Yahoo negeert privacy-instelling IE10

cookiewet-trackingYahoo verklaart als één van de eerste grote internetnamen dat het de Do-Not-Track instelling van IE10 negeert, las ik bij Webwereld. Microsoft had eerder aangekondigd deze optie standaard aan te zetten, oftewel standaard mocht je niemand tracken die IE10 gebruikt. Volgens Yahoo veroorzaakte de browsermaker daarmee een gedegradeerde gebruikerservaring. En wanneer marketeers gaan spreken van gebruikerservaringen dan moet je uitkijken.

Het is natuurlijk overduidelijk dat Yahoo bedoelt “dan kunnen wij niet goed meer iedereen op individueel niveau tracken, profileren en in nette segmentjes te koop aanbieden aan onze adverteerders”. En ik geloof onmiddellijk dát dat hun probleem is, maar met dit soort omfloerste braaftaal schiet het debat rond tracken en privacy niet op. Sterker nog, dit soort acties zijn een domme zet want het is zó transparant dat het iedere geloofwaardigheid van andere argumenten van pro-advertentie en pro-tracking partijen onderuit haalt.

Sinds de invoering van de cookiewet staat dat debat sowieso al zwaar op scherp. Vrijwel iedereen, ook de meest rabiate pro-privacymensen die ik ken (en geloof me die zíjn me een partij rabiaat) vind het een onzinnige regel. Mensen worden op het verkeerde moment lastig gevallen met een privacyvraag. Sterker nog, op een moment dat ze eigenlijk gewoon iets anders willen en dan gaan ze dús gewoon “ja” zeggen op alles dat je vraagt. Dom, ja, ongetwijfeld maar zo werkt het wel en dat ga je écht niet met een cookiewet oplossen.

(Ik ga op 1 april in onze cookiepopup zeggen dat men toestemming geeft voor afboeken van 49,95 via automatische incasso na bezoeken site en dan eens zien hoe veel akkoords ik krijg.)

Do Not Track is een veel betere oplossing, en eigenlijk had de cookiewet dan ook pas ingevoerd moeten worden nadat DNT was uitgerold. Dan geef je het systeem tanden: ik wil niet worden gevolgd had ik ingesteld, je volgt me toch, kom maar op met die 100 euro. Per cookie.

Maar niet geheel onbegrijpelijk verzet de advertentieindustrie zich tegen DNT. Of beter gezegd, tegen een DNT die default op “ja” (==”nee ik wil niet getrackt”, argh dubbele ontkenningen) staat. Want tachtig procent van de mensen verandert nooit iets aan defaults, dus een default ja op DNT betekent dat 80% van je bezoekers niet getrackt mag worden. En alle zinnen over zorgvuldig gerespecteerde privacy in privacyverklaringen daargelaten: dát is natuurlijk ook weer niet de bedoeling. Want zonder tracking geen profielen en dus keldert de effectiviteit van advertenties naar nul. En de inkomsten dus ook.

Alleen: onder de huidige wet móet DNT bij default aan omdat de gebruiker een keuze moet maken. Mensen zelf de DNT naar uit (==”track me”) laten zetten is de beste manier om die keuze te laten maken. Ja, je zou het ook als open vraag bij installatie kunnen stellen maar wat doe je dan bij preinstalled software?

Gebruikers opvoeden dan maar? Mensen uitleggen wát tracken is en ze een geïnformeerde keuze laten maken of ze dat willen en in welke mate. Een prachtig ideaal, en ja zo hoort de maatschappij te werken. Maar het is wel een beetje naïef gezien de praktijk van vandaag de dag om te denken dat dát gaat lukken. Wie heeft er nooit een familielid aan de telefoon gehad met “de computer gaf een fout, nee ik weet niet welke want ik heb het maar weggeklikt en nu doet ‘ie het niet meer”? En hoe veel handige handleidingen en tips heb je die al niet vruchteloos aangeboden?

Eigenlijk is de enige werkbare oplossing dat de politiek zélf gaat bepalen wat er nog wel en niet wenselijk is op het gebied van tracking en privacy. En dan bedoel ik niet “beslissen dat gebruikers na zorgvuldige afweging een keuze maken” maar gewoon botweg zelf de grenzen bepalen. Die gebruikers gaan dat echt niet doen, en van strooptaalpratende marketeers hoeven we heus geen vrijwillige verbetering te verwachten. Een wet met “tracking mag maar je moet daarnaast een betaald advertentievrij abonnement aanbieden” lijkt mij een prima praktisch compromis, om eens wat te noemen.

Maar eerlijk gezegd zou ik mijn geld eerder zetten op “we modderen gewoon voort tot er nóg rampzaliger wetgeving komt”.

Arnoud

Heise’s alternatieve Facebookknopje

heise-oplossing-facebook-tracking.pngVorige week schreef ik over het Facebook-‘Like’-knopje dat iedereen blijkt te tracken, ook als je niet ingelogd bent of zelfs als je geen lid bent van het sociale netwerk. Deze aanpak is juridisch dubieus, zeker nu er een cookiewet aankomt die dit expliciet gaat verbieden.

In Duitsland lijkt nieuwssite Heise een oplossing te hebben gevonde. Men toont het Facebookknopje pas nadat de gebruiker expliciet hierom gevraagd heeft. En dat klinkt als meer gedoe dan het is: het plaatje rechtsboven laat zien dat je alleen maar twee keer in plaats van één keer hoeft te klikken. De techniek erachter is simpel, de eerste klik gaat naar de Heise-site en die stuurt het Facebook-knopje met al zijn trackingcode terug, waarna de tweede klik dat knopje activeert.

Leuk idee, alleen is Facebook boos. Deze werkwijze zou in strijd zijn met de Facebook Platform Policies, die namelijk vermelden:

8. You must not use or make derivative use of Facebook icons, or use terms for Facebook features and functionality, if such use could confuse users into thinking that the reference is to Facebook features or functionality.

Dit lijkt me een tikje gezocht. Maar in principe hebben ze een punt, want het grijze icoontje ziet eruit als een Facebook-icoon maar de klik gaat niet naar Facebook.

Update (08:54) Heise heeft het grijze knopje aangepast:

heise-facebook-nieuw.png

Later verduidelijkte Facebook-woordvoerder Tina Kulow op Twitter dat de dubbelklik-oplossing op zichzelf prima is, alleen niet met dat grijze icoontje:

Um es klar zu stellen: 2-klick-Button ist nicht ideal – aber kein Problem. Nur ein Like-Button der grafisch so tut als ob er einer ist, ist nicht ok. Das ist alles.

Het zou dus een kwestie moeten zijn van een eigen icoon maken dat aangeeft dat het Facebook-knopje beschikbaar is, zonder dat dit 1-op-1 hetzelfde is als het Facebook-knopje zelf. Dat zal nog lastig worden. Immers, dit was dé manier om zo’n knop te maken, een grijze versie van een knop is de standaardmanier om aan te geven dat iets nu inactief is maar geactiveerd kan worden.

Elk alternatief zal tegen hetzelfde probleem aanlopen. Je moet immers het Facebook-logo gebruiken om aan te geven dat dit Facebook-functionaliteit betreft. De enige oplossing die ik kan zien is het dubbelklikken om alle social media knopjes te activeren, maar dat lijkt me nodeloos nadelig voor andere sites die zich wél netjes gedragen.

Oh, en in diezelfde tweet linkt ze naar een FAQ-pagina met deze fijne paarsebroekenformulering:

Deze standaardgegevens helpen ons jouw beleving te verbeteren afhankelijk van welke browser je gebruikt en of je bent aangemeld op Facebook of niet.

Weet iemand wat dit betekent? Hoe verbetert Facebook mijn ‘beleving’ van Heise.de (wat dat dan ook moge betekenen) door mijn IP-adres, browserdata etcetera te loggen en 90 dagen te bewaren? Het knopje blijft immers hetzelfde, en getargete advertenties op Heise.de van Facebook zie ik niet

Arnoud

Mag Facebook je tracken met hun Like-knopje?

facebook-dislike-like.pngEen lezer vroeg me:

Op menig website zie je tegenwoordig de Facebook ‘Like’-knopjes. Nu had ik gelezen dat Facebook je daarmee ook trackt als je er niet op drukt, dus ook als je geen lid bent en niet akkoord bent gegaan met hun Terms of Service of privacyverklaring. Mag dat zomaar?

De Facebook ‘Like’-knop bevat inderdaad een trackingcookie dat in alle gevallen wordt gezet, ook als je niet ingelogd bent of zelfs geen Facebook account hebt.

Bij onze Eerste Kamer ligt nu een wetsvoorstel dat gaat eisen dat tracking cookies alleen mogen worden geplaatst met uitdrukkelijke toestemming, en dat zou de Facebook cookies bij de Like-knop dus in strijd met de wet maken. Zaterdag las ik dat in de Duitse deelstaat Sleeswijk-Holstein al een verbod op dit knopje geldt binnen de overheid.

De grote vraag is dan: is Facebook te houden aan die Europese wet? In het verleden heeft de Artikel 29-Werkgroep geconcludeerd dat dat inderdaad het geval is. Uit hun analyse:

De Groep is daarom van mening dat de nationale wetgeving van de lidstaat waar de pc van de gebruiker zich bevindt, van toepassing is op de vraag onder welke voorwaarden de persoonsgegevens van de gebruiker kunnen worden verzameld door cookies op zijn harde schijf te plaatsen.

Dit baseert men op artikel 4 van de privacyrichtlijn, dat bepaalt dat nationaal recht van een lidstaat geldt als

de voor de verwerking verantwoordelijke persoon niet gevestigd is op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde Lid-Staat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.

Het plaatsen van cookies is geen ‘doorvoer’, en daarmee is dus aan deze eis voldaan.

Praktisch gezien is het natuurlijk een beetje moeilijk om Facebook te dwingen zich te houden aan Europese regels als ze niet daadwerkelijk actief zijn in Europa. Wie ga je de boete opleggen, en hoe incasseer je die?

Niet verrassend is in de VS al iemand over dit onderwerp aan het procederen. Ik ben heel benieuwd wat voor schikking hieruit komt en of Facebook dan ook daadwerkelijk haar knopje gaat aanpassen. In de tussentijd is het met Adblock blokkeren van het Like-knopje de handigste optie denk ik.

Arnoud<br/> Foto: How to add a DisLike button on facebook in firefox?