Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

De cookiewet bepaalt dat cookies niet mogen worden geplaatst zonder expliciete toestemming van de gebruiker. Het juridische begrip cookies is veel ruimer dan het technische begrip cookies, ook scripts en programma’s vallen eronder. Wat betekent dit voor bloatware? Dat is ongewenste software die al op de computer staat bij aankoop. Waarom is dat geen ‘plaatsen van software’?

De cookiewet (artikel 11.7 Telecommunicatiewet) is inderdaad veel breder dan alleen cookies. Deze wet bepaalt dat er geen informatie mag worden gelezen of geplaatst op iemands randapparatuur (computer, telefoon, tablet) via een telecommunicatienetwerk zonder toestemming. Ongeacht of het met privacy te maken heeft. Dus ook een stiekeme update aan je software is niet toegestaan.

Dit wetsartikel kent ook het geval waarin “op een andere wijze dan door middel van een elektronisch communicatienetwerk” informatie wordt gelezen of geschreven. Ook dat is niet toegestaan. De memorie van toelichting noemt als voorbeelden usb-sticks, cd-roms of externe harde schijven. Maar wat ik mis, is de situatie “het stond al op het randapparaat toen dat op de markt kwam”. Ik denk dat er gewoon niet nagedacht is over deze situatie.

Afhankelijk van wat die bloatware/software precies doet op je computer, zou je misschien kunnen spreken van verboden uitlezen of versturen van informatie vanaf de randapparatuur. Denk aan software die rapporteert dat ie is geactiveerd, of zelfs gegevens van de computer uitleest en doorstuurt. Maar als die software bij het eerste gebruik een en ander meldt en toestemming vraagt, dan is er verder weinig aan te doen vanuit dit perspectief.

Misschien dat je kunt zeggen, de aanwezigheid van zulke software moet worden gemeld omdat het essentiële informatie is over het product. Wordt het niet gemeld, dan is het product nonconform en kun je je geld terugkrijgen bij de winkel. Dat is misschien nog een effectievere oplossing ook.

Arnoud

Intrigerende ontwikkeling las ik bij Dutch Cowboys: het plaatsen van een crypto-munt mijner op een website die de processor van jouw computer gebruikt om die digitale valuta te genereren. Dit ter vervanging van de klassieke advertentie, waar immers geen cent meer mee verdiend wordt omdat iedereen adblockers heeft. Het idee is niet helemaal nieuw maar werd nu vooral stiekem toegepast. Zou je het ook legaal en open kunnen doen, zeg maar een mijnmuur “Geef toestemming voor cryptomuntmining of de site wordt ontoegankelijk”?

Cryptomunten zoals bitcoin werken zonder centrale autoriteit. In plaats daarvan worden transacties gedecentraliseerd gecontroleerd, en daarvoor zijn complexe berekeningen nodig. Om mensen te stimuleren daaraan mee te werken, word je beloond wanneer je computercapaciteit daarvoor beschikbaar stelt: na voldoende te hebben gerekend, krijg je een gratis nieuwe munt. Dit proces wordt ook wel mining oftewel mijnen of delven genoemd.

Het is technisch mogelijk (maar niet superefficiënt) om software voor dergelijk mining in Javascript uit te voeren, dat dan via een website kan worden verspreid zonder dat mensen apart software moeten downloaden en installeren. Dat biedt dus mogelijkheden om dit bij bezoekers van je site te doen, en daar komt dus het idee vandaan uit de openingsalinea: je moet deze software laten draaien (en mij de gedolven munten geven) anders mag je niet op mijn site.

Mag dat? In principe ja. Het is jouw site, en als jij rare eisen wilt stellen aan de toegang dan is dat jouw beslissing. Omdat het gaat om het installeren van software, is hierop de cookiewet van toepassing. Die eist dat er toestemming wordt gegeven voordat dit programma mag worden losgelaten. Er wordt immers informatie (een script) opgeslagen op de harde schijf van de gebruiker, al is het maar de browsercache.

Uitzondering op die toestemmingsplicht is wanneer de informatie functioneel relevant is, oftewel nodig voor het goed werken van de site. Daarmee zijn normaal Javascripts te rechtvaardigen, maar specifiek hier zie ik dat niet: dit script is niet strikt nodig om de site goed te kunnen laten werken. Zonder toestemming zie ik dit dus niet werken.

Een cookiewall dus – een cryptomuntminingwall. Kan, maar dan kom ik bij een ander issue. Een advertentie is irritant maar mijn computer krijgt er in principe geen last van (malware-injecties daargelaten). Maar het delven van cryptomunten kan een zware belasting voor je computer zijn, en dat zou in ieder geval in theorie tot storingen of zelfs hardwareschade kunnen leiden. Hoewel ik me moeilijk kan voorstellen dat dat ook zou spelen bij een Javascript-gebaseerde delver, maar daar weten jullie denk ik meer van dan ik.

Arnoud

Een lezer vroeg me:

Ik krijg de afgelopen tijd veel emails met een zogenaamde email tracker. Dit houdt in dat de verstuurder precies kan zien door wie en wanneer zijn email wordt geopend. Dit is een redelijk beangstigend gevoel omdat ik niet weet wat er allemaal wordt bijgehouden door de verzender. Mag dat zomaar?

Email trackers zijn op zich niet nieuw, maar ze stijgen snel in de belangstelling. En nee, ze zijn niet legaal.

Het basisidee van e-mailtracking is dat je iets opneemt in het mailbericht dat je op afstand kunt uitlezen. Een bekend voorbeeld is een doorzichtige pixel opnemen die op een externe website staat. Als die pixel wordt opgehaald, dan moet dat wel zijn omdat de ontvanger het mailbericht ging lezen en zijn mailprogramma die afbeelding meende nodig te hebben.

Steeds meer maildiensten werken met HTML, en je kunt dan zo ongeveer een complete webpagina met alles erop en eraan opnemen. Inclusief tracking scripts, cookies of wat je maar wil. Zo kun je dan bijvoorbeeld uitlezen wat voor mailprogramma iemand gebruikt, hoe lang hij de mail leest, of hij op links klikt en ga zo maar door.

Dit is dus waar de cookiewet tegen bedoeld is. E-mailtrackers vallen onder het wettelijke begrip “gegevens opslaan of uitlezen” van andermans computer of telefoon. Of je dat nu doet vanuit een website of via een mail doet er niet toe. Zodra je gegevens wilt opslaan of juist wilt ophalen van iemands computer, zegt de cookiewet dat er toestemming voor nodig is.

Op een website is dat simpel, althans in theorie: een popupscherm of kadertje waarin wordt uitgelegd wat cookies zijn, en een knop om wel/geen toestemming. In de mail is dat veel lastiger, want volgens mij kunnen mailprogramma’s niet zomaar die dingen laten zien. Dit nog afgezien van dat daar de cookies en tracking scripts al worden gezet voordat je op ‘ja’ zou kunnen klikken, wat sowieso niet mag van de cookiewet. Dus nee, die dingen zijn niet legaal.

Arnoud

De cookiebepaling die bepaalt dat websites om toestemming moeten vragen voor het gebruik van zogenoemde ‘tracking cookies’, is duur en zorgt voor een hoop ergernis. Dat las ik bij Nu.nl. De basis is een onderzoek van Actal, het Adviescollege toetsing regeldruk. Niet alleen zouden bedrijven 74 miljoen euro kwijt zijn voor cookietoestemmingspopups, ook zijn consumenten… Lees verder

Apple stal mijn muziek, blogde creatief ontwerper James Pinkum vorige week. Pinkum was 122 gigabyte aan muziek kwijtgeraakt van zijn harddisk, en wist dat te traceren tot een actie van Apple’s iTunes-software. Deze had de harddisk gescand en alle bestanden die iTunes ook had, vervangen door een linkje naar de online muziekbibliotheek. Met een liberale… Lees verder

T-Mobile werkt samen met diverse fabrikanten om op basis van de simkaart die mensen gebruiken updates te verspreiden voor smartphones, las ik bij Tweakers. In die updates zitten onder meer apps van T-Mobile, ringtones van de provider en netwerkoptimalisaties. Kijk, en dít is dus waar de cookiewet tegen bedoeld is. De update wordt getriggerd wanneer… Lees verder

Volgens Europese wetgeving is het illegaal dat websites zonder toestemming scripts draaien op apparaten van gebruikers om te achterhalen of bezoekers gebruik maken van adblockers, las ik bij Tweakers. De Europese Commissie had dat gesteld in een brief aan privacyactivist Alexander Hanff. Je mag immers geen informatie opslaan op mensen hun computers zonder toestemming, en… Lees verder

Microsoft schendt de Europese cookiewet met het automatisch en stilletjes downloaden van Windows 10-installatiebestanden op Windows 7 en 8.1. Dat schreef PCM gisteren op gezag van ondergetekende. Wie Windows 7 of 8 heeft, kan nu zomaar extragratis en stiekem een installatiebestand van 5 gigabyte op zijn harddisk hebben om naar Windows 10 te upgraden (kijk… Lees verder

Microsoft heeft de meeste versie van de beruchte Ask.com toolbar als ongewenste software aangemerkt, las ik bij Ars Technica. Niet echt formeel een juridische beslissing natuurlijk, maar het bedrijf is op het Windowsplatform zo machtig dat hun woord echt wet is in dit soort situaties. Wat mij betreft de hoogste tijd want ik krijg er… Lees verder

Een Duitse privacywaakhond heeft twee webwinkels aangeklaagd wegens het doorsturen van gegevens van bezoeker via de vind-ik-leuk-knop van Facebook, las ik bij Nu.nl. Het gaat om consumentenorganisatie Consumer Advice Centerde Duitse Consumentenbond, afdeling Noordrijn-Westfalen (dank Sanne), die de webwinkels verwijt dat zij persoonsgegevens van bezoekers zonder toestemming naar de perfide Verenigde Staten doorgeeft. En ja,… Lees verder