-

De cookiewet in een breder perspectief: betalen met privégegevens

Het recht op rust en privacy is als appeltaart en moederliefde: Je kunt er niet op tegen zijn,.. toch? Op het eerste gezicht lijkt dat inderdaad het geval. In de praktijk is het vaak anders en meer gecompliceerd. Wie een beetje ‘normaal’ mee wil draaien in een consumptiemaatschappij moet betalen voor producten en diensten. Dat betalen doen we vaak bewust met geld, maar online betalen we veel vaker onbewust met onze privégegevens.

‘Registreren. Het is gratis (en dat blijft het ook)’

Het idee dat wij ergens niet voor hoeven te betalen met ons favoriete ruilmiddel, geld, klinkt ons als muziek in de oren. Voor dat geld hebben we namelijk meestal een aanzienlijk aandeel ingeleverd van ons meest kostbare en eigenlijk enige echte bezit: tijd. Logisch dus dat we hier zorgvuldig mee willen omgaan.

Maar een gratis online product of dienst kost natuurlijk wel iets. Het accepteren van een privacy policy van een dergelijke service moet je eigenlijk zien als een transactie. Je ruilt een stukje van je privacy in om gebruik te kunnen maken van het platform.

Yep. Dus?

Ik heb niet de illusie dat ik hier iets nieuws vertel. De meeste internetgebruikers zijn op z’n minst op de hoogte van het feit dat bedrijven als Facebook en Google weten wie je bent en wat je leuk vindt. Persoonlijk vind ik dat niet zo’n prettig idee, maar afgezien van het feit dat ik online wel eens maandenlang ben doodgegooid met advertenties van hele toffe schoenen (ook nadat ik ze dan toch uiteindelijk maar had gekocht) ervaar ik weinig directe nadelen. Sterker nog: Ik word liever doodgegooid met nieuwe schoenen dan met nieuwe auto’s, of iets anders waar ik niets mee heb.

Ik ben mij, net als vele anderen denk ik, nog niet ten volle bewust van het profiel dat er over mij wordt opgebouwd. Ik zeg profiel, omdat ik niet weet hoe ik het anders moet noemen. Ik kan de schaal en gedetailleerdheid ervan (nog) niet omvatten. Als ik ergens iets ‘like’ en ik ben in een ‘privacy-bewuste’ bui, dan denk ik: ‘Hmm, nu kan dus iedereen zien dat ik dit leuk vind’. Ik zie deze ‘like’ en de data die daaruit voort vloeit als geïsoleerd gegeven en niet als één van de ontelbare moleculaire deeltjes waaruit mijn profiel, of misschien wel beter mijn ‘digitale simulatie’, is opgebouwd.

Internet en PrivacyInternet en privacy

Als consument heb ik geen idee van de werkelijke waarde van mijn privégegevens, dus rijst de vraag: Hoe kan je een overwogen transactie doen als je de wisselkoers niet kent?

De cookiewet

De in maart 2015 gewijzigde cookiewet is bedoeld om de internetgebruiker helderheid te bieden, zodat er wél een overwogen transactie kan plaatsvinden. De cookiewet verplicht de website-eigenaar tot het geven van duidelijke informatie, zodat de gebruiker weet dat hij/zij gevolgd wordt en waarom. De bedoeling van de cookiewet is ook dat de gebruiker controle krijgt over de cookies die op zijn of haar apparatuur worden geplaatst of gelezen.

Op zich niets mis mee, zou je zo zeggen. Vanwaar dan al die weerstand en vanwaar al dat gedoe? Onder andere om de volgende vier redenen:

1. De cookiewet zet online verdienmodellen onder druk

Veel uitgevers en contentplatformen zijn al jaren op zoek naar een nieuw en duurzaam verdienmodel. Vooral uitgevers van oorspronkelijk fysieke kranten, magazines en boeken hebben de inkomsten behoorlijk zien teruglopen en proberen zichzelf online te vernieuwen. Advertenties vormen daarbij een belangrijke bron van inkomsten. Om een advertentie te kunnen laden en zoveel mogelijk te laten opleveren, moeten er al vanaf het eerste bezoek cookies geplaatst worden. Volgens de cookiewet mag dit alleen nadat de gebruiker hier nadrukkelijk toestemming voor heeft gegeven. Het vragen om toestemming moet dus gebeuren vóór het eerste bezoek aan de website. De uitgever is daarom genoodzaakt tot het plaatsen van een cookiewall. Omdat het vanuit financieel oogpunt totaal geen hout snijdt om iemand binnen te laten als hij niet wil ‘betalen’ heeft een cookiewall vaak maar één optie: ‘Ja, ik accepteer de cookies’. Oftewel een keiharde weigering aan de deur voor iedereen die niet gevolgd wil worden. Dat kan leiden tot een afname van het eerste bezoek en dus de inkomsten van de uitgever.

2. De cookiewet gaat ten koste van de gebruiksvriendelijkheid

‘De cookiewet is niet gebruiksvriendelijk!’ hoor je vaak. Mijns inziens is gebruiksvriendelijkheid niet de eerste eigenschap waarop een wet zou moeten worden beoordeeld, maar de strekking van deze opmerking is duidelijk. Het doel van ontwerpers en ontwikkelaars is het ontwerpen van een ultieme ervaring voor de gebruiker. Die ervaring begint wanneer de bezoeker de site voor het eerst bezoekt. De bezoeker kan op elke pagina binnenkomen: op de homepage, maar ook direct op het detailniveau van een artikel. Als designer ben je doordrongen van het feit dat een website geen voordeur heeft. Een website is geen boek met een begin en een eind. De ervaring die je ontwerpt kan dus niet lineair zijn. Dat is niet gemakkelijk. En de cookiewet maakt het nog moeilijker.

De eerste indruk is heel belangrijk voor de ervaring van de gebruiker en een cookiemelding vormt hierbij een doorn in het oog. Door de verplichting van de wet wordt de boodschap en daarmee de focus van de gebruiker vertroebeld. Naast de content waar hij/ zij echt voor kwam, wordt ook de aandacht gevestigd op informatie die daar niets mee van doen heeft, namelijk het beleid omtrent cookies en privacy.

Afhankelijk van het verdienmodel van de opdrachtgever en de cookies die worden geserveerd, kan de cookiewet de implementatie van een cookiewall tot gevolg hebben. En BAM! De site heeft weer een voordeur. Die mooie ‘niet-lineaire’ ervaring die je had ontworpen gaat niet meer op.

3. De cookiewet geeft cookies een slecht imago

De cookiewet verplicht de website-eigenaar ertoe om in het kader van bescherming van privacy de aandacht te vestigen op het gebruik van cookies op zijn of haar website. Dit zet het gebruik van cookies per definitie in een kwaad daglicht. Hoe vaak je vervolgens roept dat cookies ongevaarlijk zijn maakt niet meer zo veel uit. Het is net zoiets als heel vaak roepen dat er geen enkele reden tot paniek is…

De Cookiewet

De cookiewet

Zoals eerder gezegd zien wij, ontwerpers en ontwikkelaars, het creëren van een ultieme ervaring voor de gebruiker als ons hoogste doel. Hoe meer wij van de gebruiker weten, hoe beter wij ons werk kunnen doen. Cookies zijn daarin onze beste vriend. Wij hebben daarmee geen enkel kwaad in de zin. Wij zijn niet de NSA. Wij willen je niet bespioneren. Wij willen je simpelweg een mooie ervaring bieden.

4. De cookiewet heeft een verkeerde naam

De officiele naam van de cookiewet is artikel 11.7a van de Telecommunicatiewet, maar dat klinkt niet zo ‘catchy’. Omdat men dit artikel gemakshalve de cookiewet is gaan noemen, is niet alleen een verkeerd beeld ontstaan over cookies, maar ook over de inhoud van het artikel.

Artikel 11.7a van de Telecommunicatiewet gaat over de voorwaarden waarop informatie in de randapparatuur van de gebruiker mag worden verkregen en opgeslagen. Cookies vormen een middel om die informatie te bemachtigen, maar de wet gaat verder dan dat. Zo is het bijvoorbeeld ook verboden om zonder toestemming informatie in de ‘local storage’ of ‘session storage’ op te slaan.

Aan de ene kant dekt de naam dus niet de lading, aan de andere kant worden cookies die puur van functionele aard zijn en in geen enkel opzicht de privacy schenden, er met de haren bijgesleept.

OK. Wat nu dan?

Als je stelt dat het uiteindelijke doel van de cookiewet het beschermen van de privacy van de gebruiker is, dan kun je wel stellen dat dat (nog) niet gelukt is. Gebruikers van websites zijn ‘banner-moe’ en nemen gemiddeld niet de moeite om echt te lezen waar ze mee instemmen. Cookie-meldingen, privacy policies, gebruikersvoorwaarden… whatever. We stemmen er massaal mee in omdat we echt geen tijd hebben om alles te lezen. Zo leveren wij stelselmatig de bouwstenen aan voor onze digitale simulaties.

Omdat we geen directe nadelen ervaren hebben we de grootste moeite om ons ‘Orwelliaanse’ voorstellingen te maken van een wereld waarin de heersende grootmacht een soort alziend oog is dat alles weet van iedereen en deze informatie gebruikt om de bevolking te onderdrukken. Ook al lijkt dat soms heel dichtbij.

Logo van Information Awareness Office

Logo van Information Awareness Office

Logo van Information Awareness Office, actief in 2002-2003 in navolging op de aanslagen van 9-11. Het doel van IAO was om alle informatie van iedereen in de United States te verzamelen en op te slaan. Dat stokje blijkt inmiddels overgedragen aan de NSA.

Het probleem is dat de informatie die over gebruikers verzameld wordt in het bezit is van een aantal grote bedrijven. De bekendste: Google, Facebook en Twitter.

Deze bedrijven hebben als gemeenschappelijke eigenschap dat het zogeheten ‘closed-silo’s’ zijn. Dat betekent dat de informatie die zij bezitten over iedereen gaat, maar toegankelijk is voor niemand… Behalve dan voor de overheid, of voor de hoogste bieder…

Betalen met je privégegevens

Betalen met je privé gegevens

‘The question of your information being retained by google is not really a google-decision. It’s a political decision enforced by different governments in different ways.’ – Eric Schmidt – executive Chairman, Google (2010).

Bovenstaande quote verklaart meteen waarom de cookiewet de website-eigenaren verplicht zich te verantwoorden voor het plaatsen van zogeheten ‘third-party-cookies’ en niet de ‘third-parties’, zoals Google en Facebook zelf. Deze partijen hebben al andere afspraken met overheden. Privé afspraken. Die mogen wij niet weten.

Een pasklaar antwoord op de vraag: Wat nu? Heb ik niet. Persoonlijk vind ik EN bescherming van privacy heel belangrijk EN de cookiemelding of -wall heel vervelend. Ik ben voorstander van de wettelijke hervorming die gaande is, maar ik zie de huidige implementatie van de cookiewet niet als DE oplossing. Volgens mij is deze ook niet ‘here-to-stay’. Ik zie in ieder geval niet voor me dat, vanaf nu tot aan het einde der tijden, je op elke website welkom wordt geheten met zinnen als:

  • Sorry voor het ongemak, maar de wet verplicht ons…
  • Voor een volledige werking van de website worden cookies…
  • Je ziet het goed! We zitten achter een cookiewall.

Dat zou tragisch zijn. Om dit te helpen voorkomen zou het, denk ik, goed zijn als ontwerpers, ontwikkelaars en website-eigenaren iets anders gaan denken over de cookiewet. In plaats van de precieze regeltjes te bestuderen en te bedenken hoe men er net aan kan voldoen kan ook gekeken worden naar wat de cookiewet probeert te bewerkstelligen. Daarbij zou men zich de vraag moeten stellen of men daar, vanuit de eigen expertise, een steentje aan zou kunnen bijdragen. Het recht op privacy moet dan wel gezien worden als iets van maatschappelijk belang. Niet als iets wat alleen van pas komt wanneer je wat te verbergen hebt.

Recht op privacy

Recht op privacy

Om constructief om te gaan met de wet kunnen, denk ik, een aantal basisprincipes als uitgangspunt genomen worden:

  1. Stel de gebruiker centraal

    Het klinkt cliché, maar het is wel de belangrijkste voorwaarde voor een privacy-vriendelijke website. De meeste ontwerpers en ontwikkelaars komen maar weinig in contact met de uiteindelijke gebruiker van de website. Hoe groter het project hoe groter de afstand tot de eindgebruiker en hoe gemakkelijker het is om die uit het oog te verliezen. Het is dus goed om af en toe de vraag te stellen of de inzet van cookies vooral goed is voor de portemonnee van de opdrachtgever (en dus de ontwerper of ontwikkelaar ) of ook voor de ervaring van de gebruiker en zijn of haar privacy?

  2. Verzamel niks wat niet nodig is

    Hoe minder privégegevens er worden verzameld, hoe beter het is voor de privacy van de gebruiker. Wat men niet verzamelt kan ook niet gedeeld worden met derden. Om te bepalen wat nodig is, kan gekeken worden naar het verdienmodel van de website-eigenaar en de sector waarbinnen de betreffende organisatie werkzaam is. In het geval van ‘gratis’ content platformen ligt het in de lijn der verwachting dat men moet inleveren op privacy. Immers, voor wat hoort wat. Maar wat als er al op een andere manier wordt betaald? Is het fair om een betalende abonnee van een krant te dwingen om tracking-cookies te accepteren? Hetzelfde geldt voor websites van organisaties die gefinancierd worden met belastinggeld, zoals gemeentes, basisscholen en openbare bibliotheken. Waarom zou hier betaald moeten worden met privégegevens? De gebruiker heeft al betaald. Bovendien is er geen enkel commercieel motief (of dat zou er in ieder geval niet moeten zijn).

  3. Maak bewuste keuzes

    Het gebruik van cookies en de wettelijke verplichting tot een cookiemelding is vaak het resultaat van ondoordacht beleid. De inzet van bepaalde externe tools kan er automatisch voor zorgen dat privégegevens van gebruikers gedeeld worden met externe partijen, terwijl dit geen toegevoegde waarde heeft voor de gebruiker en ook geen enkel commercieel nut dient. Dat is zonde. Om een voorbeeld te noemen: het reactiesysteem Disqus wordt meestal ingezet omdat het ‘plug and play’ is. Het bevat veel functionaliteiten in één keer, waardoor minder ontwikkeld hoeft te worden. Dat bespaart veel tijd en dus geld. Maar Disqus is toevallig ook een draak van een tool als het gaat om privacy. Bij een standaard implementatie van Disqus kijken er al gauw meerdere ‘third parties’ met de gebruiker mee. Gelukkig is het helemaal niet nodig om die draak in huis te halen. Bij een website die draait op WordPress volstaan de reguliere comments in veel gevallen. Andere privacy-vriendelijke opties zijn Isso en HashOver.

Tot slot

Niet ‘publiek’ maar ‘privé’ is de standaard. Als dat andersom zou zijn dan zouden we ons schuldig moeten voelen over alles wat we liever voor ons zelf willen houden. Zonder privacy geen vrijheid. Ik ben van mening dat dát het uitgangspunt moet zijn en moet blijven bij de ontwikkeling van online diensten en producten. Ontwerpers, ontwikkelaars en website-eigenaren hebben daarin een grote verantwoordelijkheid.

Recht op privacy 2

Recht op privacy

Deel dit bericht

3 Reacties

Miranda Maasman

Prima artikel! Vooral de klikmoeheid komt goed aan bod. Maar het is echt NIET waar dat de cookiewet website-eigenaren verplicht zich te verantwoorden voor het plaatsen van zogeheten ‘third-party-cookies’. De wet en wetsgeschiedenis wijzen expliciet de werkelijke plaatser/uitlezer van cookies aan, wat vaker wel dan niet ‘third-parties’ zijn, zoals Google en Facebook. De wet legt de verantwoordelijkheid dus wel degelijk neer bij derde partijen die de internetter over meerdere websites volgen en profielen opbouwen van zijn surfgedrag. Wél is het zo dat toezichthouder ACM, graag had gezien dat websites primair aansprakelijk waren geweest. Zij handhaaft ook op basis van deze voor haar wenselijke interpretatie: bij de website-eigenaar. Nagenoeg elke website informeert de bezoeker over cookies en vraagt om toestemming voor zowel eigen cookies als die van derden. Nagenoeg elke website bevat bijvoorbeeld het bekende ‘vind-ik-leuk duimpje’. Facebook heeft via al die websites toestemming verkregen voor het volgen van niet-leden over het hele internet. Terwijl de toestemming die de internetter op de eerste van die websites gaf doorwerkt naar alle volgende websites waar dat duimpje weer te zien is. Dat internetters zich dat vaak niet realiseren is op zijn minst gedeeltelijk toe te schrijven aan de interpretatie en informatievoorziening en wijze van handhaven van de ACM. Voor het privacybewustzijn zou het goed zijn als internetgebruikers eerlijk zouden worden geïnformeerd over de werkwijze en rol van al die derde partijen die profielen opbouwen. De internetgebruiker moet dan natuurlijk ook de middelen krijgen om een specifieke cookieplaatser die hij met zijn data niet vertrouwt eenvoudig en effectief te weren.

Michiel Mos

Beste Miranda,

Bedankt voor de reactie!

Met verantwoorden bedoel ik dat de website-eigenaar verplicht is om duidelijke informatie te geven over het plaatsen van de cookies zodat de gebruiker weet dat hij/zij gevolgd wordt en waarom.

Je geeft aan dat de wet de verantwoordelijkheid wel degelijk bij grote partijen (zoals Facebook en Google) neerlegt, maar op wat voor manier gebeurt dat dan? Het feit dat de plaatser/uitlezer wordt aangewezen in de cookiemelding betekend in mijn optiek iets anders dan verantwoording afleggen.

Ik denk dat ik met verantwoording iets groters bedoel, dus niet alleen het plaatsen van de cookie, maar beleid omtrent privacy en omgang met gegevens van gebruikers in het algemeen.

Volgens mij wordt de gemiddelde website-eigenaar hierin meer ter verantwoording geroepen dan de grote partijen zoals Facebook en Google.

Miranda Maasman

Ja, dat zie ik ook zo. De wet is helder: de werkelijke plaatser/uitlezer is verantwoordelijk en moet informeren en toestemming verkrijgen. Doorgaans zal hij dat via de websites moeten regelen waarop hij actief is, en dit contractueel, eventueel gekoppeld aan een boetebeding, van die websites afdwingen. De partij die dat niet doet is daarvoor primair verantwoordelijk en aansprakelijk. De websiteaanbieder is wettelijk alleen medeverantwoordelijk als hij ervan op de hoogte is dat er geen informatie wordt verstrekt en toestemming is verleend en hij desondanks die partij toegang blijft bieden tot zijn site. Dit heeft minister Kamp trouwens ook zo toegelicht, nadat eerder de art. 29 werkgroep er al een prachtige opinie over had geschreven. In de praktijk worden website aanbieders echter ter verantwoording geroepen door de ACM, en dus niet die derde partijen. Derde partijen die internetters over allerlei websites volgen en gedetailleerde profielen opbouwen die zíj wel en de websiteaanbieders niet commercieel kunnen benutten en die dus heel wat meer impact hebben op de privacy dan individuele websites. Doordat de nadruk zo ligt op de websiteaanbieders krijgen internetters nooit goed inzicht hoe het écht werkt. Zo blijft het voor de gemiddelde internetter onduidelijk waar aan te kloppen als hij bijvoorbeeld wordt achtervolgd door een paar ooit eens bekeken schoenen. of als hij nog vervelendere gevolgen ervaart van tracking.

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond