Nieuwe cookie wetgeving, mag zelfs G. analytics niet meer?

[willemj]

De nieuwe telecomwet met aanpassingen voor het gebruik van cookies (of andere manieren om de bezoeker van je website te volgen) is aangenomen.

 

Dit onderwerp speelde al even maar de wet, voortvloeiend uit een Europesche richtlijn (kan link niet zo snel vinden) is nu van kracht. Cookies mogen niet meer zonder instemming van je bezoeker tenzij deze nodig zijn voor de werking van je site. Een cookie voor een login of winkelwagen mag dus, de rest niet meer zonder instemming van je bezoeker. Arnoud Engelfriet is op zijn blog van mening dat zelfs Google Analytics valt onder deze wet en dus ook daarvoor toestemming is vereist.

 

In de UK is een soortgelijke wet net van kracht geworden. Sites van UK overheid zelf en grote partijen als de BBC voldoen (nog) niet aan de eisen.

 

Ik heb een paar sites die niet voldoen maar kijk even aan wat de aanbieders van advertenties (o.a. adsense) en Google Analytics gaan doen om een product aan te bieden wat voldoet aan deze nieuwe regelgeving. Wat doe jij?

[Wouter33]

ze kunnen het prima serverside bijhouden

 

Dat is nou precies waar die cookies voor nodig zijn. Want om iets serverside bij te houden, moet je kunnen identificeren van wie (of zonder inlogsysteem: van welke browserinstantie) de webverzoeken afkomstig zijn. En dat werkt met cookies.

 

Zoals o.a. ik al eerder in dit topic schreef, hoeft dat dus niet perse met cookies. Door de informatie van je browser en andere persoonlijke informatie op te slaan zijn er enorm unieke profielen te maken die server-side kunnen worden bijgehouden. Zie hier een testcase van het EFF waarin ze al meer dan 2,5 miljoen unieke bezoekers hebben gehad waarbij bijna alle profielen uniek bleken. Dat staat nog eens los van het IP-adres. Als je die combinatie pakt heb je sowieso een uniek profiel.

[willemj]

Dat is nou precies waar die cookies voor nodig zijn. Want om iets serverside bij te houden, moet je kunnen identificeren van wie (of zonder inlogsysteem: van welke browserinstantie) de webverzoeken afkomstig zijn. En dat werkt met cookies.

 

Zie voorgaande opmerking / link naar de 'proof of concept' van de EFF hoe dit zonder cookies te doen. Of meer algemeen google op 'browser fingerprinting'. Is nagenoeg zo effectief als cookies.

[Wouter Hol]

Wat Willem en Wouter zeggen is zelfs accurater dan cookies. Cookies kan je als gebruiker uitzetten in je browser. Je fingerprint maskeren is een stuk lastiger te doen. Dramatische ontwikkeling voor de privacy, als je het mij vraagt.

[R.I.P. | Peter Bonjernoor]

Dramatische ontwikkeling voor de privacy, als je het mij vraagt.

Och...dat kan al zolang het internet bestaat, hoor! ;)

[R.I.P. - Benm]

Dat er andere technieken dan cookies maakt de wetgeving eigenlijk een beetje overbodig.

 

Overigens zijn er wel kanttekeningen te zetten bij hoe uniek-identificered sommige gegevens zijn. De pagina van FF laat welliswaar zien dat mijn systeem uniek is uit 2 miljoen systemen, maar zodra ik een plugin of font installeer veranderd mijn fingerprint, en is dat dus niet meer 1:1 te matchen met mijn vorige bezoek aan de site.

 

Maar goed, zoals gezegd heb je ook nog het ip adres, en kan men dus wel bijhouden wanneer je iets installeert, de fingerprint updaten, en je dan verder volgen als je op een ander ip adres verder browst. Als die keten een keer onderbroken wordt is het vast wel mogelijk het op een bepaald punt weer te koppelen aan de hand van sites die je veel bezoekt, zoekopdrachten etc.

 

Deze methode van tracking is op zekere punten wellicht 'erger' dan cookies, aangezien je er vrijwel niets tegen kunt doen, en ook niets van hoeft te merken... er is tenslotte geen cookie meer dat je kunt inzien of verwijderen. Bovendien hebben cookies het voordeel dat je in de browser kunt instellen dat ze alleen inzichtelijk zijn voor het domein van de site waar je naar kijkt. Aan banners die vanaf het domein van de adverteerder worden geserveerd worden de cookies dan niet verzonden.

 

 

Blijft de vraag wat er nou praktisch gaat gebeuren met deze wetgeving. Ik heb een vermoeden van 'helemaal niets', tenzij een of andere consumentenclub een proefproces begint. Maar zelfs als ze dat zouden winnen, wie gaat er dan in vredesnaam op toezien dat alle europese websites het gebruik van cookies staken? Het gaat daarbij om miljoenen sites die dan 1 voor 1 moeten worden aangepakt.

[willemj]

Wat Willem en Wouter zeggen is zelfs accurater dan cookies. Cookies kan je als gebruiker uitzetten in je browser. Je fingerprint maskeren is een stuk lastiger te doen. Dramatische ontwikkeling voor de privacy, als je het mij vraagt.

 

Cookies uitzetten was al een tijdje niet afdoende om niet gevolgd te worden dankzij het evercookie [wikipedia]. De nieuwe wet dekt deze techniek ook dus dat is een stap vooruit.

 

'Browser fingerprinting' is met een plugin, in vergelijking met de evercookie, eenvoudig te omzeilen. Het voorbeeld van de EFF gebruikt alleen de agent-string (= omschrijving die je browser meestuurt bij iedere pagina die je bezoekt) Die verander ik nu al af en toe handmatig (voor testen) Kan ook ook automatisch bij iedere pagina die ik bekijk. Zijn technisch gezien nog wel wat mogelijkheden maar dat gaat denk ik wat ver voor hier en er is al genoeg over te geschreven.

 

Praktisch gezien lijkt het me voor zaken waar een, niet functioneel, cookie essentieel is voor nu wel de oplossing.

[Thor]

Blijft de vraag wat er nou praktisch gaat gebeuren met deze wetgeving.

"Toevallig" kwam ik vanochtend op een UK (nieuws) site terecht (TS heeft het erover dat de wet in de UK al werkend is).

 

Daar verscheen onder in het scherm een zwarte balk met daarin een witte tekst die "iets" vertelde dat de website met cookies werkte en dat je dat wel oif niet kon toestaan blabla.

 

Volgens mij leren kinderen tegenwoordig al op de basisschool dat je dan nooit op ok moet klikken. Volgens mij dus allemaal niet zo handig.

 

 

[R.I.P. - Benm]

Weet je toevallig nog welke pagina dat was? ben wel benieuwd...

 

En nee, zo'n balk waar je eerst 'okay' moet klikken is zeker geen goed idee. Normaliter zie je zulke balken als een website dubieuze plugins wil gebruiken of iets dergelijks, en gebruikers hebben ondertussen wel geleerd dat 'nee' het correcte antwoord is. Wat gebeurd er eigenlijk als je op 'nee' klikt? Ga je dan terug naar waar je vandaan kwam, blanco pagina, foutmelding?

 

 

[P.J.]

Voor de liefhebbers: Hier kun je je "fingerprint" testen.

[willemj]

Weet je toevallig nog welke pagina dat was? ben wel benieuwd...

 

De BBC natuurlijk, is toch de enige relevante Britse nieuwssite ;)

 

Zie bijgaande afbeelding voor de tekst. Dit is zo goed als een opt-out; doe niets en je krijgt cookies. Bij de cookie opties krijg je dan de keuze verschillende soorten cookies in of uit te schakelen. Waar dan nog onder staat:

Similarly, when you use one of the share buttons on a BBC website, a cookie may be set by the service you have chosen to share content through. The BBC does not control the dissemination of these cookies and this tool will not block cookies from those websites. You should check the relevant third party website for more information about these.

 

Lijkt er op dat de Nederlandse wet dus een stuk strenger is. Uitwerking van de wet in de UK is vergelijkbaar met die in Nederland. Alleen kiest de BBC voor een wat vrije benadering.

 

Na het uitschakelen van de cookies verwijderd de BBC ook de bestaande cookies. Had er 20 voor ik de instellingen wijzigde (waarschijnlijk van een vorig bezoek) en nu nog maar twee.

[Wouter Hol]

Och...dat kan al zolang het internet bestaat, hoor! ;)

Maar de praktische noodzaak om uit te wijken naar meer hardnekkige of zelfs meer sneaky methodes om een klant te herkennen was er niet voor de wetgeving. Cookies werkten voor een website eigenaar als ikzelf prima.

[R.I.P. - Benm]

En het kan altijd gekker:

 

Probeer je te opt-outen bij IDG, krijg je dit...

 

 

 

... dus willen ze nou dat ik 3rd party cookies aan zet, zodat ik vervolgens kan opt-outen om ze weer weg te krijgen of wat?!

[member123]

Ik zie weer een geheel nieuwe dienst ontstaan, namelijk de handel in klantgegevens op basis van unieke computer eigenschappen.

 

Ik ken een bedrijf (even de naam niet bij de hand) die anti fraude diensten levert doordat ze van tientallen miljoenen computers weten of daar in het verleden goede betaal ervaringen mee zijn of juist slechte betaal ervaringen mee zijn.

 

Ze houden dat volledig bij op basis van unieke eigenschappen van elke pc, dus degene op die pc kan een nieuw ipnummer krijgen, nieuwe e-mail adressen hebben of wat dan ook maar op basis van bepaalde hardware info kunnen ze toch elke pc identificeren en oude ervaringen met de gebruiker(s) van die pc teweten komen en op basis daarvan adviseren of je wel of niet zaken met die klant moet doen.

 

Die techniek is dus ook goed in te zetten om andere zaken van gebruikers te onthouden en bij te houden voor reclame doeleinden.

 

Is enkel wat minder nauwkeurig omdat het dus niet op gebruikers niveau is maar op pc niveau en je voor openbare computers of gedeelde pc's dus eerder mensen zal uitsluiten of verkeerde info zal geven.

 

Maar zijn voldoende mogelijkheden om dit te omzeilen.

 

[Thor]

Weet je toevallig nog welke pagina dat was? ben wel benieuwd...

Het ging over de kunstenaar banksy.

 

Stond op de site van kwaliteitskrant the Sun

 

Als je naar die website gaat staat onder aan het scherm zo'n zwarte balk met een blabla-verhaal over cookies.

[P.J.]

Ik negeer die blabla en ik laat gewoon m'n extensies hun werk doen.

[daniel f]

Om even op het Google Analytics terug te komen. Voor mij is dat ook nog niet helemaal duidelijk. Voor zover ik me heb ingelezen vermoed ik niet dat dit valt onder essentiële cookies en moet je dus toestemming vragen hiervoor aan de eindgebruiker. Een alternatief is dus om bezoekers te volgen op de lokale server via log files.

 

Overigens staat er in de nieuwe wetgeving niet specifiek cookies maar wordt er in het algemeen gesproken. Helaas staat de wet vrij open voor discussie en ik vermoed dan ook dat het afwachten is totdat Europa met haar versie komt.

 

[R.I.P. - Benm]

Er wordt in de wet inderdaad niet specifiek over cookies gesproken, maar wel over clientside opslag - dat kan dus ook html5 local storage, flash of een soortgelijke techniek zijn. Serverside volgen van gebruikers door fingerprinting, ip's, gedragsanalyse en dergelijke valt er niet onder.

 

In die zin vrees ik dat het wetgeving is die redelijk legitieme toepassingen als analytics gaat dwarsbomen, terwijl het grotere privacyprobleem er helemaal niet bij gebaat is.

 

Serverside tracking heeft voor toekomstige wetging als bijkomend probleem dat het zeer moeilijk te bewijzen is. Uiteraard kan je wel de resultaten ervan vermoeden, maar hard bewijs in de zit van een geplaatst cookie ontbreekt. Voor hard bewijs dat iemand zulke tracking toepast is het haast noodzakelijk toegang te hebben tot hun systemen.

[renep]

Zoals o.a. ik al eerder in dit topic schreef, hoeft dat dus niet perse met cookies. Door de informatie van je browser en andere persoonlijke informatie op te slaan zijn er enorm unieke profielen te maken die server-side kunnen worden bijgehouden.

 

Neem me niet kwalijk dat ik de eerdere opmerkingen hierover in deze discussie niet heb gelezen, maar dit is weer zo'n doorzichtige ontduikingstruc van de onlinemarketingwereld die natuurlijk geen paar jaar internetontwikkelingen overleeft. Het riekt naar seo en spam. Als het 'fingerprinten' al werkt, wordt het in no time verboden door overheden of onwerkzaam gemaakt door browserfabrikanten, privacybeschermingssoftware en eindgebruikers die browserplugins installeren.

[Wouter33]

Zoals o.a. ik al eerder in dit topic schreef, hoeft dat dus niet perse met cookies. Door de informatie van je browser en andere persoonlijke informatie op te slaan zijn er enorm unieke profielen te maken die server-side kunnen worden bijgehouden.

 

Neem me niet kwalijk dat ik de eerdere opmerkingen hierover in deze discussie niet heb gelezen, maar dit is weer zo'n doorzichtige ontduikingstruc van de onlinemarketingwereld die natuurlijk geen paar jaar internetontwikkelingen overleeft. Het riekt naar seo en spam. Als het 'fingerprinten' al werkt, wordt het in no time verboden door overheden of onwerkzaam gemaakt door browserfabrikanten, privacybeschermingssoftware en eindgebruikers die browserplugins installeren.

 

Ik neem je niks kwalijk?

 

Maar dit heeft werkelijk niks te maken met SEO of spam. Fingerprinten is gewoon het analyseren van website bezoekers. Het fingerprinten kan op allerlei manieren gebeuren, of dit nou browserinformatie, ip-adressen of locatiegegevens zijn. Dat kan niet zomaar worden verboden of onbruikbaar worden gemaakt. Het is wat mij betreft alleen veel meer onwenselijk dan een simpele cookie waar de gebruiker zelf controle over heeft.

 

Zoals Benm al zei, het cookieverbod kan alleen maar zorgen voor meer privacy "aantasting".

[renep]

Het fingerprinten kan op allerlei manieren gebeuren, of dit nou browserinformatie, ip-adressen of locatiegegevens zijn. Dat kan niet zomaar worden verboden

 

Het is al verboden. Dat wil zeggen, zonder toestemming van de eindgebruiker. Het wordt juridisch net zo behandeld als cookies:

 

De leden van de CDA-fractie vragen hoe ten aanzien van device finger-printing met de cookiebepaling moet worden omgegaan. Device fingerprinting kan worden gebruikt om het surfgedrag van individuele internetgebruikers te volgen. Als met een computer of mobiele telefoon een website wordt bezocht, geeft de browser bepaalde instellingen en kenmerken van het apparaat (computer, mobiele telefoon) door aan die website. Te denken valt aan het type besturingssysteem, de browserinstellingen, geïnstalleerde plug-ins, tijdzone en beeldscherm-grootte en dergelijke. Deze combinatie van instellingen en kenmerken (de «device fingerprint») is zo specifiek, dat een adverteerder die via verschillende sites dezelfde fingerprint aantreft, er met redelijke mate van zekerheid vanuit kan gaan dat het gaat om dezelfde computer, en dus dezelfde internetgebruiker. Als deze adverteerder bijvoorbeeld op verschillende sites advertentiebanners plaatst, kan hij de fingerprints van de computers waarmee die sites zijn bezocht verzamelen. Door die gegevens te analyseren kan hij afleiden welke sites de (verder ongeïdentificeerde) bezoeker achter een bepaalde fingerprint heeft bezocht. Hierbij wordt dus surfgedrag gevolgd aan de hand van informatie die wordt gelezen van de computer van een gebruiker. Artikel 11.7a is niet alleen van toepassing op het plaatsen van gegevens op de randapparatuur van een gebruiker, maar ook op het verkrijgen van toegang tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker. Ook het gebruik van device fingerprinting valt daarom onder artikel 11.7a. Deze conclusie wordt overigens gedeeld door de Artikel 29-werkgroep in Opinion 16/20111. Het lezen van de combinatie van instellingen en kenmerken van het apparaat met als uitsluitend doel de met dat apparaat opgevraagde dienst te leveren (bijvoorbeeld om de bezochte website goed te kunnen weergeven) valt onder de uitzondering in het derde lid. Het lezen van deze informatie om het surfgedrag van de gebruiker van het apparaat te volgen valt niet onder de uitzondering. Hiervoor is dan ook geïnformeerde toestemming van de gebruiker vereist.

 

Bron: Eerste Kamer, vergaderjaar 2011–2012, Nadere Memorie van Antwoord, 32 549, G.

 

of onbruikbaar worden gemaakt

 

Dat denk ik wel. Browsers sturen te veel gegevens mee op basis waarvan de ene browserinstantie van de andere kan worden onderscheiden. Als browserbouwers daar wat aan doen, dan zal de fingerprintingtechniek in ieder geval minder nauwkeurig worden.

 

Er wordt in de wet inderdaad niet specifiek over cookies gesproken, maar wel over clientside opslag - dat kan dus ook html5 local storage, flash of een soortgelijke techniek zijn. Serverside volgen van gebruikers door fingerprinting, ip's, gedragsanalyse en dergelijke valt er niet onder.

 

Device fingerprinting valt er gelet op het Memorie van Antwoord kennelijk wel onder. En ip's worden dacht ik als persoonsgegevens gezien.

 

Gedragsanalyse zou een volgende stap kunnen zijn, maar als dat werkt dan kun je er vergif op innemen dat dat ook onder de werking van deze wet wordt gebracht.

 

De bottom-line is: de wetgever staat niet toe dat je mensen zonder hun uitdrukkelijke toestemming online volgt, welke technische truc je daarvoor ook verzint.

[P.J.]

En Facebook en Google zitten veilig aan de andere kant van de plas?

[Wouter33]

Mooi stuk informatie Renep. Maar vind het nog wel twijfelachtig

 

Artikel 11.7a is niet alleen van toepassing op het plaatsen van gegevens op de randapparatuur van een gebruiker, maar ook op het verkrijgen van toegang tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker. Ook het gebruik van device fingerprinting valt daarom onder artikel 11.7a

Hier staat letterlijk dat het niet is toegestaan om gegevens te verkrijgen die in de randapparatuur van de gebruiker zit. Nu stuurt elke browser met een websitebezoek juist gegevens naar de server van de website toe. Dat is mijn inziens niet het opvragen van gegevens in de randapparatuur, alleen het opvangen. Wat mij betreft wordt in dit artikel te makkelijk de 1-2 naar het verbieden van device fingerprinting gemaakt.

 

De bottom-line is: de wetgever staat niet toe dat je mensen zonder hun uitdrukkelijke toestemming online volgt, welke technische truc je daarvoor ook verzint.

Correctie, wil niet dat je dat doet. Op dit moment is het naar mijn mening niet helemaal verboden.

 

Maar ik denk dat het interessanter is om te bekijken of het wel wenselijk is dat deze wetgeving erdoorheen is gekomen. Is de wet niet een te groot paardenmiddel waarbij ze proberen de privacy te waarborgen maar deze hierdoor misschien op andere manieren (erger) kan worden "geschonden"? Met daarnaast ook een aantal ongewenste bijeffecten die de internetbeleving van de reguliere bezoeker niet ten goede komen?

[renep]

Dat is mijn inziens niet het opvragen van gegevens in de randapparatuur, alleen het opvangen.

 

De wet spreekt niet van 'opvragen' en 'opvangen', maar van het "verkrijgen van toegang" en volgens het Memorie van Antwoord wordt device fingerprinting daaronder geschaard.

[R.I.P. - Benm]

Voor een deel wel, voor een deel niet. Zaken als HTTP_ACCEPT_LANGUAGE, HTTP_USER_AGENT, REMOTE_ADDR, REMOTE_PORT en dergelijke stuurt je browser standaard met ieder pagina request mee, daar hoeft de server niet om te vragen.

 

Het opvragen van een lijst met fonts of plugins is daarin anders, aangezien dat via javascript/flash gedaan wordt en een 'actieve' handeling van de website die je bekijkt is.

 

Maar ik denk dat het interessanter is om te bekijken of het wel wenselijk is dat deze wetgeving erdoorheen is gekomen. Is de wet niet een te groot paardenmiddel waarbij ze proberen de privacy te waarborgen maar deze hierdoor misschien op andere manieren (erger) kan worden "geschonden"? Met daarnaast ook een aantal ongewenste bijeffecten die de internetbeleving van de reguliere bezoeker niet ten goede komen?

 

Ik denk van wel. Je krijgt een situatie waarbij bezoekers toestemming moeten geven voor relatief onschuldige zaken, en 'stiekem' gevolgd worden voor indringendere zaken.

 

Wat ook vervelend is, is dat je je daardoor als bezoeker minder gemakkelijk kunt wapenen. 3rd party cookies kun je met 1 vinkje uitzetten (op zich een aanrader), maar tegen fingerprinting kun je hoogstens iets doen door software voor dat doel te installeren... of te wachten tot browserfabrikanten daarmee komen. Van chrome hoef je denk ik niet zoveel te verwachten op dat gebied :D

[P.J.]

Eigenlijk is deze wetgeving een lachertje als het geen enkel effect heeft op webcontent uit andere werelddelen. Daarom ben ik blij dat er ontwikkelaars zijn die nuttige extensies maken. Dit is ook een heel nuttige: