Sinds dinsdag is de nieuwe telecomwet van kracht met daarin de nieuwe regels voor cookies. Volgens deze regels is het in veel gevallen niet langer toegestaan om zonder toestemming van de gebruiker cookies te plaatsen op zijn computer. Veel websites voldoen nog niet aan deze nieuwe regels. En weten bovendien ook niet hoe ze hier wel, op een gebruikersvriendelijke manier, aan zouden kunnen voldoen. Probleem is namelijk hoe je iemands cookievoorkeuren (en met name het feit dat deze gebruiker geen cookies wenst) kunt onthouden. Maar daar isvolgens mij een eenvoudige oplossing voor. De cookie-cookie.
Onder bepaalde omstandigheden is het namelijk wel toegestaan om, zonder toestemming van de gebruiker, een cookie te plaatsen. Het moet dan gaan om een cookie die strikt noodzakelijk is voor de dienst. Deze uitzondering kunnen we ook als volgt gebruiken.
De eerste keer dat een gebruiker op een website komt, informeert de website de bezoeker over het gebruik van cookies, en vraagt of de gebruiker hiermee akkoord gaat. De website bewaart deze beslissing door precies één cookie te plaatsen: de cookie-cookie. De waarde van deze cookie is ‘ja graag’ of ‘nee bedankt’. Voor twee verschillende gebruikers die geen cookies accepteren zijn deze cookies dus gelijk. Bij een volgend bezoek wordt de waarde van deze ene cookie teruggegeven, en ziet de website meteen of dit een klant is die al dan niet cookies wil accepteren. Opnieuw vragen is dus overbodig.
De website kan voor deze cookie echter ook een vervaldatum instellen. Na deze datum verwijderd de browser de cookie, en wordt er dus opnieuw om toestemming gevraagd. Omdat deze vervaldatum niet wordt teruggestuurd bij het opvragen van de waarde van een cookie, kunnen gebruikers dus niet op basis van een vervaldatum getraceerd worden.
Er zijn nog een aantal voordelen bij deze benadering. Ten eerste is een cookie gebonden aan een specifieke website. Toestemming voor cookies kan op deze manier dus per website apart gegeven en bewaard worden. Daarnaast zou de cookie-cookie ook meer dan alleen de waarden ‘ja graag’ of ‘nee bedankt’ kunnen bevatten. Zo zou bijvoorbeeld wel toestemming gegeven kunnen worden voor cookies die persoonlijke voorkeuren voor de website opslaan (bijvoorbeeld lettergrootte), maar niet voor third-party cookies. Zo’n third party cookie kan overigens ook gebruikt worden om de cookievoorkeuren voor een hele groep van affiliate websites in één keer te bepalen en te bewaren. Dit beperkt het aantal vragen aan de gebruiker nog verder.
Er is ook een belangrijk nadeel. Cookies zijn apparaat gebonden, en niet persoonsgebonden. Als je met een andere computer surft, moet je opnieuw je instellingen opgeven (waarbij je soms handmatig al bestaande cookie-cookies moet verwijderen).
Maar al met al is dit een simpele maatregel die zonder al te veel moeite door alle Nederlandse websites in te voeren is, zonder dat je als gebruiker iedere keer weer gevraagd wordt om toestemming voor cookies. Vooral als je die toestemming niet wenst te geven!
Foto Flickr cc Visualpanic
Jaap-Henk Hoepman (persoonlijk blog) is hoofdonderzoeker in computerbeveiliging, privacy and identiteitsmanagement bij TNO-Groningen, en universitair docent in de Digital Security-onderzoeksgroep aan het Institute for Computing and Information Sciences van de Radbouduniversiteit Nijmegen.
Zijn voornaamste onderzoeksinteresses betreffen computerbeveiliging en toegepaste cryptografie, met name het ontwerp voor veilige en privacyvriendelijke protocollen voor (alles)doordringende systemen.
Reacties (10)
Een heel artikel om de standaardaanpak voor het geven van toestemming voor tracking te beschrijven alsof het iets nieuws zou zijn??? LOL
Inderdaad, niet voldoen aan de nieuwe wetgeving is een kwestie van onwil. Er is helemaal geen technisch probleem.
Dit is inderdaad niet heel erg nieuw, volgens mij doen in ieder geval alle plugins die de laatste tijd zijn verschenen het ook op deze manier. Had van Sargasso wel iets hoger niveau verwacht.
Daarnaast hoef je geen toestemming te vragen voor lettergrootte cookies e.d., daar dit een voor de functionaliteit essentiële cookie is en je die gewoon zonder opt-in mag plaatsen (net zoals inlogcookies, winkelwagencookies etc).
Lettergrootte is een functie van de browser, niet van de server.
Privacy , is dat nu zo’n moeilijk begrijp ? Adfactor heeft jullie bij de noten.
“Omdat deze vervaldatum niet wordt teruggestuurd bij het opvragen van de waarde van een cookie, kunnen gebruikers dus niet op basis van een vervaldatum getraceerd worden.”
Ui? Waarom zou je aan de hand van een vervaldatum willen traceren. De aanwezigheid van cookie + ip-adres is al voldoende.
Waar gaat dit artikel bovendien over? Als ik een boze webmaker zou zijn zou ik gewoon elk bezoek vragen of bezoeker cookies wil hebben om ‘voorkeuren’ te onthouden. Zo niet, volgende keer opnieuw vragen totdat mijn website haar zin heeft.
Waarom zou je aan de hand van een vervaldatum willen traceren. De aanwezigheid van cookie + ip-adres is al voldoende.
Omdat je daarmee ogenschijnlijk puur functionele cookies zou kunnen gebruiken voor tracking zonder dat aan de inhoud van het cookie is te zien dat de gebruiker er uniek mee geidentificeerd zou kunnen worden. Dit zou de perfecte manier zijn om stiekem om de cookiewet heen te werken.
Aan een ip-adres heb je in dit kader vrijwel niets; vrijwel alle IP-adressen vanaf waar gebrowsed wordt worden gedeeld door meerdere mensen. En verkeerd getargete advertenties leveren nog minder geld op dan niet-getargete advertenties.
Die discussie las ik recentelijk ook al. Maak een hash van de volledige browserinfo die je krijgt en je hebt al een vrijwel unieke identifier. De tubussen en googles van de wereld hebben weinig moeite mijn laptop te identificeren alhoewel we elke maand in een ander land zitten ;) Dat hoeft helemaal niet op cookie-basis.
De beste manier om tracking tegen te gaan is imo de juiste plugins gebruiken ( zoals ghostery in FF ) die tracking vanuit ‘de grote netwerken’ tegengaan ( google, facebook ) . Helemaal anoniem kan niet op het internet, tenzij je wilt gaan slakken met dingen als TOR.