Veel websites worstelen momenteel met een goede toepassing van de cookiewet. En dat is niet vreemd. Want de wet zegt dat we bezoekers niet ongewenst mogen volgen. Maar tegelijk is het verkopen van de interesses van bezoekers juist het business model achter een groot deel van de sites die gratis diensten en informatie aanbieden.
De consensus rondom de cookiewet lijkt te zijn dat we allemaal blij zijn met deze wet, maar niet met de uitvoering van ervan. We zijn geschrokken van de overvloed aan popups. Daar waar de wet was bedoeld om gebruikers meer controle over hun privacy te geven, hebben veel sites (waaronder publieke sites als omroep.nl) gekozen voor een ‘slikken of stikken’-aanpak. Privacybewuste bezoekers ergeren zich hieraan en vinden dat ze een volgvrije basisversie van de website zouden moeten kunnen zien. Website-eigenaren die leven van het volgen van bezoekers hopen zoveel ergernis te veroorzaken dat er een wetswijziging tot stand komt die ze meer vrijheid biedt zodat hun business model veilig wordt gesteld. En in dit laatste lijken ze op dit moment erg goed te slagen.
De discussie is in volle gang. Hoog tijd om nog eens goed te kijken naar de mogelijkheden van Do-Not-Track in relatie tot de cookiewet. Schuilt de oplossing misschien in een klein vinkje?
Do Not Track
Do Not Track, of DNT, is een browser functie waarmee elke gebruiker zelf bij websites aan kan geven dat hij niet gevolgd wil worden. De DNT-functionaliteit van browsers is naar mijn mening dé opening naar een oplossing in de cookie discussie. Een gebruiker die een DNT-keuze aan een website meegeeft hoeft immers geen cookie popup te krijgen. Websites zouden op basis van zijn keuze direct kunnen besluiten om bij deze gebruiker enkel functionele cookies te plaatsen.
Maar voor-wat-hoort-wat. Om website eigenaren tegemoet te komen (en de cookie ergernis te reduceren) zou het goed zijn om gebruikers die geen DNT instellen ook niet met popups lastig te vallen. Deze gebruikers zouden door het ontbreken van een keuze standaard kunnen worden voorzien van functionele, statistische en tracking cookies.
Het lastige van de DNT-functionaliteit van de browser is dat een DNT-keuze wel gezien kan worden als een expliciete opt-out, maar dat het ontbreken van een keuze geen expliciete opt-in is. Een website-eigenaar weet immer niet zeker of de gebruiker zelf DNT heeft uitgeschakeld, of dat zijn browser deze keuze voor hem heeft gemaakt. Hier zouden browserleveranciers kunnen helpen door DNT in hun browser standaard in te schakelen (of tijdens de installatie een privacykeuze voor te leggen).
Werkbare oplossing
Er wordt momenteel gesproken over het versoepelen van de cookiewet. Hierin schuilt een gevaar dat we wat onze privacy betreft weer terug zijn bij af. Een centralere rol van de DNT-functionaliteit van browsers zou kunnen helpen om de cookie ergernis terug te brengen terwijl privacybewuste gebruikers ook een keuze houden (die gerespecteerd moet worden door de website eigenaren).
Ter verduidelijking geef ik hier een mogelijk scenario. Door DNT beter te gebruiken kunnen de meeste websites die zowel met als zonder tracking cookies functioneren direct getoond worden zonder dat de gebruiker lastig gevallen hoeft te worden. Website-eigenaren zouden hiermee extra ruimte krijgen om gebruikers, die zelf geen DNT-keuze maken, op de oude manier te blijven bedienen. Terwijl privacybewuste gebruikers de mogelijkheid hebben om via DNT hun impliciete opt-in te vervangen door een expliciete opt-out. De enige sites waarvoor nog een popup noodzakelijk is, zijn de websites die betaald worden met het verkopen van de privacy van de bezoekers. Hierbij is het belangrijk om rekening te houden met het feit dat cookies slechts een klein onderdeel van de privacy discussie zijn. In ‘hoe Google weet wat wij niet vertellen‘ lees je dat er online veel meer methoden zijn om gebruikers te volgen. De DNT-keuze zou ook hier betekenis voor moeten hebben.
Het succes zou afhangen van de mate waarin beide partijen de oplossing accepteren. DNT is relatief nieuw. Privacybewuste gebruikers zullen moeten accepteren dat het voor kan komen dat een oude proxy bij hun werkgever of andere technische middelen soms hun DNT-keuze beïnvloeden. Websites zullen de keuze van gebruikers moeten respecteren en hopelijk hun best doen om ook een interessant business model te vinden voor het bedienen van privacybewuste gebruikers.
Bij deze discussie heb ik eigenlijk een zeer dubbel gevoel. Als automatiseerder ben ik me zeer bewust hoe mensen met hun individuele vrijheid om willen gaan, tenminste, ik vind dat een RECHT! Heb ik iets van een consument nodig, een registratie bijvoorbeeld, dan leg ik de vraag graag bij mijn klant neer.
De Commissie Bescherming Persoonsgegevens heeft dit overigens ook uitgebreid vastgelegd. Wil ik bedrijfsmatig persoonsgegevens opslaan, kortweg NAW gegevens genoemd, dan ben ik wettelijk twee dingen verplicht.
Schriftelijke toestemming
In de eerste plaats ben ik verplicht schriftelijke toestemming te vragen aan de betreffende, sterker nog, ik ben verplicht helder aan te geven waar die NAW gegevens voor zijn, waar ze worden geplaatst en of ik ze al dan niet, aan derden ter beschikking zal stellen.
Ik weet dat meer dan 60% van de bedrijven aan deze wettelijke bepaling in ieder geval niet voldoet.
Opening openbaar register
Zij die zich bezig houden met het opnemen van NAW gegevens in een register, zijn verplicht hiervoor een register te openen. Net als in voorgaande punt weet ik dat dit in meer dan 60% van de gevallen iet gebeurd.
Nu het grappige. Als ik ’s avonds, of wanneer dan ook word gebeld door een callcenter, dan sla ik ze eerst met die wettelijke bepaling om de oren. Ik kan me namelijk niet indenken dat ik ergens voor getekend heb en al helemaal niet mijn nummer aan een callcenter ter beschikking gesteld.
Ja maar…
U heeft vast wel aan het e.o.a. meegedaan en dus ….
Meteen onderbrekend, Neen, ik heb nergens aan meegedaan en in tweede u heeft domweg mijn schriftelijke toestemming niet. Einde verhaal. Kort en goed, een IP adres word juridisch aangemerkt als onderdeel van uw persoonlijk adres. Justitie kan namelijk heel eenvoudig zaken herleiden aan de hand van het IP adres dus het opslaan van dat IP adres, zonder uw schriftelijke toestemming?
Ik waag me dat hardop te betwijfelen. Maar nu immorele chantage die we denk ik dagelijks wel meemaken sinds de invoering van dat poltieke misbaksel de cookiewet. Plots wordt je dan geconfronteerd met een staaltje oneigenlijke chantage dat als je mij niet accepteerd, mag jij lekker niet verder.
De auteur van dit artikel heeft volkomen gelijk. Dank! Bij mij staat firefox gewoon op alles deleten bij afsluiten. Ik spam hun registers gewoon omgekeerd. Ik heb recht op mijn stukje vrijheid op dit internet, net zoals ik anderen die ook toe sta.
Een goede optie zou zijn een opt-out te bieden in plaats van een opt-in, dat zou veel problemen overkomen.
Verder, is het de vraag of we dit niet op browser niveau moeten regelen in plaats van op website niveau. Dit zou echt iets zijn voor een gelijke Europese wet, en niet zoals nu, een versplintering in verschillende wetgeving.