Foto: Caleb George
Nieuwsbrief 7.6: Stop het stiekem volgen van jouw surfgedrag

Stop het stiekem volgen van jouw surfgedrag

Brede coalitie stelt vragen over opslag telecomgegevens

Weet jij welke bedrijven jouw surfgedrag stiekem volgen? Waarschijnlijk niet. Toch gebeurt dit steeds meer. Daarom is in Europa besloten dat bedrijven jou alleen over het web mogen volgen, als je daarvoor toestemming hebt gegeven. Die regels moeten nu worden omgezet naar de Nederlandse wet. De marketingbranche zou die Europese regels graag verwaterd zien. Ons advies aan de Tweede Kamer: houd voet bij stuk en zorg dat bedrijven internetgebruikers alleen mogen volgen als daarvoor écht toestemming is gegeven.

Met cookies kan jouw surfgedrag worden gevolgd en een profiel van jou worden aangelegd

Bedrijven kunnen jouw online surfgedrag volgen, bijvoorbeeld met cookies, een uniek bestandje dat op jouw computer wordt geplaatst. Sommige bedrijven beheren advertentieruimte op verschillende sites (soms wel honderdduizenden verschillende sites), en kunnen via die advertentieruimte jouw bezoeken op al die websites volgen. Op die manier kunnen ze een profiel van je samenstellen: “single, diabetes, reist vaak, gaat nieuwe auto kopen, etc…“. De meeste gebruikers weten niet dat dit gebeurt, laat staan dat ze weten hoe ze er iets tegen kunnen doen.

Europa verplicht een opt-in regeling voor cookies

Dat moet veranderen, en dat vond men ook in Europa. Daarom is op Europees niveau bepaald dat, kort gezegd, een website geen informatie op jouw computer mag plaatsen en lezen zonder jouw toestemming. Het installeren van bijvoorbeeld spyware, maar ook het plaatsen van een cookie, mag dus niet zonder toestemming van de gebruiker: een opt-in systeem. Nota bene: er is een uitzondering voor de opslag of toegang die strikt noodzakelijk is om een uitdrukkelijk gevraagde dienst te leveren. Er is dus geen toestemming vereist voor, bijvoorbeeld, het gebruik van cookies ten behoeve van de functionaliteit van webwinkels.

Default-browserinstellingen zijn bepalend voor vraag of toestemming is gegeven

Nu is het natuurlijk voorstelbaar dat internetgebruikers wél gevolgd willen worden. Dan kunnen ze daarvoor toestemming geven. Als dat veel tijd kost, zou het geven van toestemming via browserinstellingen kunnen plaatsvinden (de browser geeft dan bijvoorbeeld aan: “ik wil graag gevolgd worden door Omniture”).

Maar pas op: het geven van toestemming via browserinstellingen mag er nooit toe leiden dat deze opt-in regeling in de praktijk een opt-out regeling wordt. De internetgebruiker kan die toestemming alleen maar geven via een vrije, specifieke en op informatie berustende wilsuiting. Als via de default-privacyinstellingen van een browser het standaard is toegestaan om gebruikers te volgen, is deze vereiste toestemming niet gegeven. Ook is de vraag of gegeven toestemming wel voldoende specifiek is: een onbepaalde termijn voor toestemming zal niet snel voldoende specifiek zijn.

Marketinglobby stelt opt-out systeem voor

De marketinglobby, zo lezen we op de site van de Nederlandse marketingbranche DDMA, stelt een opt-out systeem voor, in plaats van het Europese opt-in systeem. Op een centrale website zou je gewenste cookies kunnen “uitschakelen”. Daarmee zou de Europese regelgeving sterk verwaterd worden en zouden we niet veel zijn opgeschoten. Want de meeste internetgebruikers zullen geen gebruik maken van die opt-out mogelijkheid. Het is daarom belangrijk dat we de Europese regels goed overnemen in de Nederlandse wet en niet verwateren bij de implementatie.

Verkeerde informatie aan Tweede Kamer verstrekt

Terzijde: het is goed verdedigbaar dat in Nederland al een opt-in regeling voor cookies gold, maar die werd niet gehandhaafd. In het Besluit Universele Dienstverlening en Eindgebruikersbelangen (art. 4.1) staat namelijk al jaren dat beheerders van websites de gebruiker voorafgaand aan het plaatsen van een cookie moeten informeren en deze de gelegenheid moeten bieden om een cookie weigeren. Het is dan ook volstrekt onduidelijk hoe de marketinglobby in een brief aan de Tweede Kamer (PDF) glashard het tegengestelde kan schrijven. Ze informeert de Tweede Kamer onjuist (PDF) en we zijn benieuwd of de DDMA nog een rectificatie stuurt naar de kamerleden over dit punt.

Tot slot: vragen?

We merken dat vooral de technische community vragen heeft over de cookie-regeling: waar is dit nu goed voor, blijft mijn webshop wel werken, krijg ik straks duizenden pop-ups als ga surfen, etc.? Veel daarvan zijn te wijten aan misverstanden die we hopelijk makkelijk kunnen wegnemen. Dus heb je nog vragen? Stel ze hieronder. Dan komen wij erop terug. En als je nog meer wil lezen over behavioral profiling, dan kan je beginnen bij een recent artikel van Frederik Zuiderveen Borgesius (PDF) en het onderzoek van TNO/IViR (PDF).

  1. Jeroen

    Er is een verschil tussen ‘tracking’ en ‘tracking cookies’. Moet voor alle tracking toestemming worden gevraagd of alleen voor de cookies? Ik dacht dat het Europese besluit op dat laatste neerkwam (wat de privacywinst van de maatregel beperkt).

  2. Randy Simons

    Het is wel een sleepnet-oplossing zo lijkt het. Mag ik op mijn eigen site ook geen cookies meer gebruiken om globale surfgedrag van de bezoekers in kaart te brengen? De cookies worden niet gedeeld met derden, niet gekoppeld aan IP-adres en zijn enkel voor eigen gebruik.

    En hoe zit het met het gebruik van third-party-diensten zoals Google Analytics? Kan ik straks een klacht indienen tegen elke Europese website waar zo’n third-party-dienst op geïnstalleerd is?

    Overigens vraag ik me af of dit allemaal veel effect heeft op de grote jongens. IP-adres icm user agent strings en nog wat andere zaken die je browser uit vrije wil verklapt maken je ook zonder cookies heel goed te volgen.

  3. Privacybewuste surfer

    Een iedere keer opnieuw opt-in regeling voor cookies is de enig juiste weg.
    En een verbod op traking.

    Dank voor uw aandacht hiervoor BOF. Mij staat nog het beeld bij van Wim Kok die met een muis in zijn hand zou laten zien hoe hij de muis naar het andere kant van het scherm zou bewegen om ergens op te klikken. Hij wist niet hoe een computermuis werkte. Dat soort types (hoewel iets minder digibeet) zit nog volop in de tweede kamer. Zij zijn door gebrek aan kennis vaak een speelbal van commerciële bedrijven en hun lobbyisten.

    Keep up the good work Bits of Freedom.

  4. Ot van Daalen

    @Jeroen en @Randy: De Europese regelgeving gaat inderdaad over het tracken door middel van het plaatsen van informatie op de computer van de gebruiker (bijvoorbeeld door middel van een cookie). Het tracken door middel van IP-adres in combinatie met user strings, zoals door het Panopticlick-project van de EFF onderzocht (zie panopticlick.eff.org), valt helaas niet onder deze specifieke regel. Voor het profileren op deze manier kan overigens wel onder de algemene privacyregels (de Wet bescherming persoonsgegevens) toestemming vereist zijn.

    @Randy: Voor het plaatsen van cookies ten behoeve van analytics-software voor één site zal ook toestemming moeten worden gekregen. Ten aanzien van de vraag over Google Analytics: uit de wetsgeschiedenis blijkt dat de regel gericht is op degene die de cookie plaatst (in dit geval Google), ook als Google Analytics via een andere website wordt geserveerd. Zie zoek.officielebekendmakingen.nl/dossier/32549/kst-32549-3 onder “Normadressaat”.

  5. Randy Simons

    @Ot: dus, als iemand een site met Google Analytics bezoekt, en de persoon geeft daar toestemming om een Analytics-cookie te plaatsen, dan hoeven alle andere sites met Google Analytics daar geen toestemming meer voor te vragen??

    Dat zou toch werkelijk de wereld op zijn kop zijn. Pure lokale tracking, waarbij er geen gevens bij anderen terecht komen, lijkt mij toch zeer te prefereren boven een omnipresent tracker als Google Analytics. Juist bij die alomtegenwoordige trackers zoals Google Analytics zijn toch een grote bedreiging voor de privacy?!

    Komt nog bij dat Google Analytics niet “in Europa” gehost is, dus valt het niet eens onder deze regelgeving?

    Oftewel: zet een buitenlandse tracker op je site en je kunt profileren wat je wilt? Dat kan toch ook niet de bedoeling zijn?

  6. Ot van Daalen

    @Randy: Iedere keer dat een cookie wordt geplaatst óf gelezen, moet toestemming worden gevraagd. Als toestemming is gegeven voor gebruik van een cookie door Google Analytics op één site, betekent dat niet dat ook toestemming is gegeven voor gebruik van een cookie door Google Analytics op een andere site. Ten aanzien van de toepasselijkheid van Nederlandse regelgeving op buitenlandse dienstenaanbieders: het is goed verdedigbaar dat Google Analytics zich heeft te houden aan de Nederlandse wet, als ze in Nederland diensten aanbiedt en cookies op Nederlandse computers plaatst. Een mogelijk probleem met Google Analytics – of andere buitenlandse trackers – is naar onze mening dus geadresseerd.

  7. Lennie

    De nieuwe Firefox 4 browser heeft nu precies de optie om iets extras mee te sturen naar de website dat je niet niet wilt dat de organisatie aan tracking doet. Dit kun je in het opties venster inschakelen. IE9 heeft dat op de laatste moment ook overgenomen.

    Het is niet cookies specifiek, maar van de andere kant blokkeert het ook niks van zich zelf. Ik denk dat dat op de lange termijn beter is, vooral als er al wetgeving is en omdat er veel meer methodes zijn om mensen te tracken.

  8. Lennie

    Ohh, ja, het heet trouwens de ‘do not track’-header (DHT).

  9. Onthutst

    Een ‘do not track’-header (DHT) lijkt me nu precies de verkeerde weg.
    We moeten een “opt-in” regeling hebben en geen “opt-out” regeling die ook nog eens volledig vrijblijvend is en tot de extra informatie tag leidt “over deze persoon hebben we .. informatie en die heeft ook nog de DHT aangezet in zijn browser”.
    Een optie om alle tracking cookies te wissen, inclusief de nieuwste varianten daarvan die niet met tracking cookies werken maar bijvoorbeeld plaatjes en andere zaken daarvoor gebruiken zou ook moeten bestaan. Standaard ontbreken deze nog steeds in internet explorer.

  10. Igor Asselbergs

    Typisch voorbeeld van overbodige regelgeving.
    Kwaadwillende cookiebakkers zullen overgaan op andere methodes (IP tracking) en daar zullen we dus nog minder greep op hebben. Goedwillende cookiebakkers hebben er weer een regel bij om rekening mee te houden. Bovendien hobbelt de regelgeving altijd achter de technologie aan. Dus op het moment dat de regel van kracht wordt, is deze waarschijnlijk al weer achterhaald. Dat is eigenlijk al gebeurd door de ‘do not track’ feature in de laatste webbrowsers.

    @Ot:
    “het is goed verdedigbaar dat Google Analytics zich heeft te houden aan de Nederlandse wet, als ze in Nederland diensten aanbiedt en cookies op Nederlandse computers plaatst.”
    Hoe ga je dat verdedigen? Mariniers sturen naar Silicon Valley?

  11. Ben

    @Igor: Beide punten zit je verkeerd. Ja, de echte kwaadaardigen die zullen wel de moeite nemen om het benodigde script voor IP-tracking in elkaar te knutselen. Maar de gemiddelde scriptkiddie? Nooit van zijn leven, de meeste zijn daar een beetje te dom voor om op de juiste manier in een website te zetten. Cookies zijn makkelijk, iedereen die een klein beetje ICT leert kan zo’n ding op zijn/haar website pleuren. IP-tracking is echt een andere categorie.
    Over Google: Google heeft nevenvestigingen in Europa, gezien het feit dat het een Europese wet is (alhoewel dus nog niet overal lokaal ingevoerd) zal Google met een levensgroot probleem zitten als ze zich niet aan de regels houden. Er zijn al bedrijven geweest op Bermuda etc (van dat soort belasting/verbergparadijzen) die met de EU te maken hebben gehad aangezien ze in Europa zaken deden (digitaal of niet) en daarbij de EU-regels schonden. Daarnaast: denk je echt dat Google de problemen wil die er zo en zo komen als ze zich niet aan de regels houden? Zo’n multinational die zo veel van goodwill afhankelijk is (dat is vaak het probleem van digitale bedrijven) wil echt niet een dergelijke image-beschadiging oplopen… dat zou funest voor hun beurskoers (cq beurswaarde) zijn

  12. Job

    @Igor Asselbergs,
    Niets doen is beter want iets doen zorgt dat we minder grip hebben is een rare redenering.

    Bij een opt-in regeling loopt men niet achter regelgeving aan omdat alles nieuwe dingen een opt-in zijn. Alleen bij een opt-out loopt men achter regelgeving aan want dan moet iedere opt-out apart gedefinieerd worden.

  13. Lennie

    @Onthutst Ik snap je helemaal, maar het is onrealistisch. Je geeft zelf al bijna aan dat deze bedrijven toch wel doen wat ze zelf willen. Dus zij hebben de macht.

    De bedoeling is dat bedrijven en overheid er zijn voor de burgers. Blijkbaar zijn die concepten achterhaald.

    Veel van de bedrijven waar het om gaat zitten in de VS, een land waar de invloed van bedrijven op de overheid gigantisch is, internationale regelgeving voor internet is er nauwelijks.

    Advertenties waar x-keer meer aan verdient wordt gaan echt niet zo maar verdwijnen.

    Dus als je regels wilt hebben waar zij zich aan houden heeft inzitten op een opt-in regeling geen enkele zin.

    Maar dat is alleen maar mijn mening natuurlijk. 🙂

  14. Ot van Daalen (Bits of Freedom)

    In de discussie komen twee bezwaren naar voren: de regels worden in de praktijk niet nageleefd en de regels kunnen omzeild worden.

    Ten aanzien van het eerste punt: Google zal de regels naleven – ze kan zich niet veroorloven om dat niet te doen, en bovendien zijn de regels ook op haar van toepassing. Je zal vast een paar “cowboys” hebben, maar anders dan bij – bijvoorbeeld – spam zijn de toetredingsdrempels hoog: het is moeilijk om een overkoepelend bannernetwerk te ontwikkelen. Dat betekent dat de meeste spelers ook serieuze bedrijven zijn, die zich niet kunnen permitteren om de regels te negeren.

    Ten aanzien van de vraag of deze regels omzeild kunnen worden: Het is waar dat je ook gevolgd kan worden op een andere manier, zoals via een combinatie van je IP-adres en andere identifiers. Maar betekent dat, dat we dus tracking door middel van cookies niet aan banden moeten leggen? Naar mijn mening niet. Als we het onwenselijk vinden dat gebruikers zonder dat ze het weten stiekem over het web worden gevolgd, dan moeten we beleid ontwikkelen waarmee we dat kunnen voorkomen. Dat kan betekenen dat we ook extra maatregelen moeten nemen om tracking op andere manieren aan banden te leggen (voor zover dat onder de huidige wetgeving al niet gereguleerd is).

  15. Onthutst

    @Lennie

    Bedrijven hebben het recht en volgens aandeelhouders zelfs de plicht om te doen wat ze kunnen binnen de wet. Dat heet kapitalisme.

    De overheid behoort er te zijn voor burgers. Een van de taken van de overheid is kaders stellen voor bedrijven waar zij zich aan moeten houden. Kapitaalkrachtige bedrijven “winen en dinen” vaak politici, huren lobbyissten en marketingbureau’s in om politici op een verkeerd been te zetten en de regels zo aan te passen zoals het hen uitkomt. De overheid blijkt daar gevoelig voor. Bits of freedom is dan een waardevol tegen geluid.

    Het gaat er om de overheid te overtuigen. Bedrijven volgen de wetgeving uiteindelijk wel. Overheden hebben de rechten van de mens ondertekend en in dat kader is de opt-in regeling de enig mogelijke. Samenvattend denk ik dat een opt-in regeling haalbaar is.
    Wat denk jij daarvan?

  16. Randy Simons

    @Ot: “Ten aanzien van de vraag of deze regels omzeild kunnen worden: Het is waar dat je ook gevolgd kan worden op een andere manier, zoals via een combinatie van je IP-adres en andere identifiers. Maar betekent dat, dat we dus tracking door middel van cookies niet aan banden moeten leggen? ”

    Browsers hebben veel betere mogelijkheden om cookies te beheren dan om de “alternatieve” tracking-methodes te blokkeren. Je kunt bezoekers zoals al gezegd volgen a.d.h.v. IP-adres + user agent string, waarbij er niet eens iets wordt opgeslagen of opgehaald door de lokale PC.

    De vraag is dus of het niet beter is cookies te gedogen, zodat het nog zichtbaar blijft, dan om cookies te verbieden zodat de hele tracking-business ondergronds gaat.

  17. Ot van Daalen (Bits of Freedom)

    @Randy: Browsers hebben weliswaar mogelijkheden om cookies te blokkeren, maar het probleem is dat vrijwel niemand die mogelijkheden gebruikt. Als dat wel het geval zou zijn, dan zouden websites alsnog op andere manieren van tracking overstappen. Het “gedogen” zou naar mijn mening alleen ten goede komen aan een kleine, technisch onderlegde groep internetgebruikers. Ik vind dat de vraag centraal moet blijven staan of we tracking aan banden willen leggen. Als we dat inderdaad willen, dan is het reguleren van tracking cookies een belangrijk begin en zal voor zover nodig ook het tracken op andere manieren moeten worden gereguleerd.

  18. Job

    Goed werk Ot van Daalen. Het aan banden leggen van tracking is ontzettend belangrijk. Een opt-in regeling is de enig juiste weg.
    Omzeilen etc. zie ik niet als iets belangrijks als er een opt-in regeling komt.

  19. Pascal Van Hecke

    @RandySimons en @Ot

    (late reactie over Google Analytics)

    Het bijzondere aan Google Analytics is dat het geen cookies plaatst namens het Google domein… de gastheer website laadt een javascript in van Google dat cookies plaatst namens de (1st party) gastheerwebsite. Zo heb je ook meteen geen last van browsers die 3d party cookies blokkeren (zoals Safari, en vooralsnog alleen Safari dat standaard doet). De gegevens komen dan bij Google terecht doordat dat Javascript een image gaat inladen met alle benodigde gegevens als parameter – maar daarbij wordt geen cookie geplaatst.

    Ot heeft hierboven aangegeven dat de partij die het cookie plaatst de verplichting heeft om toestemming te vragen. Dat lijkt me in dit geval de gastheerwebsite te zijn, die een (1st-party) cookie plaatst. Dat er daarbij gebruik wordt gemaakt van een javascript dat wordt ingeladen vanop het Googledomein (je zou het ook zelf kunnen hosten!) lijkt me eigenlijk irrelevant. Omdat Google zelf geen cookie plaatst, legt de nieuwe cookiewet hen geen verplichtingen op.

    Of de website-uitbater toestemming moet vragen om het cookie te plaatsen hangt er maar van af wat je verstaat onder de “Uitzondering in het derde lid” in https://zoek.officielebekendmakingen.nl/dossier/32549/kst-32549-3.html . Is Analytics een “legitiem en nuttig hulpmiddel […] om ervoor te zorgen dat de dienstverlening via internet naar behoren functioneert”? Veel webmasters zullen argumenteren van wel. Het product van een analytics-oplossing is meestal “het surfgedrag van de [individuele] gebruiker”, maar geaggregeerde resultaten. Maw je gebruikt het niet voor “marketingdoeleinden” (vb geindividualiseerde pagina’s of aanbiedingen) wat in de Memorie van toelichting expliciet niet onder die “Uitzondering in het derde lid” valt.

    De discussie of je voor Google Analytics (voorafgaande) toestemming nodig hebt lijkt me ook meer een WBP discussie. De vragen zijn dan:

    1. heeft websiteuitbater een (voldoende) gerechtvaardigd belang in het (tijdelijk) verwerken van persoonsgegevens (IP-adressen, pseudonieme cookiewaarden) om er geaggregeerde bezoekstatistieken van te maken. Zo ja, dan heeft hij geen (voorafgaande) toestemming nodig (je hoort wel te informeren over die verwerking, in de privacyvoorwaarden). In Nederland is men meestal nogal business-vriendelijk, en zal de discussie al snel overhellen naar dat gerechtvaardigd (commercieel) belang.

    2. is de rol van Google beperkt tot verwerker, maw doen zijn niks anders dan het uitvoeren van een opdracht namens de website-uitbater, zonder een verdergaande eigen verwerking voor eigen doeleinden? Als dat het geval is, dan is er niks aan de hand voor Google en hebben ze geen toestemming nodig: ze zijn volledig gedekt door de rechtsgrond die de websiteuitbater heeft (gerechtvaardigd belang of toestemming). De Hamburgse Privacy-autoriteit heeft lang gesprekken gevoerd met Google over Analytics – de discussie ging er toen net om of Google dit voor eigen voordeel doet dan wel enkel in opdracht van de website-uitbater. Een vergelijk is er niet uitgekomen, maar Hamburg is niet zo ver gegaan als het opleggen van boetes aan website-uitbaters: http://www.datenschutzbeauftragter-online.de/google-analytics-vorerst-keine-bussgelder-hamburg-datenschutz-aufsichtsbehoerde/ Enkel een verwijzing naar blokkeringstools in de privacyvoorwaarden was voldoende…

  20. Pewe

    Ff serieus. Als je je eigen privacy niet serieus neemt, en bijv, niet de moeite neemt om een paar kleine settings aan te passen, moet je ook niet klagen. Net zomin als wanneer je ingaat op phishing-mailtjes of kettingbrieven.

    Zolang er mensen zijn die hun website ontwikkelen specifiek gericht op IE, zullen er ook mensen zijn die ‘meer van je willen weten’. Ook BoF gebruikt een tracker (Mint)

    En zelfs met alle anti-cookie settings ben je nog niet veilig, cq. wil de website niet meer werken. Add-ons als Ghostery zijn dan een simpele oplossing.

    Zodra anderen jouw privacy regelen sluipt er eigen belang in.
    Privacy is je eigen zaak en regel je dus zelf.

  21. Orsolya Ember

    Ik aksepteer geen cookis, dus ik kan geen Nos jurnaal kijken… dan ga ik een krantje kopen. ….maar waarom betaal ik dan internet? Ik kan niet meer surfen, geen uitzending gemist zien, geen informatie kijken, dan denk ik ….als het zo verder gaat, hoef ik geen internet meer betalen. Ik ga naar bib om email te kijken en schrijven. Is dat de bedoeling? Groeten
    Orsolya Ember
    Van Brederodestraat 15
    8423 TV Makkinga

  22. Toeval bestaat niet op het internet: is er nog ruimte voor online serendipiteit? – Bedrock

    […] bubbel. Je krijgt alleen content te zien die op jou is afgestemd. Dit komt bijvoorbeeld door cookies die met je meegluren als jij series kijkt, muziek luistert of met likes strooit op […]

  23. Heb jij gordijnen thuis? - Sanne Roemen

    […] volgen je surfgedrag. Hiermee worden profielen gemaakt waarmee je zeer gerichte advertenties krijgt voorgeschoteld. Deze […]

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.