Nieuwe regels voor cookies: wenselijk of niet?
Afgelopen donderdag deden we mee aan een debat over de nieuwe regels voor cookies. Deze regels, die komen uit Europa en binnenkort in Nederland worden geïmplementeerd, kunnen de privacy van gebruikers verbeteren, maar kunnen ook behoorlijk onhandig zijn, voor websitebeheerders, adverteerders en mogelijk ook voor gebruikers. Het Ministerie van Economische Zaken heeft haar standpunt nog niet bepaald, dus aan ons – en aan jullie – de vraag: wat is verstandig beleid?
Wat is er aan de hand?
De Europese regels bepalen, kort gezegd, dat een derde geen informatie op jouw computer mag plaatsen en lezen zonder jouw toestemming. Het installeren van bijvoorbeeld spyware, maar ook het plaatsen van een cookie, mag dus niet zonder toestemming van de gebruiker. Er is een uitzondering voor de opslag of toegang die strikt noodzakelijk is om een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst te leveren. (Terzijde: het is dus geen “cookieverbod”, zoals het door sommigen wordt genoemd: het is eerder “computerbescherming”).
Bijna alle websites gebruiken cookies: webwinkels, webmaildiensten, zoekmachines, advertentienetwerken, etc. Veel internetgebruikers zijn zich daarvan niet bewust. De Europese regels zijn erop gericht om dat te veranderen, zodat gebruikers zelf kunnen bepalen of cookies worden geïnstalleerd op hun computer.
Hoewel zo een regel op het eerste gezicht wenselijk lijkt, kan die ook onhandig zijn – voor websitebeheerders en voor gebruikers. Stel dat bij een dienst als Gmail of een website als nu.nl steeds wordt gevraagd of je akkoord gaat met het plaatsen van een cookie. Zo kan privacy-bescherming mogelijk zelfs averechts uitpakken: een haastige gebruiker zal te veel verzoeken juist als hinderlijk ervaren en ongezien goedkeuren.
De gewenste oplossing
Toch zijn die zorgen onzes inziens overdreven. De regels maken immers een uitzondering voor opslag en toegang die strikt noodzakelijk is om een gevraagde dienst te leveren. Het is goed verdedigbaar dat diensten als webmail en webwinkels cookies kunnen gebruiken zonder toestemming te vragen, want daarvoor is dit gebruik strikt noodzakelijk (alle sessie-gegevens in de URL verwerken is onpraktisch en minder veilig). Adverteerders die jouw surfgedrag willen analyseren kunnen weer niet profiteren van deze uitzondering, want deze “diensten” zijn niet uitdrukkelijk gevraagd.
Voor het gebruik van “ongevraagde”-cookies is dus toestemming nodig. Dat kan nog steeds onhandig zijn, maar het zou niet een reden moeten zijn om de regel af te schaffen, maar eerder een aansporing moeten zijn om het proces van toestemming geven makkelijker te maken.
Een mogelijke oplossing zou kunnen zijn dat browserfabrikanten in de rechterhoek van het venster laten zien dát een cookie wordt geplaatst (toevoeging 7/6/10: daarbij kan ook worden duidelijk gemaakt voor welke doeleinden die cookies gebruikt gaan worden). Voor “whitelisted” cookies (bijgehouden door gebruikers of niet-commerciële initiatieven) wordt geen toestemming gevraagd (toevoeging 7/6/10: de toestemming wordt “geautomatiseerd” gegeven). Voor de andere cookies zal de gebruiker dan wel toestemming moeten geven. De richtlijn (PDF) geeft een aanzet voor zo een oplossing in overweging 66, waar wordt gesuggereerd dat “de toestemming van de gebruiker met verwerking [kan] worden uitgedrukt door gebruik te maken van de desbetreffende instellingen van een browser of een andere toepassing”.
Wat vinden jullie?
Dat is onze aanzet voor een oplossing, maar we zijn benieuwd: wat vinden jullie? Laat je suggesties weten in de comments. Het Ministerie van Economische Zaken zal deze blog ongetwijfeld lezen, dus zo lever je meteen input op de nieuwe regels.
Deze afbeelding is gebaseerd op “Chocolate Chip Oatmeal Cookies” van Lara604, uitgebracht onder een Creative Commons Attribution 2.0 Generic licentie.