Cookies beheren met… cookies!

Deze gastbijdrage is van Jaap-Henk Hoepman, werkzaam bij TNO en de Radboud Universiteit. De bijdrage staat ook op zijn blog. Vergelijk dit stuk trouwens eens met dit artikel van Emerce.

De Tweede Kamer stemt morgen over een wetsvoorstel waardoor bezoekers van websites expliciet toestemming gevraagd moet worden voor het plaatsen van cookies. Adverteerders en websitebeheerders zijn tegen deze plannen. Als belangrijk argument noemen zij dat de wet onuitvoerbaar is. Gebruikers zouden een grote stroom pop-ups moeten wegklikken iedere keer dat ze een website bezoeken. Dit is echter een verkeerde voorstelling van zaken.

Je hoeft een terugkerende gebruiker niet opnieuw om toestemming te vragen om cookies te plaatsen. Die toestemming kun je namelijk ook opslaan… in een cookie! De Europese richtlijn (vanwege welke de Nederlandse telecomwet moet worden aangepast) maakt namelijk een uitzondering voor cookies die technisch gezien noodzakelijk zijn voor het inrichten van een webgebaseerde dienst. Voor dergelijke cookies hoeft geen expliciete toestemming gevraagd te worden. Een voorbeeld van zo’n cookie is een sessiecookie die gebruikt wordt om je boodschappen in het winkelmandje van een webwinkel bij te houden.

Deze uitzondering geldt ook voor een cookie waarin staat of de gebruiker cookies voor deze website al dan niet accepteert. Ook dat is immers puur een technische maatregel zonder welke de toestemming niet opgeslagen kan worden. Bovendien maakt zo’n toestemmings-cookie een gebruiker niet traceerbaar. Het is dan wel van belang dat er verder geen identificerende gegevens in deze cookie staan: een simpele cookie met enkel de waarde ‘ja’ of ‘nee’ volstaat. Het is verstandig om deze cookie een beperkte geldigheid te geven, zodat de gebruiker om de zoveel tijd om zijn voorkeur gevraagd wordt. Merk op dat iedere website zijn een eigen toestemmings-cookie heeft. Een gebruiker kan dus zijn voorkeur per website aanpassen.

Zijn er ook nadelen? Jazeker. Strikt gesproken zijn cookies niet persoonsgebonden, maar apparaat-gebonden. Cookies staan opgeslagen op de harde schijf van één specifieke computer. Als je met een andere computer op het web surft, zul je opnieuw je voorkeuren moeten aangeven. Als je een computer account deelt met anderen, dan kan het zijn dat een eerdere gebruiker zijn voorkeuren al heeft vastgelegd in een cookie. Jij krijgt die mogelijkheid dan zelf niet meer. Merk overigens op dat het toestemming geven voor cookies via de standaardinstellingen van de browser exact dezelfde bezwaren kent.

Deze nadelen wegen niet op tegen de voordelen. Door gebruik te maken de geschetste oplossing hoeven gebruikers geen eindeloze stroom van pop-ups weg te klikken. Gebruikers bezoeken immers maar weinig onbekende sites op een dag. De oplossing werkt met alle huidige browsers, en is ook bij website beheerders zeer eenvoudig te implementeren. Het wetsvoorstel is daarom wel degelijk uitvoerbaar.

Update 12-6-2011 22:37 (n.a.v. comment): Voor third party cookies, van o.a. advertentienetwerken, zie ik twee mogelijkheden.

Het advertentienetwerk vraagt zelf toestemming voor haar cookies. Dat betekent een keer extra toestemming vragen bij de eerste keer dat de gebruiker een website bezoekt die gebruik maakt van dat advertentienetwerk. Bij het bezoeken van een andere website die van hetzelfde advertentienetwerk gebruik maakt hoeft die toestemming niet nogmaals gevraagd te worden. Een website die gebruik maakt van diensten van veel derden loopt het risico dat zij nieuwe gebruikers afschrikt omdat er verschillende keren om toestemming gevraagd wordt.

Als alternatief wordt het begrip ‘plaatser’ van een cookie geïnterpreteerd als de website die de gebruiker bezoekt (en niet het advertentienetwerk dat op de achtergrond ook een rol speelt en de cookie daadwerkelijk plaatst). Vanuit de gebruiker gezien is dat ook logischer: die bezoekt simpelweg één bepaalde website en ‘ziet’ al die achterliggende partijen niet. Dit biedt ook de mogelijkheid om per site te volstaan met één toestemmingscookie: als de gebruiker maar duidelijk wordt uitgelegd waar hij toestemming voor geeft. Dat zal niet altijd eenvoudig zijn. Bovendien moet er voor gezorgd worden dat geaccepteerde third party cookies niet toch zonder toestemming worden gebruikt bij een bezoek aan een andere website (waar geen toestemming voor cookies is gegeven). Bijvoorbeeld als die website van hetzelfde advertentienetwerk gebruik maakt. Dit kan geregeld worden door verschillende domeinen te gebruiken voor het plaatsen (en weer teruglezen) van cookies en voor het plaatsen van de daadwerkelijke content. De website kan zo het uitlezen van de cookies voorkomen zonder dat de plaatsing van de content hier onder lijdt.

  1. 2

    een cookie is alleen nodig om een gebruiker te volgen bij een wisselend ip adres, niet om data op te slaan dat kan weer met een database

    je kan nu al alle indirecte cookies blokkeren zodat cookies alleen gebruikt kunnen worden dor sites die je ook echt bezoekt om bijvoorbeeld ingelogd te blijven

  2. 3

    1) Tuurlijk ben je wel traceerbaar met zo’n cookie. Maar het maakt niet uit, want als ze willen, tracken ze je toch wel via URL-variabelen, specifieke plaatjes of gewoon je browser-identificatie.

    2) Het hele voorstel is bezopen. Je kunt cookies altijd al weigeren, alleen doen mensen dat niet, want het interesseert ze geen zak.

  3. 4

    Het amendement spreekt alleen over ‘ondubbelzinnige toestemming’ en dat is niet hetzelfde als expliciete toestemming! Ondubbelzinnige toestemming kan mijns inziens ook blijken uit een niet-doen (bijvoorbeeld niet de browserinstellingen wijzigen), MITS de gebruiker bewust is dat hij daarmee een keuze maakt. Dan zou een impliciete keuze dus best een ondubbelzinnige keuze kunnen zijn. Sluit ook aan bij de toelichting van de minister dat de eisen aan toestemming best mild mogen zijn als de gebruiker heel goed geinformeerd is. De minister raadt het amendement terecht af omdat het gebruikersonvriendelijk internet oplevert. Ik ben het helemaal met hem eens. Bovendien leidt steeds een keuze moeten maken tot wegklikgedrag en dus geen bewuster omgaan met online privacy.

  4. 6

    Enfin je kunt stickers op je brievenbus plakken wat je wilt, maar dat wil nog niet zoveel zeggen over wat erin gedeponeerd wordt.

    Wat @5 zegt, o.a. mijn cookies zijn weg als ik browser sluit. En daarnaast heb ik Little Snitch die me waarschuwt voor tuig. Ik bedoel ik moet wel, wat een ander beschermt mij niet.