Heeft opt-in wel zin bij cookies?

Naar aanleiding van de recente discussie over het cookierapport van TNO en IViR verscheen bij Netkwesties het artikel Vergaande spraakverwarring over opt-in en opt-out. In het kader van de discussie over de nieuwe Europese cookiewet had TNO ontdekt dat veel bedrijven de huidige wet schenden, omdat volgens hen het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE) een opt-in voor cookies zou eisen.

Netkwesties vroeg mijn commentaar op de spraakverwarring, en enige frustratie gaf het volgende antwoord:

Persoonlijk geloof ik niet in opt-in en maar gedeeltelijk in opt-out. De meeste mensen weten niet hoe dit soort systemen werken, en zóuden dit ook niet hoeven weten. Het idee van opt-in = controle vind ik een illusie. Want met de simpelste belofte krijgen bedrijven wel een opt-in, maar mensen hebben geen idee wat de implicaties van hun toestemming zijn.

Als bepaald gedrag als fundamenteel ongewenst ervaren wordt, dan moet de wet worden aangepast om het gedrag op het juiste spoor te krijgen. Dus niet een opt-in voor tracking cookies voor het volgen van surfgedrag maar een verbod op tracking cookies.

Als we vinden dat tracking moet kunnen maar dat de getrackte persoon invloed moet hebben, dan moet de wet voorschrijven dat er zo’n invloedmechanisme komt.

De wet moet dan over de implicaties gaan en niet over die illusie.

Wat vinden jullie?

Arnoud

Marketingbranche verslikt zich in OPTA’s cookierapport

Branchepartijen BVA, DDMA, IAB, NUV en Thuiswinkel.org hebben grote kritiek op het door TNO en IViR opgestelde rapport “A bite too big, Dillema’s bij de implementatie van de cookiewet in Nederland“, las ik bij Marketingfacts. Het rapport bevat volgens de branchepartijen grove fouten en is met slechts acht respondenten niet representatief voor de sector. We pakken het rapport er dus eens bij.

Bij Marketingfacts zegt de DDMA:

DDMA voorzitter Henry Meijdam staat versteld: “dat men in de samenvatting zegt dat toestemming voor cookies op basis van de huidige wetgeving is vereist, is onbegrijpelijk. Het schetst bovendien het onterechte beeld dat organisaties nu illegaal bezig zijn wanneer zij cookies plaatsen.”

In de samenvatting van het rapport zie ik staan

De regels over het plaatsen van cookies zijn op Europees niveau gewijzigd van een op-out naar een opt-in procedure. Hierdoor is degene die een cookie plaatst verplicht de internetgebruiker voor of tijdens het plaatsen van een cookie te informeren over het plaatsen van het cookie en het doel van de gegevensverzameling. Ook dient hij hiervoor toestemming te vragen.

Dit gaat echter duidelijk over de nieuwe regels omtrekt cookies, die wet moeten worden maar dat nu nog niet zijn. Bij lezing van het rapport valt me op dat men de oude en de nieuwe situatie regelmatig door elkaar bespreekt en niet duidelijk aangeeft of men met “verboden” bedoelt “onder de huidige wet” of “onder de Richtlijn waar we binnenkort wet van gaan maken”.

Voor mij erg verrassend was de volgende opmerking in het rapport:

Door de implementatie van deze wijziging in de Telecommunicatiewet verandert er weinig in de Nederlandse situatie aangezien de huidige implementatie van de oude regels in het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE) reeds een opt-in systeem kent.

Een opt-in voor cookies was nieuw voor mij, dus gauw het huidige BUDE erbij gepakt. Artikel 4.1 BUDE noemt deze eisen:

  • op een duidelijke en nauwkeurige wijze te informeren omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan
  • op voldoende kenbare wijze gelegenheid te bieden de desbetreffende handeling te weigeren.

(Deze regels gelden niet als de cookies de verzending van communicatie over een openbaar elektronisch communicatienetwerk uit te voeren of te vergemakkelijken, of nodig zijn om een dienst te leveren – dus login cookies, shoppingcartcookies en sessiecookies vallen buiten deze regels en mogen ook zonder nadere toelichting of opt-out.)

Ik ben toch geneigd dat eerder als een informatieplicht en een opt-outmogelijkheid te lezen. De woordkeuze voor “weigeren” wijst er volgens mij op dat er niet echt om toestemming moet worden gevraagd. Of nou ja, het is semantiek uiteindelijk – is er verschil tussen zelf aanvinken “ja ik wil” of juist het weghalen van een vinkje bij die tekst?

Ook kreeg ik vragen van de passage over respawning cookies, waarbij een weggehaald HTTP cookie wordt hersteld via een kopie daarvan uit de Flash-cookiejar. Het rapport zegt:

Opvallend is dat een klein aantal respondenten aangeeft gebruik te maken van respawning, terwijl dit in strijd is met artikel 4.1 van het Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE).

Waar deze strijd zit, wordt niet toegelicht. Ik vermoed dat men bedoelt dat niemand uitlegt dat men respawning gebruikt, laat staan dat gebruikers het kunnen weigeren. Maar dat zou ik niet formuleren als “respawnen is verboden”. Overigens staan Flash cookies bij Adobe in een slecht licht, en heeft ook de IAB zich hiertegen verklaard. Ik mag hopen dat dat betekent dat ze bij inwerkingtreding van de nieuwe telecommunicatiewet verboden worden.

Oh ja, en dat van die acht respondenten: in een gedetailleerde reactie wordt dit toegelicht (pdf) als

Het aantal (relevante) respondenten in dit onderzoek bedraagt n=56. Bij de vragen die zich specifiek richten op Online Behavioral Advertising is de steekproef heel klein, namelijk n=7. In totaal geven vijf respondenten aan de gegevens verkregen via cookies te gebruiken om bezoekers te segmenteren.

En dat klopt wel, zie figuur 2, pagina 31 van het rapport waar men toelicht hoe de (overigens 74) respondenten zijn opgebouwd. Zeven is inderdaad best klein. Maar zijn er zo veel advertentienetwerken dan?

Alles bij elkaar vind ik het rapport nogal een gemiste kans. Tijd dus voor een nieuw onderzoek als de nieuwe wet er is.

Arnoud