Nederlandse websites schenden massaal de privacywetgeving door informatie over surf- en klikgedrag van bezoekers, zonder hun toestemming, door te geven aan advertentiebedrijven, meldde NRC gisteren. Grote woorden: het gaat zo te lezen om de inzet van Google Analytics en dergelijke tools, niet om drones die bij de bezoeker in de slaapkamer het gedrag livestreamen naar Dumpert.nl. De reacties van enkele sites zijn dan ook schouderophalend. Uiteraard schuimbekken de politici – het is immers verkiezingstijd – over deze grove schending. Maar eh jongens wat gaan we nou eens dóen met die stomme cookiewet?
De cookiewet is in 2012 aangenomen in de verwachting dat websites dan minder cookies zouden droppen, want toestemming vragen was toch best vervelend en de privacy van de bezoeker staat toch hoog in het vaandel bij elke site, getuige immers hun privacyverklaringen. Maar de reactie was een massaal “deze wet is gek” en veel partijen gingen gewoon door met cookies zetten, of plaatsten een niet te ontwijken toestemmingsknop op hun site om zo die toestemming af te dwingen. Ik ken geen site die heeft gezegd, wat een goed idee die cookiewet, wij stoppen met het tracken van onze bezoekers.
Dat dit niet mag, staat boven kijf. De cookiewet eist dat je toestemming hebt verkregen om cookies te mogen plaatsen, en wanneer zo’n cookie gebruikt wordt voor tracking of profiling dan val je ook nog eens onder de Wet bescherming persoonsgegevens met haar eisen over inzage, correctie en zorgvuldige verwerking.
Om toch te kunnen tracken, wrong menig site zich in allerlei bochten. De populairste bocht was bovenaan een zwarte balk met “Wij zetten cookies, daar gaat u mee akkoord door deze site te blijven gebruiken”. En heel vaak roepen dat deze opt-out een opt-in was, hielp daar ook bij. Maar vooral het feit dat de OPTA – tegenwoordig ACM – geen zichtbare actie ondernam tegen sites die op deze manier de wet schenden, was een grote klap voor de geloofwaardigheid van die wet.
De doodsteek kwam toen de minister een wetsvoorstel aankondigde om analyticscookies buiten de wet te plaatsen. Cookies met als doel “informatie verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij” die “geen of geringe gevolgen” voor de privacy hadden, zouden dan legaal zijn zonder toestemming. Volgens de minister mag dat van Europa, omdat het doel van de cookiewet is de privacy te waarborgen dus hoeven privacymetrustlatende cookies niet onder de wet te vallen. Dat de Europese cookiewet expliciet naar álle cookies verwijst en mede als doel heeft te zorgen dat er geen informatie op iemands harddisk komt zonder toestemming, zal ik dan maar niet te hard zeggen.
De ophef en frustratie – om niet te zeggen sábotage – bij de cookiewet is ergens wel begrijpelijk want het voorziene systeem is onwerkbaar. En we zijn zó gewend aan uitgebreide analytics en monitoring van onze websites dat het voelt alsof we weer terug moeten naar paard en wagen. En ook als privacymindende gebruiker heb ik een hekel aan de cookiewet: waar ik vroeger met een cookieblocker prima kon surfen, krijg ik door diezelfde blocker nu elke keer die stomme balken in beeld. Ik moet nu dus akkoord geven op privacyschendingen die ik voorheen kon voorkomen. Hoe is dat vooruitgang?
Goed. Ja ik ben alweer rustig. Maar de vraag blijft: wat gaan we doen met die cookiewet? Het lijkt me duidelijk dat het ding niet werkt zoals verwacht. En als een wet zó massaal wordt genegeerd en gepasseerd, dan wordt het lijkt mij de hoogste tijd eens wat aan die wet te gaan doen (u krijgt nog de groeten van de Auteurswet 1912). Ik zou alleen niet weten wat.
De belangrijkste beperking die ik zie, is dat het systeem van toestemming fundamenteel niet werkt. Mensen willen geen ja of nee zeggen tegen privacy-dingen, ze willen hun plaatje of filmpje of grappig artikel. Denken dat mensen met voldoende uitleg en knoppen wél gaan nadenken hierover, vind ik uitermate naïef. De enige reële route is volgens mij in de wet opnemen wat er wel en niet mag, bijvoorbeeld via een grijze en zwarte lijst van privacyschendingen. Zwartelijstverwerkingen mogen dan nooit (bv. individuele profielen die gezondheidsinformatie bevatten aan verzekeraars geven) en grijzelijstverwerkingen mogen dan alleen als de verwerker kan aantonen een groot belang te hebben én de privacyinbreuk wordt geminimaliseerd (bv. Google Streetview met opt-out). Dan hoef je het de mensen niet meer te vragen en voeren we het debat over privacy waar het hoort: in het parlement, bij het maken van een wet hierover.
Ja, ik kan lang wachten op zulke lijsten, ik weet het. Maar wat gaan we dan wél doen met die cookiewet?
Arnoud