Een vindikleuk is geen steunbetuiging naar Nederlands recht

Pijnlijk: de massaclaim van The Privacy Collective tegen Oracle en Salesforce is gestrand op een procedurefout, las ik bij VPNgids. Deze werd augustus 2020 gestart als grote poging om de online advertentieveilingen, waarbij grootschalig in profieltoegang wordt gehandeld, aan te pakken door van vele kleintjes één grote claim te maken. Dat kan in Nederland, maar je moet daarbij kunnen aantonen voldoende representatief te zijn voor je achterban. TPC gebruikte daarvoor een simpel en transparant mechanisme, dat nu door de rechtbank wordt afgekeurd: de vindikleuk-knop. (Geen grappen over dat die knoppen zelf ook zouden tracken.)

In de kern komt de achterliggende techniek erop neer dat wanneer je een site met advertenties bezoekt, allerlei bedrijven hun cookies op die pagina uitlezen om zo te achterhalen hoe interessant jij bent. Hoe meer informatie je dan kunt combineren, hoe beter je dat kunt. Vervolgens kun je een bod uitbrengen om een advertentie te mogen tonen, en het hoogste bod wint dan. Maar geen hond wordt daar duidelijk over geïnformeerd, dus de AVG-schending zie ik wel.

Het probleem is natuurlijk de schade: welk geldbedrag kun je zetten op het leed dat ik heb ondervonden door dit proces?Daar kom je niet uit. Vandaar:  claims bundelen om zo massa te creëren waardoor er genoeg geld binnenkomt. Daar hebben we een wettelijke basis voor, de Wet afhandeling massaschade in collectieve actie (Wamca). Maar om te voorkomen dat iedereen een stichting opricht en claimt namens heel Nederland, eist die wet dat je moet aantonen voldoende representatief te zijn.

TPC deed dat zo (afbeelding uit vonnis):

Inderdaad, één klik was genoeg. Weliswaar met serverside ontdubbelen op basis van IP-adres en een onafhankelijke audit, maar geen inschrijfformulier, betaling of andere techniek om officiële NAW gegevens van je achterban te verzamelen.

De rechtbank heeft daar moeite mee, om twee redenen:

  1. De tekst van de knop is te vaag: steunt men concreet de claimrechtszaak of enkel het abstracte idee van grote bedrijven aanpakken wegens inbreuk (“je stem laten horen”)? Die vond ik ook wat gezocht.
  2. De organisatie dient nauwkeurig te omschrijven voor welke groep personen zij opkomt. “Zij die ons liken” is niet nauwkeurig genoeg, bijvoorbeeld omdat we nu niet weten of deze personen in de relevante periode een cookie van Oracle en Salesforce op hun apparatuur hebben gehad.
Deze twee punten zijn fundamenteel en TPC mag terug naar huis om na te denken over een volgende zaak. Dit alsnog herstellen vindt de rechtbank niet de bedoeling. Je moet op dit punt je zaken in één keer op orde hebben.

Voor de volledigheid (en dat is opmerkelijk, want als de zaak afgeschoten is dan hou je normaal op met vonnissen) komt de rechtbank nog met een juridische spitsvondigheid: kún je wel namens een achterban een AVG-claim indienen als stichting? Of moet je per benadeelde een procesvolmacht hebben? Ik dacht nooit dat dat een discussie was: het hele punt van zo’n stichting is immers een collectieve claim te kunnen doen. Als je dan alsnog van iedereen apart een formulier moet hebben, dan schiet dat niet bepaald op. Maar goed, de rechtbank houdt het bij de signalering en trekt geen conclusie.

Arnoud

Google gaat individuele identifiers van adverteerders blokkeren

Google wil binnen een aantal jaar stoppen met het individueel volgen van gebruikers, las ik bij Tweakers. Google wil alle unieke identifiers blokkeren, zowel van het bedrijf zelf als van adverteerders. “People shouldn’t have to accept being tracked across the web in order to get the benefits of relevant advertising”, aldus de toelichtingsblog van Google. Toch blijven er volgens Google manieren waarop websites gericht kunnen adverteren. Het bedrijf noemt ‘vooruitgang in aggregate, anonimisatie, on-device-verwerkingen en andere privacybehoudende technologieën’. Ik ben erg benieuwd.

Als je één bedrijf moet noemen dat je continu volgt, dan zullen veel mensen Google noemen. De stap voelt dan ook raar en onverwacht, en het bedrijf zal er zeker goede PR garen bij spinnen: kijk ons eens ineens pivotten naar een privacyvriendelijke webbelevenis. Maar de grap is natuurlijk dat Google dit soort tracking helemaal niet meer nodig heeft, ze kan met contextual advertising al meer dan genoeg mensen passende advertenties voorschotelen. Het zijn dus vooral Google’s concurrenten die hier last van gaan krijgen.

Daar komt bij dat Google ook een nieuwe technologie heeft ontwikkeld waarmee het beheren van persoonsinformatie privacyvriendelijker wordt. In de kern wordt alle data op de eigen computer geladen en in een machine learning model gevoegd. Data van andere mensen wordt op een privacyvriendelijke (want geanonimiseerde) manier gedeeld, zodat iedereen zijn of haar eigen profiel kan verrijken zonder dat ergens centraal álle gegevens (of zelfs maar de gegevens per cohort) beschikbaar zijn. Het is vrij nieuw, maar al getest met het Android-toetsenbord Gboard en lijkt te werken zoals beloofd.

In theorie wordt dit zelfs een open standaard, zodat concurrenten het ook over kunnen nemen. Maar de marktmacht van Google blijft wel zo groot dat het lange tijd vooral dit bedrijf een groot voordeel zal opleveren. En dat maakt het zorgelijk, ondanks de belofte van meer privacy en bescherming van persoonsgegevens.

Arnoud

Overheidssites scheppen verwarring met cookies van Google Analytics

Maar liefst 20 procent van alle sites van de rijksoverheid maakt gebruik van de analysesoftware van Google, las ik in de Volkskrant. Alex Bik van zakelijke internetprovider BIT onderzocht de bijna 1.200 websites van de Rijksoverheid op het gebruik van Google Analytics, de software van Google waarmee sitebeheerders het bezoek aan hun sites kunnen analyseren, en vond dat 236 sites deze dienst inzet. Dat is opmerkelijk, omdat er genoeg privacyvriendelijke alternatieven zijn die zelfs door de overheid worden gepromoot. Maar is het verboden?

In de kern komt de zorg van Bik erop neer dat er áltijd data naar Google gaat als je hun Analytics-dienst inzet, en dat is raar als het gaat om overheidswebsites. Als ik als burger de Nederlandse overheid bezoek, hoort niets van mijn bezoek bij een commerciële Amerikaanse partij terecht te komen, zou je zeggen.

Natuurlijk mag de overheid best meten hoe hun sites worden gebruikt, zodat ze deze kunnen verbeteren of leren waar mensen tegenaan lopen. Maar daarvoor is het hele geweld van Google Analytics niet nodig, er zijn genoeg alternatieven. Er is zelfs een standaard platform gebouwd dat met het vriendelijker, first-party analytics systeem Piwik werkt. Maar dat wordt slechts zeer beperkt ingezet, mede vanwege de wildgroei aan webbouwers die voor de overheid aan de slag is gegaan.

In theorie kan het best legaal zijn, ook wanneer de website geen toestemming vraagt voor de Analytics-cookies. Wanneer je als dienstverlener Analytics privacyvriendelijk configureert, voldoe je aan de richtlijnen van de Autoriteit Persoonsgegevens (en de uitzondering uit de cookiewet) en wordt je Analytics als “geen of geringe inbreuk op de privacy” aangemerkt. In dat geval is geen toestemming nodig – en is, althans op papier, Google niet toegestaan om die gegevens verder te gebruiken.

Het is precies dat “althans op papier” waar Bik terecht bezwaar tegen maakt. Want hoe zien wij dat? Er is bijvoorbeeld een vinkje in het Google Analytics dashboard nodig dat bepaalt dat data niet met andere Google diensten mag worden gedeeld. Van buitenaf is het onmogelijk om na te gaan of dat vinkje is gezet. Je moet de opsteller van de privacyverklaring maar geloven dat dit werkelijk zo doorgevoerd is. Ik vind dat best wel een grote stap, zeker bij een overheidsdienst.

Arnoud

‘Cookiewet is duur en beschermt onvoldoende’

cookie-bril.jpgDe cookiebepaling die bepaalt dat websites om toestemming moeten vragen voor het gebruik van zogenoemde ’tracking cookies’, is duur en zorgt voor een hoop ergernis. Dat las ik bij Nu.nl. De basis is een onderzoek van Actal, het Adviescollege toetsing regeldruk. Niet alleen zouden bedrijven 74 miljoen euro kwijt zijn voor cookietoestemmingspopups, ook zijn consumenten 27 miljoen euro aan verloren tijd kwijt om dat allemaal weer weg te klikken. Eh, ja.

Ik blog al sinds de invoering over de cookiewet, en ben er eigenlijk nooit positief over volgens mij. Nou ja, behalve als hij kan worden gebruikt om andere dingen dan cookies (zoals Windows 10-preloads) tegen te houden.

Het probleem is fundamenteel. Kijk, dat je zegt, er wordt te makkelijk over de mensen hun privacy heengelopen en dat je daar wat aan wilt doen: prima. Dat je niet meteen het hele onlinemarketinggebeuren wilt verbieden, dat snap ik dan ook. Maar er is toch wel íets slimmers te bedenken dan een lap tekst opgesteld door een goedbedoelende jurist in combinatie met een verplichte okéknop?

Die browserinstellingen die Actal noemt, dat zou een betere oplossing zijn geweest ja. Maar goed, dan moet wel elke browser die instellingen ondersteunen natuurlijk, en dat is nog steeds niet (2016!) het geval.

Ergens bekruipt me ook steeds het gevoel dat we met deze implementatie van de cookiewet zitten omdat de webbouwers die de wet lazen, dachten dit is zó stom, dat zal ik ze laten voelen ook. In plaats van het als technische uitdaging te zien van hoe je kunt tracken binnen de geest van de wet op een manier dat mensen er geen last van hebben. Maar goed, dat is cynische donderdagochtendpraat.

Gaan we dit nu veranderen? Nee, natuurlijk niet. Nederland kan hier niets aan veranderen, de cookiewet is Europees en kan dus alleen door Europa worden veranderd. En die gaan dat de komende jaren niet doen; we hebben net een nieuwe algemene Privacyverordening die iets belangrijker is. Ja, dat is storend en jammer maar ik zie het echt niet gebeuren. Maar wat dan wel, dat weet ik ook niet.

Arnoud

Kun je wel cookietoestemming geven bij een cookiemuur?

cookiemuur-npoOh jee, de cookiewet is nóg erger dan we al dachten: “Van in vrijheid gegeven, rechtsgeldige toestemming is geen sprake” wanneer een website het geven van cookietoestemming verplicht, meldde het College bescherming persoonsgegevens tegenover Webwereld. Tenminste, als die site een “situationele monopoliepositie” heeft, zoals bij de Publieke Omroep die achter een cookiemuur zit. Maar eigenlijk, zo meldde de OPTA al tijdens het Grote Cookiedebat, is een cookiemuur sowieso niet helemaal in de geest van de cookiewet.

Nee, nergens in de cookiewet staat dat het mogelijk moet zijn om ook zónder cookietoestemming een site te bezoeken. In het algemeen is het immers ook zo dat je mensen mag weigeren je site te bezoeken, zonder opgaaf van redenen. (Hooguit zou dat níet mogen bij verboden discriminatie, ik mag geen vrouwen weigeren op deze blog bijvoorbeeld.) Dat mensen weigeren persoonsgegevens aan je te geven, kun je dus als grond aanvoeren om ze te weigeren.

Zou je denken. Want er is wel degelijk een tegenargument te verzinnen: persoonsgegevens afgeven kan niet zomaar, daar moet je “vrije, specifieke en geïnformeerde” toestemming voor geven. Niet zomaar “toestemming”, nee “vrije, specifieke en geïnformeerde”. Dat is een extra eis uit de Telecommunicatiewet en de Wet bescherming persoonsgegevens die in het gewone recht bij de rechtshandeling ’toestemming’ niet bestaat. En die eis is er met reden: persoonsgegevens raken aan je privacy, een grondrecht.

Het is dat ‘vrij’ waar het Cbp en de OPTA over vallen. Als ik zeg “cookies of opzouten” en jij wilt graag mijn content, kun je dan nog wel zeggen dat er ‘vrij’ toestemming is gegeven?

Bij een algemene site misschien, maar bij de Publieke Omroep niet, zo concludeert het Cbp. Die site heeft een “situationele monopoliepositie”, een term waar het mededingingsrecht doorheen schermt (maar dat mogen ze niet zeggen want dat is het terrein van de collega’s van de NMa). Het idee achter die term is dat je geen alternatief hebt voor de NPO site als je bv. gemiste TV-uitzendingen wilt terugzien, en als je geen alternatief hebt dan is een ‘ja ik wil’ per definitie niet in vrijheid gegeven.

Deze lijn doortrekkend levert op dat óók Facebook en Google geen cookiemuur mogen optrekken. Of, nog erger: dat Facebook je moet toestaan dat je pseudoniemen hanteert en je een opt-out voor targeted advertenties moet bieden. Eh. Wacht. Dán gaan er toch dingen even niet helemaal goed.

Ik snap de positie van het Cbp, en het ís ook de intentie van de cookiewet dat mensen niet zomaar cookies meer zetten, maar het levert wel een volstrekt onwerkbare situatie op.

Arnoud

Kun je blindelings akkoord gaan met alle cookies via CookiesOK?

cookie-bril.jpgAutomatisch akkoord gaan met al die stomme cookievragen, het kan met de plugin CookiesOK. Omdat het web beter was vóór de cookiewet, roept de site enthousiast. Het komt erop neer dat deze plugin een database heeft van ‘alle’ sites in Nederland die een cookietoestemmingspopup hebben, en weet waar ie dan op moet klikken om die weg te krijgen. Hoera, weg met die stomme cookiewet, hoor ik overal. Maar wat gebeurt er juridisch als je dit installeert?

In principe mag je blindelings met alles akkoord gaan. Geen wet verplicht je om daadwerkelijk te lézen welke voorwaarden worden gesteld bij een offerte. Bij algemene voorwaarden staat dat zelfs éxpliciet in de wet (art. 6:232 BW). En of je nu akkoord gaat met een cookieverzoek of met een leveringscontract voor elektriciteit, maakt juridisch weinig uit. Rechtshandeling is rechtshandeling.

Het maakt daarbij geen verschil of je zélf akkoord geeft (je handtekening zetten met een stempel of zo, of gewoon niet lezen en op akkoord klikken) of dat het een stukje software is Juristen kunnen in dit verband helemaal los gaan over de juridische betekenis van gepretendeerde rechtshandelingen aangegaan door virtual agents, wat op zich prima is maar volgens mij komt het echt neer op “als jij een proces in gang zet dat tot ‘klik’ leidt, dan is die klik jouw verantwoordelijkheid”.

Alleen: toestemming onder de cookiewet is niet een gewone toestemming. De definitie is iets strenger: er moet sprake zijn van een vrij gegeven, specifieke en geïnformeerde toestemming. Je kunt je afvragen of een automatische klik via CookiesOK wel telt als “geïnformeerd”, immers je hebt geen idéé waar je toestemming voor geeft. Maar heel sterk lijkt me dat niet. Die tekst is vooral bedoeld om de aanbieder te verplichten informatie te géven. Weigert de consument te lézen, dan mag dat geen beletsel zijn om toch van adequate toestemming te spreken.

Mijn plan om op 1 april toestemming te vragen voor afboeken van 100 euro van je rekening blijft staan; eens zien of iedereen het dan ook nog zo leuk vindt dat ze blindelings overal op klikken.

Arnoud

Yahoo negeert privacy-instelling IE10

cookiewet-trackingYahoo verklaart als één van de eerste grote internetnamen dat het de Do-Not-Track instelling van IE10 negeert, las ik bij Webwereld. Microsoft had eerder aangekondigd deze optie standaard aan te zetten, oftewel standaard mocht je niemand tracken die IE10 gebruikt. Volgens Yahoo veroorzaakte de browsermaker daarmee een gedegradeerde gebruikerservaring. En wanneer marketeers gaan spreken van gebruikerservaringen dan moet je uitkijken.

Het is natuurlijk overduidelijk dat Yahoo bedoelt “dan kunnen wij niet goed meer iedereen op individueel niveau tracken, profileren en in nette segmentjes te koop aanbieden aan onze adverteerders”. En ik geloof onmiddellijk dát dat hun probleem is, maar met dit soort omfloerste braaftaal schiet het debat rond tracken en privacy niet op. Sterker nog, dit soort acties zijn een domme zet want het is zó transparant dat het iedere geloofwaardigheid van andere argumenten van pro-advertentie en pro-tracking partijen onderuit haalt.

Sinds de invoering van de cookiewet staat dat debat sowieso al zwaar op scherp. Vrijwel iedereen, ook de meest rabiate pro-privacymensen die ik ken (en geloof me die zíjn me een partij rabiaat) vind het een onzinnige regel. Mensen worden op het verkeerde moment lastig gevallen met een privacyvraag. Sterker nog, op een moment dat ze eigenlijk gewoon iets anders willen en dan gaan ze dús gewoon “ja” zeggen op alles dat je vraagt. Dom, ja, ongetwijfeld maar zo werkt het wel en dat ga je écht niet met een cookiewet oplossen.

(Ik ga op 1 april in onze cookiepopup zeggen dat men toestemming geeft voor afboeken van 49,95 via automatische incasso na bezoeken site en dan eens zien hoe veel akkoords ik krijg.)

Do Not Track is een veel betere oplossing, en eigenlijk had de cookiewet dan ook pas ingevoerd moeten worden nadat DNT was uitgerold. Dan geef je het systeem tanden: ik wil niet worden gevolgd had ik ingesteld, je volgt me toch, kom maar op met die 100 euro. Per cookie.

Maar niet geheel onbegrijpelijk verzet de advertentieindustrie zich tegen DNT. Of beter gezegd, tegen een DNT die default op “ja” (==”nee ik wil niet getrackt”, argh dubbele ontkenningen) staat. Want tachtig procent van de mensen verandert nooit iets aan defaults, dus een default ja op DNT betekent dat 80% van je bezoekers niet getrackt mag worden. En alle zinnen over zorgvuldig gerespecteerde privacy in privacyverklaringen daargelaten: dát is natuurlijk ook weer niet de bedoeling. Want zonder tracking geen profielen en dus keldert de effectiviteit van advertenties naar nul. En de inkomsten dus ook.

Alleen: onder de huidige wet móet DNT bij default aan omdat de gebruiker een keuze moet maken. Mensen zelf de DNT naar uit (==”track me”) laten zetten is de beste manier om die keuze te laten maken. Ja, je zou het ook als open vraag bij installatie kunnen stellen maar wat doe je dan bij preinstalled software?

Gebruikers opvoeden dan maar? Mensen uitleggen wát tracken is en ze een geïnformeerde keuze laten maken of ze dat willen en in welke mate. Een prachtig ideaal, en ja zo hoort de maatschappij te werken. Maar het is wel een beetje naïef gezien de praktijk van vandaag de dag om te denken dat dát gaat lukken. Wie heeft er nooit een familielid aan de telefoon gehad met “de computer gaf een fout, nee ik weet niet welke want ik heb het maar weggeklikt en nu doet ‘ie het niet meer”? En hoe veel handige handleidingen en tips heb je die al niet vruchteloos aangeboden?

Eigenlijk is de enige werkbare oplossing dat de politiek zélf gaat bepalen wat er nog wel en niet wenselijk is op het gebied van tracking en privacy. En dan bedoel ik niet “beslissen dat gebruikers na zorgvuldige afweging een keuze maken” maar gewoon botweg zelf de grenzen bepalen. Die gebruikers gaan dat echt niet doen, en van strooptaalpratende marketeers hoeven we heus geen vrijwillige verbetering te verwachten. Een wet met “tracking mag maar je moet daarnaast een betaald advertentievrij abonnement aanbieden” lijkt mij een prima praktisch compromis, om eens wat te noemen.

Maar eerlijk gezegd zou ik mijn geld eerder zetten op “we modderen gewoon voort tot er nóg rampzaliger wetgeving komt”.

Arnoud

Websites publieke omroep gaan achter ‘cookiemuur’

cookies-publieke-omroep.pngAlle websites van de Nederlandse Publieke Omroep zijn binnenkort alleen nog maar te bereiken als de gebruikers cookies accepteren, meldde Tweakers dinsdag. In een verklaring legt men uit dat de PO hiertoe verplicht zou zijn omdat men verantwoording moet afleggen over deze met publiek geld geleverde dienst.

Op zich is het inderdaad legaal dat een website mensen weert die geen cookies wensen te accepteren, maar bij de Publieke Omroep voelt dat toch een beetje gek. Het gaat immers om publieke dienstverlening van een soort-van overheidsclub (jaja, formeel zijn ze geen overheid) en je zou verwachten dat die niet zomaar mensen uit gaan sluiten.

Aanleiding voor deze stap lijkt te zijn dat de OPTA enige tijd terug zo’n 120 overheidsdiensten heeft aangeschreven omdat die de cookiewet schenden. Dit dan weer omdat eerder Rijksoverheid.nl had geroepen dat ze niet onder deze wet zou vallen omdat ze niet commercieel was of iets dergelijks. Maar dat boeit niet: elk cookie vereist toestemming, ongeacht wie het zet en ongeacht of het iets met tracking of privacy doet. Alleen strikt technisch noodzakelijke cookies mogen zonder toestemming.

Wat doet de NPO nu met cookies?

Het is verder onderdeel van de wettelijke taak om van de Publieke Omroep om te rapporteren over onze prestaties. Daarvoor is het nodig om webstatistieken bij te houden. Ook nemen wij deel aan het landelijke internetbereiksonderzoek STIR. Hiervoor gebruiken wij cookies, zodat wij je browser kunnen herkennen en op die manier het aantal unieke bezoekers aan onze website kunnen meten.

Op zich klopt dat, de PO moet rapporteren over hoe zij het doet. En in de televisiecontext is het vrij logisch dat je dan ook rapporteert hoe veel mensen kijken naar je programma’s. Vertaal je dat naar internet, dan moet je inderdaad rapporteren hoe veel unieke bezoekers je op Uitzendinggemist krijgt en dat vereist cookies. Ja, of browser fingerprinting of iets dergelijks maar dat valt óók onder de cookiewet.

Wel weer mooi vind ik de oneclick oplossing van de dienst: wie op de ene site van de PO cookies accepteert, geeft automatisch ook toestemming voor cookies op de andere sites. Dat mag, zolang maar duidelijk is voor welke sites je allemaal ineens toestemming geeft.

Arnoud

OPTA gaat met cookiemonitor sites controleren op naleven cookiewet

Er zit beweging in de handhaving van de cookiewet. Met een speciale tool, de ‘cookiemonitor’, wil de OPTA automatisch nagaan of websites zonder toestemming cookies plaatsen, zo meldde Tweakers vorige week. Sites die lastig verwijderbare cookies plaatsen, krijgen als eerste een boete. Andere sites krijgen “waarschijnlijk eerst een waarschuwing”.

De cookiewet is een van de raarste internetwetten van de afgelopen tijd. Ik moet de eerste persoon nog tegenkomen die hem in zijn huidige vorm een goed idee vind. Dat de gedachte erachter goed is, wil men nog wel beamen – maar de wet zelf is onduidelijk en véél te streng, zo lijkt de algemene gedachte.

De praktijk laat dan ook zien dat vrijwel iedereen de wet negeert. Van de top 1500 websites in Nederland vraagt 95,1% geen toestemming om cookies te mogen plaatsen, blogden wij vorige week. Onderzoek van Cookiechecker.nl liet zien dat Nederlandse sites massaal gewoon cookies zetten zonder te vragen.

Mogelijk dat deze sites denken dat hun informatiebalk boven- of onderaan de site genoeg is. Met teksten als “Deze site gebruikt cookies, door de site te gebruiken gaat u daarmee akkoord” doet men een poging de wet na te leven. Maar het is niet genoeg; toestemming onder de cookiewet kan niet stilzwijgend worden verkregen. Er is meer nodig dan alleen “u kwam op mijn site dus bent u akkoord met de cookies”.

Dit gaat dus nog leuk worden bij de cookiemonitor van OPTA. Die leest immers ook niet zulke informatiebalken maar kijkt of er cookies gezet worden bij het eerste paginabezoek. En al die sites met alleen een balkje worden vervolgens dus aangesproken op hun niet-handhaving.

Je kunt natuurlijk zeggen: stomme wet, waarom steek je energie in handhaving. Maar op dit moment is er een hele scheve situatie aan het ontstaan: mensen die het goed willen doen met de wet, zien hun bezoekersaantallen teruglopen omdat er nauwelijks een werkbare manier is om cookietoestemming te vragen. En ondertussen zien ze geïrriteerd hoe hun collega’s die bezoekers oppikken met alleen een “hoi wij gebruiken cookies”-balkje. Dan heb ik liever harde handhaving zodat we erachter aan komen hóe onhoudbaar die wet is.

Arnoud
PS: over cookies gesproken, ons boek Cookies: Deskundig en praktisch juridisch advies is bijna uit, u kunt nog voorintekenen! Slechts 9,95 en geen verzendkosten.

De cookiewet: ook voor affiliate marketing een probleem

cookie-bril.jpgDe cookiewet. Weinig onderwerpen hebben zó veel reacties losgemaakt vanuit de branche. Je mag geen cookies meer zetten, geen browserdetails meer uitlezen en mensen niet meer volgen zonder hun toestemming.

Meest gehoorde misverstand: de cookiewet gaat over tracking cookies, dus als je geen tracking doet (of op andere manier persoonsgegevens verwerkt) dan is er niets aan de hand. Niets is minder waar. De cookiewet gaat over élk cookie, ongeacht welk doel. Alleen cookies die “strikt noodzakelijk” zijn voor de door de gebruiker gewenste dienst, vallen buiten de wet. En gezien het doel van de cookiewet en de gekozen formulering van dat stukje uit de wet, is het erg moeilijk om onder deze uitzondering te vallen.

Eén soort cookies waar ik nog maar weinig over gezien heb maar die wél een probleem heeft met de cookiewet, is(*) het affiliatecookie. Wanneer iemand een site bezoekt en vanaf daar doorgelinkt wordt naar een webwinkel waar hij iets koopt, kan de winkel de eigenaar van die site (de partner of affiliate) belonen met een deel van de aankoopsom. Hierbij wordt een cookie gezet bij de affiliatesite en uitgelezen bij de webwinkel, zodat de winkel weet wie de affiliate was die deze koper aanbracht. (Naast koop kun je ook beloond worden voor het aanbrengen van leads, mensen die interesse hebben maar nog niks kopen).

Dit soort cookies vereist toestemming, ook al identificeert het alleen de affiliate en niet de bezoeker zelf. Net als overigens de andere trucs waarmee affiliates herkend worden, zoals codes in de URL of zelfs de referrer header die meegestuurd wordt. De cookiewet is als naam immers licht misleidend: het gaat niet om cookies, het gaat om uitlezen van gegevens van de computer van de bezoeker. En een referrer is net zo goed “gegevens” als een cookie.

En nee, dit is volstrekt onwerkbaar want je wilt bezoekers écht niet lastigvallen met zulke vragen. Probeer überhaupt eens uit te leggen wat een affiliate is en hoe hij werkt, aan iemand die gewoon je artikel wil lezen. Ik zou alleen écht niet weten hoe dit anders kan onder de cookiewet. Gegevens lezen is toestemming vragen, tenzij je die gegevens echt nodig hebt om de data te kunnen sturen waar de bezoeker om vraagt. En affiliate-cookies zijn niet nodig om een webpagina op het scherm te krijgen of naar een webwinkel te verwijzen.

Een sprankje hoop biedt nog de recente cookiewetopinie van de Artikel 29 Werkgroep. Deze analyseert op onnavolgbaar juridische wijze de uitzondering onder de cookiewet om zo toch een aantal dingen te kunnen noemen die legaal zouden moeten zijn. Maar veel verder dan dat load balancing cookies en Flash cookies (mits niet persistent) legaal zijn, komen ze niet.

Opmerkelijk is wel dat men constateert dat first-party Analytics tools (zoals Piwik) óók toestemming vereisen maar dat dit eigenlijk anders zou moeten (kunnen?) zijn:

[F]irst party analytics cookies are not likely to create a privacy risk when they are strictly limited to first party aggregated statistical purposes and when they are used by websites that already provide clear information about these cookies in their privacy policy as well as adequate privacy safeguards. Such safeguards are expected to include a user friendly mechanism to opt-out from any data collection and comprehensive anonymization mechanisms that are applied to other collected identifiable information such as IP addresses.

Ik hoop dat de OPTA hieruit de wijze les trekt dat handhaving tegen dergelijke bagatelcookies weinig productief is.

Oh, wie meer wil weten over deze wet: schrijf je in voor onze Cookie Workshop op 28 juni aanstaande. Lezers van deze blog krijgen met code iusmentisblog 25 euro korting.

Arnoud<br/> * Het soort cookies is? Het soort cookies zijn? Ruud, help!