Deel dit artikel
-

Opinie: Requiem voor een koekje

Vanuit Europa komt de richtlijn om de wetgeving aan te scherpen wat betreft het door websites ongevraagd plaatsen van gegevens op de computer van bezoekers. Met ongekende daadkracht stelt het Ministerie van Economische Zaken nu voor het gebruik van cookies volledig opt-in te maken en gaat daarmee nog een stap verder dan Brussel verlangt.

Het ministerie doet dit middels de volgende tekst in het wetsvoorstel:

Artikel 11.3a
1. Een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker, dient voorafgaand aan de daadwerkelijke toegang of opslag de gebruiker:

a. op een duidelijke en nauwkeurige wijze te informeren omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en

b. ondubbelzinnig toestemming te vragen en deze te verkrijgen voor de desbetreffende handeling.

Dat betekent dat iedere website die cookies wil plaatsen of uitlezen bij een bezoeker voordat hij tot plaatsing overgaat moet uitleggen waar die cookies voor dienen en uitdrukkelijk moet vragen of de plaatsing ervan akkoord is. Als een uitgever gebruik maakt van verschillende advertentienetwerken, moet ieder netwerk apart dezelfde vraag stellen, en vervolgens opnieuw als dezelfde bezoeker de advertenties van dat netwerk op een andere website ziet.

Tenzij de branche gezamenlijk in actie komt, zou deze maatregel wel eens de doodsteek kunnen betekenen van het gebruik van cookies. Het IAB komt met een reactie namens de branche (PDF) ter verdediging van het gebruik van cookies, maar los daarvan geef ik hier een aantal observaties.

Economische schade
De economische schade die deze maatregel teweegbrengt zou op korte tot middellange termijn wel eens aanzienlijk kunnen zijn. Ik noem 3 scenario’s:

1. Tenzij de bezoeker de cookies accepteert wordt hij op iedere website bij ieder bezoek opnieuw geconfronteerd met de vraag of cookies geplaatst mogen worden. Per slot van rekening is het bij deze bezoekers niet mogelijk om de bezoekersvoorkeur in een cookie op te slaan. Dat levert een dermate slechte gebruikerservaring op dat het gevaar bestaat dat mensen die argwanend zijn geworden tegenover cookies het internetl de rug gaan toekeren.

2. Mensen die cookies weigeren zijn voor website-eigenaren niet te meten met de momenteel meestgebruikte webanalyticspakketten. Als een groot percentage bezoekers cookies weigert zullen website-eigenaren hun huidige webanalyticstool moeten gaan inruilen voor een systeem dat werkt met webserverlogs of sniffing om een totaalbeeld te krijgen van hun websitebezoek. Op een moment dat nu juist grote vooruitgang wordt geboekt in het gebruik van webanalyticsdata voor resultaatverbetering op internet kan deze maatregel de branche vele jaren terugwerpen.

3. Voor adverteerders en advertentienetwerken is de impact zomogelijk nog groter. Het grote voordeel van online adverteren ten opzichte van offline is dat het veel beter te targeten is en vrijwel volledig meetbaar. Zowel de meetbaarheid als ook de mogelijkheid tot targeten wordt vrijwel onmogelijk als mensen geen cookies accepteren. Dat betekent dat er in plaats van met scherp weer met hagel geschoten gaan worden, wat de effectiviteit en daarmee de advertentieprijzen onder druk zet.

Eén visie op online privacybescherming
Ik kan me niet voorstellen dat het de bedoeling is van het Ministerie om die economische problemen te veroorzaken. Wat de reden van inperking van het gebruik van cookies wel is, geeft het Ministerie niet, maar het zal ongetwijfeld gezocht moeten worden in de privacysfeer. Het ministerie bewandelt daarbij een andere weg dan de Duitse regering, die in het kader van privacybescherming haar pijlen met name heeft gericht op het verzamelen van IP adressen. Een IP adres zou volgens de Duitse regering persoonlijk identificeerbare informatie (PII) zijn en heeft daarom het gebruik van Google Analytics officieel afgeraden. Daarmee wordt in die lezing namelijk PII opgeslagen mogelijk buiten de Duitse landsgrenzen. De Duitse regering is voorlopig de enige in Europa die deze positie kiest; andere regeringen zijn met bijvoorbeeld Google van mening dat IP adressen niet gezien kunnen worden als PII.

Een heldere visie binnen Europa over wat privacy inhoudt of zou moeten inhouden op het internet is zodoende ver te zoeken. In plaats van nu een andere specifieke methode van herkenning en profilering aan te pakken, zouden de EU en de Nederlandse regering er goed aan doen te komen met richtlijnen en definities over welke informatie bedrijven ongevraagd (en gevraagd) over consumenten mogen opslaan, onder welke omstandigheden data persoonlijk identificeerbaar is, en hoe lang verschillende graden van persoonlijk identificeerbare informatie bewaard mogen worden.

Alternatieven
Een groot voordeel van cookies ten opzichte van andere methoden van profilering waar het gaat om de privacy van gebruikers is dat het het initiatief over wat er aan informatie wordt opgeslagen voor een groot deel bij de gebruiker laat liggen. De gebruiker kan de inhoud van de cookies inzien en de cookies allemaal of selectief verwijderen.

Ook kan hij indien gewenst cookies helemaal weigeren met een browserinstelling of door in Private Mode te surfen alle sporen van website bezoek meteen na de sessie wissen. De moderne browsers bieden zodoende steeds meer opties voor privacybescherming van gebruikers en het wetsvoorstel komt zodoende enigszins als mosterd na de maaltijd.

Mede onder invloed van die nieuwe browserfeatures zijn er al alternatieven in ontwikkeling die zonder tussenkomst van de gebruiker dezelfde of meer informatie kunnen verzamelen en deze maatregel zal die ontwikkeling bespoedigen.

Een voorbeeld van dergelijke methodes is Fingerprinting. Niet door middel van informatie opgeslagen in cookies worden bezoekers herkend, maar aan specifieke browserinstellingen in combinatie met andere informatie die over de aanvragen bekend is. Met Fingerprinting kan net zoveel informatie worden verzameld over bezoeken als met de cookiemethode. Momenteel is de methode nog niet helemaal zo nauwkeurig als die met cookies, maar dat lijkt een kwestie van tijd.

Met het aan banden leggen van het gebruik van cookies lijkt de regering zodoende een averechts effect te bewerkstelligen. Ten eerste wordt de branche wegens het huidige wijdverbreide gebruik van cookies onevenredig hard getroffen waardoor mogelijk grote economische schade gaat ontstaan. Ten tweede is de privacy van de gebruikers er niet bij gebaat, daar andere methoden van profilering de functie van cookies gaan overnemen en deze de gebruikers geen mogelijkheid  bieden zelf te bepalen in welke gevallen welke informatie over hen wordt verzameld.

*) Auteur: René Nijhuis, Manager Business Intelligence, Netsociety

Deel dit bericht

2 Reacties

Bas Groot

Dit betoog klopt helemaal. Het wetsvoorstel is een veel draconischer interpretatie dan de EU richtlijn voorschrijft, maar het is duidelijk dat de opsteller van de wet zijn kans schoon zag om er iets van te maken dat ie altijd al hebben wou.  Nou worden cookies niet helemaal verboden. Het moeten vragen van permissie hangt af van de noodzakelijkheid, staat elders in die wet. En wat noodzakelijk is, daar wordt de branche om geconsulteerd. Laten we onze kans grijpen om te helpen, want als we het van jurisprudentievorming af laten hangen zijn we verder van huis.  Daarom zeg ik: niet opgeslagen (sessie) cookies vallen niet onder de wet. Dat moet expliciet worden. Over opslag op de server zegt de wet niks. Het grootste probleem is randsoftware rond websites, zoals analytics software, bannering en externe optimalisatie tools zoals targeting. Misschien geen toeval dat Wunderloop in de touwen hangt?  Het zou inderdaad beter zijn als de wetgeving persoonlijk identificeerbare informatie en het delen daarvan goed zou regelen. Ik hoop daar een voorstel voor te kunnen doem.

Rene Nijhuis

Hi Bas, Dank voor je reactie en je aanvulling. Ik ga hier nog niet echt in op wat concrete alternatieven kunnen zijn voor dit wetsvoorstel, omdat ik eerst en vooral vind dat (internet) privacy op een hoger niveau dan specifieke methodes van dataverzameling geregeld moet zijn. Anders blijft het een kat en muisspel tussen de branche en de wetgever. Ik ben benieuwd wat je hierin gaat voorstellen en wil wel met je meedenken. Maar qua alternatieven voor dit voorstel zijn er inderdaad ook wel een paar te noemen. Wat jij voorstelt alleen permanente cookies hieronder te laten vallen is 1 optie. Ik denk daarnaast dat het belangrijk is dat het een browserinstelling is die ervoor zorgt dat je een keer een keuze maakt en die vervolgens voor iedere website geldt. Als iedereen bij iedere website die hij bezoekt dezelfde vraag weer 5 keer te beantwoorden krijgt is dat vragen om problemen. En tenslotte denk ik dat er onderscheid gemaakt moet worden in 3rd en 1st party cookies. Voor de doorsnee gebruiker misschien wat ongrijpbaar, maar wel goed te vangen in een standaard privacy setting (iets wat momenteel ook al gebeurt in moderne browsers) 

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond