Overheidssites scheppen verwarring met cookies van Google Analytics

| AE 11206 | Privacy | 19 reacties

Maar liefst 20 procent van alle sites van de rijksoverheid maakt gebruik van de analysesoftware van Google, las ik in de Volkskrant. Alex Bik van zakelijke internetprovider BIT onderzocht de bijna 1.200 websites van de Rijksoverheid op het gebruik van Google Analytics, de software van Google waarmee sitebeheerders het bezoek aan hun sites kunnen analyseren, en vond dat 236 sites deze dienst inzet. Dat is opmerkelijk, omdat er genoeg privacyvriendelijke alternatieven zijn die zelfs door de overheid worden gepromoot. Maar is het verboden?

In de kern komt de zorg van Bik erop neer dat er áltijd data naar Google gaat als je hun Analytics-dienst inzet, en dat is raar als het gaat om overheidswebsites. Als ik als burger de Nederlandse overheid bezoek, hoort niets van mijn bezoek bij een commerciële Amerikaanse partij terecht te komen, zou je zeggen.

Natuurlijk mag de overheid best meten hoe hun sites worden gebruikt, zodat ze deze kunnen verbeteren of leren waar mensen tegenaan lopen. Maar daarvoor is het hele geweld van Google Analytics niet nodig, er zijn genoeg alternatieven. Er is zelfs een standaard platform gebouwd dat met het vriendelijker, first-party analytics systeem Piwik werkt. Maar dat wordt slechts zeer beperkt ingezet, mede vanwege de wildgroei aan webbouwers die voor de overheid aan de slag is gegaan.

In theorie kan het best legaal zijn, ook wanneer de website geen toestemming vraagt voor de Analytics-cookies. Wanneer je als dienstverlener Analytics privacyvriendelijk configureert, voldoe je aan de richtlijnen van de Autoriteit Persoonsgegevens (en de uitzondering uit de cookiewet) en wordt je Analytics als “geen of geringe inbreuk op de privacy” aangemerkt. In dat geval is geen toestemming nodig – en is, althans op papier, Google niet toegestaan om die gegevens verder te gebruiken.

Het is precies dat “althans op papier” waar Bik terecht bezwaar tegen maakt. Want hoe zien wij dat? Er is bijvoorbeeld een vinkje in het Google Analytics dashboard nodig dat bepaalt dat data niet met andere Google diensten mag worden gedeeld. Van buitenaf is het onmogelijk om na te gaan of dat vinkje is gezet. Je moet de opsteller van de privacyverklaring maar geloven dat dit werkelijk zo doorgevoerd is. Ik vind dat best wel een grote stap, zeker bij een overheidsdienst.

Arnoud

‘Cookiewet is duur en beschermt onvoldoende’

| AE 9021 | Informatiemaatschappij | 31 reacties

cookie-bril.jpgDe cookiebepaling die bepaalt dat websites om toestemming moeten vragen voor het gebruik van zogenoemde ‘tracking cookies’, is duur en zorgt voor een hoop ergernis. Dat las ik bij Nu.nl. De basis is een onderzoek van Actal, het Adviescollege toetsing regeldruk. Niet alleen zouden bedrijven 74 miljoen euro kwijt zijn voor cookietoestemmingspopups, ook zijn consumenten 27 miljoen euro aan verloren tijd kwijt om dat allemaal weer weg te klikken. Eh, ja.

Ik blog al sinds de invoering over de cookiewet, en ben er eigenlijk nooit positief over volgens mij. Nou ja, behalve als hij kan worden gebruikt om andere dingen dan cookies (zoals Windows 10-preloads) tegen te houden.

Het probleem is fundamenteel. Kijk, dat je zegt, er wordt te makkelijk over de mensen hun privacy heengelopen en dat je daar wat aan wilt doen: prima. Dat je niet meteen het hele onlinemarketinggebeuren wilt verbieden, dat snap ik dan ook. Maar er is toch wel íets slimmers te bedenken dan een lap tekst opgesteld door een goedbedoelende jurist in combinatie met een verplichte okéknop?

Die browserinstellingen die Actal noemt, dat zou een betere oplossing zijn geweest ja. Maar goed, dan moet wel elke browser die instellingen ondersteunen natuurlijk, en dat is nog steeds niet (2016!) het geval.

Ergens bekruipt me ook steeds het gevoel dat we met deze implementatie van de cookiewet zitten omdat de webbouwers die de wet lazen, dachten dit is zó stom, dat zal ik ze laten voelen ook. In plaats van het als technische uitdaging te zien van hoe je kunt tracken binnen de geest van de wet op een manier dat mensen er geen last van hebben. Maar goed, dat is cynische donderdagochtendpraat.

Gaan we dit nu veranderen? Nee, natuurlijk niet. Nederland kan hier niets aan veranderen, de cookiewet is Europees en kan dus alleen door Europa worden veranderd. En die gaan dat de komende jaren niet doen; we hebben net een nieuwe algemene Privacyverordening die iets belangrijker is. Ja, dat is storend en jammer maar ik zie het echt niet gebeuren. Maar wat dan wel, dat weet ik ook niet.

Arnoud

Kun je wel cookietoestemming geven bij een cookiemuur?

| AE 5089 | Privacy | 40 reacties

cookiemuur-npoOh jee, de cookiewet is nóg erger dan we al dachten: “Van in vrijheid gegeven, rechtsgeldige toestemming is geen sprake” wanneer een website het geven van cookietoestemming verplicht, meldde het College bescherming persoonsgegevens tegenover Webwereld. Tenminste, als die site een “situationele monopoliepositie” heeft, zoals bij de Publieke Omroep die achter een cookiemuur zit. Maar eigenlijk, zo meldde de OPTA al tijdens het Grote Cookiedebat, is een cookiemuur sowieso niet helemaal in de geest van de cookiewet.

Nee, nergens in de cookiewet staat dat het mogelijk moet zijn om ook zónder cookietoestemming een site te bezoeken. In het algemeen is het immers ook zo dat je mensen mag weigeren je site te bezoeken, zonder opgaaf van redenen. (Hooguit zou dat níet mogen bij verboden discriminatie, ik mag geen vrouwen weigeren op deze blog bijvoorbeeld.) Dat mensen weigeren persoonsgegevens aan je te geven, kun je dus als grond aanvoeren om ze te weigeren.

Zou je denken. Want er is wel degelijk een tegenargument te verzinnen: persoonsgegevens afgeven kan niet zomaar, daar moet je “vrije, specifieke en geïnformeerde” toestemming voor geven. Niet zomaar “toestemming”, nee “vrije, specifieke en geïnformeerde”. Dat is een extra eis uit de Telecommunicatiewet en de Wet bescherming persoonsgegevens die in het gewone recht bij de rechtshandeling ‘toestemming’ niet bestaat. En die eis is er met reden: persoonsgegevens raken aan je privacy, een grondrecht.

Het is dat ‘vrij’ waar het Cbp en de OPTA over vallen. Als ik zeg “cookies of opzouten” en jij wilt graag mijn content, kun je dan nog wel zeggen dat er ‘vrij’ toestemming is gegeven?

Bij een algemene site misschien, maar bij de Publieke Omroep niet, zo concludeert het Cbp. Die site heeft een “situationele monopoliepositie”, een term waar het mededingingsrecht doorheen schermt (maar dat mogen ze niet zeggen want dat is het terrein van de collega’s van de NMa). Het idee achter die term is dat je geen alternatief hebt voor de NPO site als je bv. gemiste TV-uitzendingen wilt terugzien, en als je geen alternatief hebt dan is een ‘ja ik wil’ per definitie niet in vrijheid gegeven.

Deze lijn doortrekkend levert op dat óók Facebook en Google geen cookiemuur mogen optrekken. Of, nog erger: dat Facebook je moet toestaan dat je pseudoniemen hanteert en je een opt-out voor targeted advertenties moet bieden. Eh. Wacht. Dán gaan er toch dingen even niet helemaal goed.

Ik snap de positie van het Cbp, en het ís ook de intentie van de cookiewet dat mensen niet zomaar cookies meer zetten, maar het levert wel een volstrekt onwerkbare situatie op.

Arnoud

Kun je blindelings akkoord gaan met alle cookies via CookiesOK?

| AE 5051 | Informatiemaatschappij | 21 reacties

Automatisch akkoord gaan met al die stomme cookievragen, het kan met de plugin CookiesOK. Omdat het web beter was vóór de cookiewet, roept de site enthousiast. Het komt erop neer dat deze plugin een database heeft van ‘alle’ sites in Nederland die een cookietoestemmingspopup hebben, en weet waar ie dan op moet klikken om die… Lees verder

Yahoo negeert privacy-instelling IE10

| AE 4631 | Privacy | 26 reacties

Yahoo verklaart als één van de eerste grote internetnamen dat het de Do-Not-Track instelling van IE10 negeert, las ik bij Webwereld. Microsoft had eerder aangekondigd deze optie standaard aan te zetten, oftewel standaard mocht je niemand tracken die IE10 gebruikt. Volgens Yahoo veroorzaakte de browsermaker daarmee een gedegradeerde gebruikerservaring. En wanneer marketeers gaan spreken van… Lees verder

Websites publieke omroep gaan achter ‘cookiemuur’

| AE 4565 | Privacy | 44 reacties

Alle websites van de Nederlandse Publieke Omroep zijn binnenkort alleen nog maar te bereiken als de gebruikers cookies accepteren, meldde Tweakers dinsdag. In een verklaring legt men uit dat de PO hiertoe verplicht zou zijn omdat men verantwoording moet afleggen over deze met publiek geld geleverde dienst. Op zich is het inderdaad legaal dat een… Lees verder

OPTA gaat met cookiemonitor sites controleren op naleven cookiewet

| AE 3088 | Ondernemingsvrijheid | 43 reacties

Er zit beweging in de handhaving van de cookiewet. Met een speciale tool, de ‘cookiemonitor’, wil de OPTA automatisch nagaan of websites zonder toestemming cookies plaatsen, zo meldde Tweakers vorige week. Sites die lastig verwijderbare cookies plaatsen, krijgen als eerste een boete. Andere sites krijgen “waarschijnlijk eerst een waarschuwing”. De cookiewet is een van de… Lees verder

De cookiewet: ook voor affiliate marketing een probleem

| AE 3047 | Privacy | 48 reacties

De cookiewet. Weinig onderwerpen hebben zó veel reacties losgemaakt vanuit de branche. Je mag geen cookies meer zetten, geen browserdetails meer uitlezen en mensen niet meer volgen zonder hun toestemming. Meest gehoorde misverstand: de cookiewet gaat over tracking cookies, dus als je geen tracking doet (of op andere manier persoonsgegevens verwerkt) dan is er niets… Lees verder

Werkelijk niemand heeft trek in de cookiewet

| AE 3037 | Ondernemingsvrijheid, Privacy | 128 reacties

Er viel niet aan te ontkomen gisteren: de cookiewet is van kracht. Vanaf gisteren is het verboden cookies te plaatsen zonder toestemming (behalve voor “functionele cookies”, maar dat is hooguit 1% van de cookies). En prompt gaat iedereen als kip zonder kop rondrennen alsof ze niet al twee jaar hadden kunnen weten dat dit eraan… Lees verder

Mag Google Analytics nog onder de cookiewet?

| AE 3027 | Ondernemingsvrijheid, Privacy | 306 reacties

Weinig onderwerpen waar ik zó over platgemaild werd als de vraag “Mag Google Analytics nog als de cookiewet in werking treedt”. Analytics is een handige tool voor webmasters maar het perfide Google maakt er meteen ook gebruikersprofielen mee – én plaatst cookies. Wij hadden ooit een oplossing gevonden voor het profileren (anonimiseer het IP-adres) maar… Lees verder