De Europese Commissie wil de bestaande cookiewetgeving voor bedrijven aanpassen en lastige eisen schrappen. Dat meldde Security.nl begin deze week. Verheug je niet te veel; het is een van de vele, vele proefballonnen die de Commissie oplaat in het kader van de Digital Omnibus Act waarmee men “de regels wil versoepelen”.
De cookiewet is een bijzonder stuk wetgeving. Ze is er gekomen om online tracking aan banden te leggen, maar heeft het uiteindelijk juist alleen maar erger gemaakt. Want tracken mocht nog wel met toestemming, dus ging iedereen popups maken om toestemming te vragen. Sluweriken ontdekten trucs om meer akkoordkliks te krijgen, en daarna kwamen legitiembelanguitzonderingen en werd iedereen totaal cookiemoe.
En dat terwijl die wet eigenlijk geschreven was voor het opslaan en uitlezen van gegevens zoals ongevraagde installaties van software. Hier, een van mijn eerste blogs (2008, toen big data nog op dvd stond)
Een datacentrum in Groningen is juridisch hetzelfde als een cookie op een PC in Eindhoven, vindt de Artikel 29-werkgroep.Een cookie is natuurlijk ook “informatie”, maar ik blijf erbij dat deze regel nooit bedoeld was om online volgen te reguleren. Al in 2011 zag ik discussie over nut en noodzaak van opt-in, wat in 2014 leidde tot deze tirade waar ik nog steeds achter sta:
Ik zeg het wel vaker: wil je dat mensen geen gekke dingen doen met privacy of persoonsgegevens, dan maak je een wet die zegt: blijf met je rotpoten van andermans persoonsgegevens af. Vind je dat dat óók weer wat te ver gaat, dan ga je in de wet opnemen wat er wel en vooral wat er niet mag en hou je toezicht op de naleving. Wat je alleen vooral NIET moet gaan doen is zeggen: weet je wat, we gaan de burger opvoeden dat ze moeten lezen wat er gebeurt. En al helemaal niet met een popup of tekst die ze moeten accorderen waarna “het in orde is”.En die waarheid staat nog steeds als een zwerende koe, of hoe ging dat spreekwoord. Het blijft een verkeerde keuze geweest, dat cookiegebruik afhankelijk werd gemaakt van toestemming en dat de sector verder vrijelijk haar gang kon gaan.
Bij Politico meer informatie. Kennelijk is het idee om uitzonderingen voor “simpele” cookies te maken, zoals we in Nederland hebben met first-party analytics. Of om de cookieregels ‘gewoon’ uit de AVG te laten volgen, waardoor je met gerechtvaardigd belang mag tracken als je een mooi verhaal kunt maken hoe dat de privacy niet raakt.
Zoals Itxaso Domínguez de Olazábal? echter zegt:
… the law already makes an exception for cookies that are necessary to deliver a service people explicitly expect, such as remembering items in a shopping cart. “Expanding that category to include [other kinds of] ‘essential’ tracking is misleading, because it risks smuggling in analytics or personalization for adtech,” she added.Voor mij zou de wijziging vooral een signaalfunctie hebben. Aan de praktijk gaat het geen sikkepit veranderen.
Arnoud
Ha Arnoud,
Er staat in deze blog nog een conceptalinea onder je aftekening.
-edit Aangepast, merci
Maar de AVG voorziet toch ook in het toelaten van het verzamelen van persoonsgegevens als de gebruiker daar expliciet toestemming voor geeft?
Dan wordt de ‘cookiepopup’ uiteindelijk dezelfde popup met een andere tekst: “Omwille van de AVG verzamelen wij gebruikersgegevens om U een betere ervaring op onze website te geven.” Gevolgd door 8 A4’tjes aan juridisch Nederlands waar niemand doorheen gaat scrollen, en iedereen klikt gewoon op de grote groene “Rot op, ik wil gewoon de website zien!” knop (ofwel, de Akkoord-knop).
De AVG zou vooral meer moeten doen om naïeve gebruikers te beschermen tegen ondernemingen die daar misbruik van maken door cryptisch jargon in de overeenkomsten.
Grootste probleem is de enorme financiële belangen. Bij advertentieboer Google (zoeken en de rest is bijzaak) en bij de sites (trackervrij levert schijnbaar veel minder op zelfs bij iets als https://tweakers.net/plan/4126/tweakers-stopt-met-trackingvrije-advertenties.html)
Ongeacht de richting van de wet, er gaan vooraf lobbyisten morrelen aan de deur en achteraf gaan er olifanten- of geitenpaadjes gevonden worden:
Ik denk ook dat er in de huidige wetgeving meerdere logische fouten zitten. Bijvoorbeeld: noodzakelijk voor de gevraagde dienst: Hoe weet je van tevoren wat de gevraagde dienst is? En het is toch zeker de dienstverlener die de dienst ontwerpt, al dan inclusief advertenties/analytics? En dan strikt noodzakelijk: dat betekent geen nice-to-haves, volgens de toezichthouders. En de laatste EDPB guidance volgend, is alles wat een apparaat raakt een trigger voor 5(3). Dus ook bijvoorbeeld alle opmaak. Die is natuurlijk nooit strikt noodzakelijk, want je kunt ook een zwart-wit website maken. Al het andere is nice to have. En een toestemmingsscherm is natuurlijk ook nooit strikt noodzakelijk. Want als het dat wel was, dan had je de toestemming niet nodig…
Tamelijk extreem natuurlijk, maar wel wat er volgt als je de opgevoerde logica van toezichthouders volgt.
En een heel praktisch voorbeeld is natuurlijk dat toezichthouders vinden dat je beveiliging alleen vanuit het oogpunt van de gebruiker moet bekijken, niet vanuit het platform. Alsof de bank de bankrover toestemming moet vragen voor de beveiligingscamera’s. Gelukkig werd dit met de draft ePR eindelijk ondervangen.
En wat te denken van alle verwachtingen omtrent platformen die allerhande maatschappelijke risico’s moeten indexeren en misinformatie moeten bestrijden, maar ondertussen verteld worden dat ze absoluut niets aan statistiek mogen bijhouden…
Overlaten aan de AVG lijkt me een goede optie, alleen dan ben je wel erg afhankelijk van handhaving. Gestandaardiseerde uitzonderingen en technieken zoals het VK dat nu aan het implementeren is ook.
Als het noodzakelijk is om aan wettelijke verplichtingen te voldoen (en je ook niet verder gaat dan vereist) hoef je niets te vragen.
Dan nog: veel bezoekerstatistieken zijn toch puur serverside mogelijk, zonder enige ‘state’ bij de clients? Wat voor soort statistieken zijn voor de genoemde functies nodig die niet zonder tracking kunnen? En als wel tracking nodig (om niet-marketing- / niet-financiele redenen toch belangrijk om te weten of het dezelfde persoon is die over verschillende sessies terugkomt) dan kan de privacy-impact beperkt worden middels first ipv. third party cookies. Al kost dat wel euro’s zolang Google c.s. dat graag anders ziet.
Helemaal mee eens. Zegt u het maar, wat is noodzakelijk? Het probleem in de praktijk is dat je het als platform nooit goed doet. Echt niet. Damned if you do, damned if you don’t. Dát is waar alle bedrijven over klagen; ongelofelijke hoeveelheden regels, en een onmogelijk uitvoerbare praktijk.
Voor wat betreft server-side analytics: de gezamenlijke toezichthouders vinden in hun 5(3) opinion dat dat “gewoon” onder cookieregels valt.
Laats ons eerlijk zijn voor 99% van de websites is er geen probleem om zonder cookies te werken en slechts beperkte server side registraties te doen (bv. provider/land niveau).
0,5% zijn websites waar cookies (hoe dan ook uitgevoerd) noodzakelijk zijn (bv. een winkelwagen)
De overige 0,5% zijn een probleem en maken onvoorstelbaar veel lawaai omdat ze op deze wijze willen cashen.
Ik denk dat je met 99% aan de hoge kant zit, maar 90% is wel een redelijke inschatting. (Het hangt er vanaf hou je optionele cookies meerekent, die bijvoorbeeld na een login gezet worden of waarmee je een alternatieve layout of kleurenschema kunt instellen.)
Ja, die websites met 200 partners die allemaal een “gerechtvaardigd belang” hebben om (third party) cookies te zetten (plus 800 waarvoor je toestemming mag geven) mogen wat mij betreft aangepakt worden… Totdat ze goed aangepakt worden raad ik iedereen aan een adblocker te gebruiken.
Als je “third party tracking” wilt verbieden is een van de oplossingen het aanpakken van alle tussenpersonen, beginnend bij de uitgever van een website, eindigend bij de plaatser van de tracking cookie en alle advertentieplatformen die daar tussen zitten.
De eerste stap is de websites en tussenpersonen wettelijk aansprakelijk stellen voor het “toestaan van tracking door derde partijen op wijzes niet toegestaan door de AVG/GDPR”. Daarbij komt de regeling dat schade en boetes verhaald mogen worden op de directe contractpartij; of dat boetes opgelegd worden aan meerdere betrokken partijen gezamenlijk.
Deze regels moeten wel stevig gehandhaafd worden om effect te hebben, dus op zo’n manier geformuleerd worden dat handhaving geautomatiseerd kan worden. Als de pakkans groot genoeg is, hoeven de boetes (initieel) niet zo hoog te zijn. Onverbeterlijke herhaaldelijke overtreders moeten uiteindelijk wel streng gestraft worden.
In ieder geval de uitvoering moet veranderen. Laten we beginnen met de eis om eigen en derde gebruik expliciet te onderscheiden. Dan ook dat de site eigenaar ook werkelijk een contract heeft met elke derde partij (en mede-controller is). In principe zou eigen gebruik (zonder verkoop/transfer aan derden) zonder expliciete banner moeten kunnen (en natuurlijk cookies die geen persoonsgegevens bevatten – bijv. dag/nacht modus/kleurschema).
Wat je nu aan cookie bevestigingen ziet is volledig vanuit het advertentie model met 800+ “zorgvuldig” geselecteerde partners. Het duidelijk aangeven wat er gebeurd (“voor advertentiedoeleinden” is zeker niet het geval). Dus er moet werkelijk gehandhaafd worden of de wet versimpeld. Het gebruik van “gratis” analytics is m.i. niet te verantwoorden onder legitiem belang. De vraag is hoe kunnen advertenties wel gedaan worden?
Ten eerste moet 3e partij inhoud ingeperkt (want je kunt niet garant staan voor die 3e partij), en dan kunnen profielen in de browser gehouden worden, of bij elke website zelf. Dat je dan niet meer door advertenties gevolgd kan worden is niet echt een probleem – en als alle advertenties volgens dezelfde regels werken worden de adverteerders ook niet echt benadeeld.