Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'EU-nieuwssites plaatsen na AVG minder cookies van derden zonder toestemming'

Uit een onderzoek dat is uitgevoerd door het Reuters-instituut van de Universiteit van Oxford blijkt dat het aantal zonder toestemming geplaatste cookies na de invoering van de algemene verordening gegevensbescherming met 22 procent daalde op Europese nieuwssites.

De onderzoekers, Timothy Libert, Lucas Graves en Rasmus Kleis Nielsen, analyseerden meer dan 200 nieuwssites in Finland, Frankrijk, Duitsland, Italië, Polen, Spanje en het Verenigd Koninkrijk tussen april en juli. De algemene verordening gegevensbescherming, oftewel AVG, werd aan het einde van mei van kracht. Sites in Nederland en België zaten niet in het onderzoek.

In hun onderzoek keken ze naar de aanwezigheid van third party content, oftewel inhoud van derden, op die sites. De onderzoekers concluderen dat er in de periode dat ze hun analyse uitvoerden iets minder inhoud van derden op de nieuwssites te vinden was, met een afname van twee procent, terwijl sites 22 procent minder cookies van derden plaatsten.

Daarbij keken ze naar de cookies die sites plaatsen voordat gebruikers daarvoor toestemming konden geven, iets wat niet is toegestaan volgende de geldende privacywetgeving. De bevindingen van de onderzoekers verschillen sterk per land. Zo waren er in het VK, Italië, Spanje en Frankrijk de grootste dalingen in het aantal cookies te zien. Duitsland toonde nauwelijks verandering, maar had ook voor de invoering van de AVG al het laagste aantal cookies.

De wetenschappers benoemen twee belangrijke factoren als mogelijke verklaring voor de daling. Zo merken ze op dat nieuwssites mogelijk wachten met het plaatsen van cookies totdat de gebruiker toestemming heeft gegeven, waardoor het ook mogelijk is dat het uiteindelijk geplaatste aantal ongewijzigd blijft. Daarnaast is het mogelijk dat de invoering van de AVG een 'opruimeffect' had, wat betekent dat sites zijn gaan kijken naar welke cookies ze eigenlijk plaatsen.

Het onderzoek werd uitgevoerd met behulp van de software webXray, die op GitHub te vinden is. Daarmee voerden de onderzoekers meer dan 10.000 page loads door en legden ze in totaal 2,7 miljoen cookies vast voor analyse. Ze richtten zich op nieuwswebsites vanwege de grote afhankelijkheid van inhoud van derden.

Soorten zonder toestemming geplaatste cookies

Door Sander van Voorst

Nieuwsredacteur

20-08-2018 • 11:12

143 Linkedin Google+

Reacties (143)

Wijzig sortering
Ik ben zeker niet tevreden met de huidige instelling. Een bezoeker zou goed geïnformeerd op de website moeten komen. Een oplossing zou ook kunnen zijn om verplicht 2 minuten te wachten zodat mensen de tekst kunnen lezen (of een andere betere oplossing).een Website eigenaar heeft nooit als doel je te pesten, of zij heeft immers een dienst of product of content die hij wil slijten. De cookie walls komen voort uit wetgeving.
Ja vooral bezoekers 2 minuten laten wachten :+
.
maar het huidge internet is nou eenmaal gebouwd op: jij krijgt wat gratis in ruil voor informatie. En dat vind het gros van de mensen helemaal prima mits relevant.
Dan vind ik dat het internet bij voorbaat verkeerd opgezet is. Het is dus nu: Ik mag bij jou inbreken maar ik laat een cadeautje achter als ik bij jou binnen ben. Dit is in de gewone wereld onacceptabel
Zo zacht vind ik die corruptie persoonlijk niet 😅
Het is zacht in die zin dat er niet direct goederen of diensten als tegenprestatie geleverd worden, en dat het op dit moment niet strafbaar is.
Het is verboden voor ambtenaren om geld te accepteren om dingen te doen die anders niet mogen.

Het is volledig toegestaan voor politici om wetten tegen betaling te maken. Ik weet niet waarom men denk dat dat niet zou mogen. Als het niet door de beugel kan wordt je gestraft bij de volgende stembusronde en daarom is de pers zo belangrijk.
Persoonlijk zou ik niet zo enthousiast worden van do not track, omdat ik fan geen idee meer heb wat ik mis aan functies. Daarnaast gun ik websites hun advertentie inkomsten en vind ik retargeting vaak wel handig.
Daar kun je tot op zekere hoogte wel iets aan doen d.m.v. browserextensies. Bij mij worden al die Facebook-knoppen op andere websites geblokkeerd.
Tweakers kunnen dat. Ik blokkeer inderdaad van alles. Op je smartphone wordt dat alweer een stuk lastiger - daar moet ik het blokkeren via mijn DNS-server die Facebook e.d. gewoon niet resolved. Voor niet-ICT'ers is het doorgaans ook te moeilijk en/of is er niet voldoende interesse en dus gebeurt het niet. Terwijl het de norm zou moeten zijn.
Dat is zeker waar. Wat mij betreft mag de overheid op dit gebied flink ingrijpen bij bedrijven waar veel burgers niet omheen kunnen. Overigens gebruik ik op Android Adaway (geloof ik), dat ingebakken zit in mijn ROM. Ik zie weinig advertenties, al pakt hij niet alles zoals Ublock.
Dat is echt super kut. Wat mij betreft al lang tijd voor overheidsingrijpen bij Facebook en enkele andere grote computer/Internetbedrijven waar veel mensen niet omheen kunnen.
Blokkades van Facebook zijn altijd zo heerlijk sporadisch en willekeurig.

Heb al jaren een FB account, doe er alleen vrijwel niks mee, maar ben Webdeveloper dus heb er mee te maken, en moet toch af en toe dingen kunne checken enzo.
Leuke was, tijdje geleden een applicatie ingediend ter review, daarvoor dien je een filmpje met de werkzaamheden mee te sturen (fucking onzin allemaal). Punt is, aangezien ik mijn FB amper gebruik en ik "ineens" (fb vroeg daar om nota bene) een video liep up te loaden was dat verdacht en werd ik gelijk geblocked. Moest toen een selfie foto opsturen om te unlocken, en ging 48u overheen.

Sjongejonge, ff appje aanmelden ... pfff
Zoals het er staat ja, zoals ik hem initieel bedoelde: nee, dit gedachtegoed zou er vanaf dag 1 moeten zijn geweest, wanneer ontwikkelaars, web designers, ispers, burgers, organisaties, bedrijven dit naast security als eerste zoudden nagaan naast een stukje ouderwets fatsoen en normen/waarden dan was die s**t avg niet nodig geweest. Want eerlijk, het is een gedrocht maar schijnbaar helaas nodig.
Wat vind je er precies zo shit aan dan? Ik ben zelf niet super bekend met de AVG (ik weet wel de hoofdlijnen, maar daar houd het op), maar van wat ik weet is er niet echt veel waar ik problemen mee heb. Maar misschien dat jij er meer over weet dan ik.
Vooral de manier hoe het geïnterpreteerd word, ohw in plaats van dat we als site zijnde eens goed bekijken wat voor zooi we onnodig delen en wie we laten meegluren. Plaatsen we meerdere vinkjes in de cookie banner, waarbij accepteer onze koppelverkoop en krijg een fatsoenlijke site met alles shiny, meestal als een groene "accept all" knop word weergeven. En de rest rood waarbij het zelfs zover gaat (zelf maar bij 1 site gezien maar al meerdere malen gehoord bij anderen) dat als je niet alles accepteerd tot bijna alles je word uitgesloten van bepaalde services die behoren tot de main services van de site.
Daar kan ik het inderdaad wel mee eens zijn. De manier waarop de cookies nu worden afgehandeld is echt waardeloos. Wat jij noemt vind ik trouwens nog niet eens het ergste. Ik vind het veel erger dat bij veel sites (bijna alle eigenlijk) je wel direct in de banner een accepteer knop hebt, maar om te weiger je eerst via allerlei menu's moet gaan.

Ik heb zelfs een keer een site gezien waar je eerst cookies moest accepteren voordat je ze kon uitschakelen (anders kon je niet bij die pagina komen). En zelf toen moest je eerst nog een paar pagina's door voor dat kon (dus dan had je alle cookies al).
Websites mijden die cookies plaatsen? Ja dan ben je gauw klaar met het internet.
Websites mijden die cookies plaatsen?
Maar na de sessie de cookies verwijderen lost een deel van de ellende op, toch ?
Een soort 'inprivate browsing'.
nou nee, de discussie ging over waarom het niet via de browser word afgedwongen en hoe wetgeving en de AVG hierop inhaakt. mijn reactie was dat het bedrijfsleven hier gewoon keihard in gefaalt heeft en het daarom juist zo belangrijk is dat een instantie er een stokje voor steekt en een uniforme oplossing afdwingt.
Maar dat hele internet is echt een gigantische zooi geworden, met al die pop-ups die je bij het openen van vrijwel iedere site krijgt. En dat was al zo met de cookie warning van jaren terug.
Het was alleen denk ik veel gebruikersvriendelijker geweest, als je dit simpel weg (eenmalig) in je browser kunt instellen
Waar haal jij het vandaan dat het via de browser afgedwongen moet worden, het gaat toch duidelijk over de interface verplaatsen naar de browser.

Daarnaast snap ik nog steeds niet hoe je rant helpt in de discussie.
Het was alleen denk ik veel gebruikersvriendelijker geweest, als je dit simpel weg (eenmalig) in je browser kunt instellen, in plaats van op de website. En Iedere website heeft zijn eigen privacy regeltjes en afspraken hierover, maar dat moet toch allemaal op browser niveau kunnen worden ingesteld, inclusief uitzonderingen?
dit berijk je alleen als je het afdwingt via de browser. anders is het niet allemaal op browser niveau. ik denk dat je afdwingen verkeerd interpeteerd. In dit geval gaat het over een keus afdwingen ongeacht wat de andere partij er van vind, en dat is ook wat hier berijkt moet worden, dat alle keuzes via de browser gemaakt en gerespecteerd worden.

mijn 'rant' ging over op welke manier het bedrijfsleven zelf niet consequent genoeg is geweest hierin en de overheid daarom al ingrijpt en waarom die ingreep best verder had mogen gaan. niet een hele rare verbintenis om te leggen als we het over de AVG en do not track me requests hebben die niet gehonoreerd worden?
Een overheid (westerse moderne overheden) zal nooit zeggen hoe je iets moet doen, ze zullen alleen regels opstellen en de uitvoering ervan overlaten aan de agentschappen of aan het bedrijfsleven.
Leuk maar dat is echt een nietszeggende zin. regels stellen is hetzelfde als zeggen hoe je iets moet doen. kijk naar dingen als voedselveiligheid en dieren welzijn, we stellen minimumeisen dus zeggen we hoe ze het minimaal moeten doen. er zal altijd speling zijn voor hoe het bedrijfsleven dingen uitvoert omdat je simpelweg nooit alles kan specificeren in een wet.
regels stellen is hetzelfde als zeggen hoe je iets moet doen.
Nee en daar ga je met je argumenten al de fout in. Hoe je iets moet doen of wat je moet doen zijn twee verschillende dingen.
wat je moet doen is hetzelfde als zeggen hoe je iets moet doen. uiteindelijk probeer je namelijk ook een doel te berijken door te zeggen wat iemand moet doen en vertel je dus eigenlijk ook hoe ze dat doel moeten berijken en dus hoe ze iets moeten doen. andersom netzogoed.
uiteindelijk probeer je namelijk ook een doel te berijken
8)7

Lees dat zelf eens na.... Het doel is hetzelfde dus de regelgeving is ook hetzelfde.... Laat me raden, tijdens de CITO toets heb jij ook ingevuld dat alle tijgers dieren en alle dieren tijgers zijn?
lees het zelf dan nog maar eens, want ik zeg nergens dat het doel hetzelfde is als de regelgeving. ik zeg dat je met regelgeving uiteindelijk een doel aanwijst maar tegelijk ook verteld hoe een ander probleem moet worden opgelost. als ik zeg "maak die straat schoon" vertel ik je niet hoe je de straat schoon moet maken, maar wel hoe je de verkeersproblemen moet oplossen.
Misschien dat je het zelf niet begrijpt, maar dat is exact wat hier staat:
uiteindelijk probeer je namelijk ook een doel te berijken door te zeggen wat iemand moet doen en vertel je dus eigenlijk ook hoe ze dat doel moeten berijken en dus hoe ze iets moeten doen. andersom netzogoed.
neen, ik zeg daar niet dat het doel hetzelfde is als de regelgeving. ik zeg dat de regelgeving het doel aanwijst in verschillende maten. in een maat laten ze veel ruimte over voor interpetatie in de ander niet.
Alle tijgers zijn dieren en dus zijn alle dieren ook tijgers.... dat is wat je nu zegt

[Reactie gewijzigd door SizzLorr op 21 augustus 2018 21:27]

Kan kan, is natuurlijk afhankelijk van de afspraken die worden gemaakt. Alleen het punt was dat het niet strenger is, maar dat je meer beweegruimte hebt omdat je de regels zelf opstelt ipv extern wordt opgelegd.
Ze kunnen niet uitstaan by default, want dan wordt niemand meer getracked. Niemand gaat dingen aanvinken om juist wel getracked te worden.
Daarmee kun je alleen tracking via cookies vermijden. Helaas weten veel websites je ook nog op andere manieren te tracken, bijvoorbeeld via fingerprinting. Dat wordt met de AVG (officieel) ook aan banden gelegd.

[Reactie gewijzigd door Krulliebol op 20 augustus 2018 14:28]

Zelf vind ik het vreselijk hoe het internet geworden is met die cookie warning. Het is totaal niet gebruiksvriendelijk geworden.
Het was alleen denk ik veel gebruikersvriendelijker geweest, als je dit simpel weg (eenmalig) in je browser kunt instellen, in plaats van op de website. En Iedere website heeft zijn eigen privacy regeltjes en afspraken hierover, maar dat moet toch allemaal op browser niveau kunnen worden ingesteld, inclusief uitzonderingen?
Dat kun je in veel gevallen ook. Met bijv. de DNT (Do Not Track) header. Deze valt onder artikel 21 van de GDPR/AVG welke het recht van bezwaar betreft. Concreet stelt artikel 21.5 nl. dat:
In het kader van het gebruik van diensten van de informatiemaatschappij, en niettegenstaande Richtlijn 2002/58/EG, mag de betrokkene zijn recht van bezwaar uitoefenen via geautomatiseerde procedés waarbij wordt gebruikgemaakt van technische specificaties.
Het recht van bezwaar is geldig voor alle zaken waar jou als bezoeker niet om expliciete toestemming gevraagd wordt, maar gehandeld wordt vanuit de categorie 'gerechtvaardigd belang.'

Het probleem is dat 'gerechtvaardigd belang' iets is dat adverteerders, analytics bedrijven, etc. nooit rond zullen krijgen en wat nooit tegen de privacy-belangen van de bezoeker zal opwegen. En daarom spelen ze het altijd via de Artikel 6.1, lid a) : expliciete toestemming.

De ePrivacy verordening gaat hierin wel verder dan de AVG/GDPR en gaat dit soort technische specificaties vziw ook inzetten voor bindende signalering voor het automatisch niet toekennen van toestemming.
Daarmee zul je wel permanent van dit gezeik af zijn. Dus nog even wachten tot 2019, wanneer die verordening er vermoedelijk door zal zijn.

[Reactie gewijzigd door R4gnax op 20 augustus 2018 21:12]

Privacy-tabs bestaan toch niet meer in Firefox? In principe is elk venster "privé" sinds een aantal updates geleden.
En het niet hoeven zien van een pop-up betekent niet dat je alsnog gevolg, getracked, geprofiled etc wordt!
Als je wat meer veiligheid wilt kun je Ublock origin en Disonnect installeren in FF.

Daar zitten tellertjes op die laten zien wat er allemaal tegengehouden wordt.
Dat is VEEEEL!!!

Ook kun je de "lightbeam" plugin eens uitproberen. Deze geeft verbanden tussen websites die je bezoekt aan. En de verbindingen die met andere website aangegaan worden!

Voor als je nog niet paranoïde was.. 8-)
Mwah, dat is uiterst discutabel. Zelfs de AP is er nog niet over uit hoe dat precies zit, mede omdat die passage die je noemt multi-interpretabel is.

Daarom zijn er ook een groot aantal sites, waaronder Tweakers overigens (door standpunt Persgroep), die een cookiewall opwerpen. Voor nu zal je dat gewoon even moeten accepteren dat ze er zijn en gewoon lekker de cookies wegknikkeren als je ze niet wilt hebben.
dat is waar, maar zoals ik zei de domeinen die cookes instaleren, gewoon blokkeren in de firewall help wel om een groot gedeelte te voorkomen {heb dit getest en van de 100 lijnen in de cookie file bestaat er nu nog maar 1, en niet meer, ook al refresh je de page 60x per minut}
Best wel een goed idee. De markt een reset geven door cookies (en andere tracking mogelijjkheden) van derden gewoon in z'n geheel te verbieden. Want het is niet logisch om op site X cookies van site Y te moeten accepteren om site X te kunnen gebruiken.
Van mij mag het concentraat aan 'Glyfosaat' zéér potent en extreem giftig zijn. M.a.w. een echte prik waarmee het beest gewoon de nek gebroken wordt. Zodat er dus spelers van onze EU markt duidelijk en roepend weglopen. Mensen uit de advertising markt hun job verliezen. Bedrijven gewoon kei hard failliet gaan.

Hoe harder die prik, hoe duidelijker en krachtdadiger de boodschap naar bedrijven in de VS: hier in de EU respecteer je de wet en respecteer je de consument -en burger zijn privacy rechten. En anders: fuck off. En voor wie dat niet duidelijk is, nog een paar kletsen er bovenop (m.a.w. eindeloze monsterboetes die steeds maar extremer en gigantischer worden, met het zicht op gevangenisstraffen en het laten uitleveren van bestuurders van de bedrijven - m.a.w. kunnen ze dan als CEO, CFO, en CTO geen voet meer zetten op EU grond. Laten we eens kijken hoe lang ze gaan blijven piepen wanneer hun carriere daarna gewoon dood en begraven is en ze nog steeds voortvluchtig zijn in de hele EU).

Daarna een bijzonder grote subsidieering vanuit de EU voor de nieuwe spelers. Zodat het ook duidelijk is voor de slechte spelers dat ze kei hard weggepest worden uit onze markt en de goede spelers heel duidelijke voordelen krijgen en heel erg duidelijk heel erg veel meer winst zullen maken in onze EU markt.

Het moet gewoon in hun ogen gestoken worden.

Dat mag allemaal heel erg hard klinken. Maar ik acht de markt dan ook zo ziek dat het nodig is. Het massaal schenden van mensenrechten zoals privacy is gewoonweg not done. Het mag eens gaan stoppen.
Ik ben het met je eens maar de publieke opinie is helemaal gek met hun "gratis" facebook en "gratis" google. Ze geven wel ¤1000 aan Apple of Samsung voor een mobieltje maar alle content moet gratis. Volkomen irrationeel natuurlijk maar de mensen vinden het prima om met privacy te betalen. En de politici willen niet de mensen niet voor het hoofd stoten. We krijgen het dus nog erg moeilijk om een groot deel van de mensen te overtuigen dat ze op een heiloze weg zijn geraakt.
Ik wil hier even een belangrijke zijstraat bewandelen. Bij verreweg de meeste websites kun je niet spreken van een echte markt. Je surft naar een pagina en bekijkt informatie, meestal blijft het daarbij, tenzij het een webshop of zo is.

Wanneer je content consumeerd wordt dit vrijwel altijd gratis aangeboden vergezeld met ads. Er wordt dus niet op de klassieke wijze betaald of iets gekocht, dus is er niet echt sprake van een klant. Jouw bezoek aan een website is geen gunst aan de website, tenzij je ads bekijkt en tracking toestaat. Sta je dat niet toe, dan ben je slechts een kostenpost.
Dat moeten we wel even nuanceren. Een website kan ook niet zonder haar bezoekers. Het probleem is dat online advertenties eigenlijk niet werken. De response is veel lager dan bij andere vormen van adverteren. Adverteerders willen natuurlijk wel bereik en daarom willen ze dolgraag gepersonaliseerde advertenties. Google is daar de meester in, Google moet de gebruiker daarvoor wel kennen en herkennen en daarom komt er een hele berg tracking mee. Alleen als ik het nieuws wil lezen op een site het nieuws aanbied, wat gaat dit een derde (de adverteerder) en een vierde (het advertentienetwerk) aan? Dat online adverteren eigenlijk niet werkt is toch niet mijn probleem. Dat is een probleem van de adverteerders die voor dit kanaal kiezen. En dat derden en vierden, mijn privacy schenden door te tracken gaat gewoon te ver. Het concept moet op de schop. De financiering van sites dus ook.
Op zich mee eens, maar ik zie geen ander financieringsmodel. De meeste mensen willen gewoon niets betalen maar toch consumeren. Er zijn genoeg ideeen te bedenken, maar de meesten leveren in de keiharde praktijk gewoon te weinig op.
Precies. En daarom is een ingrijpen in de markt nodig. Als cookies van derden gewoon verboden worden dan worden er wel andere verdienmodellen ontwikkeld, komen er meer sites waar je een betaald abo kunt hebben met allerlei voordelen (zoals tweakers.net) en gaat de consument eindelijk inzien hoe absurd is wel te willen betalen voor je telefoon (en veel ook), wel te willen betalen voor je telefoonabonnement, wel te willen betalen voor je apps maar niet te willen betalen voor content. Terwijl je al die investeringen doet om juist de content te kunnen consumeren.
Het alternatieve verdienmodel wat net zo "goed" functioneerd als ads (in de zin van opbrengsten) moet nog uitgevonden worden. Oplossing zoals abbos gaan alleen werken voor een handjevol "high value" websites die per persoon kunnen verschillen. Zelfs dat is twijfelachtig, in armere landen gaan mensen ook daar gewoon niet betalen.

Blijft over het merendeel van alle websites, die je wel incidentieel wilt bezoeken (of zelfs eenmalig) maar waar je never nooit voor gaat betalen.
Veel juristen zijn van mening dat dat nu ook niet meer mag. Zie overweging 32 van de AVG:

"Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling (...) Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. (...) Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie."
Wat mij betreft zou de regelgeving hier nog wel op aangepast moeten worden
De wetgeving voorziet hier al in. De wetgeving vereist opt-in, dus "alles uit" moet de standaard voor-selectie zijn. En toestemming eisen om überhaupt toegang te krijgen tot de site werkt niet, want dat valt niet onder de noemer "vrijelijk gegeven" die gehanteerd wordt.
Vanuit gebruikersperspectief ben ik het 100% met je eens. Maar aangezien het verhaal meerdere belanghebbenden heeft, moeten we naar het grotere plaatje kijken.

Een modus waarbij tracking standaard uitgeschakeld is, danwel via do-not-track danwel via een enkele knop, gaat voor de aanbieders niet werken. Geen enkele gebruiker gaat moeite steken in het juist WEL toestaan van tracking, en daarmee zou tracking in zijn geheel plotsklaps morsdood zijn.

Wat leuk voor ons is, maar die klap zou te groot zijn om ineens te absorberen voor aanbieders, die weinig alternatieven hebben die genoeg geld binnenbrengen.

Daarom gaat Do No Track ook nooit werken. Het slaat natuurlijk nergens op dat browsers dit ingebouwd standaard aan hebben staan. Wederom, wij vinden dat wel leuk als gebruiker, maar als niemand getracked wil worden, is er in feite geen sprake van een daadwerkelijke bewuste keuze.
Nee precies. HTML5 heeft flash doodgeklopt. En Flash was precies hetzelfde probleem: hier is een binary die in een runtime draait die Adobe eventjes gemaakt heeft, en waarvan Adobe vindt dat ze er nooit nog security fouten voor moeten fixen. Oh en een bende amateurs hebben de runtime gemaakt want hij zit gewoon belachelijk vol met security fouten ook. Oh en trouwens, de hele wereld is er afhankelijk van. Goed he? Wat zeggen we dan? Dank je wel Adobe!

Nee. Zei Steve Jobs. Flash komt niet op de iPhone. En ~ dood was het. HTML5 kwam en de JavaScript bende kwam. We hebben nu precies hetzelfde probleem. Enkel is het nu de JavaScript runtime. Met gelukkig wel meer zorg voor security. Maar die runtime is zo bekwaam dat vrijwel alle advertising bedrijven het totaal misbruiken om privacy van onwetende mensen te stelen.

Fuck that.
Het meest ironische was nog dat HTML5/JS zwaar gepromoot werd met: 'dan ben je van die vervelende Flash banners af'. Maar iedereen ging daarna gewoon die banners in JS schrijven, en die zijn exact net zo hinderlijk. Alleen moet je nu met adblocker en JS-blockers in de weer gaan.

Ik heb op zich niks tegen reclame banners, maar zet die dan gewoon netjes als statische .png op je site, zonder tracking cookies, bewegend beeld/geluid, of JavaScript rommel van een ander domein ingeladen.
Het zou goed zijn moest JavaScript wat minder kunnen en moesten delen van die scripts gestandarizeerd worden. Zo zouden we JavaScript terug kunnen beperken in wat mogelijk is.
En laten we daar nu juist mee bezig zijn.

Alle privacy-gevoelige nieuwe DOM APIs vereisen opt-in van de gebruiker. Al dit soort privacy-gevoelige nieuwe features die aan browsers toegevoegd worden komen in de regel enkel beschikbaar via beveiligde verbindingen. Daarnaast zijn er APIs bij gekomen speciaal om third-party content te valideren en blokkeren. Bijv. sub-resource integrity (SRI) en content security policies (CSP).

En de browser vendors zijn langzaam aan bezig om ook bestaande features zoals third-party cookies bewust te breken, omdat het simpelweg nodig is om ze meer privacy-vriendelijk te maken.


Een flink deel van de tracking en data-exfiltratie die nu via JS plaatsvindt kan trouwens ook via CSS plaatsvinden. Ja; CSS. Kost alleen wat meer moeite.

Wil je weten of gebruikers interacteren met bepaalde input elementen? Zet maar een tracking pixel als achtergrond in met een :focus pseudo-class. Wil je weten of gebruikers fouten maken bij het invullen van formulieren? Gebruik de :invalid pseudo-class. Etc.
En ken je het :visited debakel nog? Juist ja...

Als je even zoekt kun je een aantal mooie presentaties terug vinden over dit onderwerp. Dus...
zullen we CSS dan ook maar gelijk opgeven en terug gaan naar kale HTML zonder opmaak?

[Reactie gewijzigd door R4gnax op 20 augustus 2018 21:39]

Tracking pixels kan ik eenvoudiger blokkeren dan hele javascripts zonder dewelke de website functioneert.
Totdat een slimme jongen een dienst verzint en aanbiedt die het wel mogelijk maakt.

Misschien wel iets wat checkt of jij de images wel gedownload hebt, en zo niet via een eigen zijkanaal een signaaltje terug stuurt naar de first-party om de site voor jou op zwart te zetten. Want je IP adres kunnen ze altijd zien en correleren.

Of een dienst die tracking pixels proxyt via de first-party en alle secondaire resources incl. de echte content aanbiedt via randomized subdomains. Veel plezier daar een ad-blocker tegenaan te gooien.

Zeg niet dat het niet zal gebeuren. In het verleden hebben sommigen al ge-experimenteerd met cookies gezet door de HTML pagina met een timeout van enkele seconden om plaatjes op te halen, waarbij de plaatjes een no-cache, no-store header mee hadden gekregen.

Onder veel browsers kon je destijds dat soort plaatjes dus niet gedownload krijgen via een simpele right-click -> Save Image As...

Dat illustreert perfect het elan van de content-industrie en hoe ver deze bereid is te gaan in het verdraaien van alles wat de browser biedt om aan hun wensen te voldoen.

[Reactie gewijzigd door R4gnax op 20 augustus 2018 21:54]

Dus wat stel je juist voor? Ik stel voor dat bepaald gedrag enkel door wetgeving te maken kan tegengegaan worden. M.a.w. het tracken van gebruikers eenvoudigweg onwettig maken. En die wet handhaven. M.a.w. controles doen en wanneer zo'n webcontent aanbieder gepakt wordt hem/haar extreem zwaar beboeten en gevangenisstraffen uitdelen in de rechtbank.

ps. Ik denk niet dat ik websites die dit allemaal doen wil bezoeken. Maar uiteraard gaat het ook over gewone mensen die veilig en met zekerheid voor hun privacy van het Internet willen kunnen gebruik maken.
Dus wat stel je juist voor? Ik stel voor dat bepaald gedrag enkel door wetgeving te maken kan tegengegaan worden. M.a.w. het tracken van gebruikers eenvoudigweg onwettig maken. En die wet handhaven. M.a.w. controles doen en wanneer zo'n webcontent aanbieder gepakt wordt hem/haar extreem zwaar beboeten en gevangenisstraffen uitdelen in de rechtbank.
Dat is ook de juiste aanpak.
JavaScript gaan blokkeren omdat je er ook slechte dingen mee kunt doen, is niet de juiste aanpak.

Dat is zoiets als aanstekers en hairspray verbieden omdat je daarmee ook een improptu vlammenwerper kunt maken waarmee je iemand in de fik zou kunnen zetten.

[Reactie gewijzigd door R4gnax op 20 augustus 2018 22:00]

Maar dus dan helaas, zonder dat de wetgever duidelijk maakt dat hij/zij optreedt tegen inbreuken ben ik als gebruiker van het Internet er a) zeker van dat massa's websites aan tracking doen (zoals ook Tweakers haar adverteerders) en b) dat het ook niet zal veranderen.

Daarom dus moet ik allerlei zaken blokkeren. Niet omdat ik tegen webontwikkelaars hun verdienmodel ben. Maar wel omdat de wetgever niet optreedt tegen inbreuken van privacyschendingen. En omdat men hier niet tegen optreedt dat daardoor massaal de privacy van miljoenen mensen constant geschonden wordt.

Dus moet ik mezelf tegen die varkens beschermen.

De oplossing is dus een aantal voorbeelden stellen met behulp van gevangenisstraffen. Ik kan niet wachten. Sluit maar een paar van die web-ontwikkelaars op, en hun opdrachtgevers ook, en hun adverteerders ook.
Sluit maar een paar van die web-ontwikkelaars op, en hun opdrachtgevers ook, en hun adverteerders ook.
Ik ben zelf een web-ontwikkelaar en ik kan je verklappen; het leeuwendeel van ons is faliekant tegen op al die third-party tracking meuk. Het verpest de gebruikservaring van de site; het verpest de performance; het introduceert security problemen (scripts en andere content van niet gevalideerde third-party domeinen...); etc.

Maar klanten willen het en eisen het op. Zeker met tooling als Google Tag Manager die het injecteren van deze rommel triviaal makkelijk heeft gemaakt voor leken.

Jouw probleem zit niet in de ontwikkelaarshoek. Het zit feitelijk ook niet in de hoek van de opdrachtgevers, want die worden ook voorgelogen over het feit dat ze al die rommel nodig hebben.

Jouw probleem zit hem in de advertentie en analytics sector die snake-oil verkopen. En juist zij worden grotendeels ontzien door wetgeving als de GDPR. De data controller zelf is eigenlijk altijd de sjaak, terwijl third-party verwerkers dankzij listig vormgegeven contractuur de verantwoordelijkheid af kunnen schuiven.

[Reactie gewijzigd door R4gnax op 20 augustus 2018 22:14]

Dat weet ik, maar Znorkus (de post waar ik op reageer) stelt voor dat er wetgeving zou moeten komen die het dus geheel zou verbieden om iets met het IP te doen buiten een verbinding tot stand brengen. ;) Daar reageerde ik op.
Ah, ik snap 'm. Eens dus!
Als ik de content niet kan bekijken zonder akkoord te gaan met tracking lijkt mij niet dat er sprake is van 'vrijwillig'. Datt staat ook zo in de richtlijnen.
Waarom niet? Jij kan er geheel *vrijwillig* voor kiezen om dan akkoord te gaan. (Wat je kennelijk ook gedaan hebt. ;)) Wil je dat niet? Dan is dat jou vrijwillige keuze om er NIET mee akkoord te gaan, alleen kan de content dan niet laden. Je hebt dus een 100% vrijwillige keuze om akkoord te gaan of niet. Er is namelijk ook niemand die jou verplicht om hier de content te komen bekijken. Daar kies je zelf voor.
Het lijkt mij een misconceptie dat je kan claimen "Ik wil de site bezoeken, maar onder *mijn* voorwaarden". Neen. Er zijn wat basisregels waaraan voldaan moet worden, en Tweakers lijkt dat prima te doen - voor al het anderen mogen ze zelf bepalen wat ze doen en hoe ze het doen. (Sure, het is her en der wel wat grijs gebied overigens - maar dat is de schuld van de wetgever.)

Draai het eens een andere kant op. Als het een Paywall zou zijn in plaats van een Cookiewall, dan zou ik als ik jou gedachtengang volg dus moeten vaststellen dat een Paywall een vorm van chantage/dwang is? :P Immers kan het best functioneren zonder die paywall, dus wie zijn zij om jou te dwingen te betalen? Ook dan dwingt niemand je om te betalen, dus is er nog altijd sprake van het vrijwillig aangaan van in dat geval een contract. Ga je niet akkoord? Prima, maar dan ook geen artikelen. *Niemand* die jou dwingt om toch akkoord te gaan. Net als dat jij nu vrijwillig akkoord geeft voor die cookies.

Het is wat anders op overheidswebsites. Zoals MijnOverheid. Die mogen geen cookiewall hebben.

Ik ben trouwens absoluut geen fan van cookiewalls hoor en vind de implementatie van Tweakers ook maar kut. Maar ik vind het hebben van zo'n wall zien als "dwang" gewoonweg belachelijk terwijl je toch echt zelf de keuze maakt om de site te bezoeken. :) Volgens mij zijn ze zelfs met die nieuwe ePrivacy verordening er nog niet helemaal over uit of het nou wel of niet geheel verboden moet worden. (En dan krijg je wss inderdaad dat helaas heel veel zaken achter een paywall gedumpt worden. Of dit nou echt "in the best interest" van de consument is is maar de vraag.)


Maar goed, deze discussie loopt al sinds de AVG überhaupt van kracht werd; het is gewoon weer zo'n vaag punt in de AVG waar geen helderheid over is en wat nog "uitgekristalliseerd moet worden". (<< Dat is serieus de dooddoener die je de hele tijd te horen krijgt van AP en EU als je vragen stelt over de AVG. Om knettergek van te worden.)

[Reactie gewijzigd door WhatsappHack op 20 augustus 2018 15:51]

Waarom niet? Jij kan er geheel *vrijwillig* voor kiezen om dan akkoord te gaan.
Had je gedacht.
Artikel 7.4 betr. voorwaarden voor toestemming:
Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.
Het simpelweg weergeven van een nieuwsartikel vereist geen overdracht van persoonsgegevens (buiten het IP adres dan). Profilering van hoe iemand een site gebruikt om deze mogelijk te verbeteren is ook geen kerndoel. Het serveren van gepersonaliseerde advertenties of het voorzien in profilering ten gunste van adverteerders evenmin.

Derhalve valt toestemming die afgedwongen wordt om toegang te verkrijgen tot zulk een dienst met 99.99% zekerheid niet onder vrijelijk gegeven en zal deze dus niet rechtsgeldig zijn.

[Reactie gewijzigd door R4gnax op 20 augustus 2018 22:17]

Het simpelweg weergeven van een nieuwsartikel vereist geen overdracht van persoonsgegevens (buiten het IP adres dan). Profilering van hoe iemand een site gebruikt om deze mogelijk te verbeteren is ook geen kerndoel. Het serveren van gepersonaliseerde advertenties of het voorzien in profilering ten gunste van adverteerders evenmin.
Het kunnen financieren van die overdracht vereist dat echter wel, en dus kan je spreken van een noodzakelijke actie om de dienst te kunnen leveren; en valt het wel/niet accepteren weer terug op een vrijwillige keuze van de bezoeker...

Het blijft gewoon een compleet vrijwillige actie om wel of niet akkoord te gaan, net zoveel als dat je compleet vrijwillig kan kiezen om een betaald abonnement te nemen op een krant of die krant gewoon helemaal niet te lezen - daar kan je ook niet gaan eisen dat je de krant gratis moet krijgen omdat je niet wilt dat je gegevens verwerkt worden door de uitgever en/of hun partners.

Zelfde casus bij bijvoorbeeld hosting. De dienst kan in principe geleverd worden zonder je IP-adres en dergelijken vast te leggen. De veiligheid keldert dan een stuk achteruit op sommige vlakken, maar het is technisch zonder probleem mogelijk. Toch heb jij niet het recht om te eisen van een bedrijf dat ze jou de dienst moeten leveren zónder ip tracking en het bedrijf is niet in overtreding als ze je dat weigeren. Het bedrijf mag, als het daar een gegronde reden voor heeft, dit gewoon als eis stellen voor het leveren van de dienst. En daar zit hem de crux in en waar de AVG en dergelijken wat vaag en multi-interpretabel zijn.

[Reactie gewijzigd door WhatsappHack op 20 augustus 2018 23:36]

Ik denk dat niemand van ons op het moment met absolute zekerheid kan stellen of wat Tweakers doet wel of niet mag. De teksten van de wet zijn al op verschillende manieren geinterpreteerd, en het is ook niet duidelijk hoe er precies gehandhaafd gaat worden.

Echter, op basis van wat ik tot nu toe heb gelezen hierover, zijn cookie walls niet toegestaan onder GDPR. Conceptueel is de wet vrij duidelijk in het stellen dat er toestemming gevraagd moet worden per type verwerking, niet alles-of-niets. Het verwerken van analytics is een heel andere verwerking als tracking. Zoek op dit onderwerp en je zult vrijwel iedereen die het onderzocht heeft zien uitkomen op deze conclusie, behalve dan ad bedrijven.

Logisch gezien kan een cookie wall simpelweg niet mogen omdat dan heel GDPR voor niets is. Iedereen plaatst dan gewoon een cookie wall en alles is als vanouds. Dat is niet de bedoeling van GDPR.

De tweakers cookie wall lijkt me niet houdbaar. Het kan wel zijn dat ze er nog een hele tijd mee wegkomen.
In de US, als je de wet overtreed, heb je veel sneller een rechtszaak aan de broek en dus zie je dat websites veel sneller compliant zijn
In de VS heb je ook het concept van punitive damages, vziw ook bij civiel-rechtelijke zaken. En dus kan het daar heel, heel hard gaan met de kosten van een overtreding.
Hmm nee, ik kan me niet herinneren of ik hier op nee heb geklikt (als dit al kon) of dat ik het gewoon handmatig geblokkerd heb :) Beetje tweaker laat zich niet leiden door een ''Accepteer alles'' knop :)

[Reactie gewijzigd door Craften op 20 augustus 2018 17:56]

Dat kan hier niet nee, je zal dus op "Ja, ik accepteer cookies" hebben geklikt.
Lijkt me stug dat je dat niet hebt gedaan, gezien er een cookie geplaatst wordt om dat te controleren. :+ Tenzij je je in wat bochten hebt gewrongen (alleen is alles dat een akkoord emuleert precies hetzelfde als een daadwerkelijk akkoord. Dat je dan omslachtig bezig bent geweest maakt geen verschil.), maar dan zou je je dat wel herinneren lijkt me. ;) Gezien je dat niet doet heb je naar alle waarschijnlijkheid gewoon geaccepteerd. :P

Dat je achteraf misschien tracking cookies e.d. blokkeert is natuurlijk weer een heel ander verhaal. :)
(Overigens zou ik dan ook nog eens goed kijken naar wat je aan javascript allemaal toestaat... Just sayin'.) Het makkelijkste is ook gewoon om op akkoord te klikken en dan eens te kijken wat ze allemaal opslaan aan cookies en wat ze inladen qua trackers. De wall zelf onderdrukken lijkt me eigenlijk tijdrovend, overbodig en waarschijnlijk contra-productief.
je accepteert letterlijk alles, of je mag onze website niet op
Ik had de AVG ook zo begrepen dat er voor de technische werking cookies geen toestemming gevraagd hoefde te worden, voor de cookies van derden wel en dat er een optie zou moeten zijn om zonder cookies van derden de site te bezoeken.
Het alternatief zal, zo ben ik bang, een paywall worden. Sommige mensen zouden graag betalen. Het merendeel denk ik vooralsnog niet.
Paywalls is door een aantal grote kranten al geprobeerd en na verloop van tijd afgeschoten als niet haalbaar. Te klein aantal subscribers.

Een alternatief wat wellicht wel werkbaar is:
ad-free subscriptions, en gratis toegang met niet gepersonaliseerde statische advertenties erbij.
En af en toe eens een keer een stevig gesponsorde uitgebreide infomercial om de kas te spekken.

Eigenlijk net zoals fysieke kranten.

[Reactie gewijzigd door R4gnax op 20 augustus 2018 22:07]

Fysieke kranten zijn ook niet meer haalbaar, dat is een beetje het probleem :P
Paywalls lijken niet te werken omdat gepersonaliseerde advertenties blijkbaar meer opleveren, waarschijnlijk mede omdat veel sites tegenwoordig ook veel niet vaste lezers hebben.

Maar wat ga je doen als je alleen nog maar non-targetted advertentie kan doen zoals in de begindagen? Dat leverde minder op. Als het dan niet rendabel is dan kan je niet anders dan een paywall. Sommige toko's, zoals de NRC, doen al niet anders. (Al kan je makkelijk om die "Gratis 4 artikelen" heenwerken, maar dat ff terzijde :P)

Ik heb 't idee dat ze uiteindelijk die kant op gedwongen worden, en ter compensatie wordt copyrightwetgeving nog bizar agressiever.
Lastig dat AVG. Ik kan nu zonder VPN niet meer (volledig) gebruik maken van verschillende Amerikaanse websites. Geen duistere sites, maar bv een site met kook recepten.
Lastig die privacy-schendende profilering. We kunnen nu zonder vergaande wetgeving geen normaal gebruik meer maken van verschillende grote websites. Geen duistere sites, maar bv. een gerespecteerde nieuwssite die vaak zelfs nog tegen dewetgeving in dit soort louche praktijken in stand te houdt.

[Reactie gewijzigd door R4gnax op 20 augustus 2018 21:21]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True