De week in 343 woorden

Eerste Kamer accepteert nieuwe cookiewet: the good, the bad, the ugly

Bewaarplicht is écht niet nodig

Er komt een nieuwe ‘cookiebepaling.’ In navolging van de Tweede Kamer is nu ook de Eerste Kamer akkoord met de wijziging van artikel 11.7 van de Telecommunicatiewet. De nieuwe bepaling is vooral symptoombestrijding en maakt nog eens duidelijk dat we een goed debat moeten voeren over de grenzen van tracking en profiling.

De oorspronkelijke bepaling verplichtte aanbieders van diensten in de informatiemaatschappij (zoals websites) om toestemming aan bezoekers te vragen voor het plaatsen van bestanden (zoals cookies) of het uitlezen van informatie voor het volgen van die bezoekers. Op die manier beschermt de wet jou tegen bedrijven die zonder jouw medeweten of toestemming bijhouden wat je online doet. In het debat over de nieuwe bepaling spreekt men over de ‘cookiewet.’ Hoewel de wet verder strekt dan alleen het volgen via cookies, zal ik voor nu ook deze term hanteren.

The Good

De wet probeert een oplossing vinden voor de overdaad aan cookie-vragen waar de gemiddelde internetgebruiker mee geconfronteerd wordt. Door de nieuwe bepaling hoeft voor het gebruik van cookies die bedoeld zijn voor analytische doeleinden (zoals webstatistieken) en ‘geen of een geringe invloed hebben op de persoonlijke levenssfeer van de eindgebruiker’, geen toestemming meer worden gevraagd. Daar is wat voor te zeggen, al blijft de vraag of het resultaat niet onveranderd blijft: Google Analytics schuilt achter elke website en kan dus gebruikers over meerdere websites volgen. Die gegevens zijn dan geen webstatistieken meer maar geven een uitgebreid beeld over iemands surfgedrag.

Verder wordt er opgetreden tegen cookiemuren. Kamerlid Klever (PVV) diende een amendement in dat er voor zorgt dat websites van publieke instellingen je geen toegang tot de website mogen weigeren als je de cookies niet accepteert. Dat is een goede zaak: die websites moet je af en toe bezoeken in verband met een wettelijke plicht en zijn bovendien met belastinggeld gefinancierd. Dan hoef je niet ook nog eens met je data te betalen.

The Bad

Zorgelijk is dat Kamp heeft aangegeven dat toestemming voor alle andere cookies ook impliciet mag. Het gaat volgens de minister om een uiting van toestemming en daaronder valt ook het doorsurfen en -klikken als je op een website bent. Dat is natuurlijk onzin. Toestemming moet expliciet verkregen worden om de controle bij de gebruikers te houden. Daarnaast is het de vraag of dit straks verenigbaar is met de nieuwe Europese verordening gegevensbescherming. Die zegt namelijk dat toestemming aan meer eisen moet voldoen en ondubbelzinnig moet zijn.

Impliciete toestemming betekent dat er dus geen cookies mogen worden geplaatst bij een initieel bezoek, maar pas bij het doorklikken. Hoe zien we daar op toe? Hoe trek je die toestemming dan weer in? Volgens Kamp kan dat door het verwijderen van cookies op je computer. Dat is een omweg en voor veel mensen ingewikkeld. D66 probeerde nog via een amendement expliciete toestemming in de wet te krijgen, maar dat haalde het helaas niet.

The Ugly

En dat brengt ons bij ‘the Ugly.’ Het is belangrijk dat we zorgen dat bedrijven jou niet zomaar in de gaten mogen houden online zonder jouw toestemming. Helaas is de nu gekozen oplossing nog hoofdzakelijk symptoombestrijding. Het is nog steeds niet gebruiksvriendelijk en biedt bedrijven nog steeds een vrijkaart om te profileren wat ze willen.

Wij willen meer debat

Wat we eigenlijk moeten doen is op zoek naar gebruiksvriendelijke alternatieven. Een ‘do not track’ instelling die gerespecteerd wordt, bijvoorbeeld. Helaas zijn door de industrie gelanceerde initiatieven op dit vlak nog een farce. ‘Your online choices‘, bijvoorbeeld, zou je via één website de mogelijkheid bieden om al je toestemmingen te regelen. Helaas geldt daar dat je alsnog wordt gevolgd als je geen toestemming geeft, maar alleen geen targeted advertising meer krijgt. Maar het kán dus wel gecentraliseerd en met een mooi overzichtelijk systeem. Waarom is dat nu dan zo moeilijk? De privacyverklaringen die veel gebruikers onder ogen krijgen zijn vaak vaag zijn en kosten nodeloos veel tijd.

Wat we dus verder nodig hebben is transparantie: bedrijven moeten eerlijker en opener zijn over de gegevens die ze verzamelen, wat ze ermee doen en dat op een duidelijke wijze communiceren. Geen wollig taalgebruik en geen ‘legalese.’ Dan moeten we kijken naar cookiemuren en keuzevrijheid in bredere zin. Om sommige bedrijven kunnen we haast niet heen. Is er dan wel echt sprake van keuzevrijheid? En is het juist dat we voor het gebruik van die diensten persoonlijke gegevens moeten inleveren? Vervolgens moeten we de discussie over de grenzen van tracking en profiling aangaan. Wat mag er worden opgeslagen, en hoe mag die informatie worden gebruikt? Pas als we deze fundamentele vragen beantwoord hebben kunnen we voorbij de symptoombestrijding en richting wetgeving die daadwerkelijk de privacy van de burgers beschermt.

  1. Petra

    Als je een add-on kunt installeren dan kun je ook cookies beheren.

    https://addons.mozilla.org/nl/firefox/addon/self-destructing-cookies/

  2. Winfried

    Volgens mij is de WBP de tool om tracking en profiling tegen te gaan, niet de cookiewet…

  3. Joris

    Zou het niet leuk zijn als we de daadwerkelijke trackers verantwoordelijk kunnen houden (facebook, google etc) in plaats van de individuele websites, die zelf Niet bijhouden waar je precies uithangt online?

  4. Ragdoll

    Een idee van dat het wat dubbelzinnig is heb ik dan ook hierbij.
    Ik kom op een website en daar wordt gevraagt om een cookie bij de browser te mogen plaatsen, regelmatig met een verhaal dat het nodig zou zijn om optiemaal van hun website gebruik te kunnen maken.

    Website’s hebben altijd al een cookie gewoon kunnen (en mogen) plaatsen op het moment dat je ze bezoekt dus dat is niks nieuws, en je heb altijd nog de vrijheid om de browser zo in te stellen dat alleen een lijst met website’s van je eigen keuze een cookie kunnen plaatsen.
    (Zonder daarbij informatie over de keuze van zo’n lijst te hoeven versturen)

    Wat dat betreft maakt het dan niks uit of je bij een website wel of geen toestemming geeft voor het plaatsen van een browser-cookie de informatie van de keuze en voorkeur wordt daarmee verstuurd.
    Het is dan meschien wat anders dan wat tegenwoordig als browser instelling is tell sites do not track me, waarmee tegen iedere website wordt gezegt dat je iets niet wil en daarmee zo goed te volgen ben.

    Dus geef ik een website toestemming om zo’n betreffend cookie te mogen plaatsen.
    Zolang de toestemming in dat betreffende cookie zit is er voor zover nog niks aan de hand en kan dat cookie na het verlaten van de website dan weer gewoon verwijderd worden en bij iedere bezoek aan de website weer gewoon opnieuw om toestemming worden gevraagd.
    Buiten het aanpassen van de browser instelling zodat de cookie geplaats kan worden is het wat lagere veiligheids nivo nog redelijk te overzien en zolang er geen cookie’s van een derde partij meekomen.
    Het wordt wat lastiger met geen keuzevrijheid voor b.v een eigen cookie beleid.

    De grenzen van tracking en profiling lijkt mij de veiligheid te zijn.
    Bijvoorbeeld met een vraag hoe ze bij een phishing attacks aan de persoonlijke keuze en intresse komen waarmee ze iemand benaderen is het antwoord niet zo moeilijk.
    Ook analytische doeleinden hebben een keerzijde.

    http://blog.emsisoft.com/2015/01/17/has-the-antivirus-industry-gone-mad/?ref=ticker150119&utm_source=newsletter&utm_medium=newsletter&utm_content=blog&utm_campaign=ticker150119

    http://www.social-engineer.com/phaas-business-value-phishing-service/

  5. Jochem

    Bedankt voor dit duidelijke artikel.

  6. h. pieters

    de bat de poet en het ukkie

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.