Kun je blindelings akkoord gaan met alle cookies via CookiesOK?

| AE 5051 | Informatiemaatschappij | 21 reacties

cookie-bril.jpgAutomatisch akkoord gaan met al die stomme cookievragen, het kan met de plugin CookiesOK. Omdat het web beter was vóór de cookiewet, roept de site enthousiast. Het komt erop neer dat deze plugin een database heeft van ‘alle’ sites in Nederland die een cookietoestemmingspopup hebben, en weet waar ie dan op moet klikken om die weg te krijgen. Hoera, weg met die stomme cookiewet, hoor ik overal. Maar wat gebeurt er juridisch als je dit installeert?

In principe mag je blindelings met alles akkoord gaan. Geen wet verplicht je om daadwerkelijk te lézen welke voorwaarden worden gesteld bij een offerte. Bij algemene voorwaarden staat dat zelfs éxpliciet in de wet (art. 6:232 BW). En of je nu akkoord gaat met een cookieverzoek of met een leveringscontract voor elektriciteit, maakt juridisch weinig uit. Rechtshandeling is rechtshandeling.

Het maakt daarbij geen verschil of je zélf akkoord geeft (je handtekening zetten met een stempel of zo, of gewoon niet lezen en op akkoord klikken) of dat het een stukje software is Juristen kunnen in dit verband helemaal los gaan over de juridische betekenis van gepretendeerde rechtshandelingen aangegaan door virtual agents, wat op zich prima is maar volgens mij komt het echt neer op “als jij een proces in gang zet dat tot ‘klik’ leidt, dan is die klik jouw verantwoordelijkheid”.

Alleen: toestemming onder de cookiewet is niet een gewone toestemming. De definitie is iets strenger: er moet sprake zijn van een vrij gegeven, specifieke en geïnformeerde toestemming. Je kunt je afvragen of een automatische klik via CookiesOK wel telt als “geïnformeerd”, immers je hebt geen idéé waar je toestemming voor geeft. Maar heel sterk lijkt me dat niet. Die tekst is vooral bedoeld om de aanbieder te verplichten informatie te géven. Weigert de consument te lézen, dan mag dat geen beletsel zijn om toch van adequate toestemming te spreken.

Mijn plan om op 1 april toestemming te vragen voor afboeken van 100 euro van je rekening blijft staan; eens zien of iedereen het dan ook nog zo leuk vindt dat ze blindelings overal op klikken.

Arnoud

Websites publieke omroep gaan achter ‘cookiemuur’

| AE 4565 | Privacy | 44 reacties

cookies-publieke-omroep.pngAlle websites van de Nederlandse Publieke Omroep zijn binnenkort alleen nog maar te bereiken als de gebruikers cookies accepteren, meldde Tweakers dinsdag. In een verklaring legt men uit dat de PO hiertoe verplicht zou zijn omdat men verantwoording moet afleggen over deze met publiek geld geleverde dienst.

Op zich is het inderdaad legaal dat een website mensen weert die geen cookies wensen te accepteren, maar bij de Publieke Omroep voelt dat toch een beetje gek. Het gaat immers om publieke dienstverlening van een soort-van overheidsclub (jaja, formeel zijn ze geen overheid) en je zou verwachten dat die niet zomaar mensen uit gaan sluiten.

Aanleiding voor deze stap lijkt te zijn dat de OPTA enige tijd terug zo’n 120 overheidsdiensten heeft aangeschreven omdat die de cookiewet schenden. Dit dan weer omdat eerder Rijksoverheid.nl had geroepen dat ze niet onder deze wet zou vallen omdat ze niet commercieel was of iets dergelijks. Maar dat boeit niet: elk cookie vereist toestemming, ongeacht wie het zet en ongeacht of het iets met tracking of privacy doet. Alleen strikt technisch noodzakelijke cookies mogen zonder toestemming.

Wat doet de NPO nu met cookies?

Het is verder onderdeel van de wettelijke taak om van de Publieke Omroep om te rapporteren over onze prestaties. Daarvoor is het nodig om webstatistieken bij te houden. Ook nemen wij deel aan het landelijke internetbereiksonderzoek STIR. Hiervoor gebruiken wij cookies, zodat wij je browser kunnen herkennen en op die manier het aantal unieke bezoekers aan onze website kunnen meten.

Op zich klopt dat, de PO moet rapporteren over hoe zij het doet. En in de televisiecontext is het vrij logisch dat je dan ook rapporteert hoe veel mensen kijken naar je programma’s. Vertaal je dat naar internet, dan moet je inderdaad rapporteren hoe veel unieke bezoekers je op Uitzendinggemist krijgt en dat vereist cookies. Ja, of browser fingerprinting of iets dergelijks maar dat valt óók onder de cookiewet.

Wel weer mooi vind ik de oneclick oplossing van de dienst: wie op de ene site van de PO cookies accepteert, geeft automatisch ook toestemming voor cookies op de andere sites. Dat mag, zolang maar duidelijk is voor welke sites je allemaal ineens toestemming geeft.

Arnoud

Valt browser fingerprinten wel onder de cookiewet?

| AE 3068 | Informatiemaatschappij | 33 reacties

De cookiewet heeft eigenlijk een foute naam: het gaat niet specifiek om cookies, maar om alle gegevens die je uitleest of plaatst bij randapparatuur (computers telefoons etc) van bezoekers. Voor dat lezen en plaatsen is toestemming nodig. Omdat je bij device fingerprinting (of browser fingerprinting) allerlei gegevens uitleest, wordt aangenomen dat dit ook onder de cookiewet valt. Maar is dat eigenlijk wel zo?

Het idee achter de wet is dat de eigenaar van die apparatuur mag beslissen wat er op zijn apparaat gebeurt. Door toestemming te vragen, blijft de eigenaar in control. En het gaat dan zowel om opgeslagen gegevens die worden uitgelezen, als om nieuwe gegevens die moeten worden opgeslagen. Een app die je adresboek uitleest is immers net vervelend als een website die een zoekbalk (toolbar) wil toevoegen aan je browser. En ja, die twee vallen dus ook onder de cookiewet.

Device fingerprinting of browser fingerprinting is een herkenningstechniek waarbij de browser of het apparaat uniek herkend wordt aan de hand van allerlei instellingen en voorkeuren. Heel veel mensen gebruiken Firefox 13.0 op Windows 7, maar ik ben kennelijk toch uniek met mijn configuratie. Bij Panopticlick (een testsite van de EFF) hebben ze namelijk nog niemand anders gezien die mijn combinatie van browserplugins, tijdzone, schermresolutie, geïnstalleerde fonts en cookieinstellingen heeft.

Bij Browserspy is meer te lezen over wat er allemaal kan op dit gebied. Daarbij valt me op dat er eigenlijk twee soorten gegevens zijn: dingen die je browser meestuurt, en dingen die ze zelf verzamelen met een scriptje. Zo is zonder meer te achterhalen welke bestandstypes je wel en niet accepteert, maar moeten geïnstalleerde fonts worden gedetecteerd met Flash. Mijn schermresolutie wordt bepaald met Javascript.

En nu vraag ik me af: is er wel sprake van “uitlezen” van die bestandstypes? Want die website weet dat omdat mijn browser zo geprogrammeerd is om die elke keer mee te sturen. Dat is namelijk handig: dan weet de site wat ze wel en niet mag sturen. Net zoals de browserversie automatisch mee gaat, zodat ik eventueel een Firefox-specifieke pagina kan krijgen of op mijn pad de mobiele versie (dat ik dat irritant vind even daargelaten).

Dit is cruciaal want als je niet “uitleest” dan val je buiten de cookiewet.

We hebben bij een eerdere blog hierover gezien dat de minister heeft verklaard dat ook browser fingerprinting er onder valt. In de comments kwam toen een blog van Dirkzwager advocaten langs waar dit in twijfel werd getrokken. Want, inderdaad, lees je wel uit als een browser zelf gegevens meestuurt? Als ik zeg, “hoi ik ben Arnoud” achterhaal jij dan mijn naam? Ik zou zeggen van niet.

Maar wat moeten we dan met die opmerking van de minister? Het juridische spel is namelijk dat de minister eigenlijk altijd gelijk heeft bij dergelijke discussies. En als het niet letterlijk klopt wat hij zegt, dan mogen wij juristen gaan verzinnen hoe de wet zo te lezen is dat het figuurlijk of qua strekking toch klopt.

Als soort van compromis zou ik dan zeggen dat er sprake is van uitlezen als je als site zélf iets doet om gegevens te krijgen. Daarmee vallen de bestandstypes en de “referrer” header buiten de cookiewet, want die stuurt de browser zelf al mee. Maar ga je Flash- of Javascriptscriptjes sturen om zo extra dingen te weten te komen, dan is dat wél een vorm van “uitlezen” waar toestemming voor nodig is (tenzij het functioneel is maar dat even terzijde).

En met die aanpak is er dus ook geen toestemming nodig voor het uitlezen van cookies. Die worden immers vanzelf meegestuurd door de browser. Het plaatsen vereist wel toestemming natuurlijk.

Mag Google Analytics nog onder de cookiewet?

| AE 3027 | Ondernemingsvrijheid, Privacy | 306 reacties

Weinig onderwerpen waar ik zó over platgemaild werd als de vraag “Mag Google Analytics nog als de cookiewet in werking treedt”. Analytics is een handige tool voor webmasters maar het perfide Google maakt er meteen ook gebruikersprofielen mee – én plaatst cookies. Wij hadden ooit een oplossing gevonden voor het profileren (anonimiseer het IP-adres) maar… Lees verder

“Volg-me-nietregister voldoet niet aan nieuwe privacywet”

| AE 2823 | Privacy | 9 reacties

Het cookieicoon is leuk, maar wie zich aan de nieuwe privacywet wil gaan houden heeft er niets aan. Dat is ongeveer de samenvatting van het advies dat de Europese privacytoezichthouders (pdf) vorige week uitbrachten. Al een hele tijd wordt er gesteggeld over de nieuwe privacywet, met name op het gebied van cookies. Doel van de… Lees verder