Op de valreep maakt Teeven (VVD) een uitglijder

Nieuwe regels voor cookies: wenselijk of niet?

De kunst van de netwerkrevolutie: FTW!

Afgelopen donderdag deden we mee aan een debat over de nieuwe regels voor cookies. Deze regels, die komen uit Europa en binnenkort in Nederland worden geïmplementeerd, kunnen de privacy van gebruikers verbeteren, maar kunnen ook behoorlijk onhandig zijn, voor websitebeheerders, adverteerders en mogelijk ook voor gebruikers. Het Ministerie van Economische Zaken heeft haar standpunt nog niet bepaald, dus aan ons – en aan jullie – de vraag: wat is verstandig beleid?

Wat is er aan de hand?

De Europese regels bepalen, kort gezegd, dat een derde geen informatie op jouw computer mag plaatsen en lezen zonder jouw toestemming. Het installeren van bijvoorbeeld spyware, maar ook het plaatsen van een cookie, mag dus niet zonder toestemming van de gebruiker. Er is een uitzondering voor de opslag of toegang die strikt noodzakelijk is om een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst te leveren. (Terzijde: het is dus geen “cookieverbod”, zoals het door sommigen wordt genoemd: het is eerder “computerbescherming”).

Bijna alle websites gebruiken cookies: webwinkels, webmaildiensten, zoekmachines, advertentienetwerken, etc. Veel internetgebruikers zijn zich daarvan niet bewust. De Europese regels zijn erop gericht om dat te veranderen, zodat gebruikers zelf kunnen bepalen of cookies worden geïnstalleerd op hun computer.

Hoewel zo een regel op het eerste gezicht wenselijk lijkt, kan die ook onhandig zijn – voor websitebeheerders en voor gebruikers. Stel dat bij een dienst als Gmail of een website als nu.nl steeds wordt gevraagd of je akkoord gaat met het plaatsen van een cookie. Zo kan privacy-bescherming mogelijk zelfs averechts uitpakken: een haastige gebruiker zal te veel verzoeken juist als hinderlijk ervaren en ongezien goedkeuren.

De gewenste oplossing

Toch zijn die zorgen onzes inziens overdreven. De regels maken immers een uitzondering voor opslag en toegang die strikt noodzakelijk is om een gevraagde dienst te leveren. Het is goed verdedigbaar dat diensten als webmail en webwinkels cookies kunnen gebruiken zonder toestemming te vragen, want daarvoor is dit gebruik strikt noodzakelijk (alle sessie-gegevens in de URL verwerken is onpraktisch en minder veilig). Adverteerders die jouw surfgedrag willen analyseren kunnen weer niet profiteren van deze uitzondering, want deze “diensten” zijn niet uitdrukkelijk gevraagd.

Voor het gebruik van “ongevraagde”-cookies is dus toestemming nodig. Dat kan nog steeds onhandig zijn, maar het zou niet een reden moeten zijn om de regel af te schaffen, maar eerder een aansporing moeten zijn om het proces van toestemming geven makkelijker te maken.

Een mogelijke oplossing zou kunnen zijn dat browserfabrikanten in de rechterhoek van het venster laten zien dát een cookie wordt geplaatst (toevoeging 7/6/10: daarbij kan ook worden duidelijk gemaakt voor welke doeleinden die cookies gebruikt gaan worden). Voor “whitelisted” cookies (bijgehouden door gebruikers of niet-commerciële initiatieven) wordt geen toestemming gevraagd (toevoeging 7/6/10: de toestemming wordt “geautomatiseerd” gegeven). Voor de andere cookies zal de gebruiker dan wel toestemming moeten geven. De richtlijn (PDF) geeft een aanzet voor zo een oplossing in overweging 66, waar wordt gesuggereerd dat “de toe­stemming van de gebruiker met verwerking [kan] worden uitge­drukt door gebruik te maken van de desbetreffende instellingen van een browser of een andere toepassing”.

Wat vinden jullie?

Dat is onze aanzet voor een oplossing, maar we zijn benieuwd: wat vinden jullie? Laat je suggesties weten in de comments. Het Ministerie van Economische Zaken zal deze blog ongetwijfeld lezen, dus zo lever je meteen input op de nieuwe regels.

Deze afbeelding is gebaseerd op “Chocolate Chip Oatmeal Cookies” van Lara604, uitgebracht onder een Creative Commons Attribution 2.0 Generic licentie.

  1. Joris von Loghausen

    Eens met jullie oplossing; als er iets moet veranderen moet dat opgelegd worden aan het dozijn browserfabrikanten, niet aan de miljarden websites die cookies aanbieden.

  2. Sander Voerman

    Bizar dat een usability probleem opgelost dreigt te gaan worden met juridische maatregelen. Op dit moment staan veel (alle?) browsers al toe om cookies te weigeren of slechts beperkt op te slaan. Blijkbaar leeft de wens om dit per bezochte website in te kunnen stellen.
    Deze wens moet mijns inziens inderdaad door de browsermakers vervuld worden.

    Regelgeving in op dit gebied zal altijd achter lopen op de ontwikkelingen in de markt en zelfs innovatie kunnen blokkeren of in de weg staan. Zolang er meerdere browsermakers zijn en de consument werkelijke keuze heeft zal bij de makers genoeg competitie bestaan om de gebruikers zoveel mogelijk tegemoet te komen.

    Geen onnodige regels dus. Deze zijn niet te handhaven, hinderlijk voor innovatie en brengt niet het gewenste resultaat. Een rondje bellen met browsermakers lijkt me veel zinvoller.

  3. Rick

    Wie nu een gemiddelde commerciele website bezoekt krijgt een spervuur van cookies over zich heen.

    Zelfs al wordt het selectief weigeren van cookies gebruikersvriendelijker door browsers afgehandeld, dan nog is het teveel, en zijn de cookies te vaag beschreven. Je krijgt dan het Windows-user syndroom: er wordt of overal blind “ok” op geklikt, of er wordt van de optie gebruik gemaakt om alles automatisch te accepteren.

    Dit is geen toeval: er wordt met opzet gebruik gemaakt van tientallen cookies waar vaak slechts eentje (met gecombineerde data) nodig is, om het selectief weigeren te ontmoedigen.

    Browsermakers kunnen dit probleem niet oplossen. Er moet a) beweging komen bij de sitemakers om een einde te maken aan het over-de-top spervuur aan cookeis, en b) de aard van de cookies is niet herkenbaar voor browsers, dus die kunnnen de gebruiker ook niet adviseren en/of het selectief weigeren finetunen, dus daar moeten afspraken en standaarden voor komen.

    Aangezien de industrie al jaren weigert dit issue serieus te nemen, moet er misschien maar eens regelgeving. Zelfs de dreiging van regelgeving heeft tot 0,0 beweging geleid, dus ergens houdt het op. Het is een kwestie geworden van pure onwil.

  4. Tijs Teulings

    Ik ben het met Sander eens dat het ondoenlijk is om in wetgeving regels op te nemen die specifiek voor een bepaalde technologie zijn. Op het moment dat die wet er is is hij toch al weer achterhaald.

    Je kan beter in de wet vastleggen welke informatie wel en niet zonder medeweten van de gebruiker kan worden opgeslagen dan past de technologie zich daar wel aan aan. Eerlijk gezegd lijken cookies me een non-issue en de mensen die zich daar erg druk over maken zijn helaas vaak degene met de minste technologische kennis dei simpelweg niet snappen wat er wel en niet kan met cookies en daar schijnbaar wat ongemakkelijk van worden.

    Het zou wel fijn zijn om helder te hebben of site bezoek voor -verschillende- sites centraal mag worden opgeslagen zoals veel adverteerders nu doen met flash cookies geplaatst via advertenties. Het zogenaamde profiling. flash cookies verbieden is ook daar geen oplossing maar het op grote schaal opslaan van bezoekersgegevens over meerdere websites door één enkele aanbieder is wellicht wel aan te pakken. Misschien zelfs al via bestaande wetgeving.

  5. Mathieu

    Ik kan me vergissen, maar het plaatsen van een cookie gaat (altijd?) op domeinbasis. Dus een website kan alleen cookies plaatsen en lezen van haar eigen domein. M.a.w.: Het is niet mogelijk om vanuit http://www.domein1.nl uit te lezen of jij logingegevens hebt opgeslagen van http://www.domein2.nl.

    Daarnaast zijn cookies plaintext waar (in de meeste gevallen/altijd?) informatie staat waar de gebruiker mee geholpen wordt:
    Denk aan designvoorkeuren, logingegevens, etc.

    Het feit dat de EU zich druk maakt om het privacy gedeelte is prima. Maar leg dan de mogelijkheid en kennis bij de gebruiker en niet bij de webmasters of browsermakers. Het is echt heel simpel om met “2 klikken” te zien wat er wel en niet op je computer is opgeslagen en met “1 klik” kan je alles verwijderen.

    De zogenaamde gebruikers moeten ‘slimmer’ worden en niet ‘gemakzuchtelijker’ (lees: je hebt er veel meer aan om te weten [wat] een cookie is dan er iets tegen te doen zonder er eigenlijk kennis van te hebben.)

    Wat me ook tegenspreekt is dat “cookies” en “spyware” in dezelfde context wordt geplaatst.

  6. Debora

    Wat ik mis is het beoogde nut. Vergeet niet dat een groot deel van de computergebruikers nog steeds (semi-)digibeet is. De meeste mensen die ik ken hebben geen flauw idee wat cookies zijn of doen. Die kunnen daar geen geïnformeerde beslissing over nemen en zullen (zoals Rick ook al stelde) blind op Ja klikken. Wetgeving over cookies verandert voor de meeste computergebruikers dan ook niets aan de huidige situatie. Tenzij we simpelweg alle cookies die niet strikt noodzakelijk zijn gaan verbieden.

  7. Tweets die vermelden Nieuwe regels voor cookies: wenselijk of niet? – Bits of Freedom -- Topsy.com

    […] Dit blogartikel was vermeld op Twitter door Wouter Dammers, Bits of Freedom. Bits of Freedom heeft gezegd: Bits of Freedom: "Nieuwe regels voor cookies: wenselijk of niet?": http://is.gd/cFOFy […]

  8. Jan van de Laar

    Wat zou ik als bouwer van een website doen als cookies niet meer gebruikt mogen worden? Het is simpel. Dan sla ik alle informatie wel op in een database! Op basis van het IP-adres. Is dat een wenselijke ontwikkeling? Ik denk van niet. Het zou inderdaad beter zijn als in het venster zichtbaar is wanneer een cookie wordt geplaatst.

  9. Anarchiel

    Ik vind het hele verhaal omtrent deze zogenaamde computerbeveiliging slechts getuigen van het zoveelste staaltje overheidsbemoeizucht en vertoon van onkunde. Cookies zijn het probleem niet, mensen die niet weten waar ze mee bezig zijn, die zijn het echte probleem.

    Ten eerste (zoals reeds gezegd is): cookies worden lokaal op je computer opgeslagen en zijn alleen benaderbaar voor websites die dezelfde (sub)domeinnaam hebben als die in het cookie vermeld staat. Wil iemand er daarom kwaadaardig gebruik van maken, dan zal diegene toegang (fysiek of via bijvoorbeeld een hack) tot de computer van de gebruiker moeten hebben om die info uit te lezen. Dat de privacy van die gebruiker in zo’n geval sowieso al op de tocht staat, lijkt me vrij duidelijk.

    Ten tweede: toen cookies net op internet gebruikt werden, waren sommige programmeurs zo slordig om gebruikersnaam en wachtwoord in die cookies op te slaan, waarmee dan elke klik door een website gevalideerd werd. Dat waren nou niet bepaald de meest nette oplossingen en daarom zie je die tegenwoordig (bijna…) niet meer. Nu worden cookies vooral gebruikt voor het opslaan van een zogenaamde unieke sessie identifier, die meestal alleen gebruikt wordt wanneer een bezoeker van een website inlogt. Anders zou je alsnog vervallen in bij elke klik je gebruikersnaam/wachtwoord mee moeten sturen en dat is natuurlijk totaal onwenselijk en overbodig.

    Deze unieke sessie identifier is niets meer dan een lange willekeurige code en heeft niets met het vrijgeven van privacy of wat dan ook te maken. Bijna alle privégegevens (indien verstrekt) van gebruikers worden op de webserver opgeslagen en daarom staat er bijna niets – op die sessie identifier na – op de computer van de gebruiker. Ik zie daarom niet in wat hier een probleem aan zou moeten zijn aangezien cookies in dit geval dus geen verstrekkende negatieve gevolgen kunnen hebben. Volgens mij zijn er naast dit type cookies nog twee twee andere typen: ten eerste cookies om dingen als designwensen op te slaan (zoals ook reeds eerder in de comments gemeld werd). Ook hierbij kan ik mij niet voorstellen dat het opslaan van deze gegevens een levensbedreigend gevaar voor de veiligheid/privacy van de gebruiker oplevert.

    Het andere type cookie betreft de zogenaamde tracking cookies en daar ben ik zelf absoluut geen voorstander van, aangezien deze cookies daadwerkelijk gebruikt worden om elke stap van een gebruiker binnen een website (of juist meerdere sites) te kunnen traceren/analyseren. Ik kan me voorstellen dat mensen deze implementatie van cookies zouden willen verbieden maar daar heb ik dan weer twee bezwaren tegen. Het eerste bezwaar is dat je daarmee volgens mij direct een hele grote markt (er zijn nogal wat bedrijven die leven op dit soort tracking-diensten) om zeep helpt en mijn tweede argument is wat meer emotioneel van aard: waar bemoeit die overheid zich in vredesnaam mee en waarom behandelt zij haar burgers stelselmatig als zwakzinnig terwijl zij zelf juist telkens weer bewijst geen enkel inzicht in de hele ICT-sector te hebben?

    Educatie is daarom wat mij betreft de enige oplossing. Leer mensen gewoon hoe internet werkt en wat de gevaren van het online burgerschap kunnen zijn. Leer mensen dat er hele eenvoudige hulpmiddelen in de vorm van bijvoorbeeld add-ons te vinden zijn die direct allerlei tracking-tools voor je blokkeren. Geef mensen kennis in plaats van het zoveelste belerende vingertje. Houd je als overheid die zich op ICT-vlak klaarblijkelijk nog ergens halverwege de jaren negentig van vorige eeuw bevindt nou eens op de achtergrond en laat de verantwoordelijkheid bij de mensen zelf liggen.

  10. Layana

    Ik ben het met de vorige spreker eens 😉

    Mensen weten niet wat cookies zijn, denken daarbij aan de koekjestrommel of aan Sesamstraat.

    Wat zou helpen is dat browsers standaard de waarschuwing voor cookies hebben aanstaan. En dat, als mijn moeder van 74 bijvoorbeeld, daar op klikt of met de muis naar toe gaat – in normale mensentaal staat uitgelegd wat zo’n cookie betekent en de verschillende opties om er mee om te gaan. Zodat iedereen zelf bewust beslist. Learning by doing.

    Alsjeblieft niet weer een betuttelende maatregel waardoor ‘de burger’ zonder medeweten ‘beschermd’ wordt en dus lekker onwetend blijft.

  11. Tristan

    Hoewel ik het oneens ben met het verbieden van cookies ben ik wel van mening dat de meer onwetende internetgebruiker beschermd moet worden. De meest logische oplossing lijkt mij door de browser, er zou een lijst van cookies die schadelijk moeten zijn. Met deze lijst moet/kan dan vervolgens gebruikt worden door de browserfabrikanten om deze cookies te blokkeren. Maar dan is de vraag hoe die lijst word bijgehouden en door wie, maar de nog grotere vraag is of Microsoft hier in mee zou gaan of niet.

  12. Mathieu

    @Tristan
    Met cookies kan je erg weinig/geen schade krijgen op de computer. De zogenaamde ‘slechte’ websites worden al door sommige browsers tegengehouden of door grote bedrijven (volgens mij ook Google). Zie: stopbadware.org. Hier hebben wij de overheid helemaal niet voor nodig (!).

    Mensen moeten gewoon bewuster worden gemaakt hoe en wat internet werkt.

  13. Randy Simons

    Er wordt nu met een kanon op een mug geschoten. Het grootste privacy-probleem schuilt m.i. bij de grote adverteerders, die met cookies jouw surfgedrag bijzonder nauwkeurig kunnen volgen. Dat website XYZ zelf een cookie gebruikt om mijn browsegedrag op de site XYZ te bekijken boeit mij aanzienlijk minder. Dat blijkt ook uit de instelling van m’n browser: alleen cookies van het domein van de website waar ik daadwerkelijk ben worden geaccepteerd. Werkt uitstekend. En als ik mij niet vergis is dat ook de standaardinstelling die Safari gebruikt. Eventueel standaard de cookies verwijderen bij het sluiten van de browser zorgt nog voor een verdere bescherming. Als de andere browserbouwers dit voorbeeld zouden volgen dan scheelt dat al fors.

    Bovendien heeft deze regelgeving toch geen invloed websites buiten de EU. Een aanpassing van de standaardinstelling van de browsers dekt dat probleem ook af.

    Zoals zo vaak in de techniek zijn hier echter ook weer vrij simpele manieren om om een cookie-verbod/beperking heen te werken. Wellicht strookt het nog steeds met het paradigma dat je geen informatie mag lezen/schrijven op/naar de computer van de gebruiker, maar de onderliggende techniek – bijv. caching – vereist dat dikwijls wel. Daarom heb ik toch liever dat websites gewoon cookies gebruiken. Daar heb ik zicht op. Zonder cookies vrees ik een wildgroei aan “alternatieven”, waar ik ook geen zicht meer op heb.

    Oftewel, mijn standpunt is dat we cookies maar moeten gedogen, en browserbouwers ervan moeten overtuigen de standaardinstellingen voor cookies aan te passen.

  14. Jeroen van der Gun

    Een cookieverbod is een erg vreemde suggestie: het mist volstrekt zijn doel, maar maakt wel onschuldige slachtoffers.

    Ik ben zelf geen hele kwaadaardige webmaster, maar ik gebruik wel cookies op mijn websites. Op http://www.wiskunde123.nl gebruik ik een cookie om de laatste zoekopdracht in op te slaan, zodat de bezoeker zijn zoekopdracht snel kan herhalen. Op http://www.jeroenvandergun.nl gebruik ik een cookie bij het plaatsen van een reactie om de naam van de bezoeker in op te slaan, met als enig doel om dit automatisch in te vullen bij de volgende reactie. Dit zijn kleine dingen die het gebruik van deze websites comfortabeler maken. Als ik hiervoor expliciet om toestemming moet gaan vragen, verdwijnt dit extra comfort als sneeuw voor de zon. Is dit wenselijk?

    Andersom heb je kwaadaardige adverteerders die eigenlijk helemaal geen cookies nodig hebben om je te profileren. Door elke bezoeker bijvoorbeeld een unieke ETag te geven bij zijn eerste bezoek, kun je iedere browser zonder cookies maar met cache tot in eeuwigheid traceren. Los daarvan is je browser volgens http://panopticlick.eff.org/ doodeenvoudig op genoeg andere manieren met redelijke zekerheid te herkennen. Laat dus duidelijk zijn dat een cookieverbod het profileren van adverteerders zonder toestemming absoluut niet gaat stoppen.

    Het gaat dus niet om cookies op zich, maar het gaat om het profileren (neem ik aan). Kom dan ook gewoon met een verbod tegen dat profileren, en niet tegen de cookies. Zoals ik hierboven aangaf, is deze niet-technologie-neutrale maatregel al achterhaald voordat die is ingevoerd.

    Mocht de overheid desondanks zo stom zijn om tot een cookieverbod over te gaan, zorg dan dat je dit met de browsermakers regelt: zo hoeven niet enorm veel websites zich aan te passen, ontstaat geen oneerlijke concurrentie tussen websites die wel en niet onder de regel vallen en heb je privacy-by-design i.p.v. privacy-by-courtesy-of-webmaster. Desondanks moet benadrukt worden dat ook dan het cookieverbod ineffectief is.

  15. Tristan

    @Mathieu
    Ik wilde hier ook niet mee zeggen dat de overheid hier zich mee moet bemoeien, eerder dat er een oplossing moet komen voor de onwetenden. En met schadelijk bedoelde ik schadelijk tegenover je privacy, misschien een beetje slechte verwoording.

  16. Kalahiri

    Om cookies te beheren gebruik ik twee tools in firefox en ik ben daar uitermate tevreden over.

    1. Elke keer als ik een website voor de eerste keer bezoek, wordt er aan mij gevraagd of ik een cookie wil accepteren. Dat wil ik nooit, tenzij er een reden voor is, bijvoorbeeld inloggevens bewaren ofzo.
    Je moet dan wel extra klikken, maar dat is slechts één keer per site en is zo gebeurd. Het went snel.

    2. Eeuwigdurende cookies (.sol) worden door websites ongevraagd op de computer gezet en eeuwig bewaard. Dat ius echt een schande! Maargoed, de plugin ‘BetterPrivacy’ rekent hier mee af en verwijderd deze automatisch na iedere sessie. Dit zou een (verplichte) standaard faciliteit in browsers moeten zijn.

    Als laatste wil ik opmerken dat als je cookies totaal verbiedt of ze in de praktijk onbruikbaar laat zijn, dan gaan website makers over op het alternatief, namelijk op de server opslaan van persoonlijke informatie en dan zijn we nog verder van huis, want daar heb je als gebruiker helemaal geen controle meer over. Dan zijn we dus nog slechter af dan nu!

  17. Michiel Duchateau

    Ik weet niet veel over de techniek achter cookies dus beperk ik me even tot het volgende. Er wordt veel opgemerkt dat het middel erger is dan de kwaal of dat er ‘met een kanon op een mug wordt geschoten’. Als dat zo is (en dat kan ik dus niet goed beoordelen) is er mogelijk een probleem met de proportionaliteitseis. De EU-wetgever mag namelijk geen regels maken die verdergaand zijn dan strikt nodig. Als er een minder vergaand alternatief voorhanden is dat de beleidsdoelen net zo goed verwezenlijkt moet dat gekozen worden.

    Een tweede punt is dat ik het er erg mee oneens ben dat (semi)digibeten beter onderwezen kan worden dan dat ze beschermd worden. Daarvoor heb ik twee argumenten. 1. De technologie gaat veel te snel om mensen die er geen affiniteit mee hebben op de hoogte te houden. 2. (Deze weegt voor mij zwaarder) Ik vind het aanzienlijk betuttelnder om burgers op les te sturen dan ze te beschermen. Op tal van terreinen wordt met het recht de zwakkere, minder goed geïnformeerde partij beschermd (denk aan arbeidsrecht en consumentenrecht), dus dat beleidsvoornemen vind ik niet onterecht.

  18. Randy Simons

    @Jeroen van der Gun: je slaat de spijker op zijn kop; om bezoekers te tracken zijn er genoeg obscure methoden voorhanden.

    Als discussieonderwerp gooi ik dan ook dit in de groep: i.p.v. een verbod op cookies juist een verplichting voor het gebruik van cookies voor opslag van (persoonlijke) gegevens in de browser van de gebruiker.

    Websites willen gebruikers graag kunnen volgen, en dat is lang niet altijd om profielen op te bouwen of anderszins de privacy van de bezoeker te schaden ten bate van commercieel gewin. Het gedrag van cookies valt door de gebruiker goed in te stellen. Dat in tegenstelling tot de obscure alternatieven. Dus maak juist een gebod op gebruik van controleerbare cookies voor dataopslag!

    Wellicht nog veel onhaalbaarder dan een cookieverbod, maar het gaat even om het principe.

  19. Arnoud Engelfriet

    Mij lijkt de enige zinvolle aanpak om met die overweging 66 (“gebruik te maken van de desbetreffende instellingen van een browser”) te werken. Ik snap niet waarom het Nederlandse implementatievoorstel deze insteek compleet negeert.

  20. Hugo

    Reguleren van cookies is een achterhoede gevecht waar ik geen energie in wens te steken. Er zijn inmiddels bedrijven die, aan e hand van je specifieke browser versie, je instellingen etc. de browser 95% uniek weet te bepalen. Cookies zijn al lang achterhaald. Het gaat om een symptoom van een denkwijze. De interessante vraag is hoe we die achterliggende denkwijze kunnen bijbuigen. (juridisch) aanpakken van cookies is verspilde moeite.

    mijn bescheiden mening,

    Hugo

  21. Ewoud

    Ik ben het volkomen eens met Arnoud (18).

    Ik ben het oneens met mensen die vinden dat gebruikers beter moeten worden opgevoed. Dat is niet alleen betuttelend, maar ook onrealistisch. Er is immers een enorme groep gebruikers die geen flauw benul heeft van de meest basale techniek achter computers en internet. Voor een deel van die groep is het eenvoudigweg amper te begrijpen of voor te stellen. Zo kan mijn vriendin er nog steeds niet over uit dat er (radio)golven door de lucht gaan. Je kunt ze immers niet zien.

    Een misschien nog wel veel grotere groep digibeten ziet de computer als een gebruiksvoorwerp en vindt dat ‘het’ gewoon moet werken. Met die houding kun je het oneens zijn, maar dat neemt niet weg dat het in de praktijk zeer lastig zal worden de houding van deze groep te veranderen.

  22. Peter Rietveld

    Wat ik een beetje mis is de types cookies – er zijn verschillende soorten met ieder de eigen kenmerken.
    Persistent en/of sessie en insecure en secure (zowel persistent als sessie) zijn iig relevant om te onderscheiden.

    Mijn persoonlijke optiek is dat persistente cookies per definitie secure moeten zijn (i.e. domeingebonden!) – opslag van gebruikersvoorkeuren of andere attributen is immers gevoelig, en verder zijn alleen sessiecookies acceptabel. Lijkt mij een redelijk hanteerbaar mechanisme voor webnmasters: als je iets van de gebruiker wilt opslaan, dan moet je de site en de cookies met https beveiligen.

    Alleen, of dit daadwerkelijk om regulering vraagt… Dat denk ik eigenlijk niet; de Nederlandse maar ook de Europese overheid kan zich beter richten op zaken waar ze meer te zoeken heeft en meer kans op slagen. Want; welk probleem lossen we op en lossen we dat daadwerkelijk op met regulering?

    Bedenk: hoe wil de overheid overtreders gaan bekeuren? Zoek de webmaster? Als dat zou werken, dan konden die aanpak ook gebruiken in het KP dossier.

    De site soms blokkeren? Lijkt mij dat deze hele discussie een dán erg glibberig pad opgaat.

  23. Opera

    Cookies blokkeren in de browser kan al jaren in de Opera browser (en Javascript en Referrers).
    Bij BoF nog nooit van gehoord?

  24. aiah

    De snelle oplossing voor mijn site.
    (1) Alles achter een login stoppen
    (2) Bij het inloggen de gebruiker accord laten gaan met elke willekurige cookie van/voor mijn website.

  25. Paul Vogel

    Ik ben naast Ot en Arnoud waarschijnlijk een van de weinigen die het voorstel daadwerkelijk gelezen heeft ;-), dus doe ik ook maar een duit in het zakje.

    * Bad Cookie!

    Om een of andere reden duikt elke N jaar weer berichtgeving op die beweerd dat Cookies ‘evil’ zijn, of om wat voor reden dan ook de privacy zouden schaden. Een voorbeeld hiervan is deze studie van een studente aan de RUG die met droge ogen de meest grote onzin uitkraamd : http://www.computable.nl/artikel/ict_topics/ictbranche/443216/2379258/cookies-overtreden-euprivacyregels.html (ja, ik heb de lange reactie gepost onder het artikel). Bijna alle argumenten die daar genoemd werden zijn trouwens nog steeds geldig.

    * Tracken door cookies

    Cookies worden zelden gebruikt om echte informatie in op te slaan, maar worden voornamelijk gebruikt om sessies en bezoekers mee te volgen. Dit omdat het HTTP protocol fundamenteel ‘stateless’ is, en cookies een ‘patch’ zijn om dit op te lossen.

    Als er geen cookies gebruikt kunnen worden, dan zijn er meer dan genoeg andere middelen om sessies of gebruikers te tracken, zoals bijvoorbeeld id’s meegeven in URL’s / POST’s, of door het ip-adressen te bij te houden, al dan niet in combinatie met de user-agent informatie. Andere technieken zijn ook te bedenken, maar dat zou niet de focus van wetgeving of deze reactie moeten zijn.

    * Opvoeden eindgebruikers

    Het is niet reeël om te verwachten dat gebruikers opgevoed kunnen worden om alleen maar ‘The Right Thing’ te doen. Niet alleen is de kennisachterstand van veel gebruikers hopeloos groot, maar de mensen die dagelijks professioneel bezig zijn met misbruik maken van deze onkunde blijven per definitie altijd een stap voor. Gewone mensen hebben wel iets beters te doen dan dagelijks bijhouden wat nu weer de volgende scam is. Regelgeving die de ergste uitwassen inperkt is wat mij betreft dan ook welkom.

    * EU Richtlijn of Initiatief van deze regering?

    Uit de richtlijn:

    “Wanneer dit tech­nisch mogelijk en doeltreffend is, kan, overeenkomstig de desbetreffende bepalingen van Richtlijn 95/46/EG, de toe­stemming van de gebruiker met verwerking worden uitge­drukt door gebruik te maken van de desbetreffende instellingen van een browser of een andere toepassing.”

    Deze tekst is te vertalen als : Als iemand de mogelijkheid heeft om cookies aan of uit te zetten, dan kan dat gezien worden als de keuze van de gebruiker. Dit suggereert dat het helemaal geen probleem is als via de browser wel of niet cookies gezet worden, mits de gebruiker er maar bewust voor gekozen heeft.

    Als de overheid dus perse cookies zou willen aanpakken, dan lijkt het mij zinniger om op te leggen dat browsers standaard op ‘ask’ staan als cookie accept policy bij een nieuwe install of upgrade.

    * Andere puntjes

    Het plaatsen van informatie op een computer lijkt me trouwens lastig in wetgeving te duwen. Als je namelijk bestanden van een website cached, plaats je dan ook informatie op een computer? Als je zegt dat dit niet het geval is, omdat de browser immers zelf de bestanden opgevraagd heeft loop je in de val dat hetzelfde ook geld voor malware of cookies: De browser heeft ook zelf de request gedaan.

    Malware / scareware hebben trouwens in mijn optiek totaal niks met cookies te maken, en ik zou deze eerder aanpakken door de makers en verspreiders te vervolgen voor oplichting & misleiding.

    * Nuchter Beleid

    Wetgeving die specifieke tools aanpakt, in plaats van het gedrag zijn niet alleen makkelijk te omzeilen, maar leiden ook al snel tot de gemeenschappelijke klaagzang: “Waar bemoeid de overheid zich mee?!”. “Waarom loopt de overheid te micro-managen?”.

    Dit voorstel gaat nu al over de blogs als het ‘Cookie-verbod’, en als de beeldvorming niet aangepast wordt, dan wordt dit een publicitaire blunder. De wetgeving wordt zowieso een lachertje als deze niet af te dwingen is, en tenzij de overheid bereid is

    Zinnig beleid lijkt mij dat een site geen informatie van haar bezoekers mag gebruiken voor profilering zonder de bezoeker hiervan expliciet op de hoogte te stellen, en aan te geven waarvoor deze data gebruikt wordt (en natuurlijk de keuze te geven om niet door te gaan op de site als de gebruiker dit niet wil).

    Mijn advies aan de overheid : Verbied profiling zonder toestemming, en laat cookies aan het cookie-monster over.

  26. Wouter

    Ik hoop maar niet dat de cookies straks verboden worden, want dat zal een hel zijn voor websites. Mijn sites gebruiken een cookie voor het opslaan van het sessie-id, en als dat straks niet meer kan zul je zien dat je steeds opnieuw moet inloggen bij elke site

  27. Arjan Widlak

    Het onderscheid dat gemaakt wordt tussen een cookie voor diensten waarom de bezoeker heeft gevraagd en andere “diensten” is niet te maken. De meeste frameworks en content management systemen zetten een cookie om een sessie te initieren. Dat is noodzakelijk voor de “gevraagde” dienst: dynamische content.

    De sessie wordt aan de serverzijde gebruikt voor vanalles en nog wat. Het kan helpen om de gebruiker ingelogd te houden – handig, maar noodzakelijk (?) – maar uiteindelijk voor alles wat je maar bedenkt als aanbieder. Hetzelfde cookie voor een noodzakelijke dienst is tegelijk een cookie voor een niet-noodzakelijk dienst.

    De focus ligt hier op het middel – een cookie – in plaats van op het doel. Handhaaf het doel en kijk naar de aard van de zaak, in plaats van een – voor een jurist – handige en generiek lijkende omschrijving van in feite een paar specifieke implementaties van specifieke functionaliteit. Zo kunnen we nog heel veel wetgeving maken. Deze goal-displacement leidt tot juridische onduidelijkheid en handhavingsproblematiek en daarmee tot juridisering, overhead en transactiekosten.

    Het is meer dan onhandig als uiteindelijk – na jaren van jurisprudentie natuurlijk – zou blijken dat je pas een cookie mag zetten als blijkt dat iemand daadwerkelijk heeft gestemd in een poll, omdat pas op dat moment blijkt dat het ‘noodzakelijk’ of ‘gevraagd’ is. Kwalitatief goede wetgeving moet leiden tot minder onduidelijkheid, niet tot meer onduidelijkheid. Kwalitatief goede wetgeving faciliteert de economische en maatschappelijke activiteit, door reductie van transactiekosten, in plaats van verhoging daarvan.

    Ook op macro-niveau is goed voorstelbaar dat het leidt tot machtsconcentratie, minder innovatie, en minder privacy. Je kunt je helemaal voorstellen dat Amerikaanse sites zich hier niets van aantrekken, betere diensten kunnen aanbieden, en ook de overheid gebruik maakt van LinkedIn, Facebook en de vele Google diensten, terwijl Nederlandse bedrijven juridisch uitzoeken wanneer een cookie noodzakelijk is.

    Er is heel veel jurisiche onduidelijkheid op ICT gebied. De meeste zaken moeten na decennia via de rechter uitkristalliseren in plaats van dat de wetgever helderheid schept. Daar liggen veel meer kansen om de economische bedrijvigheid te stimuleren – door het verlagen van de transactiekosten – dan vage innovatieprogramma’s. Ook voor consumentenbescherming en privacy liggen veel meer kansen in het expliciteren van wetgeving naar de aard van software en internettoepassingen dan in snel verouderende regeltjes met half gelukte abstracties.

    En last-but-not-least, een toets op handhaafbaarheid is ook niet gek. Wat je niet wilt is dat de bad-guys groot kunnen groeien om zich jaren later, na een jarenlange juridische strijd te conformeren, terwijl de brave ondernemer ondertussen al is weggeconcurreerd. (waar kennen we dat ook alweer van)

    Met hartelijke groet,
    Arjan Widlak.

  28. Jaap-Henk Hoepman

    Interessant. Mooi kort uitgelegd waar het over gaat! Ik deel de analyse dat de zorgen wat betreft gebruikersgemak en belasting voor website beheerders overdreven is: shopping carts e.d. vallen m.i. inderdaad onder de technische uitzondering.

    Het is inderdaad essentieel dat de in de EU richtlijn opgenomen bepaling onverkort van kracht wordt gemaakt in Nederlandse wet en regelgeving. Dit om te zorgen dat andere vormen van tracking (web-bugs, flash cookies) gebruikt gaan worden.

    Onder de voorwaarde dat die regel vaststaat, is de door jullie voorgedragen oplossing om de toestemming via de browser te regelen acceptabeler, alhoewel dat in de praktijk nog best lastig is omdat er heel veel verschillende cookies zijn die voor allerlei verschillende doeleinden gebruikt worden. Hierover moet de browser de gebruiker dan wel op de juiste manier informeren.

    Zonder die voorwaarde (die niet in het kabinetsvoorstel staat) is zo’n voorstel onacceptabel; het legt de verantwoordelijkheid voor het oplossen van het privacy probleem bij de browserfabrikanten, en niet bij de veroorzakers daarvan (zie mijn blogpost voor informatie).

    De reactie van Jeroen van der Gun op de website is ook wel interessant: je bent inderdaad via je browserprofiel sowieso al volgbaar (zie
    http://panopticlick.eff.org/). Eigenlijk zou je dus het profileren zelf willen reguleren/verbeiden.

  29. Stemt de kamer in met slappere cookiewet? « Bits of Freedom

    […] Het is mooi dat de minister graag onze mening hoort, maar laten we hem dan herinneren aan wat we al vanaf het begin roepen: online tracking mag alleen met expliciete toestemming van de gebruiker. Dáár willen we graag met […]

Laat een reactie achter op Kalahiri Reactie annuleren

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.