Zelfs de makers van de cookiewet zijn er niet meer blij mee. Europarlementariërs pleiten ervoor cookies in te zetten die niet tot de persoon herleidbaar zijn, maar wel interessant zijn voor adverteerders, las ik bij Nu.nl. Concreet: Europarlementariër Seán Kelly presenteerde een voorstel voor “pseudo-anonieme cookies”, meldde Emerce. Data moet niet aan een persoon maar aan een activiteit gekoppeld worden, zodat je wel getarget kunt adverteren maar niet weet over wie het gaat.
De cookiewet is op zijn zachtst gezegd nogal een tegenvaller. Waar de wet bedoeld was om mensen de controle terug te geven over hun PC, werd hij uitgevoerd als “laat overal een irritante popup zien én dwing mensen ja te zeggen”. En dat terwijl er niet eens aan cookies was gedácht bij de eerste wetsvoorstellen: het ging over browserbalken, add-ons en spyware die niet meer stiekem mocht worden geïnstalleerd.
Op zeker moment is ook cookies deel geworden van die wet, en toen ging het ineens ook over privacy – hoewel de cookiewet zelf niet over privacy gaat. Waarschijnlijk dacht er ergens iemand, cookies gaan over privacy, privacy gaat over controle, dus laten we cookies in die wet frommelen dan hebben we dat óók geregeld. Plus, dan kun je meteen dat enge targeten en profilen reguleren.
Het concept van Kelly pakt het anders aan. Cookies moeten niet tot de persoon herleidbaar zijn, maar wel interesseprofielen samenstellen. Hoe ik me dat precies technisch moet voorstellen, weet ik niet. Ik vermoed dat het idee is dat een cookie alleen interesses vastlegt (roddelnieuws=0&tech=9&politiek=4 bij een nieuwssite) en dat er getarget wordt op basis van die interesses. Zo weten ze niet dat ík die techlovin’, politiekvolgende en roddelhatende nieuwslezer ben.
Hoe nieuw is dat? Cookies wérken min of meer zo, alleen zit het profiel dan in een database en bevat het cookie de sleutel om dat profiel te vinden (visitorid=123 in het cookie en 123:roddelnieuws=0&tech=9&politiek=4 op de server). Volgens mij is dat functioneel hetzelfde en hoe het eerste dan minder de privacy schendt, ontgaat me.
In Nederland wordt al een hele tijd gewerkt aan een geplande wijziging van de cookiewet, waarbij met name analyticscookies moeten worden uitgesloten van het toestemmingsvereiste. Er ligt nu een wetsvoorstel voor internetconsultatie, maar of dit het haalt én of dit standhoudt bij de Europese rechter, valt nog te bezien.
De insteek van Kelly lijkt me véél beter. Leg vast tot hoe ver bedrijven mogen gaan, verbied de rest en leg er stevige boetes op. Mensen kúnnen geen fatsoenlijke privacytoestemming geven, zeker niet bij het internetten waarbij je gewoon op dingen klikt enkel omdat je die pagina met kattenfilmpjes wil zien.
Arnoud