image

Juridische vraag: Is cookie Volg-me-niet-register illegaal?

woensdag 21 september 2011, 11:17 door Arnoud Engelfriet, 17 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Binnenkort wordt het verboden om cookies te plaatsen zonder dat je toestemming hebt van de gebruiker op wiens PC je die plaatst. Heel goed, met cookies kan van alles en nog wat worden getrackt zonder dat mensen dat doorhebben. Maar de marketingbranche wil gaan werken met een opt-out systeem, dus dat is geen toestemming maar protest achteraf. En daarbij wordt ook nog eens een cookie geplaatst als je zegt dat je geen cookies wil. Is dat niet gewoon keihard tegen de wet?

Antwoord: Vanwege de angst voor tracking van gebruikers, en met name het opbouwen van privacyschendende profielen, is er een Europese richtlijn gekomen die het installeren van trackinghulpmiddelen zoals cookies op computers van eindgebruikers verbiedt. Hieronder vallen niet alleen de klassieke HTTP cookies, maar ook geavanceerde Flashcookies en zelfs applicaties die neerkomen op spyware.

Als deze richtlijn tot wet is verwerkt, mag het installeren van dergelijke hulpmiddelen alleen nog met toestemming van de gebruiker. Het debat de afgelopen anderhalf jaar ging over de vraag om wat voor toestemming dat moet zijn: ondubbelzinnige, expliciete, vooraf, achteraf of nog anders? De marketingbranche wil het liefst opt-out achteraf, de privacyvoorvechters willen expliciet en vooraf en alleen als mensen écht begrijpen waar ze mee akkoord gaan.

De site Youronlinechoices is door de marketingbranche opgezet als antwoord op de wet. Op die site "kom je alles te weten over online privacy en advertenties" en heb je de mogelijkheid om per advertentienetwerk aan te geven dat je géén cookies van ze wilt. Die keuze wordt, hoe ironisch, onthouden met een cookie.

Mag dat? Ja dat mag. De wet verbiedt alleen tracking cookies. Een cookie dat alleen onthoudt dat iemand niet getrackt mag worden, is zelf geen tracking cookie maar een "technisch noodzakelijk" cookie (zoals de wet dat noemt).

Of Youronlinechoices opt-in of opt-out is, is een lastige vraag. Je kunt er je voorkeur voor tracking zowel aan- als uitzetten. Als de aangesloten advertentienetwerken dan pas gaan tracken nadat iemand expliciet deze voorkeur heeft aangezet, dan is sprake van opt-in en dan is zeker aan de wet voldaan. Echter, ik verwacht dat iedereen gewoon vrolijk blijft tracken en gaat reageren met "je kunt je afmelden via Youronlinechoices". En dan is het wachten op de eerste boete van de OPTA om te zien of dat genoeg is.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (17)
21-09-2011, 11:44 door Anoniem
Waar de tekst op Youronlinechoices zo is geschreven dat het niet verstandig is om tracking uit te zetten. De tekst is zeer suggestief en zegt dat het nodig is voor gratis internet. Helaas is deze methode een wassen neus, want ik leeg elke dag mijn browser history en cookies.
21-09-2011, 12:06 door Anoniem
Sorry, Arnoud, maar het is echt helemaal niet "Technisch noodzakelijk" zolang de browser maar HTTP_DNT ondersteunt. En dat doet de meerderheid inmiddels en kan eenvoudig worden afgedwongen middels wet- en/of regelgeving. De browsers die het nog niet ondersteunen kunnen dit heel gemakkelijk want het is een technische nobrainer voor de ontwikkelaars en ik word echt niet getrackt als niet getracked, wat op zich dus al tracken is. Zulk een cookie tast de integriteit van mijn eigendom aan. Rechtsom of links om dat cookie is technisch een tracking cookie en doet niet meer of minder dan HTTP_DNT: beiden staan of vallen met het respecteren door de websites. Kies dan de oplossing die de integriteit van mijn systeem waarborgt.
Technisch noodzakelijk gaat dus helemaal niet op. Of kun je het anders interpreteren? Lijkt me stug, maar ik ben benieuwd.
21-09-2011, 12:32 door Anoniem
Hoewel de wetgeving wellicht altijd open voor interpretatie is, is het nationaal (bijna consensus tussen alle fractiespecialisten, een zeldzaamheid) zowel als internationaal (EC, FTC) een gegeven dat de voorkeur uit gaat naar een permanente browsersetting. De FTC heeft in haar getuigenis voor de "House Committee on Energy and Commerce Subcommittee" aangaande tracking duidelijk aangegeven dat een DNT een betere/ gewenstere optie is dan het gebruik van cookies. Om dezelfde reden als boven aangegeven. De interpretatie van voorgenomen europese regelgeving door de makers zelf kunnen niet anders worden geinterpreteerd dan dat zij hetzelfde bedoelen als de FTC. De tracking do-not-track cookie is dus al een verouderd systeem voor dat het volledig is geimplementeerd. Een goede zaak. Ik snap je artikel daarom niet zo heel erg. Maar ja, ik ben politicoloog en informaticus, heen jurist.
21-09-2011, 14:08 door Anoniem
Ik zie HTTP_DNT niet erg succesvol worden: het is te simpel voor website eigenaren mensen die dit aan hebben staan (en waar ze dus niet/veel minder aan verbieden door te sturen naar een pagina met instructies hoe je het uit kan zetten.
21-09-2011, 14:51 door Anoniem
Door Anoniem: Ik zie HTTP_DNT niet erg succesvol worden: het is te simpel voor website eigenaren mensen die dit aan hebben staan (en waar ze dus niet/veel minder aan verbieden door te sturen naar een pagina met instructies hoe je het uit kan zetten.
Dat is dus onzin. Dat deel heeft Arnoud wel goed begrepen: beide oplossingen vereisen medewerking van website eigenaren. HTTP_DNT is alleen cookie loos. Als ze doen wat jij stelt zijn ze al erg vatbaar voor minimaal de OPTA en waarschijnlijk ook de rechter.
21-09-2011, 14:55 door Anoniem
Door Anoniem: Ik zie HTTP_DNT niet erg succesvol worden: het is te simpel voor website eigenaren mensen die dit aan hebben staan (en waar ze dus niet/veel minder aan verbieden door te sturen naar een pagina met instructies hoe je het uit kan zetten.

Dat kunnen ze ook doen met mensen die een do-not-track cookie hebben staan. Even een link naar een pagina waarin verteld wordt hoe ze die cookie kunnen verwijderen om gratis veel meer informatie uit internet te krijgen. En dan is het niet meer zo gemakkelijk om die cookie weer op je PC geplaatst te krijgen.

Die cookie is trouwens zeer zeker een track-cookie. Dat cookie vertelt in ieder geval de adverterende site dat je op youonlinechoices bent geweest. Dat is dus al tracking.

Peter
21-09-2011, 15:15 door Anoniem
Door Anoniem: Waar de tekst op Youronlinechoices zo is geschreven dat het niet verstandig is om tracking uit te zetten. De tekst is zeer suggestief en zegt dat het nodig is voor gratis internet. Helaas is deze methode een wassen neus, want ik leeg elke dag mijn browser history en cookies.
Je hebt gelijk. En in Nederland geldt dit voor een heel groot deel van de Internetgebruikers. (Firefox gebruikers in NL gebruiken 75% noscript en adblock en ongeveer 50% nog meer privacy plugins)
Dat is ook inderdaad een waangedachte: immers de websites die je bezoekt dienen een specifiek doel, waarbij je specifieke reclame kan verwachten die iets te maken hebben met dat specifieke doel. Dat is al eeuwen zo. In een adult magazine tref je echt geen reclames van Intertoys aan (op papier, niet met behavioral advertising, dan kan het inderdaad voorkomen!). In de Donald Duck echt geen reclame voor Jan Wandelaar.

Het probleem is dat omdat iets technisch mogelijk is men de consument wil laten geloven dat het in hun belang is advertenties te presenteren die bij jouw profiel passen. In de praktijk is dat statistisch onbenullig en weinig waardevol. Richt je op de doelgroep en probeer niet te zeuren: want dat is behavioral advertising, zelfs mijn moeder van 81 valt dat op en heeft daar een hekel aan.

Onder de voorgestelde nederlandse, europese en amerikaanse wetgeving zal jouw punt strafbaar worden gesteld.

Als adverteerders nu ook onder de naam van het medium dat je bezoekt werken, net zoals in een papieren tijdschrift, is er niets aan de hand en is iedereen weer tevreden.
21-09-2011, 15:25 door Anoniem
Door Anoniem: het is een technische nobrainer voor de ontwikkelaars en ik word echt niet getrackt als niet getracked, wat op zich dus al tracken is.
Men maakt geen gebruik van mijn fysieke eigendom. Een cookie doet dat wel. Dat is de essentie. Integriteit van persoonlijk eigendom, diefstal/misbruik van opslag ruimte.
Je hoeft ook geen verdere maatregelen te nemen. Overtreed je mijn wens dan kan wetgeving je wel eens erg koud op je dak vallen. Er is dus geen 100% technische oplossing, dat onderschrijf ik. Het hangt samen en gaat alleen werken met wet- en regelgeving.
21-09-2011, 15:59 door Arnoud Engelfriet
@Anoniem 12:06: De term 'technisch noodzakelijk' is door alfa's geformuleerd en betekent niet wat wij techneuten "technisch noodzakelijk" vinden.

Een winkelwagentje in een webshop mag je met cookies implementeren, ook al zijn er winkelwagenimplementaties mogelijk zonder cookies (bv. via state in de URL).

Dat er een ándere oplossing is, betekent dus niet dat een gekozen oplossing niet "technisch noodzakelijk" is.
21-09-2011, 16:46 door Anoniem
De technische noodzaak (in mijn beta betoog: als technisch bedrijfskundige en informaticus) heeft te maken met de (onzinnige) technische noodzaak een deel van mijn computer tegen mijn zin te laten gebruiken om data op te slaan ten behoeve van derden.

Dát wens ik te verbieden.
Dát is ook mede de kern van het internationaal gevoerde debat.
De wetgevers proberen nationaal en internationaal juist dát in woorden te vatten.
(dit als bestuurdeerder van wetMakers, als politicoloog)

HTTP_DNT voorkomt dat het zover komt. Je argument snijdt geen hout, alpha of beta.

Het zijn geen vergelijkbare entiteiten. In die zin appels en peren, ook juridisch.

Een winkelwagentje gebruikt cookies in principe LOKAAL of tenminste in een 1 op 1 relatie - dat is voldoende voor goed functioneren - tot het uitvoeren van de order waarna de verzamelde wensen van de klant worden verzonden. Geen bezwaar tegen, ik denk niemand.
Geheel ánder doel bovendien: er bestaat een directe relatie met de wens van de bezoeker.
Een gewenste monogame relatie tegenover ongewenste intimiteiten vergelijkbaar met cybergroepsex.

Dat is dus heel wat anders dan sessie informatie sturen naar derden (de datagraaiers).

Voor een goed functionerende website zijn geen tracking-cookies noodzakelijk.
Toon me één voorbeeld dat ik niet in technische zin kan weerleggen, doe je best!
Ze zijn kennelijk aantoonbaar waardeloos om geagregeerde data te verzamelen laat staan individuele data (vandaar de tijdelijke opkomst van supercookies, toch?) indien de gebruiker zich verzet.

Ik kan aantonen - maar je geeft zelf al een voorbeeld - dat de echt grote websites voor hun kernactiviteit heel andere (louter serverside) technieken gebruiken om de wensen van hun klant te bedienen en hem of haar te identificeren.

Je geeft al aan dat je de status van een lopende bestelling (statefull) ook anders kan doorgeven, maar dat is nu precies niet hoe een winkelwagen cookie qua werkt. Dat werkt lokaal, met lokaal script.
En dat bijhouden van de state gebeurt? Serverside. Geen bezwaar tegen.

Een tracking cookie is een tracking cookie.
Peter schrijft dat boven ook op.

Het gaat niet om een ándere oplossing, het gaat om het verbieden van een onnodige en ongewenste oplossing.
"Technische noodzaak" is zowel juridisch - meen ik geinformeerd - als technisch - weet ik zeker - eenvoudig te weerleggen (falcificeerbaarheid).
21-09-2011, 22:15 door Anoniem
Door Arnoud Engelfriet: @Anoniem 12:06: De term 'technisch noodzakelijk' is door alfa's geformuleerd en betekent niet wat wij techneuten "technisch noodzakelijk" vinden.

Een winkelwagentje in een webshop mag je met cookies implementeren, ook al zijn er winkelwagenimplementaties mogelijk zonder cookies (bv. via state in de URL).

Dat er een ándere oplossing is, betekent dus niet dat een gekozen oplossing niet "technisch noodzakelijk" is.

Dit is een legalisme. Ben je je daar van bewust?
21-09-2011, 23:46 door Anoniem
Oh, ja, meest komische en dodelijke argument nog vegeten: Mozilla, Microsoft, Apple ondersteunen HTTP_DNT. Google niet...
22-09-2011, 11:34 door Arnoud Engelfriet
Dit is een legalisme. Ben je je daar van bewust?
Eh ja, maar is dat een probleem? Zo is de wet en de toelichting daarop.
22-09-2011, 17:40 door Anoniem
Zullen we eens een echt openbare discussie houden?
Jij als jurist met verdomd veel kennis van informatica en ik als informaticus met verdomd veel kennis van wetgeving?
Beloning pak koekies..

Thaddy

p.s.: dat dacht ik al: uitleg en bedoeling.
22-09-2011, 17:52 door Anoniem
Door Arnoud Engelfriet:
Dit is een legalisme. Ben je je daar van bewust?
Eh ja, maar is dat een probleem? Zo is de wet en de toelichting daarop.
Het eeuwige probleem ;-) neem je mijn uitdaging aan? Bijvoorbeeld UvA?
23-09-2011, 00:00 door Anoniem
Youronlinechoices verteld heeft op de pagina: http://www.youronlinechoices.com/nl/interest-based-advertising de volgende zin staan:

"De informatie over jouw surfgedrag wordt opgeslagen in een zogenaamde ‘cookie ’, een klein tekstbestandje dat op je computer wordt opgeslagen."

Dit is overduidelijk een onzin bewering. Sites die de meest relevante informatie al niet naar waarheid weergeven verdienen geen vertrouwen.
23-09-2011, 09:15 door Arnoud Engelfriet
@Thaddy: Tuurlijk, kom maar op! Ik spreek op Govcert, als je een andere gelegenheid weet mag dat natuurlijk ook.

(Ik heb geen idee trouwens wat ik je heb aangedaan, je klinkt alsof ik je persoonlijk aangevallen heb.)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.