Is Google Analytics zonder toestemmingspopup legaal onder de nieuwe cookiewet?

cookie-bril.jpgDe Tweede Kamer is dinsdagmiddag akkoord gegaan met een minder strenge cookiewet, meldde onder meer Tweakers. Cookies die geen inbreuk maken op de privacy, zoals first-party analytics en affiliatecookies, zullen legaal worden als dit wetsvoorstel de Eerste Kamer overleeft. Waarbij de hamvraag natuurlijk is: mag dan Google Analytics ineens zonder toestemming te vragen?

Al sinds de invoering van de cookiewet is deze hoogst controversieel. Het idee dat een wet zou bepalen welke (tracking of andere) cookies je mocht plaatsen, was voor vele webmasters buitengewoon stuitend en dom. Al snel verschenen dan ook overal popups en vooral cookiemuren: geen cookies, dan geen site voor jou. Buitengewoon ergerlijk, vooral ook voor mensen die wél geven om hun privacy en daarom tracking cookies willen uitschakelen.

Na veel gedoe is er dan nu een wetsvoorstel door de Tweede Kamer geaccepteerd: cookies die “geen of slechts geringe” inbreuk op de privacy van de bezoeker maken en dienen om informatie te verkrijgen over kwaliteit of effectiviteit van de dienst, zullen buiten het toestemmingsvereiste vallen als dit voorstel wet wordt.

Wanneer maakt nu zo’n cookie “geen of slechts geringe” inbreuk op de privacy? Dat staat er niet letterlijk bij. Er is ook nooit gesproken over de Analyticsdienst van Google als zodanig. Verder dan dat dat “sommige” analytic cookies geringe privacygevolgen opleveren. Het moet dan gaan om first party analytics, en het is niet toegestaan de informatie voor iets anders dan analytics te gebruiken, je mag dus geen bezoekersprofielen of iets dergelijks verrijken met analyticsdata.

Googles dienst lijkt hieraan te voldoen. Echter, Google is strikt gesproken niet first-party: niet de website-eigenaar verzamelt de data maar Google. Formeel weliswaar in opdracht (‘bewerker’) van de website-eigenaar, maar Google wordt eigenaar van de analyticsdata en de website-eigenaar kan niet zien wat Google ermee doet.

Bovendien worden met de Google-dienst analyticsgegevens naar buiten de EU geëxporteerd. Dat is op zichzelf een niet-geringe inbreuk op de privacy, aangezien ze in de VS geen adequate bescherming van persoonsgegevens hebben. Daarmee zal Google Analytics dus niet voldoen aan “geen of geringe inbreuk op de privacy”. Een eigen first-party analyticstool zoals Piwik zou wel voldoen aan deze eis, mits je het maar houdt bij zuiver meten en statistieken bedrijven en de analyticsdata niet gebruikt om persoonsgebonden siteveranderingen door te voeren.

En ik erger me rot aan media die meldt dat “de cookiewet gewijzigd is”. Dat. Is. Niet. Zo. De Tweede Kamer heeft ja gezegd, maar de Eerste Kamer moet dat ook nog doen. En juist de Eerste Kamer is meer gespitst op de principiële aspecten van wetten, en hoe dit binnen Europese regels past. Het is dus zeer zeker geen gegeven dat de EK dit zal goedkeuren.

Arnoud

Gebruikers Google Analytics schenden Nederlandse privacywet

analytics-cookie.pngGebruikers van Google Analytics hebben volgens de wet een aparte bewerkersovereenkomst nodig, maar Google weigert dit, zo las ik bij Webwereld. In een onderzoek van de privacytoezichthouder naar persoonsgegevensverwerkende smart TV’s kwam ook voorbij dat je zo’n overeenkomst moet afsluiten als je met Google Analytics werkt. Niemand doet dat, sterker nog niemand kán dat doen want Google vindt dat er geen sprake is van een privacyschending.

Wanneer je het verwerken van persoonsgegevens uitbesteedt, heet die andere partij een bewerker. De verantwoordelijke bepaalt wat er gaat gebeuren en hoe (doel en middelen), en de bewerker voert dat uit. Dit is geschreven voor situaties waarin je bv. een bedrijf inhuurt om een papieren mailing uit te doen naar je relaties of om een stukje van je dienstverlening uit te kunnen besteden. Maar de definitie past ook prima bij een clouddienst: de cloudgebruiker bepaalt wat er moet gebeuren en kiest de middelen – de clouddienst – en de dienstverlener voert dat simpelweg uit.

De wet schrijft voor dat je verplicht een bewerkersovereenkomst moet sluiten tussen verantwoordelijke en bewerker. Hierin komt te staan wat de bewerker mag doen (en wat vooral niet), welke beveiligingsmaatregelen hij moet nemen en hoe de verantwoordelijke op een en ander toezicht houdt. Dat moet dus ook in de cloud, en daar gaat het al snel mis want geen hond (cloudhond?) die zich daaraan houdt.

Nu zou je zeggen dat een partij als Google dat eenvoudig kan fixen. Maak een standaard bewerkersovereenkomst, zet die naast de gebruikersvoorwaarden (hij mag er niet ín, het moet een aparte overeenkomst zijn) en klaar is Sergey. Maar nee, Googles bedrijfsbeleid is dat Google Analytics geen persoonsgegevens verwerkt en men herkent zich niet in de mening van het Cbp.

Je kunt je afvragen óf er wel persoonsgegevens worden verwerkt met deze dienst. Zoals Webwereld schrijft,

TP Vision gebruikt first party cookies in plaats van third party tracking cookies, verwijdert het laatste octet van alle IP-adressen voordat ze worden opgeslagen, heeft de optie ‘gegevens delen’ in Google Analytics uitstaan en maakt geen gebruik van Google AdWords en AdSense.

Dit is de best practice van hoe je zo privacyvriendelijk mogelijk Google Analytics inzet. Maar nee, aldus het Cbp:

Voor Google zijn deze gegevens op zichzelf persoonsgegevens. De toegepaste maskering van het laatste octet van het IP-adres leidt weliswaar tot verminderde herleidbaarheid (een groep van maximaal 254 verschillende gebruikers), maar er is, door de aanwezigheid van bijkomende gegevens als tijdstip en URL-referrers, gedurende de verzameling van de gegevens door Google, geen onevenredige inspanning nodig om het surfgedrag en appgebruik tot een individuele betrokkene te herleiden.

Het feit dat Google het kán herleiden maakt Analyticsdata dus persoonsgegevens, ook als Google via de uitstaande optie ‘gegevens delen’ belóóft het niet te doen. Tsja. Dan houdt het wel een beetje op inderdaad met dit soort diensten, want herleiden kán vrijwel altijd.

Exit Google Analytics? Nou, dat denk ik niet. Net als met de cookiewet gaat dit massaal genegeerd worden. Het Cbp kan het wel een “waarschuwing aan de hele branche” noemen maar zonder boetes en handhavend optreden is dat geen echt compliance-afdwingende waarschuwing.

Arnoud

Valt browser fingerprinten wel onder de cookiewet?

De cookiewet heeft eigenlijk een foute naam: het gaat niet specifiek om cookies, maar om alle gegevens die je uitleest of plaatst bij randapparatuur (computers telefoons etc) van bezoekers. Voor dat lezen en plaatsen is toestemming nodig. Omdat je bij device fingerprinting (of browser fingerprinting) allerlei gegevens uitleest, wordt aangenomen dat dit ook onder de cookiewet valt. Maar is dat eigenlijk wel zo?

Het idee achter de wet is dat de eigenaar van die apparatuur mag beslissen wat er op zijn apparaat gebeurt. Door toestemming te vragen, blijft de eigenaar in control. En het gaat dan zowel om opgeslagen gegevens die worden uitgelezen, als om nieuwe gegevens die moeten worden opgeslagen. Een app die je adresboek uitleest is immers net vervelend als een website die een zoekbalk (toolbar) wil toevoegen aan je browser. En ja, die twee vallen dus ook onder de cookiewet.

Device fingerprinting of browser fingerprinting is een herkenningstechniek waarbij de browser of het apparaat uniek herkend wordt aan de hand van allerlei instellingen en voorkeuren. Heel veel mensen gebruiken Firefox 13.0 op Windows 7, maar ik ben kennelijk toch uniek met mijn configuratie. Bij Panopticlick (een testsite van de EFF) hebben ze namelijk nog niemand anders gezien die mijn combinatie van browserplugins, tijdzone, schermresolutie, geïnstalleerde fonts en cookieinstellingen heeft.

Bij Browserspy is meer te lezen over wat er allemaal kan op dit gebied. Daarbij valt me op dat er eigenlijk twee soorten gegevens zijn: dingen die je browser meestuurt, en dingen die ze zelf verzamelen met een scriptje. Zo is zonder meer te achterhalen welke bestandstypes je wel en niet accepteert, maar moeten geïnstalleerde fonts worden gedetecteerd met Flash. Mijn schermresolutie wordt bepaald met Javascript.

En nu vraag ik me af: is er wel sprake van “uitlezen” van die bestandstypes? Want die website weet dat omdat mijn browser zo geprogrammeerd is om die elke keer mee te sturen. Dat is namelijk handig: dan weet de site wat ze wel en niet mag sturen. Net zoals de browserversie automatisch mee gaat, zodat ik eventueel een Firefox-specifieke pagina kan krijgen of op mijn pad de mobiele versie (dat ik dat irritant vind even daargelaten).

Dit is cruciaal want als je niet “uitleest” dan val je buiten de cookiewet.

We hebben bij een eerdere blog hierover gezien dat de minister heeft verklaard dat ook browser fingerprinting er onder valt. In de comments kwam toen een blog van Dirkzwager advocaten langs waar dit in twijfel werd getrokken. Want, inderdaad, lees je wel uit als een browser zelf gegevens meestuurt? Als ik zeg, “hoi ik ben Arnoud” achterhaal jij dan mijn naam? Ik zou zeggen van niet.

Maar wat moeten we dan met die opmerking van de minister? Het juridische spel is namelijk dat de minister eigenlijk altijd gelijk heeft bij dergelijke discussies. En als het niet letterlijk klopt wat hij zegt, dan mogen wij juristen gaan verzinnen hoe de wet zo te lezen is dat het figuurlijk of qua strekking toch klopt.

Als soort van compromis zou ik dan zeggen dat er sprake is van uitlezen als je als site zélf iets doet om gegevens te krijgen. Daarmee vallen de bestandstypes en de “referrer” header buiten de cookiewet, want die stuurt de browser zelf al mee. Maar ga je Flash- of Javascriptscriptjes sturen om zo extra dingen te weten te komen, dan is dat wél een vorm van “uitlezen” waar toestemming voor nodig is (tenzij het functioneel is maar dat even terzijde).

En met die aanpak is er dus ook geen toestemming nodig voor het uitlezen van cookies. Die worden immers vanzelf meegestuurd door de browser. Het plaatsen vereist wel toestemming natuurlijk.

Mag Google Analytics nog onder de cookiewet?

analytics-cookie.pngWeinig onderwerpen waar ik zó over platgemaild werd als de vraag “Mag Google Analytics nog als de cookiewet in werking treedt”. Analytics is een handige tool voor webmasters maar het perfide Google maakt er meteen ook gebruikersprofielen mee – én plaatst cookies. Wij hadden ooit een oplossing gevonden voor het profileren (anonimiseer het IP-adres) maar dat levert geen oplossing voor de cookiewet. Ik heb er uitgebreid over zitten peinzen en dacht eerst dat het wel moest kunnen, maar ik loop steeds vast op de tekst van de wet.

Je kunt, aldus Google, met Analytics werken zonder dat deze persoonlijke gegevens opslaat. Allereerst zeg ik daar meteen bij dat Google een geheel eigen definitie heeft van “persoonlijke gegevens”, kort door de bocht moet je naam en je adres erbij staan anders vinden zij het niet persoonlijk. Dat gaat lijnrecht in tegen de Europese privacyregels, die het al “persoonlijk” vinden als je er twee personen mee kunt onderscheiden, ongeacht of je weet welke personen het zijn. Het getal 461 is dus een persoonsgegeven – voor mij, want dat identificeert een klant in mijn klantenbestand (hoi Erik).

Maar zelfs als de Analyticsdata die wordt verzameld compleet geaggregeerd wordt en totaal niet naar individuele users te herleiden is (ok ok maar stél), dan nog helpt ze dat helemaal niets. Want cookie zetten is toestemming vragen, punt. First party, third party, persoonsgebonden of niet; compleet irrelevant. Behalve dus als het cookie strikt noodzakelijk is voor het goed functioneren/leveren van een dienst. De wet wil met één zin zowel cookies als dialers, toolbars en dergelijke meuk afdekken. Vandaar de brede bewoordingen. Een toolbar trackt op zichzelf niets (kan wel) maar het installeren van een toolbar vereist toestemming. En een cookie dus ook.

De standaardvoorbeelden van toestemmingsloze cookies zijn de houd-me-ingelogdcookies en de webwinkelwagentjescookies. Zonder die cookies moet je continu je wachtwoord invullen of kun je niet fatsoenlijk een serie producten in één keer bestellen, dus dat moet gewoon kunnen. Maar iedere meelezende techneut zal nu uitroepen “nou, noodzakelijk, noodzakelijk, dat kan prima op een andere manier hoor”. Maar omdat het de bedoeling is dat dergelijke cookies zonder toestemming gezet moeten worden, mag je “strikt noodzakelijk” dus lezen als “net zo noodzakelijk als een webwinkelwagentjescookie”. Leuk hè, rechten?

Hoe noodzakelijk is een cookie voor Google Analytics? Niet zó noodzakelijk, vond de minister in de Eerste Kamer:

Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.

Hm. Minder snel. Dus het zóu kunnen.

… voor diensten waarbij wordt ingelogd op een persoonlijk account, kan het noodzakelijk zijn om met gebruik van cookies te controleren of er niet met deze accounts wordt gefraudeerd.

Ook hier: nee, hij bedoelt niet “noodzakelijk” als in “geen andere technische oplossing is mogelijk”. (En nee ik weet ook niet hoe ik met een cookie -clientside info- kan controleren of een client fraudeert.) Waar het om gaat is of het cookie het belang van de gebruiker dient en dan ook alléén diens belang. Bij een houd-me-ingelogd-cookie of een rot-op-met-je-enquête-cookie is dat duidelijk. Maar bij Analytics? Wat heeft de bezoeker aan Analytics?

Iets later:

Wanneer van het gebruik van analytics cookies in een bepaald geval gezegd kan worden dat dit noodzakelijk is voor het goed kunnen functioneren van de door de gebruiker bezochte site, valt dit gebruik van analytics cookies onder de uitzondering in het derde lid van artikel 11.7a.

Soms voel ik me net een oude Griek die het orakel van Delphi moet duiden. Wanneer is aan de uitzondering voldaan? Nou, als aan de eis genoemd in de uitzondering is voldaan dan gaat de uitzondering op. Eh. Ja.

Goed. Welk nut heeft Analytics voor de eindgebruiker? Wat ik van Google lees, gaat alleen over de voordelen van de webmaster. Die krijgt mooie plaatjes met statistieken en kan op allerlei niveaus draaitabellen, filters en meerdere dimensies visualiseren. En ja, dat is leuk maar als eindgebruiker merk je niet of Analytics aan of uit staat. Het Analyticscookie draagt op geen enkele manier bij aan de dienst die de gebruiker afneemt en is ook niet in diens belang.

Ik ontkom dus niet aan de conclusie dat je voor Google Analytics écht toestemming nodig hebt onder de cookiewet. Ja, ook als je de IP-adressen anonimiseert en ook als je geen Adsense draait. Dat dat niet gaat werken, moge duidelijk zijn – maar wishful thinking of roepen dat je er geen last van hebt, is geen juridisch argument.

Arnoud