Oh sjonge, optimaliseren van onze website is dus een boetewaardige cookietekst

De Franse privacyautoriteit CNIL heeft Google en Amazon een boete van respectievelijk 100 miljoen en 35 miljoen euro gegeven, las ik bij Nu.nl. Het boetebesluit is opmerkelijk omdat het gewoon recht voor z’n raap beboet wat veel mensen al lang zeggen maar bedrijven gewoon blijven doen: direct een tracking cookie zetten en ook nog eens in de cookiemelding alleen maar vage teksten als “By using this website, you accept our use of cookies allowing to offer and improve our services. Read More” te hanteren. Het blijft me verbazen, dat iedereen daar gewoon mee doorging.

Of nou ja, eigenlijk ook weer niet want iedereen doet het en er werd toch niet op gehandhaafd. Maar ik had denk ik wel ergens verwacht dat die vage teksten als “wij gebruiken cookies om uw bezoekerservaring te optimaliseren” wel zouden verdwijnen toen de AVG haar intocht maakte. Dat blijkt dus fors tegen te vallen.

De CNIL is de Franse toezichthouder, en legt dan ook de boete op voor de dienst Google.fr en Amazon.fr – aan de Franse dochter van Google en Amazon, omdat die daadwerkelijk in de EU gevestigd zijn. Zo concludeert men:

Therefore, the processing consisting of operations of accessing or entering information in the terminal of users of the Google Search search engineresiding in France, in particular for advertising purposes, is carried out within the framework of the activities of the company GOOGLE FRANCE on French territory, which is in charge of the promotion and marketing of GOOGLE products and their advertising solutions in France.
(Wat natuurlijk klopt, die Europese dochterbedrijven zitten er om advertenties te verkopen dus die tracking cookies draaien daar voor hún zakelijk belang. De juridische bedrijfsstructuur doet er dan gewoon niet meer toe.)

Maar dan de echte discussie, hoe moet je uitleggen wat je doet? Na eerst alleen maar “Beheer uw privacy klik hier” te hebben gehad, had Google bijvoorbeeld op zeker moment dit ingevoerd:

Google uses cookies and other data to provide, manage and improve its services and ads. If you agree, we’ll personalize the content and ads you see based on your activity on Google services like Search, Maps, and YouTube. Some of our partners also assess how our services are used. Click “More Info” to explore your options or visit g.co/privacytools anytime
Maar is dit genoeg? Nee, aldus de CNIL: hieruit haal je niet dat je gevolgd wordt over meerdere apparaten en diensten heen, dat sprake is van vérgaande personalisatie en vooral dat je dit alles kunt uitzetten. Ja, er staat “more info to explore options” maar dat is bij lange na natuurlijk niet een mogelijkheid om te weigeren. En laat de wet nu niet alleen een weigermogelijkheid eisen maar zelfs een vooráfgaande: je moet gewoon vrijelijk toestemming kunnen geven of niet.

Wie heel hard zocht, kon een opt-out mogelijkheid vinden. Alleen bleek daarbij dat daarna niet alle cookies daadwerkelijk werden verwijderd of op opt-out werden gezet, zodat het tracken vrolijk verder kon gaan.

Goed, en nu. Moet iedereen stoppen met die vage zinnen, en vooral met cookies plaatsen voordat mensen op ja hebben geklikt? Nou ja, wat denk je zelf. Maar ik weet ook wel dat de concurrent er gewoon mee doorgaat, dat deze zaak nog jaren gaat slepen en dat er dus bar weinig prikkel is om morgen over te stappen op een volledig compliant systeem. Dit is echt een probleem.

Arnoud

12 reacties

  1. Die cookiewet is al een heel naar compromis. Veel liever zie ik dat je gewoon via een paar standaard instellingen in je browser aangeeft wat je wilt, en dat bedrijven verplicht worden dit te volgen, en je niet blijven lastigvallen met irritante vragen als je het antwoord al weet. Ik gebruik nu een extensie, “cookies OK” om van al die irritante meldingen af te komen, en wis na elke sessie alle cookies (met een paar uitzonderingen die voor mijzelf handig zijn).

    Ik vraag mij af, als iemand de browser extensie “cookies OK” gebruikt, de website dan in overtreding is als zij deze niet bij-passed, om toch nog zo’n irritant toestemmingsformulier naar voren te brengen. En als zij dat niet is, waarom dan het gebruik van ingebouwde browser instellingen dan ook niet genoeg is? Wat als een browser cookies OK direct inbouwt?

      1. Cookies OK is natuurlijk een paardenmiddel, waarmee ik effectief hetzelfde resultaat als “nee” zeggen wil bereiken, maar zonder dat ik keer op keer wordt onderbroken door een irritante vraag, die ik altijd met “nee” wil beantwoorden, maar wat dan vaak leidt tot uitsluiting: vandaar ook dat er geen extentie “cookies NOT OK” is — want dan werkt de driekwart van de sites alsnog niet.

        Firefox heeft tegenwoordig “multi-account containers” die het tracken ook kunnen indammen, maar ook is dat van de zotte.

        Het liefst zie ik gewoon een intergraal verbod op het gebruik van persoonsgegevens voor advertenties om deze ellende de kop in te drukken.

        1. Jeroen, een verbod op gebruik van persoonsgegevens is er al in de EU, maar niet in de VS waar de meeste advertentiehandelaars zitten. Het verschil met wat jij voorstelt is dat het verbod niet absoluut is, maar dat de verwerker toestemming mag vragen voor gebruik.

          Ik heb niet de verwachting dat een absoluut verbod in de EU veel zal veranderen in de houding van bedrijven aan de Amerikaanse kant van de oceaan. Wat beter zal werken is een verbod aan EU partijen om zaken te doen met advertentieverkopers die zich niet aan de EU regels houden; dan tref je die advertentieverkopers in hun portemonnee.

          1. Mijn voorstel is inderdaad gewoon een absoluut verbod. Een verbod met optie tot toestemming heeft aangetoond niet te werken.

            En inderdaad, als we de handelaren buiten de EU niet rechtsreeks kunnen bereiken, dan moeten we gewoon de adverteerders hier aanpakken.

    1. Je hebt een goed punt, ik erger me daar ook vaak aan: Hoevaak moet ik nee zeggen voordat het duidelijk is dat ik nee bedoel?

      Is daar juridisch niet wat mee te doen, Arnoud? Een soort ‘belaging’ op grond van langdurig herhaaldelijk een vraag stellen waarop je het antwoord al weet?

  2. Poeh, wat een heftige boetes. Zoveelste symptoombestrijding. In de tussentijd moet ik het met add-ons en browserinstellingen zien te redden. Fascinerend wat voor trucjes ik al ben tegengekomen voordat ik tot een opt-out mogelijkheid kon komen. Van alle vooraf ingevulde vinkjes bij een cookiemelding moeten uitvinken (wat volgens het EU-Hof niet voldoet aan de regelgeving) tot aan een minuut moeten wachten voordat een website mij doorliet. Tijd voor effectievere handhaving hierop? De boetes gaan ze niet voelen, namelijk.

  3. m.b.t. de slotalinea. Nog jaren een probleem of nog jaren een melkkoe voor de overheid? Gewoon blijven handhaven en beboeten. Ofwel het gaat helpen ofwel de staatskas wordt gespekt zonder ons te belasten.

  4. Het is duidelijk dat de overheid niet ingrijpt, ik vermoed vooral om commerciële & (ambtelijke) controle belangen. Het Cookies-verbod zal worden gehandhaafd zodra er efficiëntere en betere methodes bestaan om ons te kunnen volgen en onze data te personaliseren. Ik heb geen fiducie in onze overheid. Pas als de overheid ook integer de consequenties trekt van haar eigen wetgeving zal er iets veranderen, maar ja, wij zien waar – bijvoorbeeld – de toeslagenaffaire niet naar leidt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.