‘Cookiewet is duur en beschermt onvoldoende’

cookie-bril.jpgDe cookiebepaling die bepaalt dat websites om toestemming moeten vragen voor het gebruik van zogenoemde ’tracking cookies’, is duur en zorgt voor een hoop ergernis. Dat las ik bij Nu.nl. De basis is een onderzoek van Actal, het Adviescollege toetsing regeldruk. Niet alleen zouden bedrijven 74 miljoen euro kwijt zijn voor cookietoestemmingspopups, ook zijn consumenten 27 miljoen euro aan verloren tijd kwijt om dat allemaal weer weg te klikken. Eh, ja.

Ik blog al sinds de invoering over de cookiewet, en ben er eigenlijk nooit positief over volgens mij. Nou ja, behalve als hij kan worden gebruikt om andere dingen dan cookies (zoals Windows 10-preloads) tegen te houden.

Het probleem is fundamenteel. Kijk, dat je zegt, er wordt te makkelijk over de mensen hun privacy heengelopen en dat je daar wat aan wilt doen: prima. Dat je niet meteen het hele onlinemarketinggebeuren wilt verbieden, dat snap ik dan ook. Maar er is toch wel íets slimmers te bedenken dan een lap tekst opgesteld door een goedbedoelende jurist in combinatie met een verplichte okéknop?

Die browserinstellingen die Actal noemt, dat zou een betere oplossing zijn geweest ja. Maar goed, dan moet wel elke browser die instellingen ondersteunen natuurlijk, en dat is nog steeds niet (2016!) het geval.

Ergens bekruipt me ook steeds het gevoel dat we met deze implementatie van de cookiewet zitten omdat de webbouwers die de wet lazen, dachten dit is zó stom, dat zal ik ze laten voelen ook. In plaats van het als technische uitdaging te zien van hoe je kunt tracken binnen de geest van de wet op een manier dat mensen er geen last van hebben. Maar goed, dat is cynische donderdagochtendpraat.

Gaan we dit nu veranderen? Nee, natuurlijk niet. Nederland kan hier niets aan veranderen, de cookiewet is Europees en kan dus alleen door Europa worden veranderd. En die gaan dat de komende jaren niet doen; we hebben net een nieuwe algemene Privacyverordening die iets belangrijker is. Ja, dat is storend en jammer maar ik zie het echt niet gebeuren. Maar wat dan wel, dat weet ik ook niet.

Arnoud

31 reacties

  1. Die browserinstellingen die Actal noemt, dat zou een betere oplossing zijn geweest ja. Maar goed, dan moet wel elke browser die instellingen ondersteunen natuurlijk, en dat is nog steeds niet (2016!) het geval.

    Is dat zo? Als je third-party cookies uit zet, is het probleem toch opgelost? En dat al zeker tien jaar. Ze hadden al dat verspilde geld moeten besteden aan publieksvoorlichting. Nog steeds wordt in de media NOOIT die 3rd party instelling genoemd, want ook IT-redacties snappen er niks van en weten niks.

    In welke browser kan je 3rd party NIET uitzetten dan? En wordt die ook gebruikt? Waarom? Dan flikkeren we met z’n allen toch die browser de deur uit? Ofwel: voor wie ‘m toch gebruikt: eigen schuld, dikke bult.

    1. Third party cookies uitzetten verhelpt niet veel… De cookies bij een tracking-image of advertentie zijn “first-party cookies”. Ik adviseer een adblocker (of de requestpolicy plugin) voor een stukje privacy.

      1. Tracking images worden in 99 van de 100 gevallen van een ánder domein geladen dan de pagina waar ze in staan, en vallen dus onder de browser-regels voor third-party cookies. Dat neemt niet weg dat de browser ook zonder cookies nog genoeg informatie meegeeft om gebruikers te tracken (browserversie, plugins, schermgrootte, et cetera)

  2. Er is een plug-in voor Chrome, CookiesOK, die automatisch die plaagvraag herkent, en voor je wegklikt. Moet je volgens de cookiewet nu ook je website zo maken dat die ook doelbewust de werking van deze plug-in frustreert, en indien dat niet het geval is, waarom is dat dan anders dan als je de ingebouwde functionaliteit van browsers gebruikt om cookies te managen?

    Mag ik de cookie-plaag-vraag op mijn website zo maken dat er een derde optie bij komt, namelijk: stuur namens mij een email naar een willekeurig tweede-kamer lid om over deze onzin te klagen, en een keertje werkelijke zinnige wetgeving over privacy te maken.

    1. Moet je volgens de cookiewet nu ook je website zo maken dat die ook doelbewust de werking van deze plug-in frustreert
      Nee, door het gebruik van deze plugin ga je impliciet akkoord met alle cookies die door alle websites worden geplaatst.
      waarom is dat dan anders dan als je de ingebouwde functionaliteit van browsers gebruikt om cookies te managen
      De consument mag de browser zo instellen zoals hij wil, als cookies helemaal niet geaccepteerd worden, hoeft de website ook geen melding te tonen.
      Mag ik de cookie-plaag-vraag op mijn website zo maken dat er een derde optie bij komt, namelijk: stuur namens mij een email naar een willekeurig tweede-kamer lid om over deze onzin te klagen, en een keertje werkelijke zinnige wetgeving over privacy te maken.
      Ik denk dat dat mag, maar aangezien het een Europese wet is, een vrij zinloze exercitie.

  3. Ergens bekruipt me ook steeds het gevoel dat we met deze implementatie van de cookiewet zitten omdat de webbouwers die de wet lazen, dachten dit is zó stom, dat zal ik ze laten voelen ook. In plaats van het als technische uitdaging te zien van hoe je kunt tracken binnen de geest van de wet op een manier dat mensen er geen last van hebben. Maar goed, dat is cynische donderdagochtendpraat.

    Verklaar niet met kwaadaardigheid wat je ook met achterlijkheid kan verklaren. 99% heeft nooit goed gekeken wat de wet zegt, maar kopieert het incorrecte gedrag van de anderen.

    1. Als developer bouw ik het liefst een cookie-wall. Dat wettelijk wellicht niet nodig maar : 1) Vrij beschikbaar betekent niet zonder kosten. Dus als een website houder geld kan/wil verdienen met tracking beschouw ik dat als legitieme vergoeding voor gebruik van de site. Je betaald niet met geld maar met je gegevens voor de service. Als je dat niet wil, dan bezoek je de site maar niet. (verplichte overheidsites zonder ik uit van deze stelling, die sites betalen we al met belasting) 2) De wet IS stom. Dus hoe meer consumenten zicht irriteren hoe eerder deze wet weg is. Ministers zijn ook consumenten. Ik draag als developer dus graag bij aan die irritatie. Misschien niet de meest hoogdravende houding, maar dan had de consument maar moeten leren hoe het internet verdien model echt werkt ipv rare wetjes te maken.

      Niets komt voor niets

      1. De wet is er gekomen omdat consumenten zich niet realiseren hoeveel ze weggeven door tracking toe te staan, dwz. hoeveel de gegevens waarmee je ‘betaalt’ waard zijn.

        Dus door nu sec te zeggen dat je ‘met je gegevens betaalt’ en dat dat legitiem is, is op zijn zachtst gezegd naief en gaat aan het hele probleem voorbij.

        1. Je argument is wat mij betreft de omgekeerde wereld. Volgens jou redenering zou ik iemand dood kunnen rijden met mijn auto en kunnen zeggen dat ik niet besefte wat voor een effect de auto op de mensen om hij heen zou hebben.

          Er is een reden dat mensen een autorijbewijs moeten halen voor ze de weg op mogen. In mijn opinie zouden consumenten ook een “rijbewijs” voor de digitale snelweg moeten hebben. Dat mensen niet weten wat ze weggeven is geen excuus, net als de automobilist geen excuus heeft (volgens wet).

          Het echte probleem is echter dat mensen geen “rijbewijs” halen of nodig hebben voor computers en de informatie snelweg die wij het internet noemen. Ik vind dat hetzelfde als een wapen aan een kind geven. Voor een auto is een rijbewijs nodig, een apart bewijs voor zware machines. Voor wapens zijn er vergunningen, maar voor informatie is er niets en informatie is net zo goed een wapen in de verkeerde handen.

          Niet zorgen voor voldoende computervaardigheden bij de consument is het echte probleem en daar een lekkend verbandje om doen als een cookiewet of erger is pas echt naïef. Erger nog dat rot wetje houd op buiten de Europese grenzen behalve voor bedrijven die goodwill willen tonen aan de EU. Bijna net zo dom als het recht om vergeten te worden.

          1. Wow, straw man much? Die analogie slaat echt helemaal nergens op. Sterker nog, die is zo vergezocht dat ik er niet eens meer antwoord op ga geven. En het hele ‘internet rijbewijs’ argument hebben we ook al jaren geleden gehad en afgesloten, dus hou er eens over op zeg.

            1. Dit is een open forum, mijn mening is anders dan de jouwe. Kun je ook anders dan kleinerende antwoorden met “strawman” en “naief” geven. Het feit dat het argument voor een internet rijbewijs al een keer geweest is wil niet zeggen dat een probleem is opgelost. Elk apparaat komt met een handleiding met een indekking sectie voor de mogelijke gevaren van gebruik, waarom zouden we een computer niet zo benaderen. Het feit dat ze al gemeengoed zijn maakt niet uit, dat waren wapens ooit ook…. en America voert die discussie ook keer op keer.

              1. Ik leg het merendeel van de schuld bij de websitebouwers die door middel van “listige kunstgrepen” mijn privacy schenden of laten schenden door hun adverteerders. Daar helpt geen “internetrijbewijs” aan.

                Ik voel veel meer voor een wettelijke verplichting voor alle (op Nederland gerichte) websites om zich aan de privacywet te houden, met full disclosure van welke gegevens bijgehouden worden, hoe ze verwerkt worden; het verplicht bieden van een opt-out (Do not track). Dat alles inclusief third-party trackers op de website en om handhaving af te dwingen, een goede boete.

                1. Is er dan geen wettelijke verplichting voor websites en persoonsgegevens? Valt dat niet samen met dingen als WBP? In ieder geval waar ik werk 🙂 Dan zijn er ook nog op elke website van enige formaat privacy statements e.d. en veel grote bedrijven doen moeite om deze leesbaar voor leken te maken. Maar wie leest zo een lap tekst nou.

                  Ik lees vaak dat mensen het over de privacy schendende websites hebben als iets kwaads, maar er word nooit bijverteld hoe die veelal gratis toegankelijke sites zonder die gegevens verzameling (en verkoop) aan hun inkomsten moeten komen. Hoe het ook lijkt voor veel mensen, zeker hoog volume sites als nu.nl en tweakers.net en wikipedia enz. zijn niet bepaald zonder kosten voor hun eigenaren. Ik kan mij abonnementen als alternatief voorstellen, maar ik lever zelf liever wat privacy in voor vrije toegang tot diverse bronnen, dan dat ik beperkt wordt tot een abonnement op 1 nieuwssite. Bijna niemand zou meerdere abonnementen nemen, waardoor de diversiteit op het internet ook nog zou afnemen en kansen voor kleintjes verminderen.

                  Het internet rijbewijs is wat mij betreft niet bedoeld om je tegen foute karakters/sites te beschermen net als een auto rijbewijs geen garantie is tegen dronkenschap, huftergedrag e.d. van de autogebruiker. Het geeft mensen echter wel een nette basis kennis van omgaan met hun auto en neemt het excuus “ik wist niet dat” volledig weg. Voor een informatiemaatschappij is de algemene scholing op ict gebied bijzonder slecht. Leraren en leerlingen zijn schandalig digibeet. Kunnen in 90% gevallen geen onderscheid maken tussen internet, browser en computer zelf. Hoe verwacht men dan dat ze zichzelf redden? Je kunt niet voor alles een wet maken. Ik verwacht niet dat ze allemaal systeembeheerders of zo worden, maar een beetje basiskennis kan geen kwaad.

                  1. Er zijn wettelijke regels, maar die zijn niet af te dwingen tegenover buitenlandse partijen die zich niet op Nederland richten. Het probleem zit in op Nederland gerichte sites als nu.nl die advertenties tonen van buitenlandse advertentienetwerken die zich niet aan de Nederlandse wet houden. Daarmee wordt niet aan de (gerechtvaardigde) verwachting van een consument voldaan dat haar gegevens bij een bezoek aan een “Nederlandse” website conform de Nederlandse wet behandeld worden.

                    Ik hecht iets meer waarde aan mijn privacy en vind het onbehoorlijk als mijn gegevens zonder enige voorafgaande toestemming verhandeld worden. (Zelfs voordat ik de link naar de privacyvoorwaarden gezien heb!)

                    Eens met je opmerking over scholing, maar of er een Internetrijbewijs de oplossing is…

  4. Waarom zouden consumenten 27 miljoen kwijt zijn aan wegklikken? Als ik ’s avond op de bank aan het surfen kost het niemand geld als ik een paar keer moet klikken. En ik zou geen cent extra krijgen als ik niet zou hoeven klikken.

    Doet me een beetje denken aan de filekosten. Voor de meeste mensen is reistijd eigen tijd. In de file staan kost dan niets, maar betekent gewoon een uurtje later voor de buis.

    1. Het kost jou wel vrije tijd; dat is vrije tijd waarin je liever andere dingen had willen doen dan cookie-knoppen wegklikken. Je moet niet onderschatten hoeveel jouw vrije tijd waard is.

      Stel dat je helemaal vrij bent te kiezen hoeveel uur per week je werkt, met een gelijkblijvend uurloon. Bij meer uren verdien je meer, maar je houdt minder vrije tijd over. Wat is het aantal uren dat je kiest? Als je dan net zo veel uren kiest als je nu werkt, dan is jouw vrije tijd (in die situatie) voor jou blijkbaar (per uur) evenveel waard als de inkomsten uit een werk-uur: als het minder was, dan zou het slimmer zijn om meer uur per week te werken; als het meer was, dan zou het slimmer zijn om minder uur per week te werken.

      Je moet “waarde” hier niet zien als “hoeveel geld kan ik er mee verdienen?”, maar “hoeveel geld mag het me kosten?”. Het is een totaal-plaatje, waar al je voorkeuren bij komen kijken, niet alleen financiële voorkeuren.

  5. Heti s niet ingewikkeld. Je moet organisaties die internet diensten aanbieden gewoon verbieden om te gebruikers en gebruikersgedrag te volgen over verschillende websites heen en daar ook hoge boetes opzetten. Niet eenvoudig voor een land als Nederland maar als bijvoorbeeld de EU een dergelijke verordening instelt dan heeft dat wel veel impact. Bedrijven mogen dan binnen hun websites nog wel het gebruikersgedrag van hun klanten vastleggen maar deze gegevens dus niet combineren met het internetgedrag van die gebruikers op andere websites om daarmee bijvoorbeeld een profiel van de internetgebruiker te maken.

    De cookiewet was een flop omdat het niet de privacy beschermde maar een symptoom bestreed van de privacyschending op het internet en met name het tracken van gebruikers over allerlei websites heen en daarmee een gebruikersprofiel maken van internetgebruikers.

    En als je denkt dat dat moeilijk is op te sporen dan beloof je klokkeluiders gewoon 10% van de boete als ze bewijs aanleveren van de schending van een dergelijke verordening door hun (oud)werkgever.

    1. Ik ben het volledig met je eens maar wat is een website? Is dat afhankelijk van de domeinnaam, tellen subdomeinen daar ook bij? Hoe zit het met Google adsense, Maps of de facebook plugins die je op elke website tegenkomt? Mogen Google en FB op dat stukje wel de gebruikers volgen of telt alleen het domein wat in de browser balk staat?

      Ik denk dat het technisch heel moeilijk is om hier een goede afbakening voor te maken.

      Je kan ook stellen dat gegevens maximaal X weken bewaart mogen worden en daarna alleen volledig anoniem en geageerd opgeslagen mogen worden. Dat betekent dat een site alleen een profiel van iemand kan opbouwen op basis van die laatste X weken. Misschien nog steeds een inbreuk op de privacy maar wel beter dan de huidige situatie.

      1. maar wat is een website?

        Er zal vast wel iemand beter zijn in definities maar ik denk aan iets dergelijks: Het moet gaan om een collectie aan elkaar gerelateerde internetpagina’s die in een browser of app via een gelijkaardige URI benaderd kunnen worden.

        Hoe zit het met Google adsense, Maps of de facebook plugins die je op elke website tegenkomt?
        Als zo’n wet tegen het volgen van internetgebruikers er zou komen dan zouden gegevens verzameld over meerdere URI’s mogen dan dus door Google of Facebook niet meer tot 1 profiel gecombineerd worden of gekoppeld worden aan 1 persoon omdat de gegevens op verschillende websites zijn verzameld en je een persoon dus niet meer over meerdere websites heen mag volgen.

        De gegevens mogen dan nog wel wel op website niveau gekoppeld worden als iemand bijvoorbeeld herhaald een site bezoekt.

          1. Van Google en Facebook weten we dat ze het doen. Als we hAl’s idee volgen zou dat betekenen dat Nederlandse (of beter EUropese) websites geen “Like” buttons, Google maps of Google advertenties zouden mogen tonen, tenzij Google en Facebook hun dataverzamelpraktijken aanpassen.

  6. Misschien moeten ze bij de overheid wat minder wet-schrijvers en wat meer software-schrijvers in dienst nemen? Met browser-plugins voor een paar populaire browsers bereik je toch meer dan met zo’n cookie-wet?

    Natuurlijk zullen veel mensen niet zomaar overheids-software vertrouwen: er zouden zomaar “features” mee kunnen liften die wel door de overheid zijn gewenst, maar niet door de gebruiker. Ik denk dat wantrouwen op den duur wel weggenomen kan worden door het als goede open source software te ontwikkelen met een open developer community. “Open source” betekent niet alleen “je mag de broncode bestuderen” maar ook “je mag je eigen aanpassingen maken”. Het is wel des overheids om op zo’n punt de boel weer te verpesten met een rare, niet-open licentie; misschien doen ze het de eerste keer goed, misschien moeten ze eerst een keer hun vingers branden voordat ze het goed doen.

    1. Browser plugins beschermen alleen de internetgebruiker met voldoende kennis die begrijpen hoe websites hun privacy schenden en hoe ze zich daartegen kunnen wapenen. De overheid moet juist maatregelen nemen die iedereen beschermen. Ook juist zij die onwetend zijn hoe hun privacy geschonden wordt en die geen browserplugins gebruiken

      1. Ik ben het er niet mee eens dat de overheid iedereen tegen elk gevaar moet beschermen: dat zou, ook in dit geval, betekenen dat de overheid mensen tegen zichzelf moet beschermen, en dat leidt onvermijdelijk tot een verlies van vrijheid. Ik leef liever in een land waarin mensen zelf kunnen kiezen welke risico’s ze nemen. Vrijheid en risico’s zijn heel vaak onvermijdelijk aan elkaar gekoppeld, en ik wil in vrijheid kunnen leven.

        Het is wel schrijnend dat je een heleboel dingen tegenwoordig vrijwel alleen nog via internet kunt doen, terwijl veel mensen zichzelf niet goed kunnen beschermen op het internet. Ik zie hier wel een nut voor volledig dichtgetimmerde apparaten, die een certificaat van de overheid krijgen dat ze veilig zijn en goed veilig gehouden worden. Zulke apparaten kunnen niet veel vrijheid bieden, en het gebruik zou ook niet verplicht moeten zijn, maar het kan wel die mensen helpen die zelf weinig vaardigheden hebben, maar toch uit noodzaak van het internet gebruik moeten maken.

        Een midden-oplossing is een keurmerk voor in de winkel verkochte apparaten, dat de standaard-installatie van de software in ieder geval aan bepaalde standaarden voldoet. De eigenaar heeft dan zelf de vrijheid om het apparaat aan te passen, maar zolang ‘ie dat niet doet, is ‘ie veilig.

        Tot slot moet er natuurlijk onderwijs komen op het gebied van computerveiligheid. Er wordt al onderwijs gegeven op het gebied van bijv. elektrische veiligheid en verkeersveiligheid; voor computers zou het zelfde moeten gelden.

    2. Eh, ik mag aannemen dat u weet dat er tijdens het compileren/bouwen van de plug-in/extensie alsnog iets kan worden toegevoegd? Dat de code open source is zegt dan helemaal niks. Stel: ik bouw een auto voor iemand en laat diegene alle onderdelen zien die ik gekocht heb enzo zodat die persoon denkt dat ik volledig transparant (“open source”, om het maar even zo te noemen) ben. Maar dat verhinderd mij niet om stiekem iets in de auto te monteren tijdens het bouwen van de auto. Datzelfde geldt dus ook voor het bouwen van hetgeen u noemt.

      1. Eh, ik mag aannemen dat u weet dat je met behulp van de source zelf het programma kunt compileren. Dit komt overeen met de auto zelf bouwen, nadat je de onderdelen gekregen hebt. Ja maar, je kunt toch niet van iedereen verwachten dat ze de skills hebben om zelf een programma te compileren? Inderdaad, en daarom is het maar nodig dat een paar slimmeriken dat doen om vervolgens te kijken of het verkregen programma afwijkt van het door de staat ter beschikking gestelde programma (*). (*) we hopen maar even dat de Nederlandse staat het niet voor elkaar krijgt de compilers te compromitteren, zoals anderen wel is gelukt.

          1. Leuke academische aanpak van een probleem dat in de praktijk voor zover ik weet niet echt voor komt. Ik denk dat in de praktijk het probleem breder is: je moet als het ware het vertrouwen in een elektronisch systeem bootstrappen. Dat begint al bij de elektronica die je in de winkel koopt: hoe weet je dat daar geen backdoor in zit? Daarna software-installatie (incl. OS): wie heeft de software gemaakt, wie heeft het gereviewd, wie heeft het ondertekend en hoe controleer je dat? Hoe weet je hoe betrouwbaar die partijen zijn? Als je echt military grade beveiliging wilt, dan ben je wel even bezig. De gemiddelde (en ook de bovengemiddelde) consument kan daar niet aan beginnen.

            Gelukkig maken de meeste aanvallers van minder fundamentele, en dus makkelijker detecteerbare methoden gebruik; dit geldt zelfs (voor zover ik weet) voor de NSA. Ik denk dat digitaal ondertekende reproducible builds van veel-gebruikte open source software voor de (boven)gemiddelde consument wel veilig genoeg zijn.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.