Irritant, vervelend, onnodig. Dat zijn enkele woorden die bij mij opkomen als ik denk aan de cookiewet en vooral bij de toepassing er van. Veel websites laten aan je weten dat ze cookies gebruiken, anderen vragen juist weer of je het er mee eens bent dat er cookies gebruikt wordt. Wanneer je dan niet akkoord gaat, kun je de website in vrijwel de meeste gevallen niet bekijken. Nu is de overheid nooit echt het toonbeeld wat ICT betreft (veel overheidsprojecten kosten bakken vol met geld en leveren weinig tevredenheid op, anderen, zoals de OV-chipkaart zijn gewoon prutserig in elkaar gezet terwijl voldoende bestaande systemen in omloop zijn die gewoon ingezet had kunnen worden), en dan nu die maffe cookiewet? Wat gaat hier fout, en is het eigenlijk wel in zijn geheel de schuld van de nieuwe cookiewet?
De cookies
De fout zit hem vooral in het niet begrijpen van de wet en de soorten cookies. Ook wordt er met de pet naar gegooid of wordt er gewoon geprobeerd de wet te omzeilen. Veel websites laten namelijk weten dat cookies noodzakelijk zijn om de website goed te laten draaien. Dit is in de meeste gevallen niet helemaal waar.
De Tracking-cookie
Er zijn een aantal typen cookies. De cookies waar de wet om zou moeten draaien noemen we tracking-cookies. Dit type cookie wordt gebruikt om bij te houden hoe vaak je op de website komt en wat je zoal bekeken hebt. Zo kunnen veel websites je de bekende "De klanten die dit product bekeken, bekeken ook..." lijsten tonen. Ook Google maakt gebruik van tracking-cookies om je zo gerichte advertenties te kunnen vertonen. Dit allemaal onder het mom van bijvoorbeeld een mogelijkheid tot bezoekersstatistieken aan te bieden voor website-beheerders. Dit laatste noemen ze ook wel Third-party cookies.
De tracking-cookies zijn absoluut niet noodzakelijk voor het gebruik van de website. Een website die geen functionele cookies gebruikt maar wel een pop-up toont met de melding dat de cookies strikt noodzakelijk zijn, liegt om de stroom van statistieken te kunnen waarborgen. Deze cookie valt onder de cookiewet, al wil de minister het een en ander afzwakken.
De voorkeuren-cookie
De voorkeuren-cookie is een cookie die, zoals de naam al zegt, voorkeuren opslaat op jou computer. Hierbij kun je denken aan de gebruikte stijl op een website (bij Hyves bijvoorbeeld kan je het persoonlijke of het standaard ontwerp tonen), of dat je bijvoorbeeld al gestemd hebt op een poll. De instellingen en gegevens hierover blijven ook na het sluiten van je browser of tot na dat je de cookies gewist hebt (waardoor je dus opnieuw op een poll kunt stemmen).
Noodzakelijk zijn deze cookies niet, in die zin dat heel veel dingen veel beter en makkelijker worden opgelost met bijvoorbeeld sessie-cookies of browser-fingerprints waarbij een aantal browser gegevens (zoals de naam, versie, Operating System) en eventueel een ip-adres gebruikt kunnen worden voor identificatie. De cookie levert alleen wat gebruiksgemak op, als je die kan missen kun je deze cookies rustig blokkeren. Deze cookie valt niet onder de cookiewet en is ongevaarlijk omdat deze cookie je niet daadwerkelijk "herkent". Website ontwikkelaars mogen deze cookie, zonder te vragen, gewoon inzetten. wel wordt geadviseerd om hier wel aandacht aan te besteden op je website. Het beste is een zinnetje in de footer in de trant van: "Deze website maakt gebruik van een wettelijk toegestane voorkeuren cookie voor bepaalde voorkeuren" en een link naar een pagina waar de cookiewet goed wordt uitgelegd.
De sessie-cookie
Als programmeur denk je wellicht: "huh?", maar jawel, ook sessies gebruiken cookies. Een sessie bestaat vanaf het moment dat je de website laad, inlogt op de website, tot dat je uitlogt of wanneer de browser sluit. Er worden geen gegevens bewaard aan de kant van de cliënt, zoals met de voorkeuren cookie wel het geval is, maar slaat, net als een tracking-cookie, alleen een identificatienummer op. Die wordt door de browser bij een request meegezonden. Dit zijn de enige cookies die daadwerkelijk als noodzakelijk kunnen worden bestempeld, omdat ze gebruikt worden bij bijvoorbeeld het identificeren van een gebruiker. Als je ingelogd bent bij je webmail, forum of je eigen blog, zal dat met dit type cookie worden afgehandeld. Deze cookie valt niet onder de cookiewet, al kan men ook met een sessie-cookie, al dan niet anoniem, statistieken verzamelen per bezoek.
Is die cookiewet (en dergelijke wetten) handig?
Nee, het is totaal niet handig. Ten eerste moet je bij de meeste sites bij ieder bezoek aangeven dat je cookies accepteert. De meeste websites weigeren je toegang als je de cookies niet accepteert. Zoals ik al eerder stelde kunnen websites en marketing-bedrijven je nog steeds identificeren aan de hand van de browser-fingerprint. Er zijn weliswaar plug-ins beschikbaar waarmee je dit tegen kunt gaan, maar er zijn mogelijkheden beschikbaar waarmee dit te omzeilen valt.
Door dat er steeds meer wetten worden gemaakt om tracking tegen te gaan en daarmee de privacy van de internetter te waarborgen, worden er steeds meer beveiligingscontroles onmogelijk gemaakt. De browser-fingerprints worden namelijk in combinatie met je IP ook gebruikt om te controleren of de sessie niet gehijackt is. Wanneer door een lek in je Operating System of browser je cookie wordt gejat, en de website controleert de fingerprint van je browser niet, is je sessie zo overgenomen. In Frankrijk zijn ze bezig met een campagne tegen deze techniek en dat baart mij zorgen op het gebied van beveiliging.
Wat mij ook zorgen baart is de versoepeling die aanstaande is in de wet. Analytic cookies zijn cookies die bedoeld zijn om gegevens te verzamelen waarmee de website te verbeteren is. Deze gegevens bij deze cookies kunnen net zo goed gebruikt worden voor tracking. Deze cookies worden in de toekomst gewoon toegestaan en daar hoeft dus geen melding van gegeven te worden. Dat betekend dus dat de Google Analytics cookies toegestaan worden.
Overigens is deze website (die gehost wordt door blogger) waarschijnlijk in felle overtreding van de huidige cookiewet omdat het geen melding maakt van de Google Analytics cookies. Een ontwikkelaar kan een extra regel code toevoegen waarmee aangegeven wordt dat het laatste deel van een IP-adres wordt weggehaald, zodat analytics niet valt onder deze wet. Dit kan ik helaas niet controleren of deze hier aanwezig is.
De fout in de wet?
Omdat besloten is de website-beheerder / ontwikkelaar verantwoordelijk te stellen in plaats van de browsers wordt dit massaal misbruikt. Omdat men in de marketing graag wil bijhouden waar de bezoekers in geïnteresseerd zijn om zo hun reclame campagnes beter te richten, probeert men zo vaag mogelijk te doen of te doen voorkomen dat het alleen maar om functionele cookies gaat waardoor hun website "niet te gebruiken valt". Daarbij zullen de meeste mensen gewoon op "OK" klikken zonder te lezen omdat ze geen zin hebben door te zoeken naar een andere vindplaats van de informatie die op die website geplaatst is. Hoe moet de overheid dit dan controleren? En hoe gaat dat dan met de buitenlandse websites die niet specifiek op Nederlandse gebruikers zijn gericht? Er is geen duidelijke afspraak wat betreft het melden van een website die niet voldoet aan de eisen. Maar als gewone burger die net aan kan googelen en een website kan gebruiken, zal niet begrijpen dat een website de cookiewet overtreed. gewoonweg omdat de browsers deze meldingen niet standaard geven. Kortom de cookiewet werkt averechts!
OPTA, de instantie die namens de overheid bevoegd is om de telecommunicatiewet te handhaven is ook niet gelukkig met de huidige wet. de opt-in is alleen in Nederland actief, en is oncontroleerbaar waardoor de wet niet te handhaven is.
hoe anders?
De wet had anders aangepakt kunnen worden, maar stuit op een aantal problemen van met name het bedrijfsleven. Allereerst had de regering browser-bouwers moeten aansporen duidelijke(re) notificaties te geven van de aanwezige cookies. Vanuit die melding zouden dan de instelling gewijzigd moeten kunnen worden met duidelijke hulp informatie over de typen cookies en welke cookies geblokkeerd kunnen worden. Hierbij worden dan standaard de tracking-cookies geblokkeerd of bij de eerste keer (net zoals die nieuwe browserkeuze venster in Windows Vista / 7) de vraag met wat u wilt. Een websitebouwer zou dan verplicht moeten worden een website zo te bouwen dat deze kan werken zonder cookies (hooguit dus alleen de sessie-cookie). Op die manier heb je de wetgeving veel beter in de hand.en worden van meer mensen de privacy gewaarborgd. Het enige nadeel is weer dat wanneer een bedrijf niet verplicht wordt mee te werken, het niet of nauwelijks zal doen. De functionaliteit om cookies te blokkeren is namelijk aanwezig in de meeste moderne browsers. Je moet alleen als leek zelf uitvogelen hoe die werken. De browser-bouwers werken dus mee, maar zorgen er voor dat ze de marketing en reclame business of hun eigen bedrijfsvoering niet in het vaarwater gaan zitten. Daarom is waarschijnlijk dus besloten is om het maar zo te doen zoals het nu gaat.
Maar hoe kom ik dan af van die irritante meldingen?
Lees je die toch niet, kan je het geen ene moer schelen, of heb je je browser al geconfigureerd? dan zijn er plug-ins voor de populaire browsers Chrome en Firefox. De bekendste en wellicht de beste op dat gebied (Wat mij betreft) is http://www.cookiesok.nl/. Wanneer je deze installeert, zal de plug-in iedere cookie automatisch accepteren. Het herkent heel veel websites en de daarbij behorende acceptatie-knop. Ook geeft de ontwikkelaar van de plug-in mogelijkheden aan ontwikkelaars om je website CookieOK-klaar te maken.
Geen opmerkingen:
Een reactie posten