming cookies plaatsen die de privacy niet of slechts een klein beetje schenden én je dat doet voor het doel “informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij.” Analytics dus.

Ook die van Google? Nee, dacht ik altijd: Google is eng-Amerikaans en doet niet aan privacy, dus dat is meer dan “geringe gevolgen” voor de privacy. Bij dit wetsvoorstel is daar verder niet op ingegaan, maar recent publiceerde het Cbp een handreiking over hoe je je aan de privacywet kunt houden en toch Google Analytics kunt inzetten. Je moet vier stappen nemen:

  1. Accepteer het “Amendement gegevensverwerking” in je Analytics-account (‘Beheer’ > ‘Account instellingen’ en dan helemaal onderaan);
  2. Blokkeer het meezenden van volledige IP-adressen (ga('set', 'anonymizeIp', true);) en forceer als je toch bezig bent even SSL (ga('set', 'forceSSL', true););
  3. Zet het delen van gegevens met Google uit (‘Beheer’ > ‘Account instellingen’ en dan vier instellingen uitvinken);
  4. Informeer je bezoekers in een cookieverklaring of privacyverklaring over je gebruik van Google Analytics.

Hiermee is je gebruik van Google Analytics zo privacyvriendelijk mogelijk, en onder de Wbp is het dan oké via de “eigen dringende noodzaak”-uitzondering. En kennelijk vinden we het in die situatie dan ook oké om te spreken van een “geringe inbreuk op de privacy”, zodat je je popup weg kunt laten als je daarmee werkt.

Ga je mensen over meerdere sites heen tracken dan blijft de cookiewet van kracht: dat valt buiten het doel “informatie over kwaliteit of effectiviteit” en bovendien is dat écht wel een meer dan geringe inbreuk op de privacy. Hetzelfde geldt voor andere analytics-achtige tools waarbij je wél IP-adresgebonden informatie logt en analyseert.

Oh, en als je een instelling bent die op grond van de wet is opgericht dan mag je geen toestemming eisen voordat mensen op je site mogen. De Publieke Omroep werd hier een tijdje terug nog voor beboet, maar nu geldt het dus formeel voor álle openbare instellingen. Private bedrijven en organisaties mogen wel cookiemuren hanteren, omdat daar concurrentie voor bestaat.

Afijn. Ik ben benieuwd hoe dit in de praktijk gaat uitpakken.

Arnoud

21 reacties

  1. Private bedrijven en organisaties mogen wel cookiemuren hanteren, omdat daar concurrentie voor bestaat.

    Deze zin lezend vraag ik me af hoe het zit met mono-, duo- of oligopolisten. Al vermoed ik dat we daar in Nederland niet zo heel veel van hebben. Maar als ik voor een treinreis van Groningen naar Rotterdam de keus heb tussen reizen met NS, reizen met NS en reizen met NS, en voor de reizigersinformatie de keuze heb tussen ns.nl en 9292.nl, wat mag er dan wel en niet?

    1. Het onderscheidt wat Arnoud maakt is die tussen private bedrijven en bedrijven die op grond van een wet zijn opgericht. Nu sluit het één het ander niet uit maar de NS is (volgens mij) ook op grond van een wet opgericht.

  2. Het probleem is vooral dat ze niet gekozen hebben om te verbieden dat bedrijven personen volgen over meerdere sites op het internet en daarbij een profiel over hun surfgedrag vastleggen. Als ze dat nou hadden gedaan dan was het mogelijk geworden om op te treden tegen reclamebedrijven die enorm de privacy schenden.

  3. Ga je mensen over meerdere sites heen tracken dan blijft de cookiewet van kracht: dat valt buiten het doel “informatie over kwaliteit of effectiviteit”
    Een affiliate cookie geeft een bedrijf en hun affiliates goede informatie over kwaliteit en effectiviteit van de affiliate website. Sterker nog, dat is het enige doel van zo’n cookie. Mag dit nu wel of niet?

  4. Tja, volgens Panopticlick komt de User Agent van mijn browser slechts voor bij 1 op de 737.84 browsers, dus het anonimiseren van IP-adressen zet weinig zoden aan de dijk (iig niet voor de periode dat iemand dezelfde browserversie blijft gebruiken). En wie weet wat voor browser fingerprinting technieken Google Analytics nog meer gebruikt…

    In mijn optiek zouden third party cookies nooit onder de nieuwe uitzondering moeten vallen!

  5. Ik blijf het gek vinden om het “cookie-probleem” met wetgeving “op te lossen”. Het is toch zoiets als een schroef een muur in rammen met een hamer.

    De opslag van ongewenste informatie op de computer van de gebruiker (en, belangrijker, het (terug) ophalen van die informatie) wordt gefaciliteerd door de browser, en de gebruiker (die de belanghebbende is) kan zelf de browser uitkiezen.

    Misschien zou de overheid, in plaats van een wet, een keurmerk voor goede browsers kunnen maken. Bij browsers met plug-ins (zoals Firefox) zou er een lijst van “essentiële” plug-ins kunnen komen en een lijst van “schadelijke” plug-ins. De overheid zou ook zelf een plug-in kunnen (laten) maken voor meer doelgerichte cookie-checks. Ik zou er voorstander van zijn om zulke keurmerken en/of software niet verplicht op te leggen aan gebruikers.

    Browser-software kan het daadwerkelijke gedrag van websites monitoren en inperken, maar het kan natuurlijk niet zien wat het beoogde doel van dat gedrag was; daar kan de software geen onderscheid in maken. Bij “verdacht gedrag” zou de software deze beoordeling kunnen uitbesteden aan de gebruiker. Ik ben trouwens sowieso niet zo’n fan van beoordelen op basis van motieven/doelen, omdat die niet objectief zijn vast te stellen.

  6. Hetzelfde geldt voor andere analytics-achtige tools waarbij je wél IP-adresgebonden informatie logt en analyseert.

    Wat bij loggen zonder te analyseren, of alleen te analyseren voor beveiligingsdoeleinden (de gemiddeld geconfigureerde webserver)? Of als je unieke bezoekers telt door recente IP-adressen tijdelijk bij te houden (zonder daaraan gekoppelde data anders dan een tijdstip van bezoek)?

  7. Ik blijf het gek vinden om het “cookie-probleem” met wetgeving “op te lossen”. Het is toch zoiets als een schroef een muur in rammen met een hamer

    Dat is ook gek. Er is geen cookie probleem maar een probleem met privacyschending.
    Dat moet je dus oplossen door de privacyschending in te dammen.

    Dus bijvoorbeeld: – Geen tracking over meerdere websites toestaan – Geen gebruikersprofielen vastleggen met gegevens anders dan voor de diesntverlening van de site of dwettelihjke taken noodzakelijk is. – Geen indirecte methodes toestaan om bezoeker te identificeren tot een natuurlijk persoon (bv browserfingerprinting)

  8. Ik blijf het vooral jammer vinden dat de “coockiemuur” niet expliciet verboden is in de aangepaste wet, waarmee maar weer eens bewezen is dat Nederland (en de EU) geregeerd worden door lobbyisten…

    1. Waarom is dat jammer? Een commerciele partij mag toch gewoon zijn diensten aanbieden onder zijn eigen voorwaarden? Als je er maar duidelijk over bent wat je bijhoudt en er toestemming voor vraagt en de mensen de mogelijkheid geeft om een bewuste keuze te maken.

      Bij monopolies kan ik me nog iets van regulering voorstellen. Maar aan de andere kant kan ik me niet voorstellen dat een monopolie de deur voor concurrenten open gaat zetten met een cookie wall.

      En als de cookie muur niet zou mogen dan vereis je toch voor alles een account + ingelogd zijn? En bij de voorwaarden voor een account voeg je een privacy verklaring waarin staat dat ze info over jouw account gebruik opslaan en vragen toestemming. Niet eens-> geen account. Of mag dat dan ook niet meer? Jouw verbod betekent namelijk tevens indirect een verplichting om het hele internet maar open te stellen.

  9. Het raarste blijf ik vinden dat er geen rekening wordt gehouden met de grootte van Google, die de mogelijke schending van de privacy een stuk ernstiger maakt. (Ik kan niet zo ontzettendveel over mijn gebruikers te weten te komen door alles te loggen, maar Google kan dat wel, of iemand die met Google meekijkt, of (met) een andere echt populaire cookiesvreter.)

    Verder zou ik de wetgever graag iets willen zien zeggen over in hoeverre het evalueren van het gebruik van je product of dienst inderdaad als een noodzakelijk te achten voorwaarde voor het leveren van de dienst te zien is. Je kunt ‘dienst’ heel strikt opvatten, als het technisch aanbieden van de functionaliteit door de website: dat kan helemaal zonder zulke analyse. Je kunt het ook heel ruim opvatten, als het succesvol kunnen draaien van de geleverde dienst: daarvoor is analyse van het gebruik van groot belang. Al te strikt lijkt me niet redelijk, maar al te ruim zet de deur open voor willekeurig vage argumenten, bijvoorbeeld: die statistiekjes zijn zo mooi om te laten zien, dus dat levert ons veel goodwill op in de organisatie, en dan wordt onze dienst gunstiger beoordeeld, dus stijgen de overlevingskansen ervan, dus mag het.

  10. Voorpgesteld; deze cookiewet was én blijft een gedrocht. Dat gezegd hebbend moet het mij wel van het hart dat de afgelopen tijd mensen zoals Arnoud, maar ook veel anderen, hun energie vooral gestoken hebben in het verdacht maken van Google Analytics en het promoten van alternatieven zoals Piwik. Volledig onterecht en gelukkig heeft een serieuze organisatie als het CBP dat ook ingezien. Google is niet gebaat bij het structureel schenden van de privacy van gebruikers. Ik ben niet naïef en weet echt wel dat het af en toe toch gebeurt, maar niet structureel. Wie dat niet gelooft begrijpt het business model van Google niet. Maar ja, Google ‘eng’ noemen en dan ook nog even ‘amerikaans’ zeggen is tegenwoordig al voldoende om gelijk te krijgen zonder dat je steekhoudende en inhoudelijke argumenten hoeft te noemen.

    De massa is beter af met een goed ingestelde Analytics zoals het CBP beschrijft dan met een eigen en niet te controleren Piwik installatie bij grote commerciële uitgevers, verzekeraars of overheidinstanties.

    Gelukkig is het nu allemaal achter de rug en kunnen we weer verder. Degenen die zich de afgelopen tijd niet gek hebben laten maken trekken gelukkig aan het langste eind. En de belangstelling voor Google Analytics is groter dan ooit. O ja, en in Europa blijft het aandeel van Google als zoekmachine onverminderd extreem hoog (90 – 95%). Hoger dan waar ook ter wereld. Dus als we Google te machtig vinden dan hebben we dat vooral aan onszelf te danken.

    1. Rolf, de vraag is voor mij hier niet wat Google (of iemand die met Google meekijkt) al dat niet bewaart, want uiteindelijk weten we dat niet; de vraag is welke verantwoordelijkheid ik als website-beheerder op mij laad door Google (of iemand die met Google meekijkt) mogelijk te maken te bewaren wat ik ze doe toezenden, en hoe ik die verantwoordelijkheid (dus niet die van Google, maar die van mij) verantwoord, en volgens de wet, kan afdekken.

      1. Reinier, om met je laatste vraag te beginnen; de wet dekt dat inmiddels af. Google Analytics valt nu formeel onder de uitzonderingen waarvoor géén toestemming van de bezoeker nodig is. De reden is dat het “geen of minimale impact heeft op de privacy van de bezoeker”. Het CBP neemt daarvoor ook de verantwoordelijkheid en legt precies uit hoe je Analytics moet installeren om daaraan te voldoen. En daarmee is eigenlijk ook je andere vraag beantwoord. Of je moet het CBP niet vertrouwen, maar dat lijkt me sterk.

        Tot slot; ik zit vrij diep in deze materie en ben ervan overtuigd dat Analytics vrijwel geen mogelijkheden biedt voor Google om persoonlijke gegevens in te zien of op te slaan. Dat gebeurt eerder bij GMail en Google+ en daar geven de gebruikers dan zelf expliciet toestemming voor. Net als bij Facebook en LinkedIn. Wat mij betreft zouden webmasters én Facebook gebruikers zich drukker moeten maken om alle cookie plaatsende social media knopjes op websites en dan met name Facebook. Die bouwt een uiterst nauwkeurig profiel van iedereen op, puur op basis van simpele websitebezoeken. Dát is schending van de privacy die mede mogelijk gemaakt wordt door webmasters. Anonieme statistieken zijn dat wat mij betreft niet.

        1. Dat Google Analytics geen of minimale impact zou hebben op de privacy van de bezoeker vind ik ontstellend naief. Kijk eens (bv. met Fiddler) naar de inhoud en vooral de headers van de HTTP-verzoeken die door het opnemen van Google Analytics in je website van de browser naar Google worden gestuurd, en overtuig mij dan eens dat daar geen browser fingerprinting op te doen is – over cookies hebben we het dan nog niet eens.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.