image

Juridische vraag: is detectie van adblockers illegaal?

woensdag 27 april 2016, 09:50 door Arnoud Engelfriet, 7 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Ik las dat het illegaal is om adblockers te detecteren. Klopt dat?

Antwoord: het in een website opnemen van scripts die adblockers detecteren, zou inderdaad illegaal zijn. De Europese Commissie had dat gesteld in een brief aan privacyactivist Alexander Hanff. Je mag immers geen informatie opslaan op mensen hun computers zonder toestemming, en een adblockdetectiescript is 'informatie' en mag er dus niet zijn.

We noemen het altijd de cookiewet, maar de wet is breder: ieder opslaan en uitlezen van informatie van randapparatuur van eindgebruikers is alleen toegestaan met hun toestemming, nadat je ze uitgebreid hebt geïnformeerd over wat je gaat doen en waarom. Vandaar dus de cookiepopups, maar ook bij het installeren of updaten van software moet er een toestemmingsvraag komen met uitleg wat er allemaal gaat gebeuren.

De EC neemt nu het standpunt in dat ook een script op een webpagina hieronder valt. Ergens logisch, want ook dat is informatie en die wordt (in de browsercache) op de randapparatuur van bezoekers van die webpagina opgeslagen. Maar als je die harde lijn neemt, dan moet elke webpagina voor elke pixel toestemming vragen, en dat kan toch niet waar zijn?

Nou ja, niet helemaal want de wet kent een uitzondering. Als het noodzakelijk is voor een goede levering van de dienst, dan mag zonder uitleg en zonder toestemming die informatie worden gezet. De CSS-stylesheets in een gevraagde webpagina behoeven dus geen toestemming, die zijn gewoon nodig om die pagina in de gewenste vorm te leveren. Bij gewone afbeeldingen zie ik dat ook nog wel, maar je kunt vraagtekens stellen bij de advertenties in een webpagina. Zijn die technisch gezien ‘nodig’ net zoals de CSS bestanden nodig zijn?

Bij invoering van de cookiewet was altijd het argument, advertenties zijn nodig anders is de dienst niet meer te financieren. Maar dat telt niet onder de wet, het gaat om functioneel/technisch nodig en niet op de lange termijn eigenlijk best wel belangrijk. Dus eigenlijk is het al discutabel of je zonder toestemming überhaupt advertentiebanners in een webpagina mag stoppen. We doen maar alsof dat mag, anders worden we écht gek van de toestemmingspopups, maar als de discussie daar zit dan zal een adblockerscript al helemaal een probleem zijn om te rechtvaardigen als technisch noodzakelijk.

Een escape zou nog kunnen zijn dat een adblockdetectie ook op de server kan misschien. Je kijkt dan simpelweg of de advertentiebanner wordt opgevraagd. Maar dat is natuurlijk simpel te omzeilen; als adblocker haal je dan de afbeeldingen op en die gooi je vervolgens weg.

Wel hebben we in Nederland natuurlijk nog een uitzondering op de cookiewet: informatie die "geen of slechts geringe" inbreuk op de privacy maakt en bedoeld is om de effectiviteit van een dienst te meten, mag zonder toestemming worden opgeslagen. Je zou volgens mij een adblockerscript daar prima onder kunnen rekenen. Dus dan mag in Nederland een adblockdetectiescript wél. (En inderdaad, die uitzondering is tegen de Europese regels.)

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (7)
27-04-2016, 14:06 door Anoniem
In 2014 heeft het Europese Hof van Justitie besloten dat het cachemechanisme van browsers geen schending van auteursrecht vormt. Hier gaat het over een andere wet, natuurlijk, maar ik zou het nogal inconsequent vinden als in het ene geval de opslag in de cache wordt gezien als een stap in een automatisch, door de browser uitgevoerd mechanisme dat dient om webpagina's goed en soepel te bekijken en in het andere geval als een bewuste actie van een van de betrokkenen om iets op een randapparaat op te slaan.

En is het gebruik van een toevallig al in een browser-cache opgeslagen script het uitlezen van informatie van een randapparaat? De website kent de inhoud van het script al. Welke informatie vergaart het als die inhoud door de browser uit een cache in plaats van uit een verse download wordt gehaald? Hooguit dat het er al staat, maar dat geldt ook voor de CSS, de afbeeldingen en andere elementen die noodzakelijk zijn om de pagina goed te tonen.

Is wat het script doet, namelijk uitvinden of er een adblocker is geïnstalleerd of niet, lijkt mij veel relevanter, en dat wordt gedaan ongeacht de vraag of het script in een cache stond of niet. Is de functie van dat script zelf geen uitlezen van informatie in de zin van de cookiewet? Dáár wringt toch de privacyschoen? Of loopt dat stuk omdat het niet aan een randapparaat gekoppeld is? Dan kan die wet nog verbeterd worden.
27-04-2016, 18:14 door Anoniem
Je zult de eerste niet zijn die constateert dat rechtspraak en consequent redeneren elkaars tegenpool zijn. Rechtspraak is daar ook niet voor bedoeld. Het enige doel van rechtspraak is te zorgen dat de platonische grotbewoners zich niet bevrijden uit hun ketens. Opdat de weinigen die de dienst uitmaken hun gang kunnen blijven gaan.
Weer een illusie armer wellicht?
27-04-2016, 20:48 door Anoniem
De browser stuurt toch standaard allemaal gegevens over zichzelf naar de server op, vaak inclusief welke addons ze draait. De browser kan zelf bepalen dat bijvoorbeeld een javascript niet geladen wordt en dus een alternatief getoond moet worden. En de server kan het toch gewoon merken als niet alle bestanden geladen worden. Ik snap dus niet hoe de detectie van adblockers een aanvullende inbreuk op de privacy vormt. Zelf krijg ik ook geen extra informatie over de bezoeker.

Op mijn website heb ik ook een plaatje carrousel. Als die niet geladen word dan worden de plaatjes via html getoond. Dat is technisch gezien precies hetzelfde. Ook hier kom ik zelf helemaal niks te weten over de gebruiker, dus kan er geen privacy geschonden worden, maar word het toch gedecteerd.

Nu stel je dat niet noodzakelijke scripts niet op de computer gedraaid mogen worden zonder toestemming. Tja, maar waarom eigenlijk? Er is geen echte schade want het is weer weg als iemand je site verlaat. Er is geen inbreuk in de privacy. De noodzaak hangt af van je perspectief, aangezien, zoals je al aangaf, je content wil exploiteren en dat soms niet mogelijk is als iemand selectief inhoud laad. De website eigenaar heeft dus wel schade aangezien hij zijn rechten niet goed kan exploiteren.

En zoals je al aangaf is de noodzaak van heel veel dingen op het web volgens die lijn discutabel. Ik bedoel, captcha's zijn ook alleen maar hinderlijk voor de gebruiker en niet noodzakelijk. Cookiemelding zijn ook niet echt noodzakelijk aangezien iemand in zijn browser settings al aangeeft of hij cookies wilt. En drm op filmpjes is ook alleen maar lastig. Https is ook een vervelende geforceerde workload. Eigenlijk is het laden van de hele website onnodig als ik het via een minimalistische text scraper kan lezen. Maar je moet wel je content aanleveren.

Wat mij betreft kunnen ze mooi de pot op. De EU mag haar hele cookiewet in haar hol steken.
28-04-2016, 11:56 door spatieman
ik vind het wel grappig.
ze zeuren over ,je blokkeert onze advertenties voor inkomsten,.
maar aan de andere kant ,ze willen wel ALLES weten van je...
28-04-2016, 12:29 door superglitched - Bijgewerkt: 28-04-2016, 12:32
Destijds heb ik zelf een hele brief gestuurd naar OPTA over het feit dat een verzoek header door de browser zelf wordt gestuurd van iemand die de website bezoekt. Volgens de wet zou dit gegevens verzamelen heten van de gebruiker. Wet en techniek sluiten hier totaal niet op elkaar aan. Zo nog eens 5 punten die totaal niet kloppend te maken zijn, omdat de wet in iets voorziet wat in de techniek onmogelijk is.

Mijn conclusie was en is nog steeds, de hele cookiewet is onmogelijk in de praktijk uit te voeren. Denk bijv. aan de bewijslast van dat iemand toestemming geeft aan een extern domein (zoals Google Analytics), waar je zelf totaal geen controle over hebt. Overigens mocht ik de antwoorden (die kant nog wal sloegen; want van een niet-technisch persoon) niet publiceren. Dat geeft mijn inziens al aan dat die mensen niet weten wat ze doen. Bovendien moeite hebben met hun eigen falen erkennen.

De overheid moet gewoon van het internet af blijven, dan blijft alles goed gaan.
29-04-2016, 14:12 door Anoniem
Gezwets allemaal.

Dat adblockdetectie wordt lokaal in de browser gedraait, zolang dat geen data terug verstuurd of in een cookie zet mag het een melding op je scherm zetten voor de gebruiker.
27-05-2016, 11:53 door Anoniem
Voor de hobbyisten onder ons
http://tomba.tweakblogs.net/blog/9171/ads-blocken-met-je-eigen-dns-server.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.