Koekje erbij?

De cookiemuur komt terug. De niet te omzeilen cookiemelding, die gebruikers moesten accepteren voordat ze een website op konden, leidde in 2012 en 2013 tot veel ergernis onder internetgebruikers. Tweakers zelf was voorzien van een cookiemuur, naast de websites van onder andere de publieke omroepen en de kranten van De Persgroep, zoals de Volkskrant en het AD.

In de laatste jaren zijn die cookiemuren grotendeels neergehaald, in het geval van de publieke omroep omdat die daartoe werd gedwongen, maar in de overige gevallen omdat websites dachten dat ze niet meer nodig waren.

Het bleek een tijdelijke situatie. Onlangs stelde GeenStijl samen met zustersites DasKapital en Glamorama een cookiemuur in. Maandag krijgt ook Tweakers weer een cookiemuur, samen met andere sites van het moederbedrijf van Tweakers, zoals opnieuw de Volkskrant en het AD, maar ook AutoTrack en alle sites van de voormalige Wegener-kranten.

Wat is er veranderd, waarom besluiten sites nu plotseling weer om cookiemuren in het leven te roepen? En waarom bestaat die gebruiksonvriendelijke ‘cookiemuur’ eigenlijk? We zetten de antwoorden op een rijtje.

De cookiewet is, zoals zoveel wetten in Nederland dat inmiddels zijn, een Europese vinding. In 2009 besloot de Europese Commissie dat internetters de kans moeten krijgen om zich te verweren tegen online-tracking. Het was tegen het zere been van de Commissie dat adverteerders zonder internetters daarvan op de hoogte te stellen en zonder dat ze daar wat tegenin konden brengen surfgedrag op internet volgden.

Destijds kreeg dat weinig aandacht in de media, zoals dat vaak gaat met voorgestelde Europese wetgeving. Weinig media-aandacht ten spijt, de wetgevingstrein denderde door en het ‘cookieverbod’ werd een Europese richtlijn. En zodra iets een Europese richtlijn is, moet elke lidstaat van de Europese Unie dat omzetten in nationale wetgeving.

Fast forward naar 1 juli 2012. Op die dag trad het cookieverbod, dat inmiddels in nationale wetgeving was omgezet, in Nederland in werking. Vanaf toen moesten gebruikers toestemming geven voor het plaatsen van alle cookies die niet essentieel waren voor het functioneren van een website.

Niet dat iemand er op die dag wat van merkte, want vrijwel geen enkele website hield zich aan de nieuwe wetgeving. Hoewel de OPTA, inmiddels opgegaan in de Autoriteit Consument en Markt, aangaf de cookiewet actief te zullen handhaven, werd de wet aanvankelijk grotendeels genegeerd.

'Cookiewet'

De term ‘cookiewet’ is eigenlijk misleidend. Het gaat niet om een aparte wet, maar slechts om een passage in de Telecommunicatiewet en het woord ‘cookies’ komt in die passage helemaal niet voor. De wet heeft het in plaats daarvan over het ‘opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker’.

De term 'cookiewet' is
eigenlijk misleidendIn de praktijk gaat het daarbij vooral om cookies, maar dus ook om Flash-cookies of local-storage in html5 en zelfs device-fingerprinting. Die data mag in bepaalde gevallen zonder toestemming worden opgeslagen en uitgelezen, namelijk als dat nodig is voor het functioneren van een website, of als het wordt gebruikt om het bezoekgedrag van gebruikers lokaal te analyseren. Daarbij mogen gegevens niet met derden worden gedeeld.

Zodra cookies of andere manieren van lokale opslag worden gebruikt om gebruikers te volgen, denk aan een uniek identificatienummer dat wordt geplaatst door een advertentienetwerk, moet daarvoor toestemming worden gevraagd aan de gebruiker. Gaat die akkoord, dan mogen de cookies worden geplaatst, anders niet.

Waren websites aanvankelijk nog laks met de implementatie van de cookiewet, later in 2012 en begin 2013 veranderde dat. Als eerste waren de websites van de publieke omroep aan de beurt; in oktober 2012 gingen die achter slot en grendel voor gebruikers die geen cookies wilden accepteren.

De cookiemuur is regelrecht
in strijd met de geest
van de cookiewetDe sites van mediaconcern De Persgroep, waaronder Tweakers, volgden in januari. Die sites hadden al langer een cookiemelding, maar dat was niet voldoende; de cookiewet verplicht websites niet alleen om gebruikers te informeren, maar ook om ze een keuze te bieden of ze wel of niet gevolgd willen worden. Fok.nl en De Telegraaf volgden later met een eigen cookiemuur.

De cookiemuur is regelrecht in strijd met de geest van de cookiewet, die gebruikers juist de mogelijkheid wil geven om websites wél te bezoeken, maar dan zonder dat ze worden gevolgd door drie dozijn advertentienetwerken. De marktwaakhond vindt de cookiemuur dan ook een ‘ongewenst’ fenomeen.

Legaal is hij wel. “Minister Kamp heeft zelf gezegd dat hij cookiemuren niet heel gebruiksvriendelijk vindt, maar als dat je verdienmodel is, dan moet je dat zelf weten”, zegt jurist Nicole Wolters Rucket van advocatenkantoor Kennedy van der Laan. Een uitzondering geldt voor websites die met publiek geld zijn gefinancierd; op die websites moeten gebruikers wel een keuze hebben om zonder tracking-cookies te surfen. Marktwaakhond ACM en privacywaakhond CBP dwongen de publieke omroep daarom om de cookiemuur neer te halen; de omroepsites moesten ook gebruikers accepteren die geen cookies wilden.

Daarna gebeurde er iets bijzonders. Minister Henk Kamp gaf aan dat implied consent wat hem betreft genoeg is, waarbij gebruikers geen expliciete toestemming hoeven te geven voordat 'toestemmingsplichtige cookies', zoals dat mooi heet, mogen worden geplaatst. Kamp beloofde daar onderzoek naar te doen en eventueel een zogenoemde algemene maatregel van bestuur uit te vaardigen om implied consent mogelijk te maken.

Het kon al

Het eigenaardige is dat impliciete toestemming al mogelijk was en is. Daarvoor hoeft minister Kamp geen algemene maatregel van bestuur uit te vaardigen, iets wat uiteindelijk dan ook nooit is gebeurd. Websites hoeven helemaal niet te wachten tot gebruikers akkoord gaan met een cookiewaarschuwing voordat ze tracking-cookies mogen plaatsen. Gebruikers moeten dan wel de kans hebben gekregen om de cookiemelding te lezen en eventueel te stoppen met het gebruik van de website.

“Als je een winkel met camerabewaking inloopt, volstaat bijvoorbeeld de melding bij de ingang dat er bewakingscamera’s actief zijn”, zegt ict-jurist Engelfriet. Door toch de winkel in te gaan, ga je ermee akkoord dat je wordt gefilmd. Die melding mag niet pas in de winkel zelf worden gedaan; op dat moment is het te laat, want er is al inbreuk gemaakt op je privacy zonder dat je daar zelf een weloverwogen besluit over hebt genomen.

Op het web is het niet anders: je mag ervan uitgaan dat mensen akkoord zijn met het plaatsen van tracking-cookies als ze doorgaan met het gebruik van de website. Daarbij is het net als in de winkel belangrijk dat je de gebruiker eerst de kans geeft om zich over de privacy-inbreuk te buigen. Daarbij moet in de cookiemelding duidelijk aangegeven zijn dat gebruikers tracking-cookies krijgen op het moment dat ze doorklikken in de website, laat woordvoerster Frederique Hermie van de ACM weten. “Het herladen van de website of het later terugkomen op dezelfde website is dan niet voldoende”, zegt Hermie. Gebruikers moeten dus echt actief doorklikken binnen een website.

Desondanks grepen veel websites de woorden van Kamp over implied consent aan om de cookiemuur neer te halen en te vervangen door een cookiemelding. Hoewel ze daarmee formeel niet aan de wet voldeden – ze plaatsten al tracking-cookies bij de eerste pageview, voordat een gebruiker de cookiemelding kon lezen – gingen ze ervan uit dat ze daarmee niet in de problemen zouden komen. Twee jaar lang was dat ook zo, maar een wijziging van de cookiewet maakte daar een einde aan. Die wijziging - waar ging die eigenlijk over?

Een beetje slordig was het wel. Nog geen twee jaar nadat het ‘cookieverbod’ in werking trad, vergaderde de Tweede Kamer alweer over een wijziging van de cookiewet. Websites klaagden dat ze ook om toestemming moesten vragen voordat ze het gedrag van gebruikers konden analyseren om hun website beter te maken, waarop het kabinet besloot om de cookiewet af te zwakken. Vanaf dan zou enkel nog om toestemming moeten worden gevraagd voor tracking-cookies, was de gedachte. Essentiële cookies, waarin bijvoorbeeld loginsessies worden opgeslagen, waren immers al toegestaan.

Voor veel, vooral commerciële websites maakt dat in de praktijk weinig uit, omdat ze naast analytische cookies tracking-cookies van advertentienetwerken serveren. Toch heeft de wetswijziging gevolgen voor ze; totdat de wetswijziging erdoor kwam, deed marktwaakhond ACM het rustig aan met de handhaving. Nu alle onduidelijkheid over welke cookies wel en welke niet door de beugel kunnen, is weggenomen, is het afgelopen met de zachte behandeling en gaat de ACM de strijd aan met illegaal geplaatste tracking-cookies.

Onder meer GeenStijl kan dat beamen. Die website ontving een brief van de ACM waarin de marktwaakhond opmerkte dat het bedrijf zich samen met zustersites Glamorama en DasKapital niet aan de regels hield. Hoewel de ACM in de brief enkel om informatie over de geplaatste cookies vroeg en niet meteen met maatregelen dreigde, zag het bedrijf de bui al hangen en voerde het uit voorzorg een cookiemuur in, gevestigd op het domein ‘kudtcookiewet.nl’.

“We vinden de cookiewet een overbodig stuk wetgeving dat het beoogde doel compleet mist. Je valt bezoekers lastig in plaats van dat je ze beschermt”, laat ‘Joris von Loghausen’ van GeenStijl weten. “Sinds deze wet is ingevoerd is er geen cookie minder gezet, maar zijn miljoenen consumenten weer een stukje beter getraind in het klakkeloos oké-klikken.”

Ook het moederbedrijf van Tweakers, De Persgroep, heeft een brief ontvangen van de ACM. Daarop heeft de uitgever naar eigen zeggen met ­tegenzin besloten om weer een cookiemuur in te voeren. “We vinden het extreem belangrijk om consumenten op de hoogte te stellen over wat er met hun gegevens gebeurt”, zegt Sander van den Hout, directeur van de divisie van De Persgroep waar Tweakers onder valt. Daarbij is de cookiewet geen goede oplossing. “Het is niet de goede manier. We bereiken hiermee niet wat we willen bereiken, maar ik ken geen betere oplossing.”

Geen tracking?

Nu kunnen websites er natuurlijk voor kiezen om bij de eerste pageview geen tracking-cookies te serveren, maar dat zou in de praktijk neerkomen op het uitschakelen van alle of de meeste advertenties, iets waarop de meeste websites die leunen op advertenties niet zitten te wachten. Door de manier waarop het web werkt, kan een website technisch niet voorkomen dat externe content die wordt ingeladen leidt tot tracking-cookies.

Telegraaf: willen gebruikers
geen tracking-cookies,
dan krijgen ze die niet Je kunt het echter wel proberen. De Telegraaf heeft daarvoor gekozen. Dat bedrijf heeft wel een cookiemuur, maar laat gebruikers zelf kiezen welke cookies ze willen accepteren. Willen gebruikers geen tracking-cookies, dan krijgen ze die niet. “Dan serveren we alleen advertenties die rechtstreeks bij ons zijn ingekocht”, laat Yoon Sterkenburg, hoofd digitaal van de Telegraaf Media Groep, weten. Advertenties die geautomatiseerd zijn verkocht en waarvan de website niet kan garanderen of er wel of geen cookies worden geplaatst, worden dan niet getoond.

Ook dan kan niet worden gegarandeerd dat er geen tracking-cookies worden geplaatst. “Maar we doen ons best en we gebruiken de zakelijke versie van Ghostery om te monitoren of adverteerders niet toch stiekem tracking-cookies plaatsen als gebruikers dat niet willen”, aldus Sterkenburg. Gebruikers kunnen dan overigens ook geen social-mediabuttons gebruiken, omdat die voor tracking zorgen.

Overigens biedt ook Nu.nl de mogelijkheid om tracking-cookies uit te schakelen. Die website plaatst echter wel al dergelijke cookies bij het eerste website-bezoek, waarmee het bedrijf alsnog de wet overtreedt. Bovendien blijken in de praktijk toch nog tracking-cookies te worden geserveerd, zelfs als een gebruiker aangeeft die niet te willen ontvangen.

Een ander veelgehoord bezwaar is dat websites ‘onmogelijk’ alle user-content kunnen controleren op het plaatsen van cookies. Websites van overheden laten echter zien dat dat best anders kan. Zo laadt de website van de Gemeente Amsterdam geen Google Maps-kaartjes in als een gebruiker geen cookies wil krijgen. Websites zouden user-content dus gewoon click-to-play kunnen maken als een gebruiker geen tracking-cookies wil.

Veel websites lijken dan ook bewust te kiezen voor een ‘alles of niets’-oplossing. Ze zouden ervoor kunnen kiezen om geautomatiseerde advertenties niet meer te tonen aan gebruikers die geen tracking willen, maar dan lopen ze geld mis.

De beslissing van De Persgroep om weer een cookiemuur op te tuigen, betekent dat het aantal websites met een cookiemelding in één klap fors toeneemt. Het gaat behalve om Tweakers onder meer om de sites van de Volkskrant, Trouw, Het Parool, het AD, AutoTrack en Q-Music. Bovendien is de kans groot dat meer websites zullen volgen. De DDMA, de branchevereniging van de marketingsector, laat weten in de afgelopen tijd vaak gebeld te zijn door websitehouders die een brief van marktwaakhond ACM hebben gehad.

In de komende tijd wordt het internet dus een stuk minder gebruiksvriendelijk, met de komst van cookiemuren op meer websites. Daarover is iedereen het eens, zowel website-eigenaren als gebruikers en privacyvoorvechters. Websites vrezen minder bezoekers, doordat onvriendelijke cookiemuren mensen afschrikken. Gebruikers moeten extra handelingen verrichten voordat ze een website kunnen bezoeken en privacyvoorvechters klagen dat mensen niet écht een keuze hebben; het is privacy inleveren of een website niet kunnen bezoeken.

Sharon Gesthuizen, SP-Kamerlid en voorstander van de cookiewet, noemt cookiemuren ‘vervelend’. “Maar ze hebben de minister aan hun zijde. Dan is dit bijna een logisch gevolg.” Gesthuizen ergert zich er vooral aan dat klanten die betalen, bijvoorbeeld voor de Volkskrant, toch worden gedwongen om tracking-cookies te accepteren. “Eigenlijk zou je een keuze moeten hebben: betalen met je privacy of betalen met geld”, aldus Gesthuizen. “Ik vind het heel gek dat betalende klanten ook tracking-cookies krijgen voorgeschoteld. Ik ben heel benieuwd wat het College bescherming persoonsgegevens daarvan vindt.”

Bits of Freedom: cookiemuren
zijn vervelend en verwarrend
voor de eindgebruiker Het CBP is kritisch over het ontbreken van de mogelijkheid om een website zonder tracking-cookies te bezoeken. “Het hangt af van de situatie of dat wat ons betreft door de beugel kan”, laat woordvoerder Lysette Rutgers van de privacywaakhond weten. “Is de inhoud ergens anders ook te vinden? Treedt er economische vrijheid op als je de informatie niet tot je kunt nemen als je je privacy niet wil inleveren?” Wat dat betreft neemt het CBP dus een iets andere positie in dan de Autoriteit Consument en Markt en het kabinet, die cookiemuren weliswaar onwenselijk, maar juridisch geen probleem vinden.

Burgerrechtenorganisatie Bits of Freedom is ook niet echt te spreken over de cookiemuur. “We vinden het een vervelend fenomeen en verwarrend voor de eindgebruiker”, zegt Daphne van der Kroft van die privacy-organisatie. Ze ziet liever dat de advertentiebedrijven die tracking toepassen om toestemming moeten vragen, in plaats van individuele websites. “Want feitelijk zijn zij het die tracking toepassen en niet individuele websites.”

‘Von Loghausen’ van GeenStijl is het daarmee eens. “Don’t shoot the messenger”, vindt hij. “De websites zelf tracken de gebruikers niet, dat doen de grote jongens als Facebook, Google en Twitter.” Het zou volgens hem een beter idee zijn om die partijen om toestemming te laten vragen. “Dan moet je een stuk of tien keer toestemming geven, in plaats van bij elke website die je bezoekt.” Ook zou er volgens hem beter kunnen worden samengewerkt met browsermakers, die ongewenste cookies simpelweg kunnen blokkeren.

Gaat de cookiemuur nog weg?

Het is de vraag of de cookiemuur ooit nog gaat verdwijnen. Websites houden vol dat ze niet echt kunnen voorkomen dat er tracking-cookies worden geplaatst en dat ze nu eenmaal leunen op advertenties om zichzelf te kunnen bedruipen, al toont De Telegraaf aan dat het ook anders kan. Tegelijkertijd is het niet waarschijnlijk dat de wet snel zal worden gewijzigd; daarvoor moet eerst de Europese cookiebepaling worden afgezwakt.

Websites wijzen soms naar andere landen als het Verenigd Koninkrijk, waar het tonen van een cookiemelding voldoende is. Daar hoeven gebruikers geen toestemming te geven voordat cookies worden geplaatst. “De vraag is echter of dat wel door de beugel kan”, zegt ict-jurist Engelfriet. “De definitie van toestemming is in Europese regels vastgelegd.”

De kans is volgens hem dan ook groot dat de Engelse toezichthouder, die dat niet naleeft, de regels overtreedt. “De Nederlandse Autoriteit Consument en Markt heeft de Engelse toezichthouder daarover ook aangeschreven.” De Autoriteit Consument en Markt wil dat overigens desgevraagd niet bevestigen. Nederlandse websites die concurreren met Britse websites die zich aan minder strenge regels hoeven te houden kunnen volgens Engelfriet dan ook bij de Britse marktwaakhond een schadeclaim indienen.

Dat zal de ergernis over cookiepop-ups niet doen afnemen. De kans is groter dat er in de komende tijd meer cookiemuren bijkomen, nu de Autoriteit Consument en Markt actief aan het handhaven is geslagen. En daar is niemand blij mee. “Bij de huidige oplossing zijn alleen maar verliezers”, aldus Von Loghausen van GeenStijl.