Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 117, views: 23.379 •

Minister Kamp van Economische Zaken gaat een uitzondering voor cookies van statistiekensoftware toestaan binnen de bestaande Nederlandse cookiewet. Websites hoeven dan geen toestemming meer te vragen van bezoekers om 'analytische cookies' te plaatsen.

Kamerlid Kees Verhoeven van D66 diende eind november een voorstel in om de cookiewet te verruimen met een uitzondering voor statistiekensoftware. Verhoeven is blij dat Kamp het met hem eens is: "Nu kunnen bedrijven en mensen met een website vrijwel onmogelijk statistieken van bijvoorbeeld bezoekersaantallen meten. Terwijl dit juist nodig is om een website goed te laten werken."

De minister zegt in een brief aan de Tweede Kamer het voorstel met de Opta besproken te hebben. "Daarbij is gezamenlijk geconcludeerd dat, mits voldaan is aan bepaalde voorwaarden, er mogelijkheden zijn de wet zo toe te passen dat voor het plaatsen en lezen van first party analytische cookies geen toestemming hoeft te worden verkregen van de gebruiker", aldus de minister.

Het gaat specifiek om first party analytische cookies die website-aanbieders plaatsen om anoniem gemaakte gegevens te verzamelen over bezoekers van hun eigen website. Voorwaarde is dat die gegevens niet gedeeld mogen worden met anderen. Anders dan sommige media berichten past Minister Kamp de wet niet aan voor de uitzondering, maar onderzoekt hij of er ruimte is binnen de huidige cookiewetgeving.

"Deze gegevens kunnen een positieve invloed hebben op de gebruikersvriendelijkheid van
een website", vindt de minister. "Ik wil voor eigenaren van websites een drempel weghalen om over die gegevens te kunnen beschikken maar zonder de privacy van bezoekers aan te tasten." De minister zal de verdere voorwaarden met de OPTA uitwerken.

Reacties (117)

Reactiefilter:-11170116+1103+211+31
Nee, anders: oh no, geen analitics.

Op bladzijde 1 van elk hoofdstuk over cookies staat dat je er niet op kunt vertrouwen dat de bezoeker's browser cookies ondersteund. Dus iedere webbouwer zal weten dat de site ook zonder cookies moet werken, anders kost het je gewoon bezoekers/klanten.

Maar het zou natuurlijk kunnen zijn dat je statietieken belangrijker vindt dan klanten...
kwestie van inschatten: hoeveel veel bezoekers hebben een browser die geen cookie ondersteund (bestaan die nog?), en hoe veel inkomsten mis je daardoor. Vergelijk dat met de kosten die je moet maken om een website ook zonder cookies te laten werken.
Een browser die cookies standaard blokkeert is hetzelfde als een browser die ze niet ondersteund. Ik denk inderdaad niet dat er nog browsers zijn zonder ondersteuning, zelfs commandline browsers ondersteunen dat, maar daar gaat het niet om, het gaat er om dat je er niet vanuit moet gaan dat jouw cookie ook echt wordt geaccepteerd.
Het is niet zozeer dat je er vanuit moet gaan dat het niet werkt, het is gewoon dat je er niet vanuit moet gaan dat het altijd werkt. Of je daar wat mee doet staat er bovendien ook compleet los van.
Robustness principle
From Wikipedia, the free encyclopedia
(Redirected from Robustness Principle)
Jump to: navigation, search

In computing, the robustness principle is a general design guideline for software:

Be conservative in what you do, be liberal in what you accept from others (often reworded as "Be conservative in what you send, liberal in what you accept").

The principle is also known as Postel's law, after Internet pioneer Jon Postel, who wrote in an early specification of the Transmission Control Protocol that:[1]

TCP implementations should follow a general principle of robustness: be conservative in what you do, be liberal in what you accept from others.

In other words, code that sends commands or data to other machines (or to other programs on the same machine) should conform completely to the specifications, but code that receives input should accept non-conformant input as long as the meaning is clear.
Aangezien veel sites wel iets van een inlogsysteem hebben op basis van sessies met cookies is er vanuit gaan dat een gebruiker geen cookies ondersteunt al heel lang niet meer van deze tijd, zelfde geldt voor Javascript. Om nou voor die 0,0001% een heel systeem te maken om je website zonder cookies te laten werken.. Nah.
theorie # praktijk

ik denk dat je al heer hard moet zoeken om een hedendaagse browser te vinden die geen cookies ondersteund, laat staan dat die een marktaandeel heeft van meer dan 1%
Mja ondertussen zijn er echt zoveel cookiemogelijkheden dat er bij bijna elke gebruiker wel een cookie te plaatsen is.

Evercookie is hier een goed voorbeeld van en maakt gebruik van:
  • Standard HTTP Cookies
  • Local Shared Objects (Flash Cookies)
  • Silverlight Isolated Storage
  • Storing cookies in RGB values of auto-generated, force-cached
  • PNGs using HTML5 Canvas tag to read pixels (cookies) back out
  • Storing cookies in Web History
  • Storing cookies in HTTP ETags
  • Storing cookies in Web cache
  • window.name caching
  • Internet Explorer userData storage
  • HTML5 Session Storage
  • HTML5 Local Storage
  • HTML5 Global Storage
  • HTML5 Database Storage via SQLite
Het probleem is tegenwoordig niet meer dat developers niet zeker weten of ze een cookie kunnen plaatsen, maar dat gebruikers bijna geen controle hebben op de plaatsing van cookies. Dat is ook de hele reden dat deze wetgeving is ingevoerd.

[Reactie gewijzigd door Creesch op 20 december 2012 17:17]

In mijn opzicht kan de cookiewet veel beter:
  • Altijd toestaan van "zichtbare cookies" die worden geplaatst via technieken waarvoor het bedoeld is (cookies, local storages).
  • Verbieden tenzij expliciet toestemming van de bezoeker voor het plaatsen van "ontzichtbare cookies" (RGB values, PNGs..)
Zoals de regelgeving nu is, is een beetje zinloos en zeer storend.
Dat niet alleen, de cookiewet in huidige vorm werkt niet. Sterker nog, het werkt alleen maar verstorend voor de gebruiker. Websites - waar de schuld wel deels bij ligt - bieden een hoogstirritante banner of pop-in, die zegt dat de website gebruik maakt van cookies en een OK knopje geeft, en als je t niet oké vindt mag je de site verlaten - had dus niet zoveel nut. Vooral die pop-ins die niet uit t scherm verdwijnen tenzij je toestemt. Godsamme. Er zijn zelfs sites die t echt zo stellen dat als je niet toestemt, de site niet voor je bruikbaar is. Pure bullshit. Daarnaast vraag ik me af of er op die ene site na ook echt cookies geblokkeerd worden. Geloof ik ook niets van. Als ze binnen dagen al een omweg voor de wet gevonden hebben door bovenstaande, zijn ze er vast ook al lang in geslaagd om cookies te plaatsen en die niet onder de wet te laten vallen. Bv de niet-conventionele cookies die niet cookies heten maar wel cookies zijn.

Tl;dr: Cookiewet zuigt. Hard.
De cookie wet is inderdaad irritant. Maar je moet niet vergeten dat gebruikers statistieken erg belangrijk zijn voor bedrijven. Business analisten gebruiken deze data om de website te verbeteren..

Google bied zelfs de mogelijkheid om Analystics te combineren met AdSense en AdWords.

Maar deze uitzondering verbaasd mij sterk. Alle kritiek van het Europees Parlement, FCC, BoF, etc gaan allemaal over de macht welke bedrijven zoals facebook (like knop) en Google (GA tracker en AdSense) krijgen door mega profielen op te bouwen. En nu wil de minister juist DEZE cookies wel zonder toestemming toe staan.

Terwijl Tweakers zonder toestemming niet mag bewaren of jij de tracker links of rechts wilt hebben. Terwijl geen enkele consument problemen heeft met dat soort non-essential cookies..

Dan doen de Britten het toch een stuk beter. Daar moet je als gebruiker alleen toestemming geven als derde partijen cookies mogen plaatsen (not same-origin policy). Standaard kan een website dus alle cookies aanmeken welke het nodig heeft, maar op het moment dat je een like button of Analystics opneemt in je website moet de gebruiker toestemming geven. De beredenering hierachter vind ik mogelijk zelfs nog beter: De gebruiker kies er bewust voor om een bepaalde website te bezoeken, maar niet voor like buttons of statistiek trackers..

Daarbij kan de EU prima eisen dat browser standaard cookies van derde partijen blokkeert tenzij de gebruiker aangeeft dat ze wel geplaatst mogen worden.. Als Microsoft, Mozilla en Google (slechts drie partijen) dat zouden implementeren heb je voor ruim 95% van de wereldbevolking de privacy problemen opgelost. Andere browser developers zoals Opera en Safari zullen dan snel volgen..
Als ik me niet vergis zijn de Facebook en Google tracking cookies nagenoeg nooit first party analytische cookies, deze hebben dan evengoed dus nog toestemming nodig.
Vallen Google cookies dan onder first party cookies? Lijkt me van niet.
Jawel, de javascript wordt weliswaar van een Google server geladen, maar wordt vervolgens op de eigen pagina uitgevoerd. De cookies worden gezet op het eigen domein. Google kan deze cookies niet direct lezen. De informatie ontvangen ze wel alsnog via andere wegen natuurlijk.
Het is wel zo dat je door een regel code aan de GA code toe te voegen de ip-adressen kunt anonimiseren.
@Fastman. Dat is niet waar. Je eigen javascript kan gewoon de cookies uitlezen, omdat ze worden gezet op het eigen domein. Probeer het 's zou ik zeggen.
"This effectively makes Google Analytics cookies the personal property of your website domain, and the data cannot be altered or retrieved by any service on another domain."

Bron.

Dat alle info alsnog richting de servers van Google gaat ontken ik natuurlijk niet.
Klopt inderdaad dat Google Analytics op eigen domein geplaatst wordt. Maar... zodra je die data gaat delen met bijvoorbeeld Google dan is het niet toegestaan.
Het gaat specifiek om first party analytische cookies die website-aanbieders plaatsen om anoniem gemaakte gegevens te verzamelen over bezoekers van hun eigen website. Voorwaarde is dat die gegevens niet gedeeld mogen worden met anderen.
Het bewaren of de tracker-balk links of rechts staat valt mijnsinziens onder de noemer functionele cookies, die wel weer toegestaan zijn. Probleem is dat de huidige implementatie van de wet totaal oncontroleerbaar is; gaat de OPTA alle bedrijven die statistieken aanbieden vragen of de gegevens misschien ook worden verkocht aan derden?

Ook heel fijn voor alle bedrijven die zich keurig aan de wet hielden en door hun webbouwer een cookiebalk oid hebben laten implementeren. Krijgen deze bedrijven een vergoeding?

Off-topic: misschien wil je jezelf eens inlezen in het fenomeen Engelse ziekte ...
De extra tijd en geld die het kost om een site te ontwikkelen die ook zonder cookies nog werkt staat tegenwoordig in 99% van de gevallen niet meer in verhouding tot de winst die nog valt te behalen.
Ik zie niet waarom het nu al een rampkabinet is. Het is er net, het heeft zich nog niet kunnen bewijzen. Mocht het toch (weer?) uitdraaien op een fiasco, dan geef ik je gelijk natuurlijk.

Ik twijfel of we blij moeten zijn met het versoepelen van dit cookieverbod... een belangrijke aandeel van analytics zijn bedoeld voor de ad-wereld waar ze kunnen checken of een product echt afgenomen wordt etc. Die paar bedrijven/mensen die werkelijk wat meer kunnen/doen met analytics zijn er volgens mij niet noemenswaardig veel. Want je zou daar een dagtaak aan kunnen toewijden om die analytics te begrijpen en te bespelen. Dat zie je nergens terug als beroep/vacature?
Gaan ze eindelijk het licht zien?

Zonder analytische gegevens kan je haast geen website draaien.. Je wilt weten waar gebruikers naar zoeken en waar gebruikers vastlopen.. Dus statastieken opbouwen en daarop kan je dan je website op aanpassen.

Ook als jij echt geld verdien via de site. Zou het handig zijn om te weten waar mensen naar zoeken..
Kan dat niet gewoon zonder cookies bijvoorbeeld met de server logs? Ik weet wel dat dit niet handig zou zijn, maar als je de cookiewet wil omzeilen en toch statistieken wil hebben... Daarbij zullen serverlogs veel accurater zijn aangezien je die niet kan blokkeren.
Server logs mogen inderdaad nog gebruikt worden. Daarom heeft de Nederlandse versie van deze wet weinig zin.
Is dat wel toegestaan? Dat is ook zonder toestemming het tracken van een gebruiker.
Correct, het gaat er om wat je doet, niet hoe je het doet.
Een serverlog is alleen beschikbaar voor de eigenaar van de site en wordt niet direct ook aan grote commerciele organisaties gegeven.

Bovendien kun je daar wel aan zien welke pagina's hoe vaak bezocht worden, op welke pagina mensen de site binnenkomen, en met wat moeite zelfs het pad dat ze afleggen (op basis van ip-adres bijvoorbeeld), maar het is een stuk minder privacygevoelig dan een cookie dat 10 jaar lang blijft aangeven dat dit dezelfde persoon is.

En serverlogs zijn inderdaad veel betrouwbaarder. Zonder cookies meet google niets, terwijl het pagina's uit de cache (bijvoorbeeld als je de back-knop gebruikt) dubbel telt. Maar een serverlog kan er ook naast zitten, bijvoorbeeld als een bedrijf een proxy gebruikt (bijvoorbeeld een mobiele provider die pagina's optimaliseert voor gsm's).
Ik zie vaak zo'n 20% verschil tussen wat er volgens mijn serverlogs is uitgeserveerd en wat google zegt dat er bekeken is.
De usability van je website meten moet je in een gecontroleerde omgeving doen, meten op de productieomgeving is gewoon niet betrouwbaar.

[Reactie gewijzigd door Roland684 op 20 december 2012 16:30]

Een serverlog is alleen beschikbaar voor de eigenaar van de site en wordt niet direct ook aan grote commerciele organisaties gegeven.
Helaas is het 'doorgeven aan een commerciele organisatie' geen vereiste voor het wel of niet strafbaar zijn van trackingmethodes.
De cookiewet heeft eigenlijk een foute naam: het gaat niet specifiek om cookies, maar om alle gegevens die je uitleest of plaatst bij randapparatuur (computers telefoons etc) van bezoekers. Voor dat lezen en plaatsen is toestemming nodig.
bron: http://blog.iusmentis.com...n-wel-onder-de-cookiewet/
Ik vraag me af of een ipnummer wel onder uitlezen valt. De client stuurt deze zelf normaal gesproken op en is ook nodig voor communicatie, anders mag Brein etc. ook je IP nummer niet gebruiken om je te traceren zou ik zeggen (dat doen ze wel?).
En een ingelogde bezoeker is geen anonieme bezoeker. Die gegevens krijg je toegespeeld van de gebruiker. Zolang je die voor je eigen bedrijfsvoering gebruikt (zonder thirdparties / gelieerde bedrijven erbij), dan zijn je algemene voorwaarden (bij een aankoop/aanmaken account) genoeg om aan te geven dat je gegeven X voor doeleind Y gebruikt. Of denk ik nu te logisch en is de wet dat niet?
Ik vraag me af of een ipnummer wel onder uitlezen valt. De client stuurt deze zelf normaal gesproken op en is ook nodig voor communicatie, anders mag Brein etc. ook je IP nummer niet gebruiken om je te traceren zou ik zeggen (dat doen ze wel?).
En een ingelogde bezoeker is geen anonieme bezoeker. Die gegevens krijg je toegespeeld van de gebruiker. Zolang je die voor je eigen bedrijfsvoering gebruikt (zonder thirdparties / gelieerde bedrijven erbij), dan zijn je algemene voorwaarden (bij een aankoop/aanmaken account) genoeg om aan te geven dat je gegeven X voor doeleind Y gebruikt. Of denk ik nu te logisch en is de wet dat niet?
Achtergrond: Ik werk zelf bij mediabureau en heb me de laatste drie weken verdiept in de impact van "cookie-wet" voor zowel adverteerders, media-bureaus, affiliates en publishers.

De wet (telecom en WBP) spreekt niet over cookies maar over het schrijven of lezen van data op/uit de randapparatuur van de gebruiker.

Als je deze ip-gegevens opslaat is er sprake van inbreuk op de wet bescherming van persoonsgegevens (WBP). Elke vorm van data (niet fucntioneel) die gebruikers los van elkaar kan herleiden is strafbaar (zonder expliciet afgegeven consent). Eerder genoemde technieken als fingerprinting zijn dus ook niet toegestaan binnen deze wet.

De vraag is overigens welke voorwaarden het kabinet en de OPTA/College Bescherming Persoonsgegevens (CBP) gaan stellen voor het categoriseren van een 1st party analytics cookie. De gegevens van de analytics worden namelijk bij Google gehost (en zijn ook voor Google inzichtelijk).

Het is mijn optiek zeer frappant dat vanaf 1 januari zaken strafbaar zijn, waarbij zelfs de OPTA/CBP geen eenduidige antwoorden kan geven op een aantal cruciale vragen.
Ik zou zeggen lees je nog maar eens in, want momenteel zit je op een fout spoor.

IP-adressen vallen op zichzelf niet onder de WBP
IP-adressen vallen inderdaad op zichzelf niet onder de WBP. Laat me dit nuanceren;

"Niet alleen gegevens die direct zijn te herleiden tot een individu zijn persoonsgegevens. Ook gegevens die in het algemeen iets vertellen over een persoon worden gezien als persoonsgegevens. De informatie moet dan wel te herleiden zijn tot die bepaalde persoon" Bron.

Het zonder consent opslaan van persoonsgegevens, al is het onder de noemer van een naam of bijvoorbeeld een IP-adres (al dan niet ontdaan van het laatste octet) is hiermee een schending van de WBP.

Een lijst met IP-adressen opslaan is niet verboden, zolang hier maar geen persoonsgegevens aan gekoppeld zijn in het geval dat de gebruiker geen consent heeft afgegeven. Het functionele aspect van het IP-adres is natuurlijk niet verboden en valt dan ook buiten de informatie en consentplicht.
Een serverlog is alleen beschikbaar voor de eigenaar van de site en wordt niet direct ook aan grote commerciele organisaties gegeven.
Dat sluit dus niet uit dat serverlogs gewoon worden verkocht aan derden.
Dat de logs op die manier "niet direct" aan derden worden "gegeven" is dus niet zo relevant.
Om te weten waar mensen naar zoeken op je site heb je echt geen cookies nodig. Ik zou niet eens weten hoe je daar cookies voor kunt gebruiken. Met een stukje javascript de zoekwoorden in een cookie zetten en dan een request zonder zoektermen in de url naar de server doen?
Kom dan eens met een alternatief? Het gaat niet zozeer om de technische implementatie, het gaat er om dat voor tracken toestemming vereist is. Zolang je dat niet expliciet doet per gebruiker is het niet legaal.
Je zou ervan kunnen uitgaan dat er een inlogcookie bij de gebruiker staat. De gebruiker hoeft niet ingelogd te zijn om zijn zoekacties te koppelen aan een gebruiker, als de cookie maar bij de gebruiker staat. De server leest die gegevens toch wel, mits aanwezig. De zoekactie is natuurlijk al bekend op de server, die staat niet in cookies vastgelegd. Maar dat is niet het enige wat je kunt doen met cookies.

[Reactie gewijzigd door Grrmbl op 20 december 2012 16:58]

Je kan gewoon een zelf gehoste tracker gebruiken zoals tracewatch. Werkt perfect:
-Ik zie hoe mensen de site vinden (refer via google bijvoorbeeld)
-Welke pagina's ze bezoeken en in welke volgorde
-Uit welk land ze komen
-welke browser ze gebruiken
-welk os ze gebruiken

Je kan zelfs cookies uitschakelen maar dan is het tracken iets minder precies. En als je cookies gebruikt dan zie je alleen wat ze op jou site allemaal uitspoken. Wat ze voor de rest doen krijg je nooit te zien.
kortom: jij hebt je statestieken en de gebruikers van jou site hebben hun privacy, wat wil je nog meer?

In de cookie staat trouwens alleen een ID, zodat de tracker beter alle requests op de site aan elkaar kan knopen.

[Reactie gewijzigd door wootah op 20 december 2012 16:24]

Dit zal straks wel heel ruim geďnterpreteerd worden.
Cookies van first party voor analystische doeleinden. Zo breed zie ik dit niet anders, de beschrijving is best duidelijk. Dit betekend natuurlijk dat Google Analystics niet mag, tenzij je op een site van Google zelf zit. Google kan dit redelijk makkelijk oplossen door software uit te brengen waarmee de serverbeheerder op lokaal niveau gaat loggen, de server stuurt dan zelf de gegevens door naar Google.

Goed dat ze in ieder geval nadenken over cookies, eindelijk. Het probleem is niet de introductie van de anti-cookie-wet, ik krijg meer het idee dat er gewoon een it-ei snel iets over cookies heeft gelezen en er wetgeving over wilde maken. Uiteindelijk komt het wel goed met het cookie-systeem er wel, zolang de wetgeving verbeterd wordt en er goede controles komt op deze gegevensstromen.
Dan ben je alsnog de gegevens aan het delen met derden, hetgeen niet mag.
Cookies van first party voor analystische doeleinden. Zo breed zie ik dit niet anders, de beschrijving is best duidelijk. Dit betekend natuurlijk dat Google Analystics niet mag, tenzij je op een site van Google zelf zit.
Eerst zeggen dat de beschrijving best duidelijk is en dan toch nog de verkeerde conclusie trekken 8)7

Een first-party cookie is een specifiek soort cookie, en dus niet open voor random herinterpretatie door tweakers zoals "een cookie die door een derde partij is gezet". Een first-party cookie heeft als domain-specificatie het domein van de website die je bezoekt. De cookies zijn dus alleen uit te lezen als je die specifieke website bezoekt, en niet als je een andere website bezoekt. Ze zijn daardoor ook absoluut niet bruikbaar om gebruikers te tracken van website naar website.

Google Analytics zet gewoon first-party cookies. Wel even zorgen dat je de informatie niet deelt met Google en andere partijen (dat kan gewoon), want dat mag niet volgens de wet zonder expliciete toestemming.

[Reactie gewijzigd door .oisyn op 20 december 2012 17:49]

Met het verschil dat mijn opmerking gewoon verifiëerbaar is, maar blijkbaar vind je het niet eens waard om even te googlen op wat termen.
In .oisyn in 'nieuws: Minister: geen toestemming nodig voor cookies van statistiekensoftware' vind je bronvermeldingen waarvan ik geen zin had om ze keer op keer te herhalen.

[Reactie gewijzigd door .oisyn op 21 december 2012 00:38]

[...]
Google Analytics zet gewoon first-party cookies. Wel even zorgen dat je de informatie niet deelt met Google en andere partijen (dat kan gewoon), want dat mag niet volgens de wet zonder expliciete toestemming.
Ik zeg : Opta veel plezier met checken of dat vinkje wat achter een GA-login zit wel of niet aanstaat.
Opta hoeft dat niet te checken, net zoals het CBP niet hoeft te checken of jij je persoonsgegevens niet stiekem doorverkoopt. Ik snap dat het moeilijk te controleren is, maar dat zijn wel meer dingen in onze wet, dus dat op zich is nog geen reden om het maar af te doen als onzinnig. Feit blijft dat als er een inbreuk wordt ontdekt er gewoon tegenopgetreden kan worden met het wetboek in de hand.
Precies. Ik zie dit dan ook als dat de minister zelf op zoek gaat naar een maas in de wet.
En wanneer de minister die vind, gaan webshops hard juichen. Alle informatie die met een cookie verzameld wordt, kan namelijk onder het kopje statistieken geschoven worden.
Vervolgens worden de statistieken gebruikt voor gepersonaliseerde reclame, en men heeft er nooit toestemming voor hoeven vragen...
Hoezo is Google Analytics first party-analytics? Dat is toch in extern beheer en een externe partij?
Het bewijs dat Kemp echt niet snapt waar hij het over heeft.

Voor bezoekersanalyse heb je ook helemaal geen cookies nodig maar alleen de logs van de webserver. Die vallen ook onder de 'cookie'wet maar dat lijkt niemand te begrijpen inclusief deze minister.
Je bedoelt juist dat jij er niets van snapt. Een cookie heeft een paar eigenschappen:
1. tot wanneer hij bewaard moet blijven
2. bij welk domein hij hoort
3. de gegevens in het cookie zelf
4. of hij alleen via https uitgewisseld wordt
5. of hij alleen in een bepaalde map uitgewisseld wordt (zoals tweakers.net/nieuws)

Bij een first-party cookie geldt dat eigenschap 2 het domein van de website zelf moet zijn. Bij een 3rd party cookie bezoek je T.net maar krijg je een cookie van adsense.google.com. T.net kan 3rd party cookies niet zonder hulp van de 3rd party uitlezen. Het privacy-nadeel van 3rd party cookies is dat de 3rd party het cookie dat op T.net gezet is, ook kan zien als je nu.nl bezoekt.

En ter volledigheid: een Google Analytics-cookie is first-party.

[Reactie gewijzigd door GlowMouse op 20 december 2012 16:18]

Het gaat er niet om waar het terecht komt, het gaat erom wat de partijen ermee doen. Je kunt bij GA gewoon aangeven dat je de informatie zelf niet wil delen met Google. Dat het op servers van Google staat is irrelevant, ze mogen er alleen niets mee. De hoster van de website zelf is meestal ook een derde partij, ook dat is niet van belang.
Dat begrijpen mensen wel, echter wordt dergelijke informatie of bewust achtergehouden of de informatie bereikt de wetgever niet wat ook niet vreemd is als hij er weinig vanaf weet en probeert alles vanuit Den Haag te besturen.
En laat dat nou de plaats zijn waar er lobbyisten in overvloed zijn om personen zodanig te informeren dat bepaalde wetgeving wordt ingevoerd of wordt ondermijnd.
Serverlogs onder de cookiewet? Nee hoor.

De cookiebepaling (is geen eigen wet, maar een bepaling binnen de Telecomwet) spreekt over "toegang (...) tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker". Serverlogs worden niet opgeslagen op de randapparatuur en vallen er dus niet onder. Sterker, dat is door de OPTA zelf zo aangegeven: websitebezoekanalyse op basis van serverlogfiles, dan wel het gebruik van serverlogfiles voor beveiligingskwesties, vormt in hun ogen geen direct bezwaar.


Op zich een goede stap, maar nog steeds blijf ik erbij dat je met deze implementatie voorbij gaat aan default werking van browsersoftware en dat vind ik vanuit oogpunt van webtoegankelijkheid niet kloppen. Zeker niet als de overheid op andere vlakken stelt dat je de default werking juist niet moet doorbreken, juist vanuit oogpunt van diezelfde toegankelijkheid (zie bijvoorbeeld de bepaling in de webrichtlijnen over het al dan niet openen van externe links in een nieuw venster: "Automatische nieuwe vensters beperken de keuzevrijheid van de bezoeker." - http://www.webrichtlijnen...ebrichtlijnen-1/r-pd-8-14).
Dat zijn mijns inziens ook third party cookies. Het is echter wel mogelijk analytische software als piwik te installeren op je server. Deze cookies zijn dan wel first-party en worden niet met Google gedeeld.
Ja, het stukje over Google Analytics cookies is in tegenspraak met het stukje
Het gaat specifiek om first party analytische cookies die website-aanbieders plaatsen om anoniem gemaakte gegevens te verzamelen over bezoekers van hun eigen website.
.
Je kan in Google Analytics het 'delen met andere gebruikers en Google' uitzetten. Het is heel diep weggestopt, maar het kan wel.
Dat maakt het niet opeens een first-party cookie, en bovendien weet je niet wat een dergelijke instelling daadwerkelijk doet.
Dat maakt het niet opeens een first-party cookie
Klopt, maar wat het wél een first-party cookie maakt is dat de cookie wordt gezet in de specifieke scope van de website (meestal het hoofd-domein, of domein+URL). Dat wat Sebazzz zegt slaat op het niet mogen delen van de cookie.
Hoezo is Google Analytics first party-analytics? Dat is toch in extern beheer en een externe partij?
Google heeft hier niets mee te maken. Dit gaat over first-party analytische cookies onder de voorwaarde dat de de data niet met derden wordt gedeeld.
Staat letterlijk zo in de brief van de minister aan de kamer. google-analytics valt hier duidelijk niet onder, wordt ook helemaal niet genoemd in de brief, en is er dus domweg door anderen met de haren bijgesleept.

Die brief (slechts 1 pagina) wordt in het artikel gelinkt, iedereen kan het zo nalezen.
Het artikel sprak eerst zelf van Google Analytics. Maar dat is stilletjes aangepast zie ik.
google-analytics valt hier duidelijk niet onder
Wel dus, Google Analytics maakt gebruik van first party cookies.

Erg frappant dat de meeste mensen op tweakers.net zo slecht op de hoogte zijn van terminologie zeg 8)7
First-party cookies are cookies set with the same domain (or its subdomain) as your browser's address bar. Third-party cookies are cookies set with domains different from the one shown on the address bar. The web pages on the first domain may feature content from a third-party domain, e.g. a banner advert run by www.advexample.com. Privacy setting options in most modern browsers allow you to block third-party tracking cookies.
As an example, suppose a user visits www.example1.com, which includes an advert which sets a cookie with the domain ad.foxytracking.com. When the user later visits www.example2.com, another advert can set another cookie with the domain ad.foxytracking.com. Eventually, both of these cookies will be sent to the advertiser when loading their ads or visiting their website. The advertiser can then use these cookies to build up a browsing history of the user across all the websites this advertiser has footprints on.
Het gaat er dus niet om wie de cookie zet, maar binnen welke scope de cookie leesbaar is.

Wat voor cookie gebruikt Google Analytics dan?
MYTH 3: Google Analytics only supports third-party cookies

False! Google Analytics has always used first-party, not third-party cookies. First-party cookies are important because they allow Google Analytics to track repeat visitors, so you can see which keyword, referring site, etc is responsible for bringing buyers even when it takes multiple visits for them to convert.
Google Analytics gebruikt dus gewoon first-party cookies, en vallen derhalve dus onder deze nieuwe uitzondering.

Wat Kees Verhoeve, de indiener van het voorstel, er zelf over zegt:
Google analytics kan mits gegevens niet gedeeld met Google (wat je kunt instellen).

[Reactie gewijzigd door .oisyn op 20 december 2012 17:51]

Ik ben inderdaad niet helemaal op de hoogte van alle details omtrent cookies, maar hier lijkt iets niet te kloppen.
Google maakt gebruik van first-party cookies. dwz dat de scope op die cookies het domein moet zijn van de site die je bezoekt ( = die in de address bar), niet die van google zelf. Dat betekent volgens mij dat die cookies alleen naar de site die je bezoekt teruggestuurd worden en niet naar google. Hoe komt google dan aan die informatie ?

Bovendien, wat is dan nog de waarde van een first-party cookie ? Blijkbaar is dat nog steeds geen garantie dat de informatie niet bij de google's van deze wereld terechtkomt en wat mij betreft is dat juist een rede om deze cookies NIET uit te zonderen van deze wetgeving.

edit @uitleg .oisyn: bedankt, duidelijke uitleg. Bevestigt ook mijn mening over een uitzondering voor de cookiewet.

[Reactie gewijzigd door locke960 op 21 december 2012 09:53]

Dat betekent volgens mij dat die cookies alleen naar de site die je bezoekt teruggestuurd worden en niet naar google.
Dit klopt niet helemaal. Het werkt als volgt: stel je hebt een webpagina op locke960.nl. Binnen de HTML refereer je aan een javascriptje op Google's server. Dat Javascriptje wordt gerequest vanaf jouw site, en dus draait het binnen het locke960.nl domein. Het javascriptje kan een cookie zetten met wederom locke960.nl als domein, en die cookie wordt bij een volgend request naar de Google servers meegestuurt bij het opnieuw opvragen van het javascriptje, wederom omdat het een pagina binnen jouw domein is waarvoor de request gedaan wordt.

Wat niet kan, is dat Google vervolgens de voor jouw site geplaatste cookie uit kan lezen wanneer ze oisyn.nl bezoeken die tevens gebruik maakt van Google Analytics, omdat het javascript bestand dan door mijn website wordt gerequest en de cookie onder locke960.nl derhalve niet relevant is (de browser stuurt het dus niet mee). Google kan het dus niet gebruiken om bezoekers te tracken over verschillende websites*

Hierin zit dus een essentieel verschil tussen een first-party cookie en een third-party cookie, want voor een third-party cookie wordt het domein gebruikt van de server waar het javascriptje staat, en die is dus wel uit te lezen bij het oproepen van datzelfde javascriptje vanaf een ander domein.

* Feitelijk kan Google dat overigens wel aangezien er tal van manieren zijn om zonder gebruik van cookies maar aan de hand van de informatie die de browser geeft bij een request (denk aan browser-versie, geďnstalleerde plugins, taal- en locatie-informatie, etc.) unieke personen redelijk goed te onderscheiden, alleen mogen ze dat niet volgens de cookiewet.

[Reactie gewijzigd door .oisyn op 21 december 2012 01:20]

Ik ben bang dat dit net zoveel vragen oproept als dat het er mogelijk oplost.
Ze hebben het over cookies van Google analytics, maar vervolgens wordt er wel gesproken over firstparty cookies (dat zijn die van Google analytics toch niet, tenzij je op een Googlesite zit).
Voorwaarde is dat die gegevens niet gedeeld mogen worden met anderen.
En hoe gaan ze in godsnaam controleren of Google niet ergens die dingen deelt. Voor zover ik weet heb je daar niet echt veel zicht op, en kun je die garantie als webdevver niet aanbieden, het gaat immers via een 3e partij.
Ik denk eerder dat onze minister van Economische Zaken in de war is, c.q. niet helemaal begrijpt waar hij over praat. Tweakers vertelt vervolgens in dit nieuwsbericht alleen wat de minister zegt.

Kamerlid Kees Verhoeven van D66 diende eind november een voorstel in om de cookiewet te verruimen met een uitzondering voor statistiekensoftware als Google Analytics en als reactie daarop komt Kamp met de mededeling dat bij first party software een melding niet meer verplicht is mits de informatie niet wordt gedeeld. Maar in het geval van Google Analytics wordt de informatie juist wel gedeeld, namelijk met Google zelf.

Wellicht lichtelijk off topic, maar daarbij vraag ik me af hoe we hier in Nederland ooit fatsoenlijke wetgeving krijgen met betrekking tot internet, piracy en privacy als die wetgeving gemaakt dient te worden door ministers die er kennelijk maar weinig tot niets van begrijpen.

Dit is geen persoonlijke troll aan het adres van minister Kamp want niemand kan overal van op de hoogte zijn maar toch vind ik het wel iets om ons zorgen over te maken.
Ik denk eerder dat onze minister van Economische Zaken in de war is, c.q. niet helemaal begrijpt waar hij over praat. Tweakers vertelt vervolgens in dit nieuwsbericht alleen wat de minister zegt.
Tweakers.net zelf en de minister weten blijkbaar prima waar ze over praten. Het is de blijkbaar rampzalige bron van kennis van de tweakers zelf die roet in het eten gooit.

.oisyn in 'nieuws: Minister: geen toestemming nodig voor cookies van statistiekensoftware'

[Reactie gewijzigd door .oisyn op 20 december 2012 17:38]

Met "verruimen met uitzondering voor google" zullen ze niet bedoelen dat google uitgezonderd wordt, maar juist dat alles behalve google uitgezonderd wordt.

Dus wel de first-party cookies, maar niet de thrid-party cookies van Google en consorten.

Er moet dus nog steeds een eind komen aan het gebruik van google analytics waardoor zo ongeveer elke nederlandse website die je bezoekt, dat jouw bezoek ook kenbaar maakt aan het amerikaanse google.
First party houdt toch in dat Google Analytics cookies niet zonder toestemming mogen?
Google cookies worden als First party cookies gezet (dus op je eigen domeinnaam).
De belangrijkste vraag hierbij gaat natuurlijk worden: gaat Google ooit aan deze voorwaarden voldoen? Er zijn wel mogelijkheden voor meer privacy bij Analytics, maar Google zal de gegevens altijd willen gebruiken. Volgens mij bestaat hier niet eens meer een opt-out voor.

In principe vallen de third party tracking cookies van Facebook, Twitter en andere social networks hier natuurlijk niet onder. Dus sites die deze plugins integreren blijven het bokje en zullen nog steeds een melding moeten tonen. Hoewel de staatssecretaris daar blijkbaar anders over dacht laatst...
Helemaal mee eens. Naast het feit dat Analytics technisch gezien 3rd party tracking en cookies is, maken ze voor veel functionaliteit gebruik van ip-adressen. Veel van de statistiek voor terugkerende bezoekers en geografische herkomst e.d. leunen daarop. Je kan dat zelf uitzetten, maar dat kost enige moeite. Met name de hobbywebmaster met zijn wordpress installatie gaat dat lastig voor elkaar krijgen. Wat dat betreft vond ik een absolute, strakke interpretatie van de wet logischer.
Google Analytics is een third-party. Er zijn echter genoeg CMS systemen, die een eigen statistiekenmodule hebben. Deze zijn echter vaak minder uitgebreid dan de software van Google.
GA zet first-party cookies, geen third-party cookies

[Reactie gewijzigd door .oisyn op 20 december 2012 17:27]

De brief suggereert een wetswijziging, maar volgens mij kan dat helemaal niet. De Europese Richtlijn is duidelijk over wat de tekst van de wet moet zijn, en een uitzondering voor first party analytics staat niet in de Richtlijn en mág dus niet in de Nederlandse wet.

De minister motiveert de uitzondering met een beroep op de strekking van de wet en richtlijn:
De gedachte hierachter was dat, mits voldaan aan bepaalde voorwaarden, zoals geanonimiseerde gegevensverzameling en het niet delen van de gegevens met derden, de analytische cookies geen negatieve gevolgen hebben voor de privacy van de gebruiker van het randapparaat, zijnde het belang dat artikel 11.7a beoogt te beschermen.
En normaal is dat ook een prima argument om af te wijken van een wettelijke regel. Maar het is en blijft een afwijking van de Europese cookieregel. Ik ben benieuwd of de marketingindustrie – die immers continu riep dat we ons aan de Europese tekst moeten houden bij invoering van de wet – nu ook gaat roepen dat we niet mogen afwijken van Europa omdat anders Nikkelen Neelie boos wordt?

Een beleidsregel voor de OPTA dat er niet mag worden gehandhaafd, lijkt me de enige werkbare optie. Maar normaal bepaalt de OPTA als ZBO zélf haar beleidsregels, en niet de minister.
"Anders dan sommige media berichten past Minister Kamp de wet niet aan voor de uitzondering, maar onderzoekt hij of er ruimte is binnen de huidige cookiewetgeving."

Het is dus de bedoeling om niet af te wijken maar om de wet anders te interpreteren.
Verder is het eigenlijk afwachten hoe de voorwaarden worden geformuleerd door de OPTA.
In principe worden statistieken van GA op een Google server opgeslagen dus dan deel je het in feite al met Google en dus een derde partij. Dat zou betekenen dat GA niet toegestaan zou zijn tenzij er voldaan is met een opt-in.

Ik ben erg benieuwd wat er van voorwaarden worden gesteld en ik hóóp dat ze hierbij ook wat experts van dit vakgebied raadplegen. Echter ben ik bang dat dit niet gebeurd en dat deze omslag uiteindelijk weinig winst zal opleveren.
Oké dus we hebben een wet die zegt "alle cookies vereisen toestemming*" en dat interpreteren we als "niet alle cookies vereisen toestemming". 8)7 Ben heel benieuwd hoe dát gaat vliegen

* Behalve de technisch noodzakelijke cookies maar dat terzijde.
In principe worden statistieken van GA op een Google server opgeslagen dus dan deel je het in feite al met Google en dus een derde partij.
Waar de statistieken worden opgeslagen is irrelevant, anders zou je bij hosting op een gehuurde server immers ook al in de problemen kunnen komen, omdat deze eigendom is van een derde partij.

Het wordt pas een probleem zodra je, d.m.v. bijvoorbeeld de gebruikersovereenkomst van GA akkoord bent gegaan met het delen van statistische informatie met Google. Maar dat staat los van het cookie-verhaal.

[Reactie gewijzigd door Foxl op 21 december 2012 04:06]

Volgens mij gaat het niet om een wijziging: "Anders dan sommige media berichten past Minister Kamp de wet niet aan voor de uitzondering, maar onderzoekt hij of er ruimte is binnen de huidige cookiewetgeving.".
Ze kunnen voor deze uitzondering nog altijd de oplossing gebruiken die in veel andere landen gehanteerd wordt, namelijk impliciete toestemming door op je website te vermelden dat je cookies gebruikt (zoals bijna elke website nu al doet, dus :P). En voor "agressievere" cookies die niet onder de uitzondering vallen blijf je dan expliciete toestemming nodig hebben.

Ook niet fraai, maar dat is het sowieso al niet.
Dus uiteindelijk is Google de grote winnaar, die kunnen nu stats (analytics) gebruiken voor hun reclamedoeleinden (adwords) :)

Dus elk advertentiebedrijf gaat nu een analytics opzetten naast hun reclame-programma? Op het oog gescheiden van elkaar maar op de achtergrond gecombineerd :)
Heb ik net mijn website aangepast om geen cookies te gebruiken maar elke link op mijn website via javascript om te leiden naar een redirect script dat d.m.v. referer en uid elke actie die jij maakt logt zodat ik zelfs nog meer informatie van jou tot mijn beschikking heb.
Komen ze met deze actie.

Wat willen ze nu?
Het gaat erom dat jij geen informatie op de pc van de gebruiker opslaat. Dat doe je nu wel door de bezoeker een uid mee te laten sturen bij elke volgende pagina. De cookie-wet is juist zo algemeen geformuleerd om technisch handige jongens er ook onder te laten vallen.
Ze willen dat je ophoudt met je gebruikers te tracken. Het doet er niet toe welke techniek je daar voor gebruikt.
Het beroemde/beruchte duimpje van Facebook is ook zo'n voorbeeld (net als Twitter, Hyves, etc). Doordat de server van betreffende social media bedrijf wordt gecontact om dat icoontje op de site te zetten, is al bekend dat je een bepaalde site hebt bezocht. Deze server logt zelf de gegevens die het wil hebben (lees nodig heeft) voor verdere analyse.

Ophouden met tracken van gebruikers? Denk dat dat niet meer mogelijk is... Tja, stekker uit internet trekken :+
Je kan leuk een techniek maken met referrals om zo cookies te omzeilen maar dan heb je compleet niet begrepen waar het om ging. Zonde van je developtijd, want je huidige methode is net zo in strijd met de cookiewetgeving als de eerste. Zodra jij mensen zonder toestemming uniek identificeert ga je een grens over.
Dat is volgens mij ook de hele kwestie. Niemand heeft er persoonlijk belang bij om onnodig en ongezien geidentificeerd of getracked te worden. Het bedrijfsleven en de lobby ervan proberen het normaal te laten lijken omdat eraan valt te verdienen maar technisch gezien hebben we geen cookies nodig.
Het gaat puur om geld. En naarmate reclame in het algemeen telkens minder effect heeft zal die mentaliteit waarschijnlijk telkens erger worden en zullen bedrijven telkens dieper in de privewereld van mensen proberen te dringen om hun meuk nog gerichter te slijten.
Het bedrijfsleven en de lobby ervan proberen het normaal te laten lijken omdat eraan valt te verdienen maar technisch gezien hebben we geen cookies nodig.
Veel plezier met online winkelen zonder cookies. Winkelmandjes onthouden? Nee joh, veel te handig. Laten we nou niet doen alsof cookies de bron van het kwaad zijn. Alles kan misbruikt worden.
Het gaat puur om geld. En naarmate reclame in het algemeen telkens minder effect heeft zal die mentaliteit waarschijnlijk telkens erger worden
Uiteraard heeft het bedrijfsleven die mentaliteit, ze moeten toch ook geld verdienen? Of leef je van vrijwilligerswerk voor goede doelen?

[Reactie gewijzigd door bwerg op 20 december 2012 18:04]

Zelfs de inhoud van een winkelmandje hoeft niet remote opgeslagen te worden. Het argument dat een session-hijack kan worden voorkomen door browser-sessies mbv cookies vast te houden klopt, maar is een website die diensten aanbied die in aanmerking komen voor een dergelijke hijack zoiezo niet beter af met een echte gebruikersregistratie plus evt. een beveiligde verbinding? Zo komen we weer terug bij de kwestie: het is blijkbaar noodzakelijk om personen ongezien en ongevraagd te kunnen volgen in hun activiteiten. Daar klopt toch iets niet aan?

[Reactie gewijzigd door blorf op 20 december 2012 18:27]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013