Een lezer vroeg me:
Onlangs heeft een scholier in Oostenrijk bij zijn nationale toezichthouder (DSB) geklaagd én gelijk gekregen over het gebruik van trackingcookies in Microsoft 365 Education. De toezichthouder stelde dat Microsoft niet over de vereiste wettelijke grondslag beschikt om door middel van trackingcookies de gegevens van de scholier te verwerken en moet het hiermee binnen vier weken stoppen. Als ik me hier in Nederland op beroep, moet mijn onderwijsinstelling dan ook stoppen met mij tracken? Deze software zit vaak vol met verplichte trackers en rommel.Deze scholier, bijgestaan door het bekende noyb van Max Schrems, heeft inderdaad bij de Oostenrijkse Autoriteit Persoonsgegevens een uitspraak afgedwongen dat Microsoft deze minderjarige niet mag volgen. De grondslag daarvoor was niet zozeer de AVG, als wel de cookiewet (ePrivacy richtlijn) die veel strenger is en eigenlijk altijd toestemming eist, tenzij de cookies strikt noodzakelijk zijn voor de gevraagde dienst.
Tracking is in dat verband nooit noodzakelijk, want als je dat uitzet dan werkt je dienst nog steeds. Noodzaak wordt bekeken vanuit het perspectief van de gebruiker, niet van de dienstverlener. Dus “zonder tracking leren we niets en kunnen we als bedrijf niet verbeteren” is geen argument. En natuurlijk moet de noodzaak onderbouwd zijn, enkel roepen dat iemand dit wil vanwege een prettiger gebruikservaring is verre van voldoende.
Toestemming was niet gevraagd, kennelijk omdat men zich wilde beroepen op het eigen gerechtvaardigd belang. Het ging alleen om first party cookies en beperkte tracking binnen de eigen software. Dus dat beroep zie ik wel. Maar dat mag niet, want cookies kunnen alléén met toestemming geplaatst als ze niet technisch nodig zijn.
In Nederland is er iets bijzonders aan de hand: onze cookiewet bevat een nationale ‘kop’ die toestemmingsloze tracking toestaat “om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij”, zeg maar first-party tracking.
Vereist daarbij is dat “dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker”. Dat is in feite een wettelijk vastgelegde regeling van gerechtvaardigd belang.
Deze zaak zou in Nederland dus waarschijnlijk anders uitpakken bij dezelfde soort first-party tracking cookies zonder wezenlijke privacy-impact. Toestemming is niet nodig, want het gebruik is toegestaan binnen dat scherpe kader. Uiteraard moet de onderwijsinstelling wel kunnen onderbouwen dát de privacy niet of slechts gering wordt geraakt.
(Zelf heb ik altijd enige twijfels gehad bij of Nederland dit wel mág, die scherpe regel uit de Europese ePrivacy richtlijn zo afzwakken. Daar is nooit over geprocedeerd, en dat zal ook niet snel gebeuren.)
Arnoud
Hier zit wel een zeer lastige. Internet is stateless je moet mwt cookies werken om dat op te lossen. Het is “het technisch nodig zijn” zonder volledige tracking van het trackinggebeuren wordt her snel een welles/niets verhaal met weinig echte onderbouwing
Ik zie echt niet in wat precies zo lastig is. Ze moeten gewoon geen tracking-cookies zetten. Als cookies technisch noodzakelijk zijn voor de dienst, dan kunnen ze gewoon geplaatst worden zonder toestemming te vragen.
Bedrijven willen echter heel graag voor hun eigen voordeel allerhande andere cookies zetten. Voor tracking binnen de site zelf, adverteren, tracking tussen sites onderling en noem het maar op. De wetgever heeft gezegd “dat is prima, maar dan moeten gebruikers daarvoor expliciet toestemming geven”. Dat vinden die bedrijven niet leuk, en daarom zijn ze continue bezig om zichzelf in allerlei bochten te wringen om toch zonder toestemming allerlei tracking-cookies te plaatsen, en proberen ze alles wat ze maar bedenken kunnen om mensen zo ver te krijgen die “toestemming” te geven. Je denkt toch niet dat al die dark patterns, met grote groene knoppen voor “accepteren” en hele kleine slecht leesbare knopjes voor “afwijzen”, en armlange lijsten met schuifjes “gerechtvaardigd belang” die je uit moet zetten bij alle “betrouwbare en streng geselecteerde partners” (alle 871, stuk voor stuk streng geselecteerd) er zijn gekomen omdat die bedrijven zich graag netjes aan de wet willen houden?
Het is goed en hoog tijd dat het duidelijk gemaakt wordt dat bedrijven zich gewoon wel fatsoenlijk aan de wet gaan houden. Als dat betekent minder advertentie-inkomsten waardoor ze niet kunnen overleven dan is dat maar zo, dan hebben ze een niet passend businessmodel en moeten ze dat aanpassen. Een chemiebedrijf kan ook niet zeggen dat het niet in hun businessmodel past als ze stoppen met het lozen van gifstoffen in het oppervlaktewater, niemand zou dat accepteren. Waarom vinden nog steeds zoveel mensen het verdedigbaar als bedrijven dat argument gebruiken om tegen de wet in mensen te tracken? De M365 dienst van Microsoft is nota bene een commerciele, betaalde dienst. Die tracking is niet noodzakelijk om de dienst te kunnen leveren, ze bieden die aan voor een prijs en verdienen daar elk jaar miljarden mee.
Technisch gesproken zit er nauwelijks verschil tussen een sessie cookie (waarmee de website bijhoudt wie er op de website is ingelogd) en een (first party) tracking cookie waarmee een website kan bijhouden wat er tussen login sessies gebeurt.
Met een sessie cookie kun je bijhouden wat een gebruiker op de website doet, en dat is in veel gevallen gewenst (de vorderingen van een student bijhouden.) Datzelfde sessie cookie kan gebruikt worden als tracking cookie om bij te houden wat de gebruiker(s) van de browser op de website doen tussen uitloggen en weer inloggen. Bij first party cookies werkt dat alleen voor de website die de cookie uitgegeven heeft; je kunt niet magisch volgen wat de gebruikers op een andere website uitspoken.
In het algemeen zijn third party cookies, cookies die een website plaatst voor gebruik op een andere website een indicatie dat er tracking over meerdere sites plaats vindt. Maar het kan ook een technische reden hebben, bijvoorbeeld om de identiteit van de gebruiker via die derde website te verifiëren.
Samenvattend, het is niet makkelijk om aan een cookie te zien of die functioneel is of gebruikt wordt voor tracking, de intentie achter de verwerking op de server bepaalt dat. (Die 871 zorgvuldig geselecteerde partners komen ook bij mij niet door de giecheltoets.)
Als je expliciet uitlogt van de sessie (daar moet dan wel een uitlogknop voor zijn) en het sessiecookie is nog aanwezig, dan is het m.i. een trackingcookie.
Dat is wel heel kort door de bocht. Het netst is natuurlijk als uitloggen de sessie ongeldig gemaakt wordt (server side) én de cookie verwijdert (client side). Als het sessie-cookie na uitloggen blijft bestaan, maar technisch/functioneel niets meer doet, is het daarmee niet direct een tracking-cookie.
Je hebt “best practices” (Het koekje heeft een geldigheidsduur, wordt gewist als de browser afgesloten wordt, de server vraagt de browser het cookie te wissen, etc.) en je hebt programmeurs die ze niet volgen (gebrek aan kennis?). Het verschil tussen moedwil en incompetentie is niet makkelijk te zien.
Verkeerd geconfigureerde/behandelde sessiekoekjes kunnen gebruikt worden voor tracking, maar dat is een proces dat zich aan de webserver kant afspeelt. De gemiddelde gebruiker kan dat niet controleren.
Als een functionele sessie-cookie moedwillig of per abuis blijft staan, maakt het niet per definitie een tracking-cookie. Dat je als gebruiker niet kan zien wat er al dan niet alsnog mee gebeurt, maakt dat niet anders. Dat was mijn punt.
Waar blijft dat Europese tracking verbod waarbij we gewoon verbieden dat bedrijven burgers tracken. Het is gewoononzinnig dat we onze privacu moeten opgeven voor de reclame en voor ICT industrie