Overheid vraagt internetbranche om input voor cookieverbod

De overheid vraagt belanghebbenden om commentaar op een wetsvoorstel dat websites moet verplichten om bezoekers toestemming te vragen voor het plaatsen van cookies. Tot eind mei kan er worden gereageerd.

Do not want Het wetsvoorstel, waarover Tweakers.net vorige week schreef, kan voor websites ingrijpende gevolgen hebben. Zo wordt het bijhouden van gedetailleerde statistieken van bezoekers, bijvoorbeeld via diensten als Google Analytics, dan alleen nog toegestaan als bezoekers expliciet toestemming geven. Ook kan het wetsvoorstel ingrijpende gevolgen hebben voor bedrijven die zich bezighouden met online-advertenties.

Volgens Emerce blijkt het wetsvoorstel al twee weken openbaar te zijn; het voorstel is gepubliceerd op de website Internetconsultatie.nl. Die site wordt gebruikt om een deel van de nieuwe wetgeving aan het publiek voor te leggen. Op de site zijn het concept-voorstel en de toelichting daarop te vinden. Belanghebbenden, zoals consumenten en bedrijven, kunnen tot 28 mei op de 'cookie-wet' reageren. De ontvangen reacties worden na sluiting gepubliceerd, tenzij de auteurs hebben aangegeven dat niet te willen.

De voorgestelde wet zou zijn bedoeld om de privacy van internetgebruikers beter te beschermen en is de Nederlandse implementatie van Europese richtlijnen. Deze richtlijnen zijn niet vrijblijvend; EU-lidstaten zijn verplicht om ze in nationale wetgeving om te zetten. Volgens een van de desbetreffende richtlijnen is 'de opslag van informatie of het verkrijgen van toegang tot informatie' op een computer van een eindgebruiker alleen toegestaan als 'de betrokken abonnee of gebruiker toestemming heeft verleend'. Bovendien moet de gebruiker volledig zijn geïnformeerd.

IT-banen

Reacties (155)

boe.i 27 april 2010 09:58

Dit kan toch nooit doorgevoerd worden? Hier een praktijkvoorbeeld:

Een website vraagt in het begin of je cookies op wil slaan (moet volgens de nieuwe wet). Je klikt op "Nee". Vervolgens moet er een cookie worden opgeslagen zodat je de volgende keren niet opnieuw op "Nee" hoeft te klikken. Anders moet je elke keer dat je de website bezoekt opnieuw op "Nee" klikken. Maar dit is dan ook weer verboden...

[Reactie gewijzigd door boe.i op 22 juli 2024 16:45]

pentode @boe.i • 27 april 2010 10:23

In principe hoef je maar 1 bit informatie op te slaan. Nee is nul geen cookie, ja is één wel een cookie.

Distael @pentode • 27 april 2010 10:57

En waar sla je die ene bit op? Juist.......in een cookie op de pc van de bezoeker. Doe je dat niet dan krijgt deze bezoeker elke keer dat hij deze site bezoekt dezelfde vraag, net zolang totdat hij wel ja zegt op de vraag of Cookies mogen worden gebruikt

pentode @Distael • 27 april 2010 11:19

Dat wordt dan mogelijk opgelost met een alternatief:

Alternatives to cookies:

Some of the operations that can be realized using cookies can also be realized using other mechanisms.

IP address:
Users may be tracked based on the IP address of the computer requesting the page. This technique has been available since the introduction of the World Wide Web, as downloading pages requires the server to know the IP address of the computer running the browser or the proxy, if any is used. The server can track this information whether or not cookies are used. However, these addresses are typically less reliable in identifying a user than cookies because computers and proxies may be shared by several users, and the same computer may be assigned different IP addresses in different work sessions (as is often the case for dial-up connections).

Tracking by IP addresses can be reliable in some situations, such as the case of always-on broadband connections which retain the same IP address for long periods of time, so long as the power stays on.

Some systems such as Tor are designed to retain Internet anonymity and make tracking by IP address impractical or impossible.

URL (query string):
A more precise technique is based on embedding information into URLs. The query string part of the URL is the one that is typically used for this purpose, but other parts can be used as well. The Java Servlet and PHP session mechanisms both use this method if cookies are not enabled.

This method consists of the Web server appending query strings to the links of a Web page it holds when sending it to a browser. When the user follows a link, the browser returns the attached query string to the server.

Query strings used in this way and cookies are very similar, both being arbitrary pieces of information chosen by the server and sent back by the browser. However, there are some differences: since a query string is part of a URL, if that URL is later reused, the same attached piece of information is sent to the server. For example, if the preferences of a user are encoded in the query string of a URL and the user sends this URL to another user by e-mail, those preferences will be used for that other user as well.

Moreover, even if the same user accesses the same page two times, there is no guarantee that the same query string is used in both views. For example, if the same user arrives to the same page but coming from a page internal to the site the first time and from an external search engine the second time, the relative query strings are typically different while the cookies would be the same. For more details, see query string.

Other drawbacks of query strings are related to security: storing data that identifies a session in a query string enables or simplifies session fixation attacks, referer logging attacks and other security exploits. Transferring session identifiers as HTTP cookies is more secure.

Hidden form fields:
A form of session tracking, used by ASP.NET, is to use web forms with hidden fields. This technique is very similar to using URL query strings to hold the information and has many of the same advantages and drawbacks; and if the form is handled with the HTTP GET method, the fields actually become part of the URL the browser will send upon form submission. But most forms are handled with HTTP POST, which causes the form information, including the hidden fields, to be appended as extra input that is neither part of the URL, nor of a cookie.

This approach presents two advantages from the point of view of the tracker: first, having the tracking information placed in the HTML source and POST input rather than in the URL means it will not be noticed by the average user; second, the session information is not copied when the user copies the URL (to save the page on disk or send it via email, for example).

window.name:
All current web browsers can store a fairly large amount of data (2-32 MB) via JavaScript using the DOM property window.name. This data can be used instead of session cookies and is also cross-domain. The technique can be coupled with JSON/JavaScript objects to store complex sets of session variables[39] on the client side.

The downside is that every separate window or tab will initially have an empty window.name; in times of tabbed browsing this means that individually opened tabs (initiation by user) will not have a window name. Furthermore window.name can be used for tracking visitors across different web sites, making it of concern for Internet privacy.

In some respects this can be more secure than cookies due to not involving the server, so it is not vulnerable to network cookie sniffing attacks. However if special measures are not taken to protect the data, it is vulnerable to other attacks because the data is available across different web sites opened in the same window or tab.

HTTP authentication:
The HTTP protocol includes the basic access authentication and the digest access authentication protocols, which allow access to a Web page only when the user has provided the correct username and password. If the server requires such credentials for granting access to a web page, the browser requests them from the user and, once obtained, the browser stores and sends them in every subsequent pages request. This information can be used to track the user.

Adobe Flash Local Shared Objects:
If a browser includes the Adobe Flash Player plugin (formerly developed by Macromedia), the Local Shared Objects functionality can be used in a way very similar to cookies. Local Shared Objects may be an attractive choice to web developers because a majority of Windows users have Flash Player installed, the default size limit is 100 kB, and the security controls are distinct from the user controls for cookies, so Local Stored Objects may be enabled when cookies are not.

In some cases, web sites have created Flash LSOs that behave differently than what a user specifies for his http cookies, which has raised concern that web sites need to specify a consistent privacy policy across different types of cookies.[40]

The major drawback with this approach is the same as every platform/vendor-specific approach: it breaks the web's global accessibility and interoperability, tying up web development to a specific client's platform, excluding users who use standards-compliant web user agents and instead forcing them to use platform/vendor-specific web agents, which perpetuates vendor lock-in.

Client-side persistence:
Some web browsers support a script-based persistence mechanism that allows the page to store information locally for later retrieval. Internet Explorer, for example, supports persisting information in the browser's history, in favorites, in an XML store, or directly within a Web page saved to disk.[41] With HTML 5 there will be a DOM Storage (localStorage) method, currently supported by only some browsers. For Internet Explorer 5+ there is a userdata method[42] available through DHTML Behaviours.

A different mechanism relies on browsers normally caching (holding in memory instead of reloading) JavaScript programs used in web pages. As an example, a page may contain a link such as <script type="text/javascript" src="example.js">. The first time this page is loaded, the program example.js is loaded as well. At this point, the program remains cached and is not reloaded the second time the page is visited. As a result, if this program contains a statement such as id=3243242 (global variable), this identifier remains valid and can be exploited by other JavaScript code the next times the page is loaded, or another page linking the same program is loaded.[citation needed] The major drawback of this method is that the global JavaScript variable must be static, meaning that it cannot be changed or deleted persistently like a cookie.

[Reactie gewijzigd door pentode op 22 juli 2024 16:45]

teek2

@boe.i • 27 april 2010 10:09

Dat is het ding, hij blijft het dus gewoon vragen, ik vermoed dat de meeste mensen dan ook gewoon zeggen, "altijd cookies toestaan" tegen hun browser.

comatoast @boe.i • 27 april 2010 11:17

[quote van emerce]
De kans dat minister Van der Hoeven het wetsvoorstel ingrijpend aanpast is klein. Bij de consultatie tekent de overheid aan: "Van belang voor deze consultatie is dat het in dit wetsvoorstel gaat om strikte implementatie van Europese harmonisatierichtlijnen. Dat betekent, kort samengevat, dat er weinig ruimte is voor de nationale wetgever."
[\quote]

Cheetah_777 @boe.i • 27 april 2010 10:02

boe.i, dinsdag 27 april 2010 09:58

Ip loggen? Kan ook niet inderdaad, meerdere machines op 1 ip-adres... Goed punt...
Misschien in de browser opslaan:
Tweakers wel cookies, Google niet....

[Reactie gewijzigd door Cheetah_777 op 22 juli 2024 16:45]

ReMMerSB @Cheetah_777 • 27 april 2010 10:22

Maar Tweakers gebruikt Google Analytics (en Dart Floodlight) om je gedrag op de website te tracken om zo de website te optimaliseren. Wil je dat dan gaan tegenwerken?

Dat jij op deze site bent geweest weet Google toch wel door je ip-adres.

Tielenaar 27 april 2010 10:54

Ik kwam pasgeleden een project tegen dat probeerde aan te tonen dat elke PC+browser zijn eigen footprint heeft. Oftewel, een combinatie van de User Agent string, de geinstalleerde lettertypes en plugins, scherm, OS en nog een paar andere zaken die je browser standaard doorstuurt kan tot een vrijwel altijd unieke code leiden, zelfs vaak bij identieke bedrijfs PC's.
Dit zou een online advertising partij altijd kunnen gebruiken in plaats van cookies om te bepalen wie wie is. Hoe wou je dit gaan blokkeren?
Kijk hier maar: http://panopticlick.eff.org/ en schrik hoeveel informatie een website over je heeft.

Your browser fingerprint appears to be unique among the 813,183 tested so far.

Currently, we estimate that your browser has a fingerprint that conveys at least 19.63 bits of identifying information.

Verwijderd @Tielenaar • 27 april 2010 14:35

Volledig inaccuraat idd; krijg dezelfde resultaten met XP + IE8 maar de resultaten verschillen bij diegene van de test die ik 2uur geleden heb afgelegd bij dezelfde PC.

Tielenaar @Verwijderd • 27 april 2010 15:21

Het zou hetzelfde moeten blijven zolang je niks aan je plugins verandert, geen lettertypes installeert, geen browser upgrade doet of geen systeem herinstall.
Het is inderdaad geen accuraat geheel, veel gebruikers zullen binnen een week een andere footprint hebben, maar anderen misschien ook weer niet.

En ik heb hier inderdaad Opera 10.51 met Win7

Terug over cookies, het is wéér een technisch onhaalbaar overheidsidee. Leuk verzonnen, maar laat je eens een keer adviseren door mensen die er echt verstand van hebben in plaats van mensen met een papiertje die er totaal geen kaas van gegeten hebben.
Vraag het aan Tweakers! Lees topics als deze in plaats van onbekende sites te gebruiken.

EvilWhiteDragon @Tielenaar • 27 april 2010 13:00

Ik gok dat je Opera 10.51 hebt met Windows 7 hebt. Heb je dat niet dan is de test behoorlijk inaccuraat. Sowieso is dit een stuk minder privacygevoelig dan semi-persoonlijke cookies.

Arrigi 27 april 2010 13:52

Hoe ironisch, internetconsultatie.nl maakt meteen 3 cookies aan. Foei!

Paul - K @Arrigi • 27 april 2010 13:56

Het internet zonder cookies zou ook bijna onmogelijk zijn, wil je op elke pagina "Mag ik cookies plaatsen" gaan zetten net zolang totdat het mag?

Arrigi @Paul - K • 27 april 2010 14:10

Integendeel, ik zeg ook nergens dat ik voor dit voorstel bent. Ik stel enkel vast dat ik daar meteen 3 cookies krijg bij het laden van een pagina. En dat dan op een site van een overheid die cookies wil verbieden

florisje 27 april 2010 10:06

helaas kan ik die site niet bezoeken want die gebruikt cookies. dat gaat natuurlijk tegen m'n principes in

Menesis 27 april 2010 10:22

Deze wet is weer zoiets die -naar alle waarschijnlijkheid- het leven moeilijker maakt ipv makkelijker. Daar zit niemand op te wachten.

Ik vind dat de overheid zich niet met dit soort dingen moet bezig houden. Zeker omdat de wet een dubbele agenda lijkt te handhaven als het gaat om privacy:
Als het om gegevens gaat waar de overheid wat aan kan hebben, dan heeft dat de prioriteit over privacy. Maar als het om bedrijven gaat, stelt de overheid zich op als bescherm-engel en dat is overdreven hier.

Ik vind ook eigenlijk dat de privacy niet echt wordt geschoden met een cookie. Het stelt bedrijven alleen in staat een profiel van een anoniem iemand op te stellen, muv google die alles aan elkaar weet te koppelen.

Mogelijke oplossing: als de overheid dan toch zo graag de privacy wil waarborgen, kunnen ze beter tips geven aan internetgebruikers. Waarom niet een campagne met als doel te informeren over dit soort zaken. Doe een foldertje in de bus en leg uit hoe het zit. Mensen die echt bezorgt zijn om hun privacy zetten die cookies dan wel uit.

edit: daarnaast zijn cookies maar een deel van het hele verhaal als je de privacy wil waarborgen tijdens het surfen. klik

[Reactie gewijzigd door Menesis op 22 juli 2024 16:45]

jbdeiman 27 april 2010 10:34

Is het dan niet veel nuttiger (en een eenvoudigere oplossing) om in browsers de mogelijkheid in te bouwen om meldingen voor cookies te krijgen, als je dat wilt. Dan kan je het ook uitzetten.

Als je zelf weet wat je doet en welke websites je bezoekt, is er niets op tegen om cookies binnen te krijgen. Ik bezoek vrij veel websites, maar weet prima waar ik mee bezig ben. Ik moet er dan ook niet aan denken dat er overal zo'n melding komt. En dan, moet het een bepaalde standaard worden zo dat we bij een website maar 1 maal hoeven aan te geven dat we de cookies willen accepteren? Of hoe moeten we dat zien?
Het wordt er voor de gemiddelde internetgebruiker echt niet beter op, ze moeten nog meer klikken voordat ze een website kunnen bezoeken, er zijn zo ontzettend veel websites en daarvan is er ook nog een groot deel dat iets doet met sessies/ cookies. Maar ook bij een sessie wordt een "session_cookie" geplaatst (net wat anders dan een gewone cookie) maar wat gaan ze daarmee doen? Het moet juist veiliger worden zonder dat het gewoon (vlot/ lekker surfen) daaronder te leiden hoeft te hebben.

Wat ik niet snap is dat de overheid ons op zo'n betuttelende manier wil gaan beschermen. En hoe wouden ze het controleren en handhaven? Lijkt me een ondoenlijke zaak. Laat ze zich daar bezig houden met zaken waar het echt om gaat en niet om dit soort dingen.

[Reactie gewijzigd door jbdeiman op 22 juli 2024 16:45]

ajakkes 27 april 2010 10:42

Door Europesche regelgeving zou er wel wat veranderd kunnen worden op het gebied van koekjes en privacy. Het gebruik van koekjes is al een oude standaard (is het een standaard?) waar best wel verbeterd kan worden. Zoals veel mensen hier aangeven hebben ze niks tegen koekjes van de site-url zelf maar wel tegen third-party cookies. Door bijvoorbeeld een verbod op third party cookies kan dit opgelost worden. Maar misschien is dit meer iets wat ze aan W3C zouden moeten overlaten. Browsers verplichten standaard geen third party koekjes te accepteren en websites verplichten geen third party koekjes te gebruiken.

Ik heb me er niet helemaal in verdiept maar hoe zit het met third party koekjes icm iframe?

Overigens moet er volgens mij ook iets gebeuren aan flash en javascript aangezien deze tot veel meer in staat zijn op het gebied van privacy. Ik vindt sommige functies van javascript prima en wil het daarom niet blokkeren. Maar sommige functies zijn totaal overbodig en privacygevoelig.

Verwijderd 27 april 2010 11:18

Kamerstuk 21501-33, nummer 250:
Een aantal landen heeft een verklaring afgelegd over cookies. Voorheen
was in de richtlijn bepaald dat de gebruiker het recht geboden moest
worden om cookies te weigeren. In de nieuwe richtlijn is bepaald dat het
plaatsen van cookies alleen is toegestaan op voorwaarde dat de betrokken
gebruiker toestemming heeft verleend na te zijn voorzien van duidelijke
en volledige informatie ondermeer over het doel van het plaatsen van
cookies. De verklaring stelt dat het nieuwe cookie-artikel niet bedoeld is
om het bestaande vereiste te wijzigen, namelijk dat dergelijke instemming
wordt uitgeoefend als een recht om het gebruik van cookies te weigeren.
Hiermee wordt in feite beoogd de bestaande praktijk in stand te houden
en het nieuwe artikel daarmee zijn werking te ontzeggen. Nederland heeft
deze verklaring niet gesteund, omdat Nederland een verbetering van de
huidige situatie belangrijk vindt gelet op het belang van een goede
bescherming van de persoonlijke levenssfeer bij het gebruik van internet.
De aangepaste richtlijnen moeten uiterlijk in mei 2011 in nationale wetgeving
geïmplementeerd zijn. Het nieuwe orgaan van Europese toezichthouders
BEREC (Body of European Regulators of Electronic Communications)
met ondersteunend bureau zal begin 2010 van start gaan.

Dat Kamerstuk is niet voor iedereen makkelijk bereikbaar, dus ik heb hem even gehost:
http://duques.nl/forum/cookie.pdf

Toolskyn 27 april 2010 11:32

Op zich zijn trouwens de meeste wijzigingen die ze willen doorvoeren wel interessant voor de bescherming van de privacy. Ook vallen ze gebruikers daarbij niet lastig. Maar het gaat vooral om artikel 11.3a op pagina 16 van het voorstel. Dit voorstel gaat dus niet alleen over cookies, maar ook over bijvoorbeeld flash die wel eens wat opslaat op je computer.

Maar ik vind het voorstel erg vaag. Want in principe zou je ook de browsercache onder de gegeven beschrijving kunnen vatten. En om nu voor elk javascriptje, css bestand of plaatje weer toestemming te geven, nee bedankt. Nu kun je natuurlijk zeggen dat een cache header in http geen verzoek is om data op te slaan. Maar de vraag is dan of een Cookie header dat wel is. Zo'n cookie header is slechts een verzoek om bij een volgende request die informatie weer mee te sturen. Het is een ieder zijn recht om dat verzoek af te wijzen.

Sterker nog, dat is ook precies wat er in rfc2109 en rfc2965 staat. Waarom neemt de overheid niet een Nederlandse variant van die tekst over (bijv hoofdstuk 6 uit 2965), eventueel met een paar keer 'should' vervangen door 'must'. Daarbij zouden ze in algemene woorden het idee achter de CommentURL nog verplicht kunnen stellen, dat lijkt me een uitstekende oplossing.

Al met al wordt de verantwoordelijkheid hier aan de verkeerde kant gelegd. Het is aan de gebruiker om al dan niet cookies te accepteren, en niet aan de website om die toestemming te vragen. Het is wel aan de website om kort uit te leggen wat er met lokaal opgeslagen gegevens gedaan wordt. Het is de taak van de website om kenbaar te maken wat de url van zo'n privacy-pagina is. Hiervoor kan bijvoorbeeld prima de CommentURL functionaliteit in de cookie specificatie gebruikt worden. Of denk aan een privacy link op de pagina. Maar het is de taak van de gebruiker daar ook echt wat mee te doen. Ik ben bijvoorbeeld niet op de hoogte of de CommentURL goed gebruikt wordt door browsers.

Menesis 27 april 2010 09:53

Ik weet niet zoveel van cookies af: waarom zouden deze de privacy schenden? Een website weet toch niet wie ik ben tenzij ik inlog?

Verwijderd @Menesis • 27 april 2010 09:56

Nee, maar partijen als google kunnen wel herleiden door een cookie dat gebruiker XYZ veel zoekt naar / websites bezoekt over die dure Audi, en kan je dus aan de hand daarvan advertenties over die auto, andere auto's en leningen voorschotelen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:45]

herbalx @Verwijderd • 27 april 2010 10:09

Ik baal er altijd zo van dat personen binnen de politiek besluiten nemen over zaken waar ze totaal geen verstand van hebben.

Een cookie verbod is geen oplossing, waar gaat die wet eindigen? is dit voor domeinen die eindigen op .nl ? of gaat het over servers dit in nederland worden gehost ?

daarnaast hebben cookies ook goede eigenschappen, nameljik het doel waar ze ooit voor bedacht zijn.

Als de overheid dan toch een stap in de goeie richting wil doen en de privacy van de burger te beschermen, schaf dan de OV-chip kaart af, stop het CHP/EPD/EKD, stop met het opslaan van vingerafdrukken, stop met de bodyscanner. Zo is er nog wel even door te gaan met als privacyschendende maatregleen die de mensen van het CDA en de PVDA hebben bedacht.......

Ge Someone @herbalx • 27 april 2010 13:59

Cookies worden immers helemaal in de browser afgehandeld, dus browsers kunnen dit (nu al) afdwingen. Gewone gebruikers vinden het echter helemaal niet handig om voor iedere site waar ze rondneuzen apart toestemming te moeten geven, maar ja als het de wet wordt ...

Roland684 @Ge Someone • 27 april 2010 16:13

Je kunt als gebruiker dat nu niet zelf regelen omdat elke site minstens 10 cookies op je afvuurt. En omdat elke site dat doet, worden de browsers maak zo gemaakt dat ze standaard alles accepteren. En dus staat sites niets in de weg om nog meer cookies te gebruiken, etc.

Die spiraal komen we niet uit door zelfregulering.

Terwijl als het internet (gedwongen wordt) verantwoord met cookies om te gaan, kunnen browserinstellingen ook weer gebruikt worden om de gebruiker zelf te laten bepalen wat hij doet.

Als je nu als gebruiker bij een site klaagt dat de site niet werkt zonder cookies, krijg je domweg het antwoord dat je cookies aan moet zetten of moet oprotten. Dat is niet netjes, maar wel de praktijk.
Als je geen afstand doet van je privacy, ben je niet welkom.

coretx @herbalx • 27 april 2010 10:19

Stem dan piratenpartij: Die is 100% informatiepolitiek gericht en heeft wel verstand van zaken.

-Sander1981- @coretx • 27 april 2010 20:55

Zeg dan wel even wat je zelf met de partij te maken hebt, op deze manier lijkt het net of dit een reactie is van een mogelijke stemmer, in plaats van de gestemde. Gebruik bijvoorbeeld de zinsconstructie "Wij zijn 100% informatiepolitiek gericht en hebben wel verstand van zaken" - dat is wat eerlijker tegenover je kiezers...

arnoud_h @coretx • 27 april 2010 10:25

Voordat ik op een single issue partij ga stemmen...

Verwijderd @coretx • 27 april 2010 10:49

...en dus stem je op een partij die van 1 onderwerp "verstand" heeft en van alle andere onderwerpen geen en zelfs niet of nauwelijks een standpunt inneemt. Je stemt dus op een partij die straks over een heleboel onderwerpen (waarvan het grootste deel veel belangrijker dan IT) een mening mag hebben en beleid gaat bepalen, terwijl jij niet weet wat die mening is... Het is gewoon niet handig om op een one-issue-partij te stemmen, want die mag straks ook over een heleboel andere "issues" beleid bepalen.

ZpAz

@Verwijderd • 27 april 2010 10:09

En dat is erg want? Dan krijg je dus iig reclame over waar je in geïnteresseerd bent, dat heb ik imho liever dan dat ik dan reclame voor lolly's krijg ofzo.

Roland684 @ZpAz • 27 april 2010 16:21

Waarom zou ik je nog korting geven als ik allang weet wat je te besteden hebt?
Waarom zou ik je de pindakaas aanbieden die je toch wel koopt voor de volle prijs?

Als ik jouw leefpatroon ken, als ik weet welke andere prijzen je hebt gezien, kan ik mijn prijzen daar op aanpassen om zo mijn winst te maximaliseren (= zoveel mogelijk van jouw geld af te nemen).

Het is gewoon niet handig om als je een huis gaat kopen, te vertellen hoeveel je te besteden hebt. Dat lijkt me duidelijk.
Maar waarom zou een webwinkel dat niet ook bij kleine aankopen gebruiken? Ben je ook bij dure sites geweest en nu al voor de 3e keer terug? dan kunnen de prijzen wel omhoog. Kom je op low-budgets sites en ben je hier voor het eerste? dan snel de prijzen omlaag om te laten lijken dat we goedkoop zijn. Rond de tijd dat je gaat bestellen kunnen die wel omhoog.

Sites verbinden allerlei conclusies aan jouw gedrag en stemmen daar hun gedrag op af. En nu maar hopen dat ze de juiste waarnemingen hebben gemaakt en de juiste conclusies hebben getrokken... want daar heb je zelf compleet geen invloed op.

elmuerte @ZpAz • 27 april 2010 11:23

Misschien wil je wel eens je interessegebied verbreden.

Garma @Verwijderd • 27 april 2010 10:12

ben ik de enige die dit alleen maar handig vind? Reclame is irritant omdat het niet gepersonificeerd is. Als ik een audi wil kopen, vind ik reclame over Audi's eigenlijk wel prima, beter dat dan pampers.

YopY @Garma • 27 april 2010 10:27

Helaas werkt het systeem niet feilloos - ik krijg telkens advertenties over dating voor 50 plussers,

watercoolertje @YopY • 27 april 2010 10:36

Tja dan kent Google je beter dan jij jezelf kent

Robbaman @YopY • 27 april 2010 10:45

Dan werkt het toch prima

Verwijderd @YopY • 27 april 2010 11:03

Heb je iets te bekennen YopY?

stresstak @YopY • 27 april 2010 17:34

YopY, Mijn moeder zoekt nog een vriend, met een Audi. Vandaar...

KubikNL @Menesis • 27 april 2010 09:56

Kijk eens op http://nl.wikipedia.org/wiki/Cookie_(internet)

Er kan dus misbruik worden gemaakt van privé-gegevens.

Flowmo @KubikNL • 27 april 2010 10:22

Dat klopt, het *kan*. Dat wil niet zeggen dat elke cookie prive gegevens opslaat. Deze wet is in feite ook overbodig, aangezien je al akkoord gaat met de algemene voorwaarden en disclaimer van een website als je erop zit en er gebruik van maakt.

Als je nergens een account aanmaakt, nergens contactgegevens achterlaat, nergens formulieren invult, dan loop je gewoon het minste risico dat er privegegevens van je worden opgeslagen. Doe je dat wel, dan is het je eigen risico.

Roland684 @Flowmo • 27 april 2010 16:06

...aangezien je al akkoord gaat met de algemene voorwaarden en disclaimer van een website als je erop zit en er gebruik van maakt.

Dat is natuurlijk onzin. Je moet wel degelijk aantonen dat die persoon de voorwaarden gelezen en begrepen heeft voordat je ze kunt laten gelden. En je moet ze vantevoren aanbieden.

En momenteel worden er ook nog eens de gekste dingen in de ellelange voorwaarden verklaard waardoor ze compleet zinloos zijn.

Het stellen dat ergens in een of andere weggestopt document staat genoemd dat een site zichzelf een bepaald recht toe-eigend, is niet de manier waarop je met persoonsgegevens hoort om te gaan.

@ watercoolertje: Inloggen kan prima zonder cookies. Dat er massaal cookies voor misbruikt worden is een tweede.

NTAuthority

@Roland684 • 27 april 2010 21:54

De alternatieven zijn ofwel basic/digest-authentication gebruiken, waar geen eigen interface voor te gebruiken valt, of een sessie-ID in de URL blijven behouden, wat voor ontwikkelaars meestal 'te lastig' is, en vooral met 'hackable URLs' lastig is voor de gebruiker -- en voor zoekrobots, in sommige andere gevallen.

watercoolertje @Flowmo • 27 april 2010 10:35

Dan nog al die info kan op 99 andere manieren opgeslagen worden! Maar een inlog-systeem zonder cookies is bijna niet te doen want sessies gebruiken ook weer cookies

elmuerte @KubikNL • 27 april 2010 11:21

Er kan dus misbruik worden gemaakt van privé-gegevens.

Fout. Het privacy aspect bij cookies is, net zoals bij de OV chipkaart/rekeningrijden/etc., traceerbaarheid.
Prive gegevens worden niet aangetast door cookies.

Havelock @KubikNL • 27 april 2010 11:22

de link die je aan geeft is niet helemaal correct neer gezet...

dit is de correcte link...

http://nl.wikipedia.org/wiki/Cookies

? ? @Menesis • 27 april 2010 10:11

Kijk, daar komt Facebook op de proppen !

We zijn allemaal in de val gelopen:
We hebben ons geregistreerd met onze echte naam (iets dat ik voordien nooit deed).

En aangezien je aangemeld wil blijven op Facebook, laat je zo'n cookie toe. Echter heeft Facebook aangekondigd een nieuwe I Like feature te implementeren buiten hun eigen site. Dus krijgen hun partner sites een stukje javascript van op de Facebook servers (net zoals google analytics), zodat jij direct herkend wordt op die website.
IMDB.com bijvoorbeeld weet dan direct wie ik ben, mijn echte naam, gewoon omdat ik een cookie van Facebook heb. De baas van Facebook zei het zelf "men wil de echte naam van de gebruiker weten".

Anonimiteit of privacy op internet is zo écht wel weg. IMDB.com is een filmsite, maar als een porno site of weet ik veel dit ook doet, krijgen ze opeens wel zeer veel info over hun surfers, zonder dat die het eigenlijk weten !!
Want op facebook wordt zoiets nieuw standaard doorgevoerd als "toegelaten" (als je Engels als taal hebt ingesteld).

Google analytics vind ik minder erg, omdat Google enkel de informatie heeft. Terwijl in het Facebook model de sites zelf de info krijgen.

Cookies zijn dus wel degelijk gevaarlijk, als er één speler is die op veel sites staat. Zoals dus Google analytics (waardoor Google weet welke sites je bezoekt) of erger a la Facebook, waardoor je Facebook account bekend is op elke site die je bezoekt.

watercoolertje @? ? • 27 april 2010 10:38

Dat is de rede dat ik geen echte naam heb ingevuld op facebook, wou gewoon lid worden van een groep (motorola europe) en daar ga ik echt niet me echte naam voor invullen

leuk_he @watercoolertje • 27 april 2010 14:55

Juist, en als websites zorgvuldig met privacy omgaan zou je niet met watercoolertje hoeven inloggen, maar zou je je echte naam kunnen gebruiken, waarbij je zelf aangeeft wat er met je informatie gebeurt.

bartvb

@? ? • 27 april 2010 10:42

Dit heeft allemaal heel weinig met cookies te maken en alles met het delen van informatie tussen sites/bedrijven. Het gaat om het gebruik van de data, zonder cookies is bovenstaande scenario ook prima mogelijk als Facebook dit soort informatie wil delen met derden.

Daarnaast is het ook nog zo dat 99% van de mensen algemene voorwaarden e.d. meteen wegklikt. Het zal ze weinig interesseren wat er allemaal wel/niet met hun data gebeurt als ze maar niet iedere keer opnieuw in hoeven loggen op Facebook of Hyves.

? ? @bartvb • 27 april 2010 12:51

Neen je snapt het niet dan.

De cookie is nodig om mij te identificeren op een andere website, zonder dat ik me daar bewust van ben of dit wil. Dit kan door een javascriptje van facebook te gebruiken die dan weer toegang heeft tot de cookie.

Enkel je uitloggen en de facebook cookie verwijderen helpt.
(facebook is maar een voorbeeld)

gnimmeL_kraD @? ? • 27 april 2010 12:13

Achja, gewoon geen Facebook/Hyves/whatever gebruiken. Het is toch allemaal nutteloos (foto's delen kan ook op een normale manier!). Ik ben blij dat ik niet daar aan mee doe.

Verwijderd @gnimmeL_kraD • 27 april 2010 13:10

En daar gaat dit wetsvoorstel dus over; het wil de consument beschermen tegen praktijken die maar als normaal worden beschouwd en dus in de gebruikers overeenkomst staan. (jij mag onze software gebruiken daar willen wel wel voor terug wat jij allemaal in je vrijetijd doet)
Ook mag het bedrijf zomaar alles met die informatie doen (omdat het stond in de gebruikers overeenkomst)
Ik weet niet of ik nou voor of tegen cookies ben, het zij meestal handige dingen (een cookie kan namelijk ook alleen maar een sessie ID opslaan) en het zou ook op een verkeerde manier gebruikt kunnen worden.
Maar omdat iets verkeerd gebruikt kan worden hoeft het niet per definitie te betekenen dat je het moet verbieden.
Je kan uiteraard het gebruik van cookie informatie aanbanden leggen... maar denk dat veel moeilijker is om te kunnen te controleren is.

Misschien moet er wel gewoon een wet komen die vast stelt hoe je persoons gegevens moet opslaan en dat het niet mag in een cookie ;-)

@ReMMerSB
Persoonlijk zou ik deze site eerder checken ;-) www.privacymatters.nl

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:45]

tes_shavon @Menesis • 27 april 2010 09:57

omdat in een cookie ook van alles en nog wat weggeschreven kan worden. Een andere website zou al die cookies kunnen uitlezen en daar gebruik van kunnen maken. emailadressen? surfgedrag? ga zo maar door...

Little Penguin

Europa

@tes_shavon • 27 april 2010 10:06

In een cookie kan slechts een beperkte hoeveelheid informatie worden opgeslagen. En alleen de site die het cookie aangemaakt heeft kan deze terug lezen. Het is niet zo dat tweakers.net het cookie van overheid.nl uit kan lezen (als die laatste al gebruik maakt van cookies).

Voor de grote jongens (denk aan Google, Yahoo, Microsoft e.d.) is er wel een mogelijkheid om gegevens te combineren. Omdat je al snel een advertentie van hen voorgeschoteld krijgt - in hoeverre dit een goede zaak is, dat is wel een grote vraag.

YopY @Little Penguin • 27 april 2010 10:29

In een cookie kan slechts een beperkte hoeveelheid informatie worden opgeslagen. En alleen de site die het cookie aangemaakt heeft kan deze terug lezen. Het is niet zo dat tweakers.net het cookie van overheid.nl uit kan lezen (als die laatste al gebruik maakt van cookies).

Niet direct, nee, maar als een site (bijvoorbeeld overheid.nl) slecht beveiligde user generated content toestaat en er cross-site-scripting code op geplaatst kan worden, kan een kwaadwillende persoon de inhoud van de cookies op overheid.nl doorsturen naar tweakers.net. Da's namelijk ook een mogelijk scenario.

watercoolertje @YopY • 27 april 2010 10:37

Maar ligt dat dan aan de cookie of aan het complete syteem dat security issues heeft

Verwijderd @watercoolertje • 27 april 2010 11:09

En rara wat zien we de laatste 20 jaar? Brakke beveiliging bij overheid sites, brakke beveiliging bij sites die WILLEN dat ze kwetsbaar zijn(ze werken samen met de mogelijke boosdoeners) noem maar op.

Menesis @tes_shavon • 27 april 2010 10:37

vaak wordt de info in hash formaat opgeslagen. Of dat voldoende beveiliging biedt weet ik niet.

elmuerte @Menesis • 27 april 2010 11:35

Fout.

Die informatie op in de database van de server opgeslagen. De cookie bevat meestal niet meer dan een tijdelijk uniek nummer ("session id"), die de site gebruikt om je huidige browser sessie te koppelen aan de pagina's die je bekijkt op die site.

De veiligheid van informatie die jij ingevoerd hebt in de database van de site staat helemaal los van het gebruik van cookies of uberhaupt jou aanwezigheid op site.

Bijna geen elke website ter wereld zal, door jou ingevoerde, persoonsgegevens opslaan in een cookie. Want daar is het cookie systeem te beperkt en onhandig voor.

Menesis @elmuerte • 27 april 2010 11:50

Most cookies are as simple as a session token, but sometimes they contain your login credentials, usually encrypted or hashed in some format—but since cookies are only sent back to the same site that originated them, even if cookies contained personal information, it is not going to be shared with every site you visit.

bron

edit: het beantwoord overigens ook mijn eerdere opmerking over beveiliging.

..but since cookies are only sent back to the same site that originated them...

[Reactie gewijzigd door Menesis op 22 juli 2024 16:45]

arjankoole

Overheid

@Menesis • 27 april 2010 09:57

Best een goeie vraag eigelijk.

Stel: je logt in bij google, voor je email of een andere dienst. Dan weet google wie je bent, nietwaar?

Dan weten ze dat ook gelijk voor google analytics ( wat zowat iedere site gebruikt voor bezoekers statistieken ) en voor google ads ( waar ze werkelijk hun geld mee verdienen ).

Al die gegevens bij elkaar kunnen voor privacy schending zorgen, en al die dingen worden door 1 enkel uniek cookie aan jou gekoppeld.

Menesis @arjankoole • 27 april 2010 10:35

Maar is dat schending van privacy?
Alleen ik krijg die ads te zien, mijn naam wordt nergens bekendgemaakt voor andere bezoekers. Dit zou natuurlijk wel kúnnen met een cookie. Maar dan is het niet de schuld van het cookie, maar van die site zou ik zeggen.

Wat fijn zou zijn is een wet die regelt hoe gegevens van een cookie mogen worden gebruikt. Websites hebben zich daar dan aan te houden en de internetgebruiker wordt nergens mee lastiggevallen.

Een cookieverbod slaat echt nergens op.

arjankoole

Overheid

@Menesis • 27 april 2010 19:25

Maar is dat schending van privacy?

dat is geheel afhankelijk van de definitie die de wet daar aan verbind. In dit land lijkt de overheid te neigen naar: ja.

Een cookieverbod slaat echt nergens op.

Ben ik volmondig met je eens, maar dat is het punt niet echt.

bartvb

@arjankoole • 27 april 2010 10:40

Nee hoor, het zijn drie losse cookies. Analytics staat iig helemaal los van de andere Google diensten (zegt Google zelf iig).

Het privacy probleem van Cookies is dat deze het makkelijk maken om een browser uniek te kunnen identificeren, het verbieden lost echter niets op aangezien IP adres + User agent vrijwel even uniek is op een paar uitzonderlijke situaties na (bedrijfsnetwerken b.v.).

Het lijkt me nuttiger als ze het CBP meer geld geven om de bestaande privacywetgeving ook daadwerkelijk uit te voeren.

ReMMerSB @Menesis • 27 april 2010 10:32

Check deze site dan even: http://www.iab.net/privacymatters (wel in het engels!)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (155)

Sorteer op:

Weergave: