Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties

Een privacywerkgroep van de Europese Commissie heeft richtlijnen bekendgemaakt voor zoekmachines met betrekking tot opslag van zoekgegevens van gebruikers. De werkgroep vindt een bewaartijd van zes maanden voldoende.

De Artikel 29-werkgroep, die de Europese Unie van advies dient over privacybeleid, is van mening dat de Europese regelgeving op het gebied van bescherming van persoonsgegevens ook geldt voor zoekmachines, schrijft het CBP - zelfs als het hoofdkwartier buiten de Europese Unie gevestigd is. Tegelijkertijd heeft de werkgroep bepaald dat de dataretentierichtlijn van de Europese Commissie niet van toepassing is op zoekmachines omdat deze niet gezien worden als 'electronic communications service' zoals beschreven in die richtlijn. De werkgroep stelt aan de hand van een enquÍte onder leveranciers van zoekdiensten vast dat er geen basis is om persoonlijke gegevens langer dan zes maanden op te slaan. Tevens moeten deze gegevens alleen voor legitieme doeleinden gebruikt worden en moet de hoeveelheid benodigde data minimaal zijn.

Anonimisering van persoonsgebonden gegevens wordt toegejuicht door de privacywerkgroep, maar dit proces moet compleet onomkeerbaar zijn. Om identificatie van personen uit te sluiten, kan het nodig zijn om bijvoorbeeld delen van de zoekhistorie te verwijderen om anonimiteit te garanderen. Ip-adressen worden door de werkgroep gezien als persoongebonden gegevens, evenals cookies. Ook caching van gegevens zoals van webpagina's bij zoekopdrachten van bijvoorbeeld Google moet een maximale bewaartijd krijgen, die niet langer is dan 'het tijdsbestek dat nodig is om het probleem van tijdelijke onbeschikbaarheid van een website op te lossen.' De werkgroep vindt verder dat de persoon waarover gegevens worden opgeslagen hierover geinformeerd moet worden. Volgens Artikel 12 van de gegevensbeschermingsrichtlijn moet deze de gegevens over hem kunnen inzien en aan kunnen passen.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (33)

waarom mogen zoekmachines data niet langer dan 6 maanden bewaren, terwijl ISPs als ik me niet vergis een jaar lang *alles* moeten bewaren?

En waarom kan t niet gewoon geanonimiseerd worden? En hoe gaan ze controleren of de zoekmachines zich wel aan de eisen houden? Al helemaal in een ander land!
ISP's hoeven alleen de verkeersgegevens te bewaren, niet de inhoud. Dus alleen: welk IP praat wanneer met welk ander IP over welke poort, dat soort dingen. Ze hoeven dus zeker niet *alles* te bewaren, sterker nog, ik vraag me af of ze dat uberhaupt wel můgen doen.

In dit geval gaat het om zoekgegevens, dus complete zoektermen. Weliswaar geanonimiseerd, zoals in het artikel te lezen is.
Als straks de dataretentiewetgeving is ingevoerd, moet er heel wat meer bewaard worden. Uit het wetsvoorstel, bij internettoegang, e-mail over het internet en internettelefonie:

a. de toegewezen gebruikersidentificatie(s) en de gebruikersidentificatie
of telefoonnummer van de beoogde ontvanger(s) van een internettelefoonoproep;
b. de gebruikersidentificatie en het telefoonnummer toegewezen aan
elke communicatie die het publieke telefoonnetwerk binnenkomt;
c. naam en adres van de abonnee of de geregistreerde gebruiker aan
wie het IP-adres, de gebruikersidentificatie of het telefoonnummer was
toegewezen op het tijdstip van de communicatie en naam (namen) en
adres (adressen) van de abonnee(s) of de geregistreerde gebruiker(s) en
de gebruikersidentificatie van de beoogde ontvanger van communicatie;
d. datum en tijdstip van de log-in en log-off van een internetsessie
gebaseerd op een bepaalde tijdzone, samen met het IP-adres, hetzij
statisch, hetzij dynamisch, dat door de aanbieder van een internettoegangsdienst
aan een communicatie is toegewezen, en de gebruikersidentificatie
van de abonnee of geregistreerde gebruiker;
e. datum en tijdstip van de log-in en log-off van een e-maildienst over
het internet of internettelefoniedienst gebaseerd op een bepaalde
tijdzone;
f. de gebruikte internetdienst;
g. het inbellende nummer voor een inbelverbinding;
h. de digital subscriber line (DSL) of ander eindpunt van de initiatiefnemer
van de communicatie.

En dat dus 18 maanden lang.

@Coju: bij mijn weten moet wetsvoorstel 31145 nog plenair in de Tweede Kamer besproken worden, ik kan op www.overheid.nl/op/ niets vinden dat het aangenomen zou zijn.

@roy-t: Volgens mij wordt met "sessie" bedoeld je internetsessie bij de provider, en niet elke HTTP sessie met T.net of andere site. Doel is vooral dat ze aan de hand van een IP-adres en tijdstip van anderhalf jaar geleden kunnen zien dat jij iets terroristisch zei.

[Reactie gewijzigd door Arnoud Engelfriet op 7 april 2008 21:59]

18maanden zoveel data bewaren? Sorry hoor maar alleen al door met tweakers.net te verbindne maak ik denk ik vanaf mijn ip connectie met zo'n 15 tot 20 verschillende IP's (admangers, image servers, hoofd servers, forum servers, blog servers, pricewatch servers etc.. waar allemaal stukjes van op de frontpage staan.

Ik wil echt niet weten hoe een log van alle connecties via bittorrent (een uur lang zo'n 1000 actieve connecties bijvoorbeeld' eruit gaat zien in 18maanden, ik denk dat je voor een bovengemiddeld computergebruiker toch zeker meerdere gigabytes aan data nodig hebt 18maanden aan connecties met ip´s
Het enige waar we op kunnen hopen is dat ISP de kosten voor deze opslag gespecificeerd op de rekening gaan zetten. Uw heeft deze maand 5 GB aan logfiles veroorzaakt; 5GB * 18 maanden * 1 Euro/GB/Maand = 90 euro.

Als maar genoeg mensen dat soort rekening gaan vinden zullen ze misschien de politiek terugfluiten.
nog beter is om die rekening door te sturen naar de politiek ;)
dan zal ik trouwens ook wel een stukje software wat duizenden verbindingen per seconde opent en sluit gaan draaien :P
Lijkt me sterk, aangezien alle EU-landen (incl. Nederland, met dank aan Brinkhorst als ik het me goed herinner) inmiddels de dataretentierichtlijn geaccepteerd hebben.
Volgens mij is de dataretentiewetgeving al door de Tweede Kamer. Zie voor meer informatie dit artikel van vorige week. De media hadden het alleen druk door Verdonk en Wilders waardoor er nauwelijks aandacht aan gegeven is.
Maar met die verkeersgegevens kun je toch wel zeer veel afleiden, weliswaar niet direct maar het is te achterhalen (en de achterliggende inhoud dus ook)
Het merkwaardige is dat de EC in dit geval vindt dat gegevens niet langer dan een bepaalde tijd worden opgeslagen. Voor verkeersgegevens eist de EC juist een minimale opslag van 6 maanden en toegang tot deze gegevens.
Kennelijk is de EC alleen voor langdurige gegevensopslag over burgers als overheden toegang kunnen verwerven tot de informatie.
In Nederland geldt hiervoor een periode van 18 maanden. Hoe het in Belgie gestelt is durf ik niet te zeggen.
Deze regels zijn makkelijk te omzeilen voor bedrijven als google: biedt extra service's enkel nog aan onder het google.com domein, disclaimer volgens amerikaanse wetgeving en voila, het valt onder de wetten van de USA. Of denk ik nu iets te simpel ?
Kijk naar Microsoft; die is ook al door de EC meerdere keren op de vingers getikt door "het zogenaamde Amerikaanse model" van software aanbieden. Oftewel; ik denk dat de EC wel een paar handgrepen heeft om dit soort data-opslag af te dwingen, zelfs bij/via sites die niet in de EU gehost worden.
Inderdaad, in Europa geld normaal gezien: Als u diensten bied aan een Europees land moet u in voege zijn met de wetten van dat land. (ondenkbaar) voorbeeld: morgen verplicht BelgiŽ dat iedereen die zich registreert op een website zijn rijksregister nummer moet opgeven. Dit betekent dat Tweakers.net (dat een Nederlands bedrijf is) aan al zijn Belgische gebruikers verplicht hun rijksregister nummer moet vragen.

of

Alle Belgen toegang moet weigeren tot het registreren.

Google heeft trouwens ook Europese afdeling dus zich scharen achter de Amerikaanse wet zal weinig nut hebben.
Bovendien wordt Google ook vanuit Europa gehost, o.a. vanuit Nederland.
Je denkt nu inderdaad wat te simpel :) De diensten van Google zijn duidelijk ook op de EU opgericht. Alleen een .com hebben en verwijzen naar een Amerikaanse policy/EULA is dan zeker niet voldoende om dit soort wetgeving te omzeilen.

Adviezen van A29 gaan wel ver, ben benieuwd wat daar van overblijft nadat het door de commissie is gegaan :/
Google heeft zijn datacentres over de gehele wereld staan, oa in Nederland. De webpagina's die dit datacentre serveert, zijn hierdoor in beginsel onderhevig aan de Nederlandse wetgeving.

Verder vind ik dit erg krom in vergelijking van de bewaarplicht. De bewaarplicht is ingesteld om na een terroristische aanslag bewijzen te kunnen verzamelen. Deze gegevens mogen absoluut niet geanomiseerd worden, omdat de overheden er dan niets meer aan hebben (ze beweren met de huidige regelgeving wel wat aan te hebben).
Hallo xxxxxx, de bom voor het CS in Den Haag staat voor vrijdag gepland. Ik ontmoet je om 12:00 uur voor de kiosk bij de uitgang.

Groeten,
xxxxxx
---------------
Volgens mij is het duidelijk genoeg dat je dan evemtjes als politie een kijkje gaat nemen bij het CS. Of misschien zou je terroristen kunnen verplichten om altijd hun adres onder een mailtje te melden :D
De bewaarplicht slaat enkel verkeersgegevens op, geen emailberichten of websites zelf. Uiteraard zijn die gegevens wel tot personen te herleiden, dat is het hele punt :)
Zo makkelijk is dat niet. Als je ook maar een cookie plaatst op een PC in Europa, val je onder de Europese privacywetgeving waar je servers ook staan. Daar helpt geen disclaimer of lieve moeder aan. Zeker als je als bedrijf Europese bezittingen hebt die in beslag genomen kunnen worden bij niet-naleven van vonnissen.

@Marcks: je maakt gebruik van in Europa staande systemen voor verwerking van persoonsgegevens, namelijk de computer van de gebruiker.

Dat het praktisch onuitvoerbaar is, is een ander. Maar de Europese privacywetgeving is de strengste ter wereld, en die Braziliaan moet met zijn vingers van Europese persoonsgegevens afblijven als hij zich niet aan onze regels wil houden.

@Bloodshot: in het HTTP-protocol is het toch echt de server die ongevraagd Set-Cookie zegt. Sterker nog er is geen Please-Give-Cookie header in HTTP. Dus het is echt de server die de computer van de betrokkene gebruikt om persoonsgegevens mee te verwerken.

[Reactie gewijzigd door Arnoud Engelfriet op 8 april 2008 08:44]

Als de Europese wetgeving inderdaad zo'n bepaling kent, dan valt deze in het grijze gebied tussen onzinnig en krankzinnig. Wie vanuit BraziliŽ een cookie naar een pc in Duitsland stuurt, valt niet onder Europees recht en geen enkele Europese rechtbank kan een vonnis tegen de Braziliaan ten uitvoer brengen.
@Arnoud Engelfriet & Marcks: Eigenlijk roept de gebruiker het cookie over zichzelf af: De webserver in Amerika/Brazillie stuurt echt niet ongevraagd een cookie naar een web-client. Dus is het niet de WEBSERVER maar de GEBRUIKER die zijn eigen computer gebruikt voor de verwerking van persoonsgegegevens.
Maar op het moment dat een webserver een verbinding accepteert vanuit Duitsland doen zij zaken in Duitsland en zijn ze onderheving aan de Duitse wetten wat deze Duitse gebruikers betreft. Dat is ook de reden dat websites soms bezoekers weigeren uit bepaalde landen: dan is er in dat land bijvoorbeeld bepaald dat de site illegaal bezig is.
Of is het te veel moeite om te voldoen aan welke wetgeving men moet voldoen (denk aan strenge eisen over consumentenvoorlichting, ontbinding van koop op afstand en dat soort grappen).
Dit geldt in veel gevallen ook als het hoofdkantoor van de aanbieder van de zoekmachine buiten de EU is gevestigd.
Maw. als je hier in de EU als google je diensten wil aanbienden, dien je je toch te houden aan de europese regelgeving. Ook al doe je dat van buiten de EU.
Indien niet, zou het in het meest extreme geval kunnen dat men de ISP's gaat vragen (lees: verplichten) om je website te blokkeren. En anders, in boetes zijn we als EU ook goed (Cfr. Microsoft ;) )
Maar ik denk niet dat google gaat riskeren om van zoveel klanten afgesloten te worden. En dat ze zich bijgevolg wel naar de europese regelgeving zullen schikken ... voor de europese klanten.

[Reactie gewijzigd door JurGradi op 7 april 2008 21:06]

Privacywerkgroep BlackOwl: zoekdata niet bewaren
De werkgroep vindt een bewaartijd van zes maanden voldoende.
6 maanden, een compleet uit de lucht gegrepen periode. werkelijk, deze 'privacygroep' beslist dat het 6 maanden moet zijn en geen dag langer of korter op basis van een .... enquete onder zoekmachineleveranciers? wtf? dat slaat toch helemaal nergens op. je kan dan net zo goed concluderen dat het helemaal niet interessant is om data te bewaren. maar ze snappen zelf ook wel dat zo'n conclusie nooit geaccepteerd zal worden door de politiek. dus dan maar 6 maanden, heeft dit clubje "privacy" mensen zich ook weer nuttig gemaakt!
nee, het gaat over informatie die bvb een google over u heeft om zijn advertentie dienst op u in te stellen, en om zijn zoekresultaten te verbteren, die gegevens worden niet doorgegeven aan de EU. Het is gewoon een maximum termijn dat google die info mag bijhouden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True