Twee weken terug schreef ik al over de indianenverhalen die de ronde doen naar aanleiding van de “cookiewet”. Ik heb op dat artikel een aantal uitstekende vragen en opmerkingen gehad (zowel op mijn blog als elders) en heb daarom besloten een vervolg te schrijven, waar ik een aantal punten nog eens extra kan aanstippen en zal proberen een aantal onduidelijkheden weg te nemen.
In een van de reacties werd gevraagd om de impact voor de verschillende partijen die getroffen worden door deze nieuwe regelgeving. Dit leek mij een uitstekende structuur voor dit artikel. De verschillende punten zijn dus gerangschikt rond de thema’s “Bezoekers”, “Website Beheerders” en “Adverteerders”.
Bezoekers
De media (ook het IAB is hier niet geheel onschuldig aan) heeft de indruk gegeven dat deze nieuwe regelgeving ervoor zal zorgen dat gebruikers op iedere website eerst een aantal popups zal moeten wegklikken, voordat de website bezocht kan worden. Dit is mede ingegeven door het idee dat adverteerders voor iedere website toestemming moeten krijgen. Dit is echter pertinent onjuist. De meeste adverteerders werken via third-party cookies (cookies die niet door de website die je bezocht geplaatst worden, maar door de adverteerder zelf). Een adverteerder hoeft hier slechts eenmalig toestemming voor te krijgen. Dit betekent dat de gebruiker alleen voor de eerste paar websites die hij bezoekt toestemming hoeft te geven of te weigeren.
Daarnaast bestaat het idee dat het weigeren van cookies tot gevolg zal hebben dat er voor ieder bezoek opnieuw gevraagd zal worden om toestemming. Mijns inziens is dit eveneens onjuist. Het al-dan-niet geven van toestemming kan alsnog opgeslagen worden in een cookie, aangezien de wet het toelaat technische cookies te plaatsen. Met de opmerking dat de cookie alleen voor dit doel gebruikt mag worden.
Een punt van aandacht is echter wel dat cookies (en de weigering of toestemming hiervoor) per browser opgeslagen worden. Dit betekent dat als een gebruiker verschillende browsers gebruikt, of verschillende apparaten gebruikt, er ook meerdere keren toestemming gegeven moet worden. Dit is hetzelfde als bijvoorbeeld bookmarks en opgeslagen wachtwoorden. Ik kan mij echter voorstellen dat er plugins ontwikkeld zullen worden om dit te synchronizeren.
Tenslotte een opmerking over de Do-Not-Track functionaliteit die browser fabrikanten recentelijk ontwikkeld hebben: Deze biedt een opt-out mogelijkheid voor browser tracking. De overheid gaat er, in mijn ogen terecht, vanuit dat tracking zo belangrijk is dat opt-out niet voldoende is. Je kunt er immers niet vanuit gaan dat iedereen op de hoogte is van de functionaliteit en implicaties van Do-Not-Track, en tevens gebruik maakt van een browser die dit ondersteund. Ik zie overigens wel mogelijkheden beiden te combineren. Als een gebruiker de Do-Not-Track functie aan heeft staan, dan kan dit gezien worden als een explicite weigering.
Website beheerders
De website beheerder is de First Party, ofwel degene waar de bezoeker rechtstreeks mee communiceert. De Website beheerder is verantwoordelijk de bezoeker te informeren over de tracking cookies die zijn website plaatst, en toestemming hiervoor te verkrijgen. Ook al bestaande cookies vallen hieronder! Deze mogen niet gebruikt worden totdat de bezoeker hier toestemming voor gegeven heeft.
Vaak plaatsen websites echter zelf geen tracking cookies, maar worden deze geplaatst door (bijvoorbeeld) een adverteerder die advertenties plaatst op de website. In dat geval is de adverteerder bijna altijd verantwoordelijk voor het informeren en verkrijgen van toestemming. Het is echter mogelijk dat adverteerders dit afschuiven op website beheerders.
Alle cookies die noodzakelijk zijn voor het functioneren van de website blijven toegestaan. Hieronder vallen sessie-cookies en inlog-cookies, maar ook cookies waarin bijvoorbeeld de gebruikersnaam wordt opgeslagen, zodat deze bij het volgende bezoek niet opnieuw ingevoerd hoeft te worden.
Volgens de wet moeten bezoekers eerst volledig geinformeerd worden over het cookiegebruik, voordat ze toestemming kunnen geven. Het is dus niet voldoende om deze informatie op te nemen in een privacy policy. Ik verwacht echter dat een duidelijke vraagstelling, in combinatie met een link naar de sectie in de privacy policy betreffende het cookiegebruik, wel toegestaan zal zijn.
Adverteerders
Een veel gehoord argument tegen de cookiewet is dat deze het gericht adverteren onmogelijk zal maken, wat tot gevolg zal hebben dat de opbrengsten van online adverteren zullen kelderen. Dit is volgens mij onjuist. Met behulp van Browser Fingerprinting kunnen bezoekers met hoge mate van betrouwbaarheid geidentificeerd worden. Zie hiervoor onder andere het Panopticlick project van de Electronic Frontier Foundation. Hoewel hierbij gebruik gemaakt wordt van slechts een klein deel van de mogelijkheden, is de fingerprint van mijn browser toch uniek binnen de dataset van ruim 1.6 miljoen bezoekers. Door gebruik te maken van meer geavanceerde methoden, zoals het meten van de klok-offset, kunnen in de meeste gevallen zelfs identieke systemen binnen bijvoorbeeld een bedrijf uniek geidentificeerd worden. Volgens het artikel over het panopticlick project (Browser Uniqueness[PDF]) is het zelfs mogelijk om, met hoge mate van betrouwbaarheid, te detecteren wanneer iemand bijvoorbeeld zijn browser upgrade. Het grootste risico hierbij is nog wel dat deze gegevens eenvoudig verhandelbaar zijn, omdat er geen afhankelijk is van cookies, die slechts door een enkel domein uit te lezen zijn.
Problemen en vragen
Ik hoop hiermee de onduidelijkheden in het vorige artikel weggenomen te hebben. Hoewel deze nieuwe regelgeving wel degelijk invloed zal hebben op het gebruik van het internet, is deze m.i. veel beperkter dat de media doet geloven. Er staan wat mij betreft echter nog wel een aantal punten open.
Zoals eerder al aangegeven, kunnen bezoekers, met behulp van Fingerprinting, met hoge mate van betrouwbaarheid gevolg worden. Het grootste probleem dat de overheid heeft proberen op te lossen (privacy op het internet) is dus nog steeds niet opgelost. De Do-Not-Track functie geeft aan dat een bezoeker helemaal niet gevolgd wil worden, dus ook niet met behulp van Fingerprinting. Het staat websites echter vrij dit te negeren.
Daarnaast geldt deze regelgeving niet alleen voor browsers, maar ook voor applicaties. Niet alleen voor desktop computers, maar ook voor tablet computers en smartphones. Het is mij nog niet geheel duidelijk wat de implicaties zullen zijn voor bijvoorbeeld smartphone applicaties.
Graag hoor ik jullie reacties, vragen, onduidelijkheden of suggesties!
Posted from Beijing, Beijing, China.
Related posts:
Did you like what you read? Consider supporting me:
[…] tips te geven over de implementatie van de wet. Het vervolg op dit artikel staat nu online: De Cookiebakker — Deel 2.Wie ben ik?Mijn naam is Daniël Bos, 31 jaar en sinds 2010 woonachtig in Beijing, China. Ik heb […]
Dank voor het heldere artikel. Er wordt in de media steeds gesproken over Nederlandse websites. En een mogelijke vlucht van advertentiesites naar het buitenland. Veel sites hebben een internationaal karakter. Deze hoeven niet in Nederland gehost te zijn ondanks dat de taal of content gericht is op Nederlanders. Bijvoorbeeld apple.com/nl
Mijn vraag is dus — stel je hebt een website in Beijing en je richt je op een wereldmarkt, maar biedt ook content aan in het Nederlands of aan bezoekers uit Nederland — moet je dan Nederlandse bezoekers eruit filteren en geldt voor deze groep de nieuwe wetgeving? Of mag je je beroepen op de locale wetgeving van het land waar je je website host?
Voor zover ik begrepen heb geldt deze regelgeving voor iedereen die onder de Nederlandse wetgeving valt. Voor bedrijven in het buitenland is dit over het algemeen niet het geval. Zodra een bedrijf echter een kantoor in Nederland heeft, kan het zijn dat de Nederlandse wetgeving wel van toepassing is.
Waarom is deze wet nu eigenlijk precies gemaakt?
Als ik het stuk lees begrijp ik dat opgeslagen data op advertentieservers op niet al te moeilijke wijze (volgens auteur) gekoppeld kan worden aan de nietsvermoedende website bezoeker. Hier is dus geen cookie voor nodig.
Het leidt –in mijn ogen– tot een vals gevoel van zekerheid bij de eindgebruiker: de consument.
Deze wet is dan ook gemaakt door mensen die niets begrijpen van het internet of van technologie…