Is Verizons perma-cookie eigenlijk wel legaal?

| AE 7408 | Privacy | 16 reacties

verizon-uidh-permacookieDe Amerikaanse provider Verizon plaatst permacookies, las ik bij Wired. Een zogeheten Unique Identifier Header (UIHD) wordt toegevoegd aan elke opvraging van webpagina’s, afbeeldingen en dergelijke. Met deze unieke code kunnen website-eigenaren vervolgens precies bijhouden wie wie is, en via Verizon specifiek op maat gemaakte advertenties plaatsen. Na de gebruikelijke ophef komt Verizon met de gebruikelijke PR-braaftaal (“delivering solutions with best-in-class privacy protections”, het moet verboden worden zulke uitspraken te citeren in nieuwsberichten) en een opt-out. Maar eh, mag dat?

Het ding heet permacookie, dus je zou zeggen dat de cookiewet hier wat over te zeggen heeft. Maar nee. Die wet bepaalt dat je geen informatie mag lezen of schrijven van randapparatuur zonder toestemming van de gebruiker. Maar wat Verizon doet, is het injecteren van een ID nádat de informatie (de http request) je randapparaat heeft verlaten. Die schrijfactie valt dus buiten het bereik van die wet.

Netneutraliteit? Nee, ook niet. Die verbiedt het belemmeren of vertragen van internetverkeer, en daarvan is geen sprake. Die ene header erbij fietsen kost echt niet zo veel vertraging dat dat een “belemmering” te noemen is.

De Wbp dan? Ja, misschien wel. De UIDH is immers ontworpen om uniek te zijn per klant, en is daarmee een persoonsgegeven. Toestemming is er niet, en een contract waarvoor dit nodig is ook niet, dus dan kom je vrijwel meteen bij de belangenafweging: hoe groot is het belang van Verizon om deze tracking te mogen faciliteren, en hoe groot is het privacybelang van de gebruiker? Ik denk dat de gebruiker daar in principe wel gaat winnen, want het belang voor Verizon bij tracking is veel kleiner dan bij een website die immers leeft van advertenties en zonder tracking zijn inkomsten zal zien kelderen.

Maar even serieus: hoe kómen ze er bij Verizon bij dat dit iets handigs is waar de consument van zou denken, “wow, wat een best-in-class privacy solution, zo fijn dat Verizon ondanks haar evolutie in het mobiele advertentie-ecosysteem de focus houdt op mijn belangen”?

Arnoud

Wat mag er nu de cookiewet wordt versoepeld?

| AE 7414 | Privacy | 20 reacties

cookie-bril.jpgHet voelt een tikje als verplicht nummer, deze blog, maar goed. De versoepelde cookiewet is aangenomen in de Eerste Kamer. Nu is het alleen nog even wachten op inwerkingtreding, maar dan zal het toegestaan zijn om niet-functionele cookies te plaatsen zonder toestemming te vragen zolang het gaat om cookies die “geen of slechts geringe” inbreuk op de privacy maken. Dus ook analytics, en tot mijn verrassing zélfs Google Analytics.

Al sinds de invoering heeft iedereen een hekel aan de cookiewet. Jammer ergens, want het was een goed idee, ze hadden alleen cookies uit moeten zonderen. Het principe is namelijk best sympathiek: geen data zetten op mijn apparatuur zonder mijn toestemming, en geen data uitlezen ook niet. Maar toen kreeg iemand het in zijn hoofd dat cookies ook ‘data’ zijn en toen zei iemand, dat is handig want cookies zijn privacyschendend en spyware en tracking en OMGWTFWBP daar moeten we wat mee. Vandaar.

Het idee was daarbij ook nog eens dat iedereen door de cookiewet zou denken “oei, toestemming vragen is moeilijk, laten we maar zonder tracking en zonder Analytics gaan werken”. Niet dus: dat werd de bekende domme oplossing van het de gebruiker vragen terwijl die geen idee heeft waar het over gaat. Binnen een mum van tijd stond het web vol met popups waar je een door een jurist opgestelde tekst (“Deze website wenst ‘cookies’ te plaatsen, conform artikel 11.7a Telecommunicatiewet is daarvoor specifieke, vrije en geïnformeerde toestemming nodig”) moest lezen en dan “ja” of “nee” kon kiezen. Hoewel vaker je alleen “ja” of je Back-button kon kiezen – de cookiemuur.

Na veel ophef, met name over cookiemuren bij de publieke omroep, is er dan toch gekozen voor een wettelijk compromis: je mag nu zonder toestemming cookies plaatsen die de privacy niet of slechts een klein beetje schenden én je dat doet voor het doel “informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij.” Analytics dus.

Ook die van Google? Nee, dacht ik altijd: Google is eng-Amerikaans en doet niet aan privacy, dus dat is meer dan “geringe gevolgen” voor de privacy. Bij dit wetsvoorstel is daar verder niet op ingegaan, maar recent publiceerde het Cbp een handreiking over hoe je je aan de privacywet kunt houden en toch Google Analytics kunt inzetten. Je moet vier stappen nemen:

  1. Accepteer het “Amendement gegevensverwerking” in je Analytics-account (‘Beheer’ > ‘Account instellingen’ en dan helemaal onderaan);
  2. Blokkeer het meezenden van volledige IP-adressen (ga('set', 'anonymizeIp', true);) en forceer als je toch bezig bent even SSL (ga('set', 'forceSSL', true););
  3. Zet het delen van gegevens met Google uit (‘Beheer’ > ‘Account instellingen’ en dan vier instellingen uitvinken);
  4. Informeer je bezoekers in een cookieverklaring of privacyverklaring over je gebruik van Google Analytics.

Hiermee is je gebruik van Google Analytics zo privacyvriendelijk mogelijk, en onder de Wbp is het dan oké via de “eigen dringende noodzaak”-uitzondering. En kennelijk vinden we het in die situatie dan ook oké om te spreken van een “geringe inbreuk op de privacy”, zodat je je popup weg kunt laten als je daarmee werkt.

Ga je mensen over meerdere sites heen tracken dan blijft de cookiewet van kracht: dat valt buiten het doel “informatie over kwaliteit of effectiviteit” en bovendien is dat écht wel een meer dan geringe inbreuk op de privacy. Hetzelfde geldt voor andere analytics-achtige tools waarbij je wél IP-adresgebonden informatie logt en analyseert.

Oh, en als je een instelling bent die op grond van de wet is opgericht dan mag je geen toestemming eisen voordat mensen op je site mogen. De Publieke Omroep werd hier een tijdje terug nog voor beboet, maar nu geldt het dus formeel voor álle openbare instellingen. Private bedrijven en organisaties mogen wel cookiemuren hanteren, omdat daar concurrentie voor bestaat.

Afijn. Ik ben benieuwd hoe dit in de praktijk gaat uitpakken.

Arnoud

Is Google Analytics zonder toestemmingspopup legaal onder de nieuwe cookiewet?

| AE 7044 | Privacy | 32 reacties

cookie-bril.jpgDe Tweede Kamer is dinsdagmiddag akkoord gegaan met een minder strenge cookiewet, meldde onder meer Tweakers. Cookies die geen inbreuk maken op de privacy, zoals first-party analytics en affiliatecookies, zullen legaal worden als dit wetsvoorstel de Eerste Kamer overleeft. Waarbij de hamvraag natuurlijk is: mag dan Google Analytics ineens zonder toestemming te vragen?

Al sinds de invoering van de cookiewet is deze hoogst controversieel. Het idee dat een wet zou bepalen welke (tracking of andere) cookies je mocht plaatsen, was voor vele webmasters buitengewoon stuitend en dom. Al snel verschenen dan ook overal popups en vooral cookiemuren: geen cookies, dan geen site voor jou. Buitengewoon ergerlijk, vooral ook voor mensen die wél geven om hun privacy en daarom tracking cookies willen uitschakelen.

Na veel gedoe is er dan nu een wetsvoorstel door de Tweede Kamer geaccepteerd: cookies die “geen of slechts geringe” inbreuk op de privacy van de bezoeker maken en dienen om informatie te verkrijgen over kwaliteit of effectiviteit van de dienst, zullen buiten het toestemmingsvereiste vallen als dit voorstel wet wordt.

Wanneer maakt nu zo’n cookie “geen of slechts geringe” inbreuk op de privacy? Dat staat er niet letterlijk bij. Er is ook nooit gesproken over de Analyticsdienst van Google als zodanig. Verder dan dat dat “sommige” analytic cookies geringe privacygevolgen opleveren. Het moet dan gaan om first party analytics, en het is niet toegestaan de informatie voor iets anders dan analytics te gebruiken, je mag dus geen bezoekersprofielen of iets dergelijks verrijken met analyticsdata.

Googles dienst lijkt hieraan te voldoen. Echter, Google is strikt gesproken niet first-party: niet de website-eigenaar verzamelt de data maar Google. Formeel weliswaar in opdracht (‘bewerker’) van de website-eigenaar, maar Google wordt eigenaar van de analyticsdata en de website-eigenaar kan niet zien wat Google ermee doet.

Bovendien worden met de Google-dienst analyticsgegevens naar buiten de EU geëxporteerd. Dat is op zichzelf een niet-geringe inbreuk op de privacy, aangezien ze in de VS geen adequate bescherming van persoonsgegevens hebben. Daarmee zal Google Analytics dus niet voldoen aan “geen of geringe inbreuk op de privacy”. Een eigen first-party analyticstool zoals Piwik zou wel voldoen aan deze eis, mits je het maar houdt bij zuiver meten en statistieken bedrijven en de analyticsdata niet gebruikt om persoonsgebonden siteveranderingen door te voeren.

En ik erger me rot aan media die meldt dat “de cookiewet gewijzigd is”. Dat. Is. Niet. Zo. De Tweede Kamer heeft ja gezegd, maar de Eerste Kamer moet dat ook nog doen. En juist de Eerste Kamer is meer gespitst op de principiële aspecten van wetten, en hoe dit binnen Europese regels past. Het is dus zeer zeker geen gegeven dat de EK dit zal goedkeuren.

Arnoud

Wat gaan we nou eens doen met die cookiewet?

| AE 6488 | Innovatie, Privacy | 37 reacties

Nederlandse websites schenden massaal de privacywetgeving door informatie over surf- en klikgedrag van bezoekers, zonder hun toestemming, door te geven aan advertentiebedrijven, meldde NRC gisteren. Grote woorden: het gaat zo te lezen om de inzet van Google Analytics en dergelijke tools, niet om drones die bij de bezoeker in de slaapkamer het gedrag livestreamen naar… Lees verder

Microsoft verwijdert Tor-software in strijd tegen botnet, mag dat?

| AE 6300 | Security | 9 reacties

Om het Sefnit-botnet tegen te houden, heeft Microsoft op zo’n twee miljoen computers de anonimiteitssoftware Tor verwijderd, zo las ik bij Daily Dot (via). Sefnit communiceerde via het Tor-netwerk waarmee een hoog niveau van anonimiteit kan worden behaald. Toen Microsoft dit doorhad, was het een kwestie van de Tor software toevoegen aan de detectie van… Lees verder

Europa wil cookiewet wijzigen met pseudo-anonieme cookies

| AE 5584 | Privacy | 35 reacties

Zelfs de makers van de cookiewet zijn er niet meer blij mee. Europarlementariërs pleiten ervoor cookies in te zetten die niet tot de persoon herleidbaar zijn, maar wel interessant zijn voor adverteerders, las ik bij Nu.nl. Concreet: Europarlementariër Seán Kelly presenteerde een voorstel voor “pseudo-anonieme cookies”, meldde Emerce. Data moet niet aan een persoon maar… Lees verder

Ga wég met je optionele aanvinkvakjes bij installatie van software

| AE 5448 | Informatiemaatschappij | 27 reacties

Gisteren blogde ik op Cookierecht over het aanvinkvakje van Oracle’s Java-installer bij de Ask.com toolbar. Dat vinkje staat alvast aan, en wie de toolbar niet wil, moet het weghalen. Dat moet je maar net even zien. En nee, dat mag niet van de cookiewet. Maar het kan nóg erger: de installatiezin van AVG Toolbar waar… Lees verder

Kun je wel cookietoestemming geven bij een cookiemuur?

| AE 5089 | Privacy | 40 reacties

Oh jee, de cookiewet is nóg erger dan we al dachten: “Van in vrijheid gegeven, rechtsgeldige toestemming is geen sprake” wanneer een website het geven van cookietoestemming verplicht, meldde het College bescherming persoonsgegevens tegenover Webwereld. Tenminste, als die site een “situationele monopoliepositie” heeft, zoals bij de Publieke Omroep die achter een cookiemuur zit. Maar eigenlijk,… Lees verder

Kun je blindelings akkoord gaan met alle cookies via CookiesOK?

| AE 5051 | Informatiemaatschappij | 21 reacties

Automatisch akkoord gaan met al die stomme cookievragen, het kan met de plugin CookiesOK. Omdat het web beter was vóór de cookiewet, roept de site enthousiast. Het komt erop neer dat deze plugin een database heeft van ‘alle’ sites in Nederland die een cookietoestemmingspopup hebben, en weet waar ie dan op moet klikken om die… Lees verder

Yahoo negeert privacy-instelling IE10

| AE 4631 | Privacy | 26 reacties

Yahoo verklaart als één van de eerste grote internetnamen dat het de Do-Not-Track instelling van IE10 negeert, las ik bij Webwereld. Microsoft had eerder aangekondigd deze optie standaard aan te zetten, oftewel standaard mocht je niemand tracken die IE10 gebruikt. Volgens Yahoo veroorzaakte de browsermaker daarmee een gedegradeerde gebruikerservaring. En wanneer marketeers gaan spreken van… Lees verder