Waarschijnlijk ergert u zich rot aan al die `pop-ups` waarop u tegenwoordig moet klikken voordat u de inhoud van websites kunt bekijken. De cookiewet is een rot wet, verzucht bijna iedereen.
Over welke wet hebben we het eigenlijk, er is helemaal geen cookiewet
Om de ellende en de verwarring nog maar wat groter te maken: de cookiewet bestaat helemaal niet. Wat in het spraakgebruik, en door sommige juristen met sluw gevoel voor marketing – Neem Cookiecare af en wij zorgen voor 425 euro dat u cookieproof bent! – , als cookiewet wordt aangeduid is simpel een artikel uit de telecomwet: Artikel 11.7a
Wat zegt dit artikel:
- Onverminderd de Wet bescherming persoonsgegevens dient een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker:
- de gebruiker duidelijke en volledige informatie te verstrekken overeenkomstig de Wet bescherming persoonsgegevens, en in ieder geval omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en
- van de gebruiker toestemming te hebben verkregen voor de desbetreffende handeling.
- De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het geval op een andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk gegevens worden opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen gegevens.
- Het bepaalde in het eerste en tweede lid is niet van toepassing, voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel:
- de communicatie over een elektronisch communicatienetwerk uit te voeren, of
- de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is.
- Bij algemene maatregel van bestuur kunnen in overeenstemming met Onze Minister van Veiligheid en Justitie nadere regels worden gegeven met betrekking tot de in het eerste lid, onder a en b, genoemde vereisten. Het College bescherming persoonsgegevens wordt om advies gevraagd over een ontwerp van bedoelde algemene maatregel van bestuur.
Verder wordt de wet nader uitgewerkt in het zogenaamde advies van de Artikel 29-werkgroep
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_nl.pdf
Dan valt op hoe we bij de term cookies komen: `voor het gebruik van cookies, met dien verstande dat deze term ook soortgelijke technologieën omvat`.
Goed de cookie is dus vaktaal in deze wet, maar de pers zou toch in haar berichtgeving melding moeten maken dat het niet alleen om cookies gaat, dan weten gebruikers ook waar het over gaat.
Verder zegt de toelichting dat cookies voor bijvoorbeeld het instellen van de gebruikersinterface, zoals de taal, buiten de wet vallen voor zover ze een korte levensduur hebben, maximaal enkele weken, of maanden, en alleen geplaatst mogen worden `indien de gebruiker de dienst uitdrukkelijk vraagt een informatie-item vast te houden, bijvoorbeeld door op een knop te klikken of een vakje aan te kruisen`
De Cookiewet Telecomwet zegt dus niet iets over cookies specifiek, maar over het `opslaan van gegevens in de randapparatuur van de gebruiker`. Cookies zijn bestandjes die soms in het geheugen worden bewaard, soms op de harddisk worden weggeschreven. Maar websites vragen ook toestemming om de cache te gebruiken, daarvoor worden zgn http headers meegeleverd die expliciet vragen dat uw computer deze bestanden opslaat, zodat ze een volgende keer niet opnieuw gedownload hoeven te worden.
Cache-Control: max-age=31536000
Het is niet strikt noodzakelijk om de cache te gebruiken, wie de cache in zijn computer uitzet, kan prima sites bezoeken, al zal het iets langzamer gaan. Cache kan worden geïnterpreteerd als hebbende het doel `de communicatie over een elektronisch communicatienetwerk uit te voeren`, maar de wet spreekt over uitsluitend het doel om communicatie uit te voeren. En hier wringt de schoen, cache is ook te gebruiken om gebruikers te tracken. Maanziek.nl zeg niet dat websites dat op grote schaal doen, maar het is mogelijk om met bepaalde geconstrueerde plaatje in de cache, een cookie na te bootsen. Dat zou betekenen dat ook voor gebruik van de cache in strikte zin van de wet toestemming gevraagd zou moeten worden. Dit is wellicht niet beoogd met de wet, maar goed, formuleer het dan beter, of wellicht is de wetgever niet op de hoogte van het feit dat de cache voor tracking gebruikt kan worden.
Waarom is de wet te moeilijk voor het bedrijfsleven
Websites zetten vrolijk cookies buiten de cookiemuur, dus als u geen toestemming hebt verleend, en het ook niet wil. Je ziet dan verder niets, behalve de cookiewaarschuwing, maar ja om dan al cookies te hebben, is natuurlijk de verkeerde weg. Misschien kan je toestemming krijgen om iemand een klap te verkopen, maar dan kan je niet iemand een klap verkopen voordat je toestemming hebt gekregen. Dit gebeurt onder andere bij Tweakers.net, wat gelijk aangeeft dat ook technici het niet goed begrijpen.
Websites implementeren halfbakken oplossingen die niet goed werken indien gerbuikers ervoor kiezen Javascript (deels) niet in te schakelen.
Dit vereist enige extra uitleg. Het internet is hoofdzakelijk opgebouwd uit die technieken, HTML, CSS en Javascript. Die drie technieken hebben drie verschillende functies: inhoud (HTML), opmaak (CSS) en functionaliteit (Javascript). Gebruikers kunnen er voor kiezen om bijvoorbeeld CSS uit te zetten, dan valt de opmaak, zoals marges en kleurgebruik, weg, en ziet de webpagina d’r uit alsof ie in 1995 gemaakt is. Waarom zou je dat doen? Omdat je kleurenblind bent, de letters te klein vindt, of de invulvelden te klein. Javascript kan je uitschakelen om andere redenen, zoals privacy, security en kostenbesparing.
Websites kunnen en mogen er niet vanuit gaan dat gebruikers Javascript volledig gebruiken. Bij websites die dit wel doen, kan het voorkomen dat u geen waarschuwing krijgt, terwijl er wel cookies geplaatst worden. Dat is bijvoorbeeld bij de Telegraaf het geval.
Waarom is de wet te moeilijk voor de pers
De pers heeft het vaak over een popup, dat is strikt genomen onjuist, het is geen popup, maar het lijkt op een popup. Het is een stukje tekst met een `geblurde` achtergrond. Het lijkt alsof u op een site met informatie bent, maar niets is minder waar. Een popup is een schermpje dat door middel van javascript wordt bestuurd, dat kan niet voldoen, zoals hierboven al aangegeven. Verder spreekt de pers systematisch over cookies, terwijl cookies slechts één van de vele technieken is om `gegevens op te slaan in de randapparatuur van de gebruiker`. Flash, Silverlight, Webstorage, (Localstorage, Sessionstorage), GlobalStorage, UserStorage, en zelfs Etags en png’s in de cache, zijn andere technieken. Bijvoorbeeld Microsoft maakt gebruik van deze alternatieve technieken, de zogenaamde supercookies. Daarnaast heeft de pers het over de Cookiewet in plaats van de Telecomwet. Laat nauwkeurigheid boven spraakgebruik gaan, en ja, het leven is moeilijk, maar met entertainment worden de problemen niet minder groot, maar slechts genegeerd. Schrijf de lezer niet naar de mond, dan krijgen we crisis op crisis.
Waarom is de wet te moeilijk voor de technici:
Zie bijvoorbeeld de discussie over de wet op Tweakers: http://tweakers.net/nieuws/86973/opta-cookiemuur-is-ongewenst.html?mode=nested&max=10&niv=0&order=asc&page=3#reacties
Verschillende malen wordt gezegd dat cookies voor het instellen van de taal functionele cookies zijn, dat zijn ze alleen maar als ze geplaatst worden NADAT de gebruiker op een knop heeft geduwd. Verder weet Tweakers niet het verschil tussen sessie en permanente cookies en plaatst Tweakers cookies die bijhouden wanneer je er voor het laatst geweest bent, en schijnen ze zelf niet eens te weten welke cookies er nu geplaatst worden en waarom. Verder begrijpen ze niet wat functionele cookies zijn, de website moet anders niet of onvolledig werken als cookies compleet uitgeschakeld zijn
Waarom is de wet te moeilijk voor de toezichthouder
De OPTA zegt dat de Publieke omroep (NPO) voldoet aan de Cookiewet Telecomwet, terwijl het College Bescherming Persoonsgegevens (CBP), zegt dat de NPO de wet overtreedt doordat ze gebruikers dwingt te betalen met hun persoonsgegevens (geen inhoud zonder cookies), voor aanbod van diensten die vrij moeten zijn.
De OPTA zegt dat Tweakers.net aan de wet voldoet, terwijl Tweakers.net drie cookies zet, zonder dat daarvoor toestemming is verleend. Blijkbaar heeft de OPTA het niet goed onderzocht, of mist de OPTA de expertise.
De Cookiewet Telecomwet blijkt te moeilijk en niet uitvoerbaar, mede omdat de wet niet controleerbaar is. De toezichthouder begrijpt de wet zelf niet goed, en als wetten niet gehandhaafd (kunnen) worden, zouden ze gewoon afgeschaft moeten worden.