Cookies: feit en fictie
De ene cookie is de andere niet. Daarom is het niet logisch om alle cookies over één kam te scheren, zoals in de cookiewet gebeurt. Voor (online) marketeers is het belangrijk wél te begrijpen hoe cookies werken, aangezien zij afwegingen moeten maken en verantwoorden. Wat is feit en wat is fictie?
De volgende stellingen zijn de afgelopen tijd veel gehoord. Maar zijn ze ook waar?
Social media buttons maken het mogelijk je over het hele internet te volgen
Feit. Sociale platformen als GooglePlus- of Facebookbuttons registreren welke sites je bezoekt (mits op die websites socialmediabuttons staan). Zelfs als je niet bent ingelogd binnen je social media account of geen account hebt, wordt je surfgedrag anoniem op bezoekersniveau (via een random ID) opgeslagen. Dit gebeurt ook zonder dat je op de buttons klikt, alleen het bezoeken van de site is al voldoende. Als je wel bent ingelogd en je klikt op de buttons, kan een opgebouwd surfprofiel worden gekoppeld aan je socialmediaprofiel.
Statistieken van verschillende websites zijn aan elkaar te koppelen
Fictie. Webstatistieken gebruiken vaak zowel first- als thirdpartycookies, maar de anonieme (wederom via een random ID) gedragsgegevens worden per implementatie bij gehouden. De dataset van bijvoorbeeld Google Analytics is uitsluitend gekoppeld aan je eigen domein. Het is daarom voor Google niet mogelijk om een bezoeker op website B te herkennen als dezelfde bezoeker op website A. Het kunnen anonimiseren zoals dat in Analytics mogelijk is, wil niet zeggen dat er anders (zonder anonimiseren) allerlei persoonlijke informatie wordt opgeslagen. Google Analytics registreert de eerste set nummers van een IP-adres om te weten uit welke regio een bezoeker komt. Vergelijk het met het netnummer van een telefoonnummer; het is bekend om welke regio het gaat, maar niet wie de exacte ‘persoon’ is. Het anonimiseren sluit alleen dat onderdeel uit. Andere data is sowieso anoniem en geaggregeerd.
Firstpartycookies maken minder inbreuk op privacy dan thirdpartycookies.
Feit (in de meeste gevallen). Firstpartycookies worden geplaatst door het domein dat de bezoeker bezoekt. De geplaatste cookies kunnen uitsluitend door datzelfde domein worden uitgelezen en niet door anderen. Eventueel verzamelde informatie is dan ook niet toegankelijk voor derden. Dit is met thirdpartycookies vaak wel het geval, hoewel niet altijd. Het nadeel van thirdpartycookies is dat je nooit zeker weet wat er met de informatie gebeurt, omdat dat onzichtbaar voor je is. Dat thirdpartycookies niet per definitie schadelijk zijn, kun je concluderen uit het feit dat Omniture gebruikmaakt van zowel first- als thirdpartycookies. Dit betekent niet dat Omniture deze informatie dus ook deelt met derden. De vraag welke informatie verzameld wordt, wie daartoe toegang heeft en wat er met de informatie gebeurt, is vanuit privacy-oogpunt veel belangrijker dan het onderscheid ertussen. Aangezien firstpartycookies per definitie niet kunnen worden uitgelezen door derden heeft de Europese Commissie firstpartycookies toch aangemerkt als minder privacygevoelig.
Cookies kunnen persoonlijke informatie bevatten
Fictie. Dit hangt uiteraard wel af van de definitie van ‘persoonlijk’. Zo is een IP-adres in sommige landen bestempeld als ‘persoonlijk’, in andere landen niet. Gegevens die een bezoeker invult in een aanmeldformulier, of om bijvoorbeeld een berekening of vergelijking te maken, kunnen worden opgeslagen in een cookie. Wanneer dit volgens de wet persoonlijke gegevens betreft, vallen deze onder de Wet Bescherming Persoonsgegevens (WBP). Door de bezoeker ingevulde informatie wordt echter zelden tot nooit in thirdpartycookies opgeslagen. Bovendien kan informatie opgeslagen in een cookie in principe alleen worden uitgelezen door de eigenaar van het cookie. Facebook heeft bijvoorbeeld geen toegang tot informatie die is opgeslagen in een website optimalisatie cookie op jouw website, net zo min als een retargetingpartij toegang heeft tot de informatie opgeslagen in een cookie van een affiliatenetwerk. Data wordt dus niet via cookies gedeeld, maar helemaal los van cookies. Het delen van persoonlijke gegevens heeft daarom niets met cookies te maken aangezien het onder de WBP valt.
Meetpixels geven geen gevoelige informatie door
Fictie. De discussie de laatste tijd gaat vooral over het plaatsen van cookies. Hoewel een meetpixel geen cookie is, maakt deze het wel mogelijk een cookie te wijzigen of uit te lezen. Meetpixels kunnen veel informatie verzamelen en deze ook delen met allerlei derden. Hier is weinig zicht op, maar het gebeurt zeker. De enige manier om dit af te vangen, is duidelijke afspraken maken met leveranciers. Daarnaast maakt het uit wat voor meetscript er gebruikt wordt. Een image tag bevat minder functionaliteit en kan minder informatie verzamelen dan bijvoorbeeld een javascript of een iframe tag. Deze laatste twee kunnen allerlei transactie-informatie verzamelen en doorgeven of zelfs additionele scripts inladen.
Zoals je ziet valt er heel wat te nuanceren wanneer er in de media wordt gesuggereerd dat ‘cookies kleine tekstbestandjes zijn die je over het hele internet kunnen volgen’. Wat de cookiewet beoogt aan banden te leggen is vooral het ongebreideld verzamelen en delen van persoonlijke voorkeuren en interesses. In plaats van te kijken naar de methodiek, is het interessanter om ook te kijken waarvoor deze informatie met name wordt verzameld. Dat onderscheid neem je idealiter ook mee in de methode waarop je de bezoeker toestemming vraagt, zoals gedaan is op ICTrecht.nl. Zie voor een uitgebreide uiteenzetting van dit onderscheid ook het volgende artikel dat volgende week verschijnt, over de grootverbruikers en verzamelaars van informatie via cookies.
Gerelateerd event
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
9 Reacties
Arnoud Engelfriet (ICTRecht)
De URL in de laatste alinea lijkt die van ons bedrijf te (moeten) zijn, maar er staat een punt tussen ICT en recht. Foutje?
Rene Bulthuis
Dank je Arnoud, voor je opmerkzaamheid. Emerce heeft dit intussen aangepast.
Jeroen
Je zegt: Google Analytics is uitsluitend gekoppeld aan je eigen domein ? Lijkt me niet…het is eenvoudig om GA aan meerdere domeinen te koppelen en zo onderling verkeer te tracken. Zie bijvoorbeeld: http://support.google.com/analytics/bin/static.py?hl=nl&topic=1033976&guide=1034143&page=guide.cs&answer=1033876
Rene Bulthuis
Beste Jeroen,
Dit is alleen mogelijk als de eigenaars van beide websites dit samen instellen. Op dat moment wordt aan alle links van domein A naar domein B een parameter toegevoegd die de data mee stuurt. Dit geeft dus Google niet zomaar de mogelijkheid alle data van alle domeinen aan elkaar te koppelen. Daarnaast maakt het geen gebruik van cookies, de data wordt via de URL naar een andere site verzonden. De cookiewet verbiedt dit dus zelfs niet.
De functionaliteit is dus overigens duidelijk zichtbaar, omdat de gedeelde data in de voor de gebruiker zichtbare adresbalk staat. Ik zie dit in de praktijk eigenlijk alleen gebruikt worden door sites die bijvoorbeeld het winkelmandje of de betaalmodule op een apart domein gebruiken en niet tussen sites die op deze manier data aan elkaar zouden verkopen.
Rene
Tim Heijt
Voor 80% van de websurfende mensen geldt dat hun gehele internet sessie aan elkaar gekoppeld zit met bezoeken van/naar websites uit de Google zoekresultaten of Google Ads. Volgens een recente publicatie zou 75,4% (Infographic: http://bit.ly/NVVXln) van alle Nederlandse websites tevens gemeten worden met Google Analytics. Daarnaast hebben zeer veel mensen inmiddels een Google account en maken gebruik van 1 van de verschillende Google services (iGoogle, Gmail, Google Docs, etc.).
De vraag die rijst: Is het niet iets te naïef om te denken dat Google braaf niets met deze enorm waardevolle data en informatie doet?
Hoe komt het dan dat veel grote bedrijven alleen al met Google gaan praten om specifieke (online) markt- en/of branche informatie van ze te krijgen?
Google zal naar mijn mening echt geen uitspraken doen vanuit een wazig onderbuik gevoel. Tot slot, Google is naar mijn bescheiden mening niets beter of slechter dan Facebook op dit gebied. Enkel pakt Google het iets subtieler aan.
Rene Bulthuis
Beste Tim,
Dit is een heel terecht punt. Het artikel heb ik geschreven vanuit de (technische) werking van verschillende type cookies, dus vanuit functionaliteit. In hoeverre er bepaalde risico’s zijn om zoveel data door één partij te laten verzamelen heeft niet zo zeer met functionaliteit te maken als wel met veiligheid en betrouwbaarheid. Daar kun je zeker vraagtekens bij plaatsen. Dat is dan ook de inhoud van mijn volgende artikel die volgende week maandag verschijnt. Ik ben benieuwd naar je reactie daarop.
Rene
Koos Koets
“De ene cookie is de andere niet. Daarom is het niet logisch om alle cookies over één kam te scheren, zoals in de cookiewet gebeurt.”
Ehm, volgens mij doet de wet dat juist expliciet niet, en maakt ze onderscheid tussen functionele en niet functionele cookies.
Rene Bulthuis
Hoi Koos,
Dat klopt, de wet maakt wel degelijk onderscheid. Zonder de cookies die men als “strikt noodzakelijk” aanduidt zou immers het internet niet meer kunnen functioneren. Ik bedoelde dat het jammer is dat de wetgever geen verdere nuancering aanbrengt en third party targeting cookies gelijk trekt aan anonieme webstatistieken. Excuses als dat punt niet helemaal duidelijk voor je was.
Rene
Jeremy
Die hele cookiewet is onzin en overbodig. De overheid geeft dit zelf al aan door te stellen dat zij hier niet aan hoeven te voldoen met hun websites, omdat ze zogenaamd niet commercieel zijn.