Stop het stiekem volgen van jouw surfgedrag
Weet jij welke bedrijven jouw surfgedrag stiekem volgen? Waarschijnlijk niet. Toch gebeurt dit steeds meer. Daarom is in Europa besloten dat bedrijven jou alleen over het web mogen volgen, als je daarvoor toestemming hebt gegeven. Die regels moeten nu worden omgezet naar de Nederlandse wet. De marketingbranche zou die Europese regels graag verwaterd zien. Ons advies aan de Tweede Kamer: houd voet bij stuk en zorg dat bedrijven internetgebruikers alleen mogen volgen als daarvoor écht toestemming is gegeven.
Met cookies kan jouw surfgedrag worden gevolgd en een profiel van jou worden aangelegd
Bedrijven kunnen jouw online surfgedrag volgen, bijvoorbeeld met cookies, een uniek bestandje dat op jouw computer wordt geplaatst. Sommige bedrijven beheren advertentieruimte op verschillende sites (soms wel honderdduizenden verschillende sites), en kunnen via die advertentieruimte jouw bezoeken op al die websites volgen. Op die manier kunnen ze een profiel van je samenstellen: “single, diabetes, reist vaak, gaat nieuwe auto kopen, etc…“. De meeste gebruikers weten niet dat dit gebeurt, laat staan dat ze weten hoe ze er iets tegen kunnen doen.
Europa verplicht een opt-in regeling voor cookies
Dat moet veranderen, en dat vond men ook in Europa. Daarom is op Europees niveau bepaald dat, kort gezegd, een website geen informatie op jouw computer mag plaatsen en lezen zonder jouw toestemming. Het installeren van bijvoorbeeld spyware, maar ook het plaatsen van een cookie, mag dus niet zonder toestemming van de gebruiker: een opt-in systeem. Nota bene: er is een uitzondering voor de opslag of toegang die strikt noodzakelijk is om een uitdrukkelijk gevraagde dienst te leveren. Er is dus geen toestemming vereist voor, bijvoorbeeld, het gebruik van cookies ten behoeve van de functionaliteit van webwinkels.
Default-browserinstellingen zijn bepalend voor vraag of toestemming is gegeven
Nu is het natuurlijk voorstelbaar dat internetgebruikers wél gevolgd willen worden. Dan kunnen ze daarvoor toestemming geven. Als dat veel tijd kost, zou het geven van toestemming via browserinstellingen kunnen plaatsvinden (de browser geeft dan bijvoorbeeld aan: “ik wil graag gevolgd worden door Omniture”).
Maar pas op: het geven van toestemming via browserinstellingen mag er nooit toe leiden dat deze opt-in regeling in de praktijk een opt-out regeling wordt. De internetgebruiker kan die toestemming alleen maar geven via een vrije, specifieke en op informatie berustende wilsuiting. Als via de default-privacyinstellingen van een browser het standaard is toegestaan om gebruikers te volgen, is deze vereiste toestemming niet gegeven. Ook is de vraag of gegeven toestemming wel voldoende specifiek is: een onbepaalde termijn voor toestemming zal niet snel voldoende specifiek zijn.
Marketinglobby stelt opt-out systeem voor
De marketinglobby, zo lezen we op de site van de Nederlandse marketingbranche DDMA, stelt een opt-out systeem voor, in plaats van het Europese opt-in systeem. Op een centrale website zou je gewenste cookies kunnen “uitschakelen”. Daarmee zou de Europese regelgeving sterk verwaterd worden en zouden we niet veel zijn opgeschoten. Want de meeste internetgebruikers zullen geen gebruik maken van die opt-out mogelijkheid. Het is daarom belangrijk dat we de Europese regels goed overnemen in de Nederlandse wet en niet verwateren bij de implementatie.
Verkeerde informatie aan Tweede Kamer verstrekt
Terzijde: het is goed verdedigbaar dat in Nederland al een opt-in regeling voor cookies gold, maar die werd niet gehandhaafd. In het Besluit Universele Dienstverlening en Eindgebruikersbelangen (art. 4.1) staat namelijk al jaren dat beheerders van websites de gebruiker voorafgaand aan het plaatsen van een cookie moeten informeren en deze de gelegenheid moeten bieden om een cookie weigeren. Het is dan ook volstrekt onduidelijk hoe de marketinglobby in een brief aan de Tweede Kamer (PDF) glashard het tegengestelde kan schrijven. Ze informeert de Tweede Kamer onjuist (PDF) en we zijn benieuwd of de DDMA nog een rectificatie stuurt naar de kamerleden over dit punt.
Tot slot: vragen?
We merken dat vooral de technische community vragen heeft over de cookie-regeling: waar is dit nu goed voor, blijft mijn webshop wel werken, krijg ik straks duizenden pop-ups als ga surfen, etc.? Veel daarvan zijn te wijten aan misverstanden die we hopelijk makkelijk kunnen wegnemen. Dus heb je nog vragen? Stel ze hieronder. Dan komen wij erop terug. En als je nog meer wil lezen over behavioral profiling, dan kan je beginnen bij een recent artikel van Frederik Zuiderveen Borgesius (PDF) en het onderzoek van TNO/IViR (PDF).