Cookies
Iedereen heeft wel eens van ‘cookies’ op het internet gehoord, maar wat zijn dit nu precies? Cookies zijn grofgezegd kleine bestandjes die door websites op je browser (Bijvoorbeeld Google Chrome of Firefox) worden gezet. Deze cookies worden in twee smaken gemaakt. De eerste smaak zijn ‘sessiecookies’. Deze cookies zijn erg handig. Ze houden bijvoorbeeld bij welke producten je in je winkelwagen doet op de website. Als deze cookies er niet waren zou het bestellen van schoenen bij Zalando een stuk moeilijker worden. Sluit je de website, dan worden deze cookies automatisch verwijderd.

De andere smaak zijn ‘persistent cookies’, ook wel ‘tracking cookies’ genoemd. Deze cookies zijn een stuk hardnekkiger, ze blijven namelijk op je browser staan nadat je de website hebt afgesloten. Als je de volgende keer weer dezelfde website bezoekt worden deze bestandjes vanaf je browser weer naar de website gestuurd, zodat de website ‘herkent’ dat je hem weer bezoekt. In de tussentijd heeft de cookie bijgehouden wat jij met je browser hebt gedaan; welke websites heb je bezocht en wat heb je daar gekocht? Ook laat de cookie zien waar je naar hebt gezocht op bijvoorbeeld Google. Op die manier kan degene aan wie de cookie wordt verzonden (de beheerder van de website of iemand die de beheerder van de website betaalt voor deze informatie) een profiel van je opmaken. Je hebt dit vast wel eens meegemaakt: je hebt net gezocht naar een fiets en opeens zie je overal reclames van fietsen verschijnen op andere webpagina’s. Dit komt door deze laatste soort cookies.
Nu zal je misschien zeggen: ‘handig toch die cookies? Laat mij maar zoveel mogelijk aanbiedingen zien!’, maar zo simpel is het niet helemaal. In jouw profiel kunnen namelijk ook medische gegevens worden opgeslagen doordat je zoekt op bepaalde symptomen of wat nog niet meer. Ook nu zal je nog kunnen zeggen: ‘Nou en, ik heb niks te verbergen.’ De vraag die ik dan altijd stel is: ‘Waarom heb je dan gordijnen voor je ramen hangen? Je hoeft niet perse iets te verbergen om toch gesteld te zijn op je privacy’.

Europese richtlijnen
Ervan uitgaande dat iedereen zijn recht op privacy op prijs stelt en dit recht graag gewaarborgd wil zien heeft de Europese Unie (EU) een aantal richtlijnen aangenomen in de afgelopen jaren. Eerst, in 2002, was het voor websites alleen verplicht duidelijke informatie aan de gebruiker te verschaffen over het feit dat er dergelijke cookies werden geplaatst. In 2009 bleek deze richtlijn echter niet voldoende te werken en de profielen van de gebruikers van de websites werden alarmerend snel meer allesomvattend. Na deze constatering heeft de EU Richtlijn 2009/136/EC in het leven geroepen welke websites verplicht toestemming aan gebruikers te vragen voor het plaatsen van cookies. De manier waarop om deze toestemming wordt gevraagd en waarop informatie hieromtrent gegeven wordt aan de gebruikers moet zo gebruiksvriendelijk mogelijk zijn. Dit wordt een ‘opt-in’ privacymechanisme genoemd. De website moet namelijk zelf vragen aan de gebruiker of de cookies geplaatst mogen worden. Het tegenovergestelde hiervan is een ‘opt-out’ systeem waarbij de gebruiker aan zou moeten geven dat hij/zij juist geen cookies wilt. Hoe dit ‘opt-in’-systeem er precies uit moet zien staat in de richtlijn niet beschreven.

Omdat Nederland lid is van de EU moeten de richtlijnen van de EU door Nederland worden geïmplementeerd. Veel mensen weten dit niet maar Jacques Delors, toenmalig voorzitter van de Europese Commissie, zei in 1985 al dat 80% van de economische wetgeving van een EU-lidstaat een Europese oorsprong had. Staatssecretaris Atzo Nicolaï stelde in 2004 dat 60 % van alle Nederlandse wetgeving uit Europa kwam. Kort om: de regels die wij in Nederland kennen zijn voor een groot gedeelte door Brussel bepaald. Zo ook met de cookiewetgeving.

De Nederlandse wet
Om te voldoen aan de richtlijn uit 2009 heeft de Nederlandse regering in 2011 de Telecommunicatiewet veranderd zodat ook in Nederland gebruikers toestemming moesten geven voor het laten plaatsen van cookies. Het gevolg hiervan kennen we allemaal: talloze vervelende pop-ups. Voor webdevelopers zoals wij was dit natuurlijk een gouden kans. Opeens had elke website een dergelijke pop-up nodig, en nog snel ook! Nederland was namelijk weer eens (bijna) te laat met het doorvoeren van de richtlijn en dreigde hiervoor een boete te krijgen van Brussel. De wet werd daarom versneld van kracht. Tijd was schaars en de webdevelopmentbedrijven begonnen te bellen. ‘Weet u wel dat u een hele hoge boete kunt krijgen?’. Zoals wel vaker lieten argeloze bedrijven zich hier door bang maken en lieten allemaal een dure pop-up plaatsen. Dit was echter alleen maar nodig als er gebruik werd gemaakt van de eerder genoemde tracking cookies, die in de Nederlandse wet als ‘niet-noodzakelijke cookies’ werden omschreven en veel websites gebruiken die cookies helemaal niet.

Hoe het ook zij, tegenwoordig moet je bijna bij elke website wel pop-ups wegklikken. Soms kan je zelfs de website niet eens gebruiken voor je het laten plaatsen van dergelijke cookies accepteert ( zie bijvoorbeeld de website van de Vrije Universiteit Amsterdam (VU)). Waarom deze website de bezoekers zo graag wilt volgen is mij een raadsel, maar feit is dat ze het doen.

Schieten we er iets mee op?
Nu we dit weten is het natuurlijk de vraag of deze maatregel werkt. Met andere woorden: wordt onze privacy nu beter gewaarborgd? Het antwoord is ja en nee. Aan de ene kant weet nu vrijwel iedereen wat een cookie is en dat is natuurlijk positief. Misschien denken mensen nu iets langer na over wat ze bij Google intypen.  Aan de andere kant weten veel mensen het verschil tussen de soorten cookies niet en weten zij dus niet waar zij nou eigenlijk mee instemmen. Nog erger is natuurlijk het voorbeeld van de website van VU waar een keuze niet eens mogelijk is. Feitelijk gezien geeft de gebruiker verplicht een vrijbrief aan de universiteit om door middel van cookies alles te volgen wat zij op het internet doen. Daar komt bij dat doordat er zoveel pop-ups zijn en de gebruiker de website toch wilt zien er eigenlijk altijd stomweg op ‘accepteren’ wordt gedrukt. Er kan dus gesteld worden dat de maatregel in de praktijk nogal nutteloos is. Ook is het maar de vraag of ook buitenlandse bedrijven zich altijd aan de Nederlandse wetgeving houden (nee). De pop-ups creëren dus in feite een vals gevoel van veiligheid.

Wat dit alles nog krommer maakt is dat sommige van de cookies die worden geplaatst helemaal niet ‘schadelijk’ zijn voor de privacy van de gebruikers. Sommigen van deze cookies worden namelijk gebruikt voor bijvoorbeeld Google Analytics. Dit programma dat is bedoeld voor webdevelopers laat o.a. zien hoeveel mensen per dag de website bezoeken en op welke pagina’s zij klikken. Zonder deze data is het voor ons onmogelijk een goede en functionele website te maken. Wij kunnen verder niets met deze data. Het is niet mogelijk om te zien wie er nu precies hoe laat op een pagina heeft gedrukt en al helemaal niet welke webpagina’s deze gebruiker nog meer heeft bezocht. Desondanks vallen deze cookies toch onder de huidige wetgeving en moet er dus toestemming gevraagd worden voor het plaatsen van deze bestanden.

Verandering
Gelukkig wordt er op 26 maart 2014 een wetsvoorstel ingediend ter aanpassing van de huidige wet. In de nieuwe wet zou er geen toestemming meer gevraagd hoeven te worden voor cookies die niet privacygevoelig zijn. Hier worden dus de hier boven genoemde analytic cookies bedoeld. Als deze aanpassing wordt doorgevoerd is het voor de gebruiker duidelijker dat als zij instemmen met het plaatsen van cookies dit ook echt cookies zijn die de privacy aantasten. Hopelijk zullen de gebruikers dan even nadenken voor zij op accepteren drukken.

De conclusie
Nu is alles wat hier boven staat natuurlijk heel mooi juridisch geformuleerd en zijn de bovenstaande wetten en richtlijnen met de beste bedoelingen gemaakt, maar het is de vraag of dit de kant is die we op moeten gaan. Is privacy op internet niet sowieso een illusie? Zouden de gebruikers er niet gewoon van uit moeten gaan dat alles wat zij doen op het internet in de gaten gehouden wordt en hun gedrag hier aan moeten aanpassen? Waarom moet de overheid zich hier mee bemoeien en de burger dus een vals gevoel van veiligheid geven? Het grootste risico voor de privacy zijn namelijk de gebruikers zelf.

Zoals de Amerikaanse cryptografiedeskundige Bruce Schneier zegt: the user’s going to pick dancing pigs over security every time.

brian-schneier-bw

 

Wiebe

 

Update:
Inmiddels is de cookiewet aangepast en hoeft er geen toestemming meer gevraagd te worden voor het plaatsen van de eerder genoemde analytics cookies, mits zij niet gebruikt (kunnen) worden om een profiel op te maken van de gebruiker. Met Google Analytics is het mogelijk om een dergelijk profiel te maken en voor het gebruik van dit programma is het dus nog steeds verplicht toestemming van de gebruiker te vragen. Daarbij is het voor websites als de website van de Belastingdienst niet meer toegestaan om ‘cookiemuren’ op te werpen. Het moet voor de gebruikers van dergelijke websites dus mogelijk zijn om de website ook te gebruiken als zij niet akkoord gaan met het plaatsen van cookies. Misschien zou de VU hier als semi-overheidsinstantie ook lering uit kunnen trekken..