Cookies beheren met... cookies!

June 12, 2011
4

De Tweede Kamer stemt komende dinsdag over een wetsvoorstel waardoor bezoekers van websites expliciet toestemming gevraagd moet worden voor het plaatsen van cookies. Adverteerders en websitebeheerders zijn tegen deze plannen. Als belangrijk argument noemen zij dat de wet onuitvoerbaar is. Gebruikers zouden een grote stroom pop-ups moeten wegklikken iedere keer dat ze een website bezoeken. Dit is echter een verkeerde voorstelling van zaken.

Je hoeft een terugkerende gebruiker niet opnieuw om toestemming te vragen om cookies te plaatsen. Die toestemming kun je namelijk ook opslaan... in een cookie! De Europese richtlijn (vanwege welke de Nederlandse telecomwet moet worden aangepast) maakt namelijk een uitzondering voor cookies die technisch gezien noodzakelijk zijn voor het inrichten van een webgebaseerde dienst. Voor dergelijke cookies hoeft geen expliciete toestemming gevraagd te worden. Een voorbeeld van zo'n cookie is een sessiecookie die gebruikt wordt om je boodschappen in het winkelmandje van een webwinkel bij te houden.

Deze uitzondering geldt ook voor een cookie waarin staat of de gebruiker cookies voor deze website al dan niet accepteert. Ook dat is immers puur een technische maatregel zonder welke de toestemming niet opgeslagen kan worden. Bovendien maakt zo'n toestemmings-cookie een gebruiker niet traceerbaar. Het is dan wel van belang dat er verder geen identificerende gegevens in deze cookie staan: een simpele cookie met enkel de waarde 'ja' of 'nee' volstaat. Het is verstandig om deze cookie een beperkte geldigheid te geven, zodat de gebruiker om de zoveel tijd om zijn voorkeur gevraagd wordt. Merk op dat iedere website zijn een eigen toestemmings-cookie heeft. Een gebruiker kan dus zijn voorkeur per website aanpassen.

Zijn er ook nadelen? Jazeker. Strikt gesproken zijn cookies niet persoonsgebonden, maar apparaat-gebonden. Cookies staan opgeslagen op de harde schijf van één specifieke computer. Als je met een andere computer op het web surft, zul je opnieuw je voorkeuren moeten aangeven. Als je een computer account deelt met anderen, dan kan het zijn dat een eerdere gebruiker zijn voorkeuren al heeft vastgelegd in een cookie. Jij krijgt die mogelijkheid dan zelf niet meer. Merk overigens op dat het toestemming geven voor cookies via de standaardinstellingen van de browser exact dezelfde bezwaren kent.

Deze nadelen wegen niet op tegen de voordelen. Door gebruik te maken de geschetste oplossing hoeven gebruikers geen eindeloze stroom van pop-ups weg te klikken. Gebruikers bezoeken immers maar weinig onbekende sites op een dag. De oplossing werkt met alle huidige browsers, en is ook bij website beheerders zeer eenvoudig te implementeren. Het wetsvoorstel is daarom wel degelijk uitvoerbaar.

Update 12-6-2011 22:37 (n.a.v. comment): Voor third party cookies, van o.a. advertentienetwerken, zie ik twee mogelijkheden.

Het advertentienetwerk vraagt zelf toestemming voor haar cookies. Dat betekent een keer extra toestemming vragen bij de eerste keer dat de gebruiker een website bezoekt die gebruik maakt van dat advertentienetwerk. Bij het bezoeken van een andere website die van hetzelfde advertentienetwerk gebruik maakt hoeft die toestemming niet nogmaals gevraagd te worden. Een website die gebruik maakt van diensten van veel derden loopt het risico dat zij nieuwe gebruikers afschrikt omdat er verschillende keren om toestemming gevraagd wordt.

Als alternatief wordt het begrip 'plaatser' van een cookie geïnterpreteerd als de website die de gebruiker bezoekt (en niet het advertentienetwerk dat op de achtergrond ook een rol speelt en de cookie daadwerkelijk plaatst). Vanuit de gebruiker gezien is dat ook logischer: die bezoekt simpelweg één bepaalde website en 'ziet' al die achterliggende partijen niet. Dit biedt ook de mogelijkheid om per site te volstaan met één toestemmingscookie: als de gebruiker maar duidelijk wordt uitgelegd waar hij toestemming voor geeft. Dat zal niet altijd eenvoudig zijn. Bovendien moet er voor gezorgd worden dat geaccepteerde third party cookies niet toch zonder toestemming worden gebruikt bij een bezoek aan een andere website (waar geen toestemming voor cookies is gegeven). Bijvoorbeeld als die website van hetzelfde advertentienetwerk gebruik maakt. Dit kan geregeld worden door verschillende domeinen te gebruiken voor het plaatsen (en weer teruglezen) van cookies en voor het plaatsen van de daadwerkelijke content. De website kan zo het uitlezen van de cookies voorkomen zonder dat de plaatsing van de content hier onder lijdt.

In case you spot any errors on this page, please notify me!
Or, leave a comment.
Maasman
, 2011-06-12 18:15:32
(reply)

De richtlijn en wet vereisen dat de ‘plaatser’ (bijv adverteerder) van cookies toestemming heeft, dat is vaak niet de website beheerder, en er zijn meestal meerdere plaatsers per site. Oplossing dat gebruiker per site toestemming geeft is daarom niet uitvoerbaar en in strijd met richtlijn en wet. Legt nl. verplichting op verkeerde partij. Wel uitvoerbaar= heldere info over cookies verstrekken bij de oba advertenties volg-me-niet register waar gebruiker zich gemakkelijk kan afmelden en daarnaastNEE kunnen zeggen dmv browserinstellingen. En natuurlijk opnemen in mediawijsheidprogrammas, vanaf jonge leeftijd. Zorgt voor kritische webconsumenten, ook als er nieuwe technieken worden bedacht die nu nog niet wettelijk zijn geregeld.

Jaap-Henk
, 2011-06-12 21:43:35
(reply)

Toestemming voor third party cookies kan ook prima op deze manier worden vorm gegeven. Dit was inderdaad niet duidelijk aangegeven in de oorspronkelijke blogpost. Ik heb inmiddels de blog-post aangepast.

Merk overigens op dat juist het beheren van de toestemming voor cookies door browsers de verantwoordelijkheid bij de verkeerde partij neerlegt.

Rejo Zenger| Cookies beheren met… cookies!
, 2011-06-18 10:25:57
(reply)

[…] volgens TNO-onderzoeker Hoepman is het niet zo lastig.Jaap-Henk Hoepman schrijft in het artikel Cookies beheren met… cookies!:Zijn er ook nadelen? Jazeker. Strikt gesproken zijn cookies niet persoonsgebonden, maar […]

De cookie-cookie « Jaap-Henk Hoepman – on security, privacy and…
, 2012-06-08 21:19:41
(reply)

[…] (en met name het feit dat deze gebruiker geen cookies wenst) kunt onthouden. Maar daar is volgens mij een eenvoudige oplossing voor. De […]