Is een tracker in je e-mail legaal?

| AE 9290 | E-mail | 56 reacties

Een lezer vroeg me:

Ik krijg de afgelopen tijd veel emails met een zogenaamde email tracker. Dit houdt in dat de verstuurder precies kan zien door wie en wanneer zijn email wordt geopend. Dit is een redelijk beangstigend gevoel omdat ik niet weet wat er allemaal wordt bijgehouden door de verzender. Mag dat zomaar?

Email trackers zijn op zich niet nieuw, maar ze stijgen snel in de belangstelling. En nee, ze zijn niet legaal.

Het basisidee van e-mailtracking is dat je iets opneemt in het mailbericht dat je op afstand kunt uitlezen. Een bekend voorbeeld is een doorzichtige pixel opnemen die op een externe website staat. Als die pixel wordt opgehaald, dan moet dat wel zijn omdat de ontvanger het mailbericht ging lezen en zijn mailprogramma die afbeelding meende nodig te hebben.

Steeds meer maildiensten werken met HTML, en je kunt dan zo ongeveer een complete webpagina met alles erop en eraan opnemen. Inclusief tracking scripts, cookies of wat je maar wil. Zo kun je dan bijvoorbeeld uitlezen wat voor mailprogramma iemand gebruikt, hoe lang hij de mail leest, of hij op links klikt en ga zo maar door.

Dit is dus waar de cookiewet tegen bedoeld is. E-mailtrackers vallen onder het wettelijke begrip “gegevens opslaan of uitlezen” van andermans computer of telefoon. Of je dat nu doet vanuit een website of via een mail doet er niet toe. Zodra je gegevens wilt opslaan of juist wilt ophalen van iemands computer, zegt de cookiewet dat er toestemming voor nodig is.

Op een website is dat simpel, althans in theorie: een popupscherm of kadertje waarin wordt uitgelegd wat cookies zijn, en een knop om wel/geen toestemming. In de mail is dat veel lastiger, want volgens mij kunnen mailprogramma’s niet zomaar die dingen laten zien. Dit nog afgezien van dat daar de cookies en tracking scripts al worden gezet voordat je op ‘ja’ zou kunnen klikken, wat sowieso niet mag van de cookiewet. Dus nee, die dingen zijn niet legaal.

Arnoud

Facebook mag niet-ingelogde internetters in België weer gaan volgen

| AE 8766 | Privacy | 22 reacties

facebook-vind-ik-stomFacebook mag niet-ingelogde Belgische internetters weer twee jaar gaan volgen met een datr-cookie, meldde Tweakers vorige week. In 2015 verbood de rechtbank dit volgen op verzoek van de Privacycommissie (de Belgische Autoriteit Persoonsgegevens), maar dat verbod wordt nu ongeldig verklaard omdat er onvoldoende spoedeisend belang zou zijn geweest.

Facebook weet alles van iedereen, onder meer omdat heel veel websites zo’n handig “Vind ik leuk/Deel dit”-knopje hebben opgenomen met door Facebook aangeleverde scripting. Dat knopje zet cookies en stuurt informatie door over de bezoeker, ongeacht of die persoon ingelogd is op Facebook of zelfs maar een Facebook-account hééft.

Dat gaat een tikje ver, en zeker onder de Europese cookieregels lijkt me dat niet in de haak. Om cookies te mogen zetten, moet toestemming zijn gegeven. En die Facebookwidget doet dat niet. Daarmee overtreedt men dus de cookiewet. En daarom besloot eind 2015 de Belgische rechter in kort geding dat dit onmiddellijk moet stoppen.

Facebook ging in hoger beroep, en won op een formeel punt: zij doen dit al sinds 2012, en de rechtszaak kwam pas in 2015, dus hoezo is er dan nog spoed bij deze zaak? En ja, dat is een argument want in kort geding gaat het allemaal even wat sneller en dus minder grondig, en dat doen we omdat er zulke grote spoed bij is dat we niet kunnen wachten op een bodemprocedure. Blijkt er dus geen grote spoed te zijn, dan moet de rechter in kort geding de eis afwijzen en de partijen naar de bodemrechter verwijzen. En dat is wat hier is gebeurd.

Ergerlijk, maar het betekent niet dat Facebook dus legaal is. Ik kan eerlijk gezegd geen enkel argument bedenken waarom dat zo zou zijn. Facebook roept dan steeds dat de cookies belangrijk zijn voor de beveiliging tegen cybercriminelen en malware, maar dat klinkt mij als marketingblaat (wie corrigeert me?). Dus voor mij leest deze uitspraak als een juridische trucje van Facebook on mog even door te mogen gaan tot die bodemprocedure in 2017 afgerond is.

Arnoud

De cookiewet is dus gemaakt om stiekeme Windows 10-preloads tegen te gaan

| AE 8013 | Privacy, Software | 27 reacties

windows-10-update-downloadMicrosoft schendt de Europese cookiewet met het automatisch en stilletjes downloaden van Windows 10-installatiebestanden op Windows 7 en 8.1. Dat schreef PCM gisteren op gezag van ondergetekende. Wie Windows 7 of 8 heeft, kan nu zomaar extragratis en stiekem een installatiebestand van 5 gigabyte op zijn harddisk hebben om naar Windows 10 te upgraden (kijk gerust even, ik wacht wel). En nee, dat mag niet van de cookiewet.

De cookiewet heeft een slechte naam omdat je op elke website apart weer toestemming moet geven voor vage cookies en andere dingen, en als je dat niet bevalt dan ga je maar een krant lezen of zo. Maar het idee was leuk: iedereen moet zélf kunnen bepalen wat er wordt gedownload naar of uitgelezen van zijn computer of telefoon. Daarom moet iemand die dat wil doen, uitleggen wat hij van plan is en daarna toestemming vragen.

Het gaat bij die wet niet alleen om cookies of andere dingen die enge privacydingen doen. Data is data. Ook ongevraagde toolbars en dergelijke vallen er gewoon onder, en ook updates aan software die al op je computer staat. Stiekeme updates aan die software mogen dus niet.

Maar is het stiekem? Je moet immers zelf Windows Update aanzetten. Ja, dat klopt, máár als ik Windows Update aanzet dan bedoel ik daarmee updates voor mijn Windowsversie te krijgen. Dat er af en toe een nieuwe browser bij zit, is eigenlijk al de grens. Een heel nieuw OS dat alleen de naam deelt met wat ik heb, dat is er echt ver overheen. Dat is gewoon geen ‘update’ meer van wat ik heb.

Ongetwijfeld staat er in de gebruiksvoorwaarden van Microsoft dat ik toestemming geef voor alles dat Microsoft naar mijn computer wil downloaden. En zonder te lezen durf ik wel te zeggen dat de privacyverklaring mij volledig gerust zal stellen dat men het beste met me voor heeft, mijn privacy niet zal schenden en alleen maar enge cybercriminelen wil tegenhouden en botnets wil indammen door verouderde software tijdig te verversen. Bovendien is Windows 10 gratis, dus ik heb juridisch geen schade en dus geen poot om op te staan. (De Microsoft-PR-meelbal over verbeterde gebruikerservaring kwam al langs maar zal ik u besparen.)

Dat zal allemaal best maar daar trekt de cookiewet zich niets van aan. Informeren en toestemming vragen moet expliciet gebeuren. “Wilt u updates ja/nee” is géén expliciete vraag “mogen wij tzt ook Windows 10 naar u pushen”. Net zo min als “Deze site gebruikt cookies ok/ikgaweg” een expliciete vraag is om cookies te mogen plaatsen. Je moet in de vraag zelf al een hint geven, en pas daarna mag je verwijzen naar de cookie- of privacyverklaring voor nadere toelichting.

Bij PCM ziet Simon Hania het anders:

Hij denkt dat Microsoft nog wel binnen de wet blijft omdat het hier gaat om ‘een door de gebruiker gevraagde dienst’. De cookiewet vereist namelijk óf ondubbelzinnige toestemming óf noodzakelijkheid voor de gevraagde dienst. “Ik denk dat het aanvinken van ‘ik wil upgrades en updates’ kwalificeert als het eerste. Dat het een versie-upgrade is, maakt niet uit.”

Oftewel, u heeft gevraagd om updates, dan krijgt u updates. Net zoals wanneer ik ga winkelen bij een webshop, ik cookies krijg om mijn winkelwagentje mogelijk te maken of ik niet meer hoef in te loggen als ik aanvink “Onthoud mijn login via een cookie”. Het argument is op zich valide, alleen kom je alsnog bij hetzelfde punt uit: is Windows 10 een update van Windows 8?

Voor mij is dat evident een ‘nee’. Een update lost problemen op of verbetert de functionaliteit die ik heb. Een nieuwe release is géén update, niet per definitie en niet volgens de “kom nou”-toets (het broertje van de giecheltoets). Windows 10 is geen plusje op Windows 8.

Arnoud

Wat mag er nu de cookiewet wordt versoepeld?

| AE 7414 | Privacy | 20 reacties

Het voelt een tikje als verplicht nummer, deze blog, maar goed. De versoepelde cookiewet is aangenomen in de Eerste Kamer. Nu is het alleen nog even wachten op inwerkingtreding, maar dan zal het toegestaan zijn om niet-functionele cookies te plaatsen zonder toestemming te vragen zolang het gaat om cookies die “geen of slechts geringe” inbreuk… Lees verder

Wat gaan we nou eens doen met die cookiewet?

| AE 6488 | Innovatie, Privacy | 37 reacties

Nederlandse websites schenden massaal de privacywetgeving door informatie over surf- en klikgedrag van bezoekers, zonder hun toestemming, door te geven aan advertentiebedrijven, meldde NRC gisteren. Grote woorden: het gaat zo te lezen om de inzet van Google Analytics en dergelijke tools, niet om drones die bij de bezoeker in de slaapkamer het gedrag livestreamen naar… Lees verder

Europa wil cookiewet wijzigen met pseudo-anonieme cookies

| AE 5584 | Privacy | 35 reacties

Zelfs de makers van de cookiewet zijn er niet meer blij mee. Europarlementariërs pleiten ervoor cookies in te zetten die niet tot de persoon herleidbaar zijn, maar wel interessant zijn voor adverteerders, las ik bij Nu.nl. Concreet: Europarlementariër Seán Kelly presenteerde een voorstel voor “pseudo-anonieme cookies”, meldde Emerce. Data moet niet aan een persoon maar… Lees verder

Kun je wel cookietoestemming geven bij een cookiemuur?

| AE 5089 | Privacy | 39 reacties

Oh jee, de cookiewet is nóg erger dan we al dachten: “Van in vrijheid gegeven, rechtsgeldige toestemming is geen sprake” wanneer een website het geven van cookietoestemming verplicht, meldde het College bescherming persoonsgegevens tegenover Webwereld. Tenminste, als die site een “situationele monopoliepositie” heeft, zoals bij de Publieke Omroep die achter een cookiemuur zit. Maar eigenlijk,… Lees verder

Kun je blindelings akkoord gaan met alle cookies via CookiesOK?

| AE 5051 | Internetrecht | 21 reacties

Automatisch akkoord gaan met al die stomme cookievragen, het kan met de plugin CookiesOK. Omdat het web beter was vóór de cookiewet, roept de site enthousiast. Het komt erop neer dat deze plugin een database heeft van ‘alle’ sites in Nederland die een cookietoestemmingspopup hebben, en weet waar ie dan op moet klikken om die… Lees verder

Websites publieke omroep gaan achter ‘cookiemuur’

| AE 4565 | Privacy | 44 reacties

Alle websites van de Nederlandse Publieke Omroep zijn binnenkort alleen nog maar te bereiken als de gebruikers cookies accepteren, meldde Tweakers dinsdag. In een verklaring legt men uit dat de PO hiertoe verplicht zou zijn omdat men verantwoording moet afleggen over deze met publiek geld geleverde dienst. Op zich is het inderdaad legaal dat een… Lees verder

Valt browser fingerprinten wel onder de cookiewet?

| AE 3068 | Internetrecht | 33 reacties

De cookiewet heeft eigenlijk een foute naam: het gaat niet specifiek om cookies, maar om alle gegevens die je uitleest of plaatst bij randapparatuur (computers telefoons etc) van bezoekers. Voor dat lezen en plaatsen is toestemming nodig. Omdat je bij device fingerprinting (of browser fingerprinting) allerlei gegevens uitleest, wordt aangenomen dat dit ook onder de… Lees verder