Privacy
- Wat niemand over je mag weten
Hoe check ik of een website zich aan de cookieswetgeving houdt?
02-11-2019, 15:27 door Anoniem, 8 reacties
Hoe check ik of een website zich aan de cookieswetgeving houdt?
Reacties (8)
F12 in de browser
Kijken of je cookies gezet ziet worden zonder dat je op Akkoord hebt geklikt.
That's it.
Maar waarom....
Kijken of je cookies gezet ziet worden zonder dat je op Akkoord hebt geklikt.
That's it.
Maar waarom....
Dat is nu een een goeie vraag
Kan iemand beantwoorden
Ik zou het niet weten
Fijn weekend iedereen
Vrede op Aarde
Groetjes Mad Mike
Kan iemand beantwoorden
Ik zou het niet weten
Fijn weekend iedereen
Vrede op Aarde
Groetjes Mad Mike
Door Anoniem: F12 in de browser
Kijken of je cookies gezet ziet worden zonder dat je op Akkoord hebt geklikt.
Was het maar zo makkelijk. Enkel het plaatsen van tracking cookies (of gebruik maken van andere technieken) is zonder toestemming niet toegestaan. En deze toestemming mag dan weer niet verkregen worden via een muur van koekjes.Kijken of je cookies gezet ziet worden zonder dat je op Akkoord hebt geklikt.
Inderdaad heel veel sites in Nederland voldoen niet aan de AVG, tijd dat de AP eens ingrijpt bij bijvoorbeeld De Telegraaf, Rabobank, DPG Media, RTL Nederland etc. etc..
Ik zou eens op zoek gaan naar het antwoord in plaats van het zo lui en lapzwanserig op een forum te plempen. Probleemoplossend vermogen ontstaat namelijk alleen bij mensen die gedreven zijn om te willen leren leren. Nee ik heb niet per ongeluk twee keer leren getiept. Als de wil er niet is om te leren, stel dan ook geen vragen. Als je eenmaal genoeg geld hebt, dan kun je er ook gewoon altijd iemand voor laten komen die het voor je oplost. En dan roep je later vrolijk, "ik wist wel dat het gemakkelijk op te lossen was!" En dan functioneer je ook nog op management niveau!
Dit is inderdaad een goede topic van TS. Het alleen accepteren van cookies is niet alleen voldoende maar volgens mij bedoelt TS dat hij de gedrag van de cookies wil leren begrijpen en dan is f12 niet voldoende alleen denk ik?
Door Anoniem, 03-11, 02:37 uur: Ik zou eens op zoek gaan naar het antwoord...(braak)
Huh?
Dat doet TS door hier de vraag te stellen. Hij/zij zoekt hier naar mensen die hem een antwoord kunnen geven op zijn vraag.
(Beetje te veel alcoholica of dope genuttigd/gesnoven/geslikt gezien het tijdstip van je sjagerijnige post?)
Een wat lange post, maar het komt er op neer dat het een grote shit show is, je dit niet altijd goed zelf kunt bepalen en je er al helemaal niks tegen kunt doen. De toezichthouder (ACM) doet er niks aan en ik heb weinig hoop dat er de komende tijd iets gaat verbeteren. De beste oplossing is in je browser alle derde partij cookies blokkeren en wanneer je een cookie pop-up krijgt ('wij waarderen uw privacy') de website te verlaten en niet meer te bezoeken. Nog beter zou zijn als er iemand eens een rechtszaak zou starten, wellicht dat dat de schrik er in krijgt bij bedrijven... Afijn, een lange post:
De 'cookiewet' is eigenlijk artikel 11.7a uit de telecommunicatie wet, zie https://wetten.overheid.nl/BWBR0009950/2019-01-01/#Hoofdstuk11_Paragraaf11.1_Artikel11.7a
In beginsel (lid 1) dient er vooraf toestemming verkregen te worden en moet je als gebruiker goed geinformeerd worden. Dit betekend dus voordat er cookies geplaatst worden er duidelijke informatie gegeven moet worden en er een duidelijke manier van toestemming geven is. Vaak zul je bij het bezoeken van een website al gelijk cookies geplaatst zien worden, zonder dat je ook maar ergens toestemming hebt gegeven. Ook zijn er veel websites die niet vooraf, of uberhaupt, duidelijk maken welke cookies geplaatst worden en voor welke doeleinden. Dit laatste kun je zelf wel zien, doordat het uiteindelijk je browser is die deze opslaat.
Je moet je goed om te realiseren dat dit niet beperkt is tot cookies, maar ook HTML5 local storage en fingerprinting van je apparaat/webbrowser ('toegang verkrijgen tot informatie in de randapparatuur') vallen hier onder de cookiewet.
Toestemming is gedefineerd in termen van de AVG (zie artikel 11.1(g) van de telecomwet). In de AVG is dit artikel 4(11) (zie https://gdpr-info.eu/art-4-gdpr/ ) wat neer komt op:
* freely given
* specific
* informed
* unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;
Met name het stukje 'unambigous indication' speelt een rol bij het plaatsen van cookies. In eerdere uitspraken is al duidelijk gemaakt dat een 'bij het bezoeken van deze site gaat u akkoort met cookies' hier NIET aan voldoet. Er moet echt een duidelijke actie zijn, doorscrollen of de site verder bezoeken is NIET voldoende om toestemming aan te tonen.
Ook het stukje 'freely given' is bij de cookiewet dubieus en speelt een rol in de vraag of een 'cookie wall' wel toegestaan is. Immers als je de website niet kan bezoeken zonder cookies te accepteren, in hoeverre ben je dan vrij in staat om toestemming te geven? Afhankelijk van de website kan dat dubieus zijn, helemaal als dat gaat om bijvoorbeeld overheidswebsites en zorginstellingen.
Meer informatie over wat er wel en niet onder toestemming valt kun je vinden in een document dat het European Data Protection Board (vroegere WP29) heeft opgesteld: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
Het verkrijgen van toestemming geldt voor ALLE cookies (zowel identificerend als 'anonieme' cookies) met enkele uitzonderingen in lid 3: (Strikt) noodzakelijke cookies mogen altijd geplaatst worden. Net zoals analytische cookies om informatie te krijgen over de effectiviteit van de website (denk aan bezoekersaantallen tellen, maar ook registreren of je een product koopt via een andere website). Analytische cookies mogen alleen geplaatst worden als dit slechts geen of geringe inbreuk maakt op de privacy. Het is duidelijk dat wanneer je aan 'profiling' of 'personalised advertisements' doet (op basis van cookies) dit niet meer onder de noemer 'geringe inbreuk' valt en dus ook geen uitzondering meer is. Net zoals het koppelen van noodzakelijke cookies aan advertentie doeleinden, is dat ook niet toegestaan. Als je 'noodzakelijke cookie' voor meer doelen gebruikt wordt dan strikt noodzakelijk, ga je nat. Dan moet je gewoon toestemming vragen.
Hoewel je zelf kunt zien of en wanneer er cookies geplaatst worden, is dat alleen niet voldoende om te bepalen of een bedrijf zich aan de cookie wetgeving houdt. Het is namelijk ook nodig om te weten waarvoor bepaalde cookies geplaatst worden en op welke manier daar toestemming voor verkregen is. Volgens mij is aangeraden om een 'cookie beleid' online te zetten met daarin duidelijk welke cookies geplaatst worden, voor welk doel en voor hoelang. Dit is verplicht voor cookies waar toestemming voor verkregen dient te worden (lid 1 telecomwet), maar niet voor de noodzakelijke of analystische cookies (al is het wel best practice om deze ook te benoemen).
Als je op de website geen toestemming hebt gegeven, mogen er dus alleen noodzakelijke of analytische cookies geplaatst worden. Daarbij geldt ook dat de website die je bezoekt ook verantwoordelijk is voor de cookies die een derde partij plaatst. De cruq zit hem er echter in dat veel bedrijven je geen informatie geven over het doel waarvoor zij cookies plaatsen, of onjuist denken dat dit onder een uitzondering valt. Ook vermoed ik sterk dat er veel bedrijven zullen stellen dat cookies noodzakelijk zijn, zonder er bij te vertellen dat ze OOK gebruikt worden voor advertentie doeleinden. Daarmee vallen deze cookies niet meer onder de uitzondering, maar is dat als gebruiker vrij lastig te bepalen omdat ze ook noodzakelijk zijn. (En dan heb ik de belabberde manier van toestemming verkrijgen nog niet eens benoemt)
Om er nog een schepje boven op te doen is het bijvoorbeeld zo dat Google zich bewust is van deze wetgeving (en toestemmingsvereisten), maar dit allemaal doorschuift naar website eigenaren (zoek 'Google User Consent Policy'). Mocht je dus cookies van Google zien (zoals bijvoorbeeld Google reCaptcha), welke volgens Google zelf ook voor advertentiedoeleinden gebruikt worden, dan is het de website eigenaar die toestemming voor dient te vragen. In de praktijk komt er natuurlijk niks terecht van die toestemming, maar Google heeft zich netjes ingedekt en jij kunt nu bij honderden verschillende sites gaan aankloppen om ze te vertellen dat wat ze doen niet mag. Succes!
De 'cookiewet' is eigenlijk artikel 11.7a uit de telecommunicatie wet, zie https://wetten.overheid.nl/BWBR0009950/2019-01-01/#Hoofdstuk11_Paragraaf11.1_Artikel11.7a
In beginsel (lid 1) dient er vooraf toestemming verkregen te worden en moet je als gebruiker goed geinformeerd worden. Dit betekend dus voordat er cookies geplaatst worden er duidelijke informatie gegeven moet worden en er een duidelijke manier van toestemming geven is. Vaak zul je bij het bezoeken van een website al gelijk cookies geplaatst zien worden, zonder dat je ook maar ergens toestemming hebt gegeven. Ook zijn er veel websites die niet vooraf, of uberhaupt, duidelijk maken welke cookies geplaatst worden en voor welke doeleinden. Dit laatste kun je zelf wel zien, doordat het uiteindelijk je browser is die deze opslaat.
Je moet je goed om te realiseren dat dit niet beperkt is tot cookies, maar ook HTML5 local storage en fingerprinting van je apparaat/webbrowser ('toegang verkrijgen tot informatie in de randapparatuur') vallen hier onder de cookiewet.
Toestemming is gedefineerd in termen van de AVG (zie artikel 11.1(g) van de telecomwet). In de AVG is dit artikel 4(11) (zie https://gdpr-info.eu/art-4-gdpr/ ) wat neer komt op:
* freely given
* specific
* informed
* unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;
Met name het stukje 'unambigous indication' speelt een rol bij het plaatsen van cookies. In eerdere uitspraken is al duidelijk gemaakt dat een 'bij het bezoeken van deze site gaat u akkoort met cookies' hier NIET aan voldoet. Er moet echt een duidelijke actie zijn, doorscrollen of de site verder bezoeken is NIET voldoende om toestemming aan te tonen.
Ook het stukje 'freely given' is bij de cookiewet dubieus en speelt een rol in de vraag of een 'cookie wall' wel toegestaan is. Immers als je de website niet kan bezoeken zonder cookies te accepteren, in hoeverre ben je dan vrij in staat om toestemming te geven? Afhankelijk van de website kan dat dubieus zijn, helemaal als dat gaat om bijvoorbeeld overheidswebsites en zorginstellingen.
Meer informatie over wat er wel en niet onder toestemming valt kun je vinden in een document dat het European Data Protection Board (vroegere WP29) heeft opgesteld: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
Het verkrijgen van toestemming geldt voor ALLE cookies (zowel identificerend als 'anonieme' cookies) met enkele uitzonderingen in lid 3: (Strikt) noodzakelijke cookies mogen altijd geplaatst worden. Net zoals analytische cookies om informatie te krijgen over de effectiviteit van de website (denk aan bezoekersaantallen tellen, maar ook registreren of je een product koopt via een andere website). Analytische cookies mogen alleen geplaatst worden als dit slechts geen of geringe inbreuk maakt op de privacy. Het is duidelijk dat wanneer je aan 'profiling' of 'personalised advertisements' doet (op basis van cookies) dit niet meer onder de noemer 'geringe inbreuk' valt en dus ook geen uitzondering meer is. Net zoals het koppelen van noodzakelijke cookies aan advertentie doeleinden, is dat ook niet toegestaan. Als je 'noodzakelijke cookie' voor meer doelen gebruikt wordt dan strikt noodzakelijk, ga je nat. Dan moet je gewoon toestemming vragen.
Hoewel je zelf kunt zien of en wanneer er cookies geplaatst worden, is dat alleen niet voldoende om te bepalen of een bedrijf zich aan de cookie wetgeving houdt. Het is namelijk ook nodig om te weten waarvoor bepaalde cookies geplaatst worden en op welke manier daar toestemming voor verkregen is. Volgens mij is aangeraden om een 'cookie beleid' online te zetten met daarin duidelijk welke cookies geplaatst worden, voor welk doel en voor hoelang. Dit is verplicht voor cookies waar toestemming voor verkregen dient te worden (lid 1 telecomwet), maar niet voor de noodzakelijke of analystische cookies (al is het wel best practice om deze ook te benoemen).
Als je op de website geen toestemming hebt gegeven, mogen er dus alleen noodzakelijke of analytische cookies geplaatst worden. Daarbij geldt ook dat de website die je bezoekt ook verantwoordelijk is voor de cookies die een derde partij plaatst. De cruq zit hem er echter in dat veel bedrijven je geen informatie geven over het doel waarvoor zij cookies plaatsen, of onjuist denken dat dit onder een uitzondering valt. Ook vermoed ik sterk dat er veel bedrijven zullen stellen dat cookies noodzakelijk zijn, zonder er bij te vertellen dat ze OOK gebruikt worden voor advertentie doeleinden. Daarmee vallen deze cookies niet meer onder de uitzondering, maar is dat als gebruiker vrij lastig te bepalen omdat ze ook noodzakelijk zijn. (En dan heb ik de belabberde manier van toestemming verkrijgen nog niet eens benoemt)
Om er nog een schepje boven op te doen is het bijvoorbeeld zo dat Google zich bewust is van deze wetgeving (en toestemmingsvereisten), maar dit allemaal doorschuift naar website eigenaren (zoek 'Google User Consent Policy'). Mocht je dus cookies van Google zien (zoals bijvoorbeeld Google reCaptcha), welke volgens Google zelf ook voor advertentiedoeleinden gebruikt worden, dan is het de website eigenaar die toestemming voor dient te vragen. In de praktijk komt er natuurlijk niks terecht van die toestemming, maar Google heeft zich netjes ingedekt en jij kunt nu bij honderden verschillende sites gaan aankloppen om ze te vertellen dat wat ze doen niet mag. Succes!
03-11-2019, 12:15 door
choi
Door Anoniem: Hoe check ik of een website zich aan de cookieswetgeving houdt?
Daar is geen knopje, browserinstelling, of iets dergelijks voor als je dat bedoeld. Je zal gewoon het cookiegedrag van de website moeten toetsen aan de cookiewet.
Er zijn echter websites die je een heel eind op weg kunnen helpen z.a:
https://www.cookiemetrix.com/
let op: neem a.u.b de disclaimer van de website in acht:
Disclaimer: The results presented might not be 100 % correct. This tool is meant to be used by site owners as a starting point for improvements, not as a rigorous analysis.
Hier de analyse van de homepage van security.nl (voor een automatische analyse van de volledige website dien je helaas een account aan te maken).
https://www.cookiemetrix.com/display-report/www.security.nl/eb5d3feeb743ba0a16e7667b1f02f855
Nogmaals, vertrouw niet blindelings op geautomatiseerde systemen (helemaal als het gaat om een juridisch oordeel dat immers in veel gevallen onderhevig is aan de interpretatie van de wet), maar doe je eigen onderzoek en trek je eigen conclusies.
https://www.justitia.nl/cookiewet
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.