Privacy
- Wat niemand over je mag weten
Youtube Nocookie zet toch cookie
21-09-2020, 17:07 door Anoniem, 6 reacties
Om een website helemaal AVG-compliant te krijgen zonder vervelende cookie-popups was ik aan het zoeken hoe je een YouTube video kunt embedden in je website zonder dat cookies gezet worden.
Op https://www.webdelta.nl/kennisbank/avg-tip-youtube-filmpjes-embedden-zonder-cookie leek ik daar mijn antwoord op te hebben gevonden. Het zou neerkomen op het 'enable privacy enhanced mode' aanvinken, waardoor je vanaf youtube-nocookie.com je video's haalt.
In de helptekst bij die knop staat
When you turn on privacy-enhanced mode, YouTube won't store information about visitors on your website unless they play the video
.
Na wat testen zie ik toch in sommige browsers (bv. Safari niet, maar in Chrome wel) dat er toch een cookie (NID) wordt gezet op het nocookie domain van youtube. Wel pas na op play te klikken.
En als ik eerder elders cookies heb geaccepteerd, worden er meer cookies gezet (twijfelachtig, want op zich heb ik voor dat specifieke domein geen expliciete toestemming gegeven).
Weet iemand of dit een bug is, of zijn dat alleen cookies waar de AVG niets van vindt (functioneel)? Of heeft YouTube hier eigenlijk gewoon iets gemaakt waar je niet veel aan hebt in de praktijk (je bezoekers willen de video toch afspelen)?
Op https://www.webdelta.nl/kennisbank/avg-tip-youtube-filmpjes-embedden-zonder-cookie leek ik daar mijn antwoord op te hebben gevonden. Het zou neerkomen op het 'enable privacy enhanced mode' aanvinken, waardoor je vanaf youtube-nocookie.com je video's haalt.
In de helptekst bij die knop staat
When you turn on privacy-enhanced mode, YouTube won't store information about visitors on your website unless they play the video
Na wat testen zie ik toch in sommige browsers (bv. Safari niet, maar in Chrome wel) dat er toch een cookie (NID) wordt gezet op het nocookie domain van youtube. Wel pas na op play te klikken.
En als ik eerder elders cookies heb geaccepteerd, worden er meer cookies gezet (twijfelachtig, want op zich heb ik voor dat specifieke domein geen expliciete toestemming gegeven).
Weet iemand of dit een bug is, of zijn dat alleen cookies waar de AVG niets van vindt (functioneel)? Of heeft YouTube hier eigenlijk gewoon iets gemaakt waar je niet veel aan hebt in de praktijk (je bezoekers willen de video toch afspelen)?
Reacties (6)
Ik kan dit niet reproduceren in Tor browser. Je schrijft dat het met name bij Chrome gebeurt en niet bij Safari. Het kan ook zijn dat Chrome standaard (voor safebrowser of Chrome sync bijvoorbeeld) al verbinding maakt met Google diensten en op die manier de cookies binnen komen. Tenzij je een HTTP Archive kunt produceren waarin blijkt dat de Google geplaatst worden tijdens het bezoeken van youtube-nocookie.com ben ik zelf nog niet overtuigd.
Overigens vallen cookies onder de telecomwet, niet (alleen) onder de AVG. Als het gaat om persoonlijke cookies valt het onder beide. Voor het plaatsen van de NID cookie is expliciete toestemming nodig omdat deze gebruikt wordt voor advertentie doeleinden (zie cookie beleid Google). Het is dus geen strikt noodzakelijk cookie. Google heeft er expliciet voor gekozen om deze functioneel noodzakelijk cookie te koppelen aan advertenties zodat het er wat makkelijker doorheen te drukken is bij iedereen die Youtube embed gebruikt e.d. Elke website die Youtube/Google/reCAPTCHA inlaad zonder toestemming te vragen is in overtreding van de telecomwet (en Google's eigen “user consent policy”, die stelt dat een website eigenaar verantwoordelijk is voor het vragen van toestemming). En let wel, de website eigenaar is in overtreding, niet Google.
Maar goed, dat is als youtube-nocookie.com inderdaad de NID cookie plaatst. En dat heb ik zelf nog niet gezien.
Overigens vallen cookies onder de telecomwet, niet (alleen) onder de AVG. Als het gaat om persoonlijke cookies valt het onder beide. Voor het plaatsen van de NID cookie is expliciete toestemming nodig omdat deze gebruikt wordt voor advertentie doeleinden (zie cookie beleid Google). Het is dus geen strikt noodzakelijk cookie. Google heeft er expliciet voor gekozen om deze functioneel noodzakelijk cookie te koppelen aan advertenties zodat het er wat makkelijker doorheen te drukken is bij iedereen die Youtube embed gebruikt e.d. Elke website die Youtube/Google/reCAPTCHA inlaad zonder toestemming te vragen is in overtreding van de telecomwet (en Google's eigen “user consent policy”, die stelt dat een website eigenaar verantwoordelijk is voor het vragen van toestemming). En let wel, de website eigenaar is in overtreding, niet Google.
Maar goed, dat is als youtube-nocookie.com inderdaad de NID cookie plaatst. En dat heb ik zelf nog niet gezien.
Uit de helptekst: "YouTube won't store information about visitors on your website unless they play the video"
Jouw opmerking: "dat er toch een cookie (NID) wordt gezet op het nocookie domain van youtube. Wel pas na op play te klikken."
Klopt toch? Cookies worden gebruikt om informatie op te slaan, precies wat de helptekst zegt en wat jij ervaart.
Jouw opmerking: "dat er toch een cookie (NID) wordt gezet op het nocookie domain van youtube. Wel pas na op play te klikken."
Klopt toch? Cookies worden gebruikt om informatie op te slaan, precies wat de helptekst zegt en wat jij ervaart.
Mijn Firefox ESR weigert cookies van google.com en youtube.com. De cookie nags moet je wel onderdrukken met Ublock Origin en "uBlock filters – Annoyances". Die nags krijg je ook te zien als je wel cookies toelaat maar ze regelmatig wist.
Gebruikers hebben een redelijke verwachting dat nocookies betekent dat er geen cookies worden geplaatst. youtube-nocookie.com is misleidend als er toch cookies worden gebruikt.
Gebruikers hebben een redelijke verwachting dat nocookies betekent dat er geen cookies worden geplaatst. youtube-nocookie.com is misleidend als er toch cookies worden gebruikt.
(Een lichte rant, want volgens mij snapt niemand dat als ze Google/Youtube embeds gebruiken ze Google helpen bij het omzeilen van het vragen om toestemming voor het plaatsen van (persoonlijke) advertenties cookies. En dan met name al die website die CAPTCHA's gebruiken.)
Het mag duidelijk zijn dat cookies “to help customize ads” niet als “strict noodzakelijk” functionele cookies gezien mogen worden en dat er geen beroep gedaan kan worden op de uitzondering voor analytische cookies met geringe privacy inbreuk. Google zelf weet dat ook, daarom schrijven ze in hun User Consent Policy dat een website die Google diensten gebruikt verplicht is om zelf toestemming te vragen voor het plaatsen van (persoonlijke) advertentie cookies.
De enige vraag die je dus nog kan stellen, is of er toestemming nodig is voor het plaatsen van niet-persoonlijke advertentie cookies. De vraag is of dat soort cookies als “strikt noodzakelijk” voor het leveren van een dienst gezien moeten worden. (Als dat het geval was, had Google dat wel geschreven.) En zelfs als je al van mening bent dat dat het geval is, is de vraag of diezelfde cookies dan door een andere website wel gebruikt mogen worden voor persoonlijke advertenties. Want dat is wat er gebeurt als met die ene NID cookie, tenzij je iets als “first party isolate” gebruikt.
https://policies.google.com/technologies/types?hl=en
Google uses cookies like NID and SID to help customize ads on Google properties, like Google Search. For example, we use such cookies to remember your most recent searches, your previous interactions with an advertiser’s ads or search results, and your visits to an advertiser’s website. This helps us to show you customized ads on Google.
Google uses cookies like NID and SID to help customize ads on Google properties, like Google Search. For example, we use such cookies to remember your most recent searches, your previous interactions with an advertiser’s ads or search results, and your visits to an advertiser’s website. This helps us to show you customized ads on Google.
https://wetten.overheid.nl/BWBR0009950/2020-07-11
1 Onverminderd de Algemene verordening gegevensbescherming is het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen toegestaan op voorwaarde dat de betrokken gebruiker:
a. is voorzien van duidelijke en volledige informatie overeenkomstig de Algemene verordening gegevensbescherming, in ieder geval over de doeleinden waarvoor deze informatie wordt gebruikt, en
b. daarvoor toestemming heeft verleend.
2 De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het geval op een andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk informatie wordt opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen informatie.
3 Het bepaalde in het eerste lid is niet van toepassing indien het de opslag of toegang betreft:
a. met als uitsluitend doel de communicatie over een elektronisch communicatienetwerk uit te voeren,
b. die strikt noodzakelijk is om de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren of – mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker – om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij.
1 Onverminderd de Algemene verordening gegevensbescherming is het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen toegestaan op voorwaarde dat de betrokken gebruiker:
a. is voorzien van duidelijke en volledige informatie overeenkomstig de Algemene verordening gegevensbescherming, in ieder geval over de doeleinden waarvoor deze informatie wordt gebruikt, en
b. daarvoor toestemming heeft verleend.
2 De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het geval op een andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk informatie wordt opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen informatie.
3 Het bepaalde in het eerste lid is niet van toepassing indien het de opslag of toegang betreft:
a. met als uitsluitend doel de communicatie over een elektronisch communicatienetwerk uit te voeren,
b. die strikt noodzakelijk is om de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren of – mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker – om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij.
Het mag duidelijk zijn dat cookies “to help customize ads” niet als “strict noodzakelijk” functionele cookies gezien mogen worden en dat er geen beroep gedaan kan worden op de uitzondering voor analytische cookies met geringe privacy inbreuk. Google zelf weet dat ook, daarom schrijven ze in hun User Consent Policy dat een website die Google diensten gebruikt verplicht is om zelf toestemming te vragen voor het plaatsen van (persoonlijke) advertentie cookies.
https://www.google.com/about/company/user-consent-policy/
If your agreement with Google incorporates this policy, or you otherwise use a Google product that incorporates this policy, you must ensure that certain disclosures are given to, and consents obtained from, end users in the European Economic Area along with the UK. If you fail to comply with this policy, we may limit or suspend your use of the Google product and/or terminate your agreement.
For Google products used on any site, app or other property that is under your control, or that of your affiliate or your client, the following duties apply for end users in the European Economic Area along with the UK.
You must obtain end users’ legally valid consent to:
the use of cookies or other local storage where legally required; and
the collection, sharing, and use of personal data for personalization of ads.
When seeking consent you must:
retain records of consent given by end users; and
provide end users with clear instructions for revocation of consent.
You must clearly identify each party that may collect, receive, or use end users’ personal data as a consequence of your use of a Google product. You must also provide end users with prominent and easily accessible information about that party’s use of end users’ personal data.
If your agreement with Google incorporates this policy, or you otherwise use a Google product that incorporates this policy, you must ensure that certain disclosures are given to, and consents obtained from, end users in the European Economic Area along with the UK. If you fail to comply with this policy, we may limit or suspend your use of the Google product and/or terminate your agreement.
For Google products used on any site, app or other property that is under your control, or that of your affiliate or your client, the following duties apply for end users in the European Economic Area along with the UK.
You must obtain end users’ legally valid consent to:
the use of cookies or other local storage where legally required; and
the collection, sharing, and use of personal data for personalization of ads.
When seeking consent you must:
retain records of consent given by end users; and
provide end users with clear instructions for revocation of consent.
You must clearly identify each party that may collect, receive, or use end users’ personal data as a consequence of your use of a Google product. You must also provide end users with prominent and easily accessible information about that party’s use of end users’ personal data.
https://www.google.com/about/company/user-consent-policy-help/
What if I don’t want to have end users’ personal data used for personalization of ads?
We have launched new functionality that allows you to disable personalized ads. Please note that the non-personalized ads that we serve on websites or apps still require cookies or mobile identifiers to operate. You are required to obtain consent for the use of cookies or mobile identifiers, where legally required.
What if I don’t want to have end users’ personal data used for personalization of ads?
We have launched new functionality that allows you to disable personalized ads. Please note that the non-personalized ads that we serve on websites or apps still require cookies or mobile identifiers to operate. You are required to obtain consent for the use of cookies or mobile identifiers, where legally required.
De enige vraag die je dus nog kan stellen, is of er toestemming nodig is voor het plaatsen van niet-persoonlijke advertentie cookies. De vraag is of dat soort cookies als “strikt noodzakelijk” voor het leveren van een dienst gezien moeten worden. (Als dat het geval was, had Google dat wel geschreven.) En zelfs als je al van mening bent dat dat het geval is, is de vraag of diezelfde cookies dan door een andere website wel gebruikt mogen worden voor persoonlijke advertenties. Want dat is wat er gebeurt als met die ene NID cookie, tenzij je iets als “first party isolate” gebruikt.
Ik zie nu `CONSENT` cookie met waarde `PENDING+196` voor domein `.youtube-nocookie.com` op bijv. https://www.youtube-nocookie.com/embed/QL4bz3QXWEo met expires `2038-01-01T00:00:00.920Z`
Er is iets verandert, maar ziet er toch uit als een blijvend cookie :-(
Er is iets verandert, maar ziet er toch uit als een blijvend cookie :-(
Door Anoniem: Om een website helemaal AVG-compliant te krijgen zonder vervelende cookie-popups was ik aan het zoeken hoe je een YouTube video kunt embedden in je website zonder dat cookies gezet worden.
Als het eigen of door jezelf geproduceerd audiovisueel materiaal betreft, dan kun je ook overwegen om dat op PeerTube (joinpeertube.org), Odysee (lbry.com) of Vimeo.com te plaatsen. Er zijn tegenwoordig betere AVG-compliant alternatieven voor YouTube. Neem het serieus in overweging en er gaat een wereld voor je open.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
