Het cookie monstervoorstel

Het huidige kabinet is er eentje van de eigen verantwoordelijkheid. Als het gaat om bezuinigen dan, hè. Want als er geen geld te halen valt, dan bemoeien de hoge heren (en dame) zich graag overal tegenaan. Dan is eigen verantwoordelijkheid in geen velden of wegen te bekennen. Laten we dus hopen dat het voorstel dat gebruikers voor het zetten van elke cookie expliciet toestemming moeten geven er niet doorheen komt.

Allereerst, wat is een cookie. Dat is een stukje informatie opgeslagen wordt op de computer van de bezoeker (in een bepaald stukje afgeschermd geheugen) met informatie over het bezoek. Dat zijn vaak onschuldige dingen zoals de instellingen, welke producten je op de site hebt opgezocht voor gebruik op de eigen site. GeenCommentaar gebruikt bijvoorbeeld een cookie om de instellingen van de tabs rechts op te slaan.

Soms zijn het ook wat minder onschuldige dingen, zoals een “tracking cookie”. Zo’n cookie werkt over meer sites en kan zo je internetgedrag tot op zekere hoogte in de gaten houden en doorgeven. Grote kans dat je als je kasten bekijkt op de wehkamp-site, je opeens op veel sites reclames voor kasten te zien krijgt.

Nu is het niet eens een slecht idee om hier wat regels aan te verbinden, maar het voorstel is onzalig. Er moet dan namelijk expliciet toestemming gegeven worden voor elk cookie.

Privacy
GeenCommentaar zal dan dus moeten vragen of je het eens bent met het plaatsen van het cookie dat de tab-instellingen regelt. (Update: Dit blijkt niet correct. Er wordt een uitzondering gemaakt voor “functionele cookies”. Dat maakt de problemen in mijn ogen alleen maar erger, want wie gaat controleren of cookies functioneel of niet zijn?) Het hoeft volgens het voorstel maar één keer per aanbieder. Maar als het niet voor elk bezoek gevraagd moet worden, dan zal de toestemming moeten worden opgeslagen door middel van een cookie(!), of op IP (internetadres) in een database. Voor dat eerste moet dan weer toestemming zijn, en het tweede brengt weer andere privacy-issues met zich mee, aangezien het IP-adres in Nederland wordt gezien als een persoonsgegeven waar strenge regels voor gelden. Eén keer per aanbieder is hierbij ook een risico. Want als je je toestemming één keer geeft aan Google dan betekent dat in het huidige voorstel dat het bedrijf je toestemming altijd heeft, en op elke site met google ads een cookie mag zetten. Of een gebruiker dat kan overzien is nog maar de vraag.

En hoe zit het als meerdere mensen gebruik maken van één computer? Kunnen we ervan uitgaan dat als het kind van 8 op “OK” heeft geklikt, de vader ook automatisch akkoord is met de voorwaarden? En hoe zit dat op openbare computers?

Het internet is niet Nederland alleen
Een no-brainer, maar het moet politici nog wel eens worden uitgelegd. Er staat geen hek om het internet. Buitenlandse sites staan op Nederlandse servers, Nederlandse sites op buitenlandse. Moeten buitenlandse sites op Nederlandse servers ook aan die regels voldoen? En Nederlandse sites die in het buitenland staan?

En welke standaarden gaan we gebruiken voor het vragen van toestemming? Wordt dat een wildgroei aan verschillende soorten pop-ups, of krijgt de gebruiker een eenduidige, duidelijke, pop-up te zien die van hogerhand wordt opgelegd? Gaan we daarover nog overleggen met het W3C of doen we het zelf?

Veel sites draaien op open source softwarepakketten en de ontwikkelaars daarvan zullen niet staan te springen om obscure regelgeving uit Nederland toe te voegen aan hun algemene code. De vraag is dus in hoeverre de “gewone internetter met een site” zal kunnen voldoen aan de regels. Het wordt moeilijker om een site te beginnen zonder zeer specialistische kennis.

Concurrentie
Een ander belangrijk aspect bij het globale karakter van internet is die van concurrentie. Het is algemeen bekend dat mensen schrikken van waarschuwingen. Dus waarom zal je een boek kopen in de webwinkel van de Volkskrant met zo’n enge waarschuwing, als je het boek ook kan kopen op amazon.com, of die vriendelijke Belgische webshop waar je zonder waarschuwingen door kunt klikken? De regel zal de Nederlandse webwinkels pijn gaan doen.
Daarnaast zal het duurder worden om je site in Nederland te ontwikkelen. Er zal meer moeten worden geprogrammeerd, iets wat ook niet helpt in het huidige economische klimaat.

Wat dan wél?
Begrijp me goed, ik ben niet tegen een betere bescherming van consumenten. Maar het huidige voorstel is nogal betuttelend voor de gebruiker. Volgens de indieners weet deze namelijk nooit wat goed voor hem of haar is. Er mag dus niet zoiets zijn als een standaard instelling, iets wat ik wel degelijk zou willen doen (bijv. alles accepteren behalve tracking cookies*).

Daarnaast legt het voorstel de verantwoordelijkheid niet op de plek waar hij hoort. Een cookie is iets wat door een browser (bijv. Firefox, Internet Explorer, Safari, Google Chrome) wordt geregeld, niet door de sites. Een site probeert er een te zetten en dat wordt wel of niet geaccepteerd door de browser. Dat is dan ook de plek waar zoiets moet worden geïmplementeerd. Dan hoeven de (honderd)duizenden Nederlandse sites op het internet die cookies gebruiken niet allemaal aangepast worden, maar slechts de 5 of 6 grote browsers, én het ziet er allemaal eenduidig uit wat de duidelijkheid ten goede komt. Bij het installeren of eerste gebruik zou je dan bijvoorbeeld de internetter kunnen vragen welke soorten cookies hij of zij standaard wil accepteren, via een opt-in. Standaard staat het systeem dan ingesteld op het vragen per keer, per site, zoals voorgesteld. Zo’n systeem zou je waarschijnlijk ook internationaal kunnen uitrollen.

Kortom, als je er even wat langer over nadenkt kan het wel. Het kost waarschijnlijk wat meer tijd om dat te regelen, want zoiets moet je Europees doen. Maar je snijdt jezelf er qua concurrentiepositie en het toegankelijk houden van het internet niet zo mee in de vingers.

*Kanttekening: Op dit moment bestaat het onderscheid tussen de verschillende cookiesoorten niet, maar dat zou wél een nuttige toevoeging zijn.

  1. 1

    Een cookie is maar een middel. Zouden we niet eerder richtlijnen voor het gebruik van gebruikers-informatie vastleggen, in plaats de focus zo specifiek op een middel te richten?

  2. 2

    Het is natuurlijk al lang geregeld via web browsers. Daar kan iedereen naar hartelust instellen wie wel en wie niet een cookie kan plaatsen en of er om gevraagd moet worden.

    Er is dus al een oplossing voor dit niet-bestaande probleem.

  3. 3

    @2: Niet helemaal, want die toestemming is standaard volledig. Het is wel degelijk nuttig om daar wat voorzichtiger mee om te gaan.

    @1: Dan trek je het zo breed dat het internet één grote popup wordt.

  4. 5

    Gewoon af en toe je cookies dumpen. Een browser die automatisch alle cookies dumpt zou ik ook goed vinden, maar dan wil ik wel vooraf kunnen bepalen welke cookies ik wil bewaren en welke op de dagelijkse to-dump list mogen.

  5. 7

    Wat #2 zegt. Kan allemaal al lang in vrijwel alle browsers. Wetgeving is contraproductieve overregulering.

    @3 Elke browser die ik ken, vraagt wanneer je die voor het eerst gebruikt of je een cookie wil accepteren. De defaultinstelling is dus “vragen wat de gebruiker wil”, en rightly so. Natuurlijk klikken de meeste mensen op toestaan en vinken “voor alle toekomstige cookies deze keuze gebruiken”, maar dat is hun probleem.

    @5 Ik gebruik CookieSafe, en BetterPrivacy voor Flashcookies (LSO).

  6. 8

    Niet dat het geen onzalig voorstel is, maar de voorstelling van zaken die dit artikel geeft klopt ook niet bepaald. Het volgende is gewoon niet waar:

    “GeenCommentaar zal dan dus moeten vragen of je het eens bent met het plaatsen van het cookie dat de tab-instellingen regelt.”

    Cookies die nodig zijn voor het functioneren van de site kun je gewoon ongevraagd zetten. Of dat nou tabinstellingen zijn, een login of een winkelmandje.

  7. 9

    @8: “Cookies die nodig zijn voor het functioneren van de site kun je gewoon ongevraagd zetten. Of dat nou tabinstellingen zijn, een login of een winkelmandje.”

    Is dat zo? Waar staat dat dan in het voorstel? En is dat cookie nodig voor het functioneren van GC? Nee.

  8. 10

    @9: In het originele wetsvoorstel stond in artikel 11.7a lid 3 expliciet als uitzonderingen genoemd
    “de technische opslag of toegang tot gegevens betreft met als uitsluitend doel:
    a. de communicatie over een elektronisch communicatienetwerk uit te voeren, of
    b. de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is.”

    Item b dekt bijvoorbeeld sessiecookies af voor webwinkels, maar ook logincookies en tabinstellingen lijken mij binnen het doel van “noodzakelijk voor het leveren van de dienst”.

    Ik kan geen stukken vinden waarin dit lid geschrapt of beperkt wordt.

  9. 11

    En in de memorie van toelichting wordt een cookie dat je taalvoorkeur opslaat, expliciet genoemd als voorbeeld van een cookie dat legaal is onder dit lid:

    Deze functie zorgt er bijvoorbeeld voor dat de door de gebruiker zelf gekozen persoonlijke instellingen en voorkeuren van een site (zoals de taal) worden «onthouden» bij het browsen binnen het bezochte internetdomein en bij herhaald bezoek aan dit domein. Deze cookies worden alleen geplaatst en gelezen door de website (het domein) die de gebruiker zelf bezoekt. Er zijn met andere woorden situaties waarin de technische opslag of toegang tot gegevens inherent is aan de toegepaste techniek voor de communicatie over een elektronisch communicatienetwerk: zonder deze technische opslag of toegang tot gegevens, is communicatie met gebruik van voorkeuren en instellingen niet mogelijk dan wel uitermate moeilijk.

  10. 12

    @11
    Maar dan zou je de keuze van iemand (wel of geen cookies accepteren) feitelijk mogen opslaan in een cookie, want het is immers noodzakelijk voor het goed kunnen functioneren van de site.
    Dat is een mooie paradox: Het eerste wat er gebeurt als iemand geen cookies wil, is een cookie krijgen. Het enige wat je dáár tegen kan doen is zorgen dat je browserinstellingen geen cookies accepteren, wat sowieso al kon, dus als je dat al had gedaan dan was die hele suffe keuzemogelijkheid niet nodig geweest en had je dat cookie überhaupt niet gekregen onafhankelijk van je instellingen. Begrijpen we het nog?

    Het is goed om te zien dat de privacylobby in Den Haag meer in de melk te brokkelen heeft dan de (re)marketingindustrie, maar met deze wet wordt de plank volledig misgeslagen.