Juridische vraag: Is cookie Volg-me-niet-register illegaal?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Binnenkort wordt het verboden om cookies te plaatsen zonder dat je toestemming hebt van de gebruiker op wiens PC je die plaatst. Heel goed, met cookies kan van alles en nog wat worden getrackt zonder dat mensen dat doorhebben. Maar de marketingbranche wil gaan werken met een opt-out systeem, dus dat is geen toestemming maar protest achteraf. En daarbij wordt ook nog eens een cookie geplaatst als je zegt dat je geen cookies wil. Is dat niet gewoon keihard tegen de wet?
Antwoord: Vanwege de angst voor tracking van gebruikers, en met name het opbouwen van privacyschendende profielen, is er een Europese richtlijn gekomen die het installeren van trackinghulpmiddelen zoals cookies op computers van eindgebruikers verbiedt. Hieronder vallen niet alleen de klassieke HTTP cookies, maar ook geavanceerde Flashcookies en zelfs applicaties die neerkomen op spyware.
Als deze richtlijn tot wet is verwerkt, mag het installeren van dergelijke hulpmiddelen alleen nog met toestemming van de gebruiker. Het debat de afgelopen anderhalf jaar ging over de vraag om wat voor toestemming dat moet zijn: ondubbelzinnige, expliciete, vooraf, achteraf of nog anders? De marketingbranche wil het liefst opt-out achteraf, de privacyvoorvechters willen expliciet en vooraf en alleen als mensen écht begrijpen waar ze mee akkoord gaan.
De site Youronlinechoices is door de marketingbranche opgezet als antwoord op de wet. Op die site "kom je alles te weten over online privacy en advertenties" en heb je de mogelijkheid om per advertentienetwerk aan te geven dat je géén cookies van ze wilt. Die keuze wordt, hoe ironisch, onthouden met een cookie.
Mag dat? Ja dat mag. De wet verbiedt alleen tracking cookies. Een cookie dat alleen onthoudt dat iemand niet getrackt mag worden, is zelf geen tracking cookie maar een "technisch noodzakelijk" cookie (zoals de wet dat noemt).
Of Youronlinechoices opt-in of opt-out is, is een lastige vraag. Je kunt er je voorkeur voor tracking zowel aan- als uitzetten. Als de aangesloten advertentienetwerken dan pas gaan tracken nadat iemand expliciet deze voorkeur heeft aangezet, dan is sprake van opt-in en dan is zeker aan de wet voldaan. Echter, ik verwacht dat iedereen gewoon vrolijk blijft tracken en gaat reageren met "je kunt je afmelden via Youronlinechoices". En dan is het wachten op de eerste boete van de OPTA om te zien of dat genoeg is.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Technisch noodzakelijk gaat dus helemaal niet op. Of kun je het anders interpreteren? Lijkt me stug, maar ik ben benieuwd.
Dat kunnen ze ook doen met mensen die een do-not-track cookie hebben staan. Even een link naar een pagina waarin verteld wordt hoe ze die cookie kunnen verwijderen om gratis veel meer informatie uit internet te krijgen. En dan is het niet meer zo gemakkelijk om die cookie weer op je PC geplaatst te krijgen.
Die cookie is trouwens zeer zeker een track-cookie. Dat cookie vertelt in ieder geval de adverterende site dat je op youonlinechoices bent geweest. Dat is dus al tracking.
Peter
Dat is ook inderdaad een waangedachte: immers de websites die je bezoekt dienen een specifiek doel, waarbij je specifieke reclame kan verwachten die iets te maken hebben met dat specifieke doel. Dat is al eeuwen zo. In een adult magazine tref je echt geen reclames van Intertoys aan (op papier, niet met behavioral advertising, dan kan het inderdaad voorkomen!). In de Donald Duck echt geen reclame voor Jan Wandelaar.
Het probleem is dat omdat iets technisch mogelijk is men de consument wil laten geloven dat het in hun belang is advertenties te presenteren die bij jouw profiel passen. In de praktijk is dat statistisch onbenullig en weinig waardevol. Richt je op de doelgroep en probeer niet te zeuren: want dat is behavioral advertising, zelfs mijn moeder van 81 valt dat op en heeft daar een hekel aan.
Onder de voorgestelde nederlandse, europese en amerikaanse wetgeving zal jouw punt strafbaar worden gesteld.
Als adverteerders nu ook onder de naam van het medium dat je bezoekt werken, net zoals in een papieren tijdschrift, is er niets aan de hand en is iedereen weer tevreden.
Je hoeft ook geen verdere maatregelen te nemen. Overtreed je mijn wens dan kan wetgeving je wel eens erg koud op je dak vallen. Er is dus geen 100% technische oplossing, dat onderschrijf ik. Het hangt samen en gaat alleen werken met wet- en regelgeving.
Een winkelwagentje in een webshop mag je met cookies implementeren, ook al zijn er winkelwagenimplementaties mogelijk zonder cookies (bv. via state in de URL).
Dat er een ándere oplossing is, betekent dus niet dat een gekozen oplossing niet "technisch noodzakelijk" is.
Dát wens ik te verbieden.
Dát is ook mede de kern van het internationaal gevoerde debat.
De wetgevers proberen nationaal en internationaal juist dát in woorden te vatten.
(dit als bestuurdeerder van wetMakers, als politicoloog)
HTTP_DNT voorkomt dat het zover komt. Je argument snijdt geen hout, alpha of beta.
Het zijn geen vergelijkbare entiteiten. In die zin appels en peren, ook juridisch.
Een winkelwagentje gebruikt cookies in principe LOKAAL of tenminste in een 1 op 1 relatie - dat is voldoende voor goed functioneren - tot het uitvoeren van de order waarna de verzamelde wensen van de klant worden verzonden. Geen bezwaar tegen, ik denk niemand.
Geheel ánder doel bovendien: er bestaat een directe relatie met de wens van de bezoeker.
Een gewenste monogame relatie tegenover ongewenste intimiteiten vergelijkbaar met cybergroepsex.
Dat is dus heel wat anders dan sessie informatie sturen naar derden (de datagraaiers).
Voor een goed functionerende website zijn geen tracking-cookies noodzakelijk.
Toon me één voorbeeld dat ik niet in technische zin kan weerleggen, doe je best!
Ze zijn kennelijk aantoonbaar waardeloos om geagregeerde data te verzamelen laat staan individuele data (vandaar de tijdelijke opkomst van supercookies, toch?) indien de gebruiker zich verzet.
Ik kan aantonen - maar je geeft zelf al een voorbeeld - dat de echt grote websites voor hun kernactiviteit heel andere (louter serverside) technieken gebruiken om de wensen van hun klant te bedienen en hem of haar te identificeren.
Je geeft al aan dat je de status van een lopende bestelling (statefull) ook anders kan doorgeven, maar dat is nu precies niet hoe een winkelwagen cookie qua werkt. Dat werkt lokaal, met lokaal script.
En dat bijhouden van de state gebeurt? Serverside. Geen bezwaar tegen.
Een tracking cookie is een tracking cookie.
Peter schrijft dat boven ook op.
Het gaat niet om een ándere oplossing, het gaat om het verbieden van een onnodige en ongewenste oplossing.
"Technische noodzaak" is zowel juridisch - meen ik geinformeerd - als technisch - weet ik zeker - eenvoudig te weerleggen (falcificeerbaarheid).
Een winkelwagentje in een webshop mag je met cookies implementeren, ook al zijn er winkelwagenimplementaties mogelijk zonder cookies (bv. via state in de URL).
Dat er een ándere oplossing is, betekent dus niet dat een gekozen oplossing niet "technisch noodzakelijk" is.
Jij als jurist met verdomd veel kennis van informatica en ik als informaticus met verdomd veel kennis van wetgeving?
Beloning pak koekies..
Thaddy
p.s.: dat dacht ik al: uitleg en bedoeling.
"De informatie over jouw surfgedrag wordt opgeslagen in een zogenaamde ‘cookie ’, een klein tekstbestandje dat op je computer wordt opgeslagen."
Dit is overduidelijk een onzin bewering. Sites die de meest relevante informatie al niet naar waarheid weergeven verdienen geen vertrouwen.
(Ik heb geen idee trouwens wat ik je heb aangedaan, je klinkt alsof ik je persoonlijk aangevallen heb.)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.