Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door

Nieuwsredacteur

Hoe gewoon is sessionrecording?

Je toetsaanslagen worden bijgehouden

288 Linkedin Google+

Sessionrecording

Hoe kun je als website het best in kaart brengen hoe bezoekers gebruikmaken van de verschillende pagina's? De welbekende en niet altijd gewaardeerde pop-upvensters met enquêtes waarin bezoekers wordt gevraagd wat ze van de bezochte website vinden, zijn één manier. De gegevens die dat oplevert, zijn echter niet heel precies en de respons op de vraag om in vijf minuten een website te beoordelen, zal doorgaans ook niet hoog zijn. De verleiding om snel op het kruisje te klikken is vaak moeilijk te weerstaan.

Een geheel andere methode om meer te weten te komen over wat bezoekers op een website doen en waar ze specifiek hun aandacht op richten, is simpelweg het opnemen van hun bezoeksessie. Aan de hand van een cookie en een script kan worden vastgelegd waar een bezoeker op klikt. Op deze manier kan de desbetreffende website heel direct gegevens verkrijgen over de manier waarop bezoekers gebruikmaken van de website.

Een efficiënte methode is sessionrecording, ofwel sessionreplay - beide begrippen worden door elkaar gebruikt - maar daar kunnen vraagtekens bij geplaatst worden vanuit het oogpunt van privacy. Tot op zekere hoogte heeft sessionrecording/-replay wat weg van een keylogger, aangezien de specifieke toetsaanslagen en muisbewegingen van een bezoeker kunnen worden opgeslagen. Hoe verhoudt dit zich tot de relevante privacyregels? Waarom passen websites deze methode toe en wordt het vaak toegepast door Nederlandse en Belgische websites?

Wat kan met sessionreplaydiensten in kaart worden gebracht?

Simpel gezegd stellen sessionreplaydiensten organisaties en bedrijven in staat om mee te kijken met wat bezoekers doen op hun site. Ze gebruiken analyticsscripts van derde partijen die muisbewegingen, scrollgedrag, toetsaanslagen en de hele inhoud van de bezochte pagina's doorsturen naar de servers van de sessionreplaydienst. Het gaat dus niet over analyticsdiensten, zoals Google Analytics, waarmee het gaat om het opvragen van statistieken; met sessionreplay kunnen individuele browsesessies worden opgenomen en later worden afgespeeld. Een beetje alsof iemand over je schouder zit mee te kijken en lezen.

Uiteindelijk kan deze data gebruikt worden voor het maken van heatmaps, waarbij de organisatie van een website precies kan zien waar gebruikers het vaakst met hun muiscursor heen bewegen en wat dus hun aandacht heeft. Zo is goed te zien welke delen van de website veel of juist weinig gebruikt worden, zodat onderdelen van de site op basis daarvan kunnen worden aangepast. Het idee is dat hiermee de website kan worden verbeterd en de gebruiksvriendelijkheid kan worden vergroot.

Welke websites hebben daadwerkelijk sessionreplaydiensten gebruikt?

In november vorig jaar heeft de Amerikaanse Princeton-universiteit de websites uit de top 50.000 van Alexa onderzocht op het gebruik van sessionreplay. Enkele grote websites zoals Microsoft.com en Adobe.com blijken scripts te hebben gebruikt om in real time toetsaanslagen, muisbewegingen en scrollgedrag op te nemen.

Uit de resultaten van het onderzoek blijkt dat er ongeveer 970 Nederlandse websites met een .nl-domein zijn waarvan de onderzoekers hebben geconstateerd dat er tools aanwezig waren om sessies van bezoekers te registeren. In totaal waren er zo'n 381 websites met een .be-domein waarbij dit het geval was. Al deze websites hebben scripts geïncorporeerd van bedrijven die diensten aanbieden voor het opnemen van sessies. Het gaat dan bijvoorbeeld om Yandex, FullStory, Mouseflow, Hotjar, UserReplay, Smartlook, Clicktale en SessionCam.

Bij 13 van de 970 Nederlandse sites bleek dat daadwerkelijk sessies zijn opgenomen; voor de Belgische sites kwam dat aantal uit op 7 van de 381 websites. Een van de Nederlandse websites die daadwerkelijk gebruik hebben gemaakt van sessionreplay, is de site van Tele2. Woordvoerder Robin Janszen zegt dat zijn bedrijf tot oktober gebruik heeft gemaakt van Clicktale om de digitale ervaring van gebruikers te optimaliseren. Tele2 is volgens hem echter gestopt met Clicktale en er wordt inmiddels gebruikgemaakt van Decibel Insights.

Een voorbeeld van een heatmap van een pagina van de site van Hotjar, waarbij de gekleurde vlekken aangeven hoe vaak gebruikers hun cursor naar bepaalde delen van de website hebben bewogen.

Tweakers komt in het onderzoek niet naar voren en staat ook niet in het rijtje van 970 Nederlandse websites. Bezoekers van Tweakers krijgen niet te maken met sessionrecording in de zin van het opnemen van sessies die dan via bijvoorbeeld diensten als Mouseflow of Hotjar worden doorgestuurd naar servers van derden. Er wordt wel eens data verzameld voor het verbeteren van de functionaliteit waarbij bepaalde aspecten worden opgeslagen, waarbij ook heatmaps kunnen worden gemaakt. Dit gaat echter niet verder dan wat x- of y-coördinaten en het wordt niet als een gehele sessie samengevoegd. Standaard wordt dit ook niet gedaan. Er worden wel eens a/b-testen gedaan waarin het ene deel van de gebruikers een andere uitwerking van een functionaliteit te zien krijgt dan de andere groep. Hierbij wordt de visual website optimizer als tool gebruikt, maar dit staat standaard uit.

Wat de methode betreft heeft de universiteit data uit verschillende bronnen gecombineerd. Zo hebben de onderzoekers een eigen script ingezet en hebben ze naar bepaalde url's van sessionrecordingdiensten gekeken of deze alleen aanwezig waren bij het opnemen van sessies. Ook hebben de onderzoekers een op OpenWPM gebaseerde crawler ingezet, waarmee is gekeken of een bepaalde toegevoegde waarde aan de html van de pagina werd meegestuurd naar een derde partij in het verkeer van de pagina.

Nederlandse websites waarvan is bewezen dat sessies zijn opgenomen
Website Analytics-dienst
icscards.nl clicktale.net
tele2.nl clicktale.net
adidas.nl clicktale.net
vikingdirect.nl mouseflow.com
auto-onderdelen24.nl yandex.ru
gyzs.nl mouseflow.com
navigator.nl mouseflow.com
kluwer.nl mouseflow.com en hotjar.com
socialpaint.nl mouseflow.com
eliquidmania.nl hotjar.com
wolterskluwer.nl mouseflow.com en hotjar.com
bandenbestellen.nl hotjar.com
cmtelecom.nl hotjar.com
Belgische websites waarvan is bewezen dat sessies zijn opgenomen
Website Analytics-dienst
kbc.be clicktale.net
britishschool.be decibelinsight.net
tepp.be mouseflow.com
vikingdirect.be mouseflow.com
nob-onb.be hotjar.com
eurogifts.be hotjar.com
twizzi.be hotjar.com

Het topje van de ijsberg?

Omdat de opneemdiensten niet altijd in gebruik zijn en omdat de door de onderzoekers gebruikte methode haar beperkingen kent, ligt het voor de hand dat er nog veel meer websites in Nederland en België zijn die daadwerkelijk sessies van bezoekers hebben opgenomen. Zo werd van ongeveer 970 en 381 Belgische websites geconstateerd dat er scripts aanwezig waren voor het opnemen van sessies, alleen is het daadwerkelijke gebruik ervan tijdens het onderzoek niet aangetoond.

Wat opvalt is dat er vooral veel grote, bekende winkelbedrijven in dit rijtje van 970 Nederlandse websites zitten. Ook zitten er opvallend veel universiteitswebsites bij. De Princeton-onderzoekers hebben van deze websites niet kunnen vaststellen dat er daadwerkelijk sessies zijn opgenomen, maar desgevraagd laten de universiteiten weten dat ze nog altijd gebruikmaken of in het verleden gebruikgemaakt hebben van sessionrecording.

Zo meldt een woordvoerder van de Universiteit Twente dat sinds oktober 2015 gebruik wordt gemaakt van hotjar.com, maar dat sessionrecording standaard uit staat. De universiteit zegt het alleen te gebruiken als analysetool, waarbij enkel de clicks en scrollsessies worden opgenomen en bewust niet de keystrokes. Hierdoor is er volgens de woordvoerder geen sprake van het herleiden van persoonsgegevens.

Ook de Universiteit van Amsterdam blijkt gebruik te maken van Hotjar; deze dienst werd ruim een jaar geleden voor het eerst gebruikt. Volgens de woordvoerder wordt het gebruikt als een feedbacktool voor de heatmaps en surveys, zodat kan worden gekeken waar bezoekers wel en niet op klikken en hoe ze door de site navigeren. De Rotterdamse Erasmus Universiteit maakte vanaf begin september kort gebruik van Hotjar, maar een woordvoerder zegt dat de universiteit dat sinds november vorig jaar niet meer doet. Creditcarddienstverlener ICS maakt gebruik van Clicktale voor in-page analyses en formulieranalyses, maar een woordvoerder meldt dat er per definitie geen persoonsgegevens worden vastgelegd en dat Clicktale niet wordt gebruikt binnen de afgesloten ‘mijn-ICS’-omgeving.

Het aantal websites dat sessies opneemt, zal groter zijn dan het onderzoek doet vermoedenHet feit dat deze websites aangeven gebruik te maken of gebruik te hebben gemaakt van sessionrecording, geeft wel aan dat het aantal websites dat sessies opneemt, heel wat groter zal zijn dan het onderzoek wellicht doet vermoeden. Aangezien er bij 970 Nederlandse en 381 Belgische websites scripts voor sessionrecording aanwezig waren, ligt het voor de hand dat het merendeel van deze sites dergelijke tools ook daadwerkelijk inzet. Overigens heeft het onderzoek van Princeton zich beperkt tot de grotere websites, waardoor de scope van het onderzoek nog relatief beperkt was en er dus nog veel meer Nederlandse en Belgische websites zullen zijn die scripts voor sessionreplay hebben en gebruiken.

De risico's met betrekking tot privacy

De onderzoekers waarschuwen dat anonimiteit bij het vergaren van de data redelijkerwijs niet altijd verwacht kan worden, omdat het veel werk is om alle opgeslagen data te ontdoen van eventuele persoonsgegevens. Gevoelige informatie, zoals medische gegevens, creditcardinformatie en andere persoonlijke informatie, kan via de scripts op servers van derden terechtkomen, waarbij de beveiliging van deze data ook een probleem kan zijn. Zo bleek dat Hotjar de data via http en niet via https verstuurde, ook al vond de opname van de sessie plaats op een website die gebruikmaakte van https.

Een ander belangrijk probleem is volgens de onderzoekers het feit dat de verschillende bedrijven achter de sessionrecordingdiensten de websites toestaan om precies aan te geven welke invulelementen buiten de opnames moeten blijven. Het bedrijf achter de website moet dan actief elk invulelement in de gaten houden en bepalen of het persoonlijke data bevat. Dit is volgens de onderzoekers niet eenvoudig, gevoelig voor fouten en kostbaar, vooral omdat de website of de onderliggende code op den duur nogal eens verandert.

Omdat gebruikers op de websites bijvoorbeeld allerlei formulieren kunnen invullen, wordt daarbij veelal gevoelige informatie gedeeld, zoals namen, telefoonnummers, e-mailadressen en wachtwoorden. Alle onderzochte sessionrecordingdiensten spelen hierop in met een geautomatiseerd proces waarbij die gegevens niet worden meegenomen in de opnames. Wat er wel en niet buiten de opnames wordt gehouden, verschilt sterk per dienst en hier zitten ook inherente beperkingen aan. Zo bleek de dienst FullStory het creditcardnummer te maskeren in het daarvoor bestemde invulveld, maar als de websitebezoeker per ongeluk zijn nummer invulde in een veld daar vlakbij, dat daar niet voor was bedoeld, werd de ingevulde waarde en dus het creditcardnummer gewoon verzameld.

De mate waarin enkele onderzochte diensten gevoelige persoonlijke informatie weglaten of verbergen in de resultaten. Een zwart bolletje betekent dat die data is weggelaten.

Volgens de onderzoekers wordt specifiek getracht om wachtwoordvelden buiten de opnames te houden, maar in sommige gevallen blijkt dat niet het geval te zijn geweest. Vooral als de invulvelden om in te loggen geschikt zijn voor mobiel gebruik, blijkt vaak geen sprake te zijn van het automatisch verwijderen van deze invulvelden in de opnames. De websitebeheerder moet dat dan handmatig doen, wat volgens de onderzoekers bij minstens één website niet is gebeurd. En als het ingevulde wachtwoord wordt gemaskeerd, dan nog blijft de lengte van het wachtwoord bij bepaalde diensten zichtbaar.

Is sessionreplay in overeenstemming met de privacyregels?

Sessionrecording is op zichzelf nergens in de wet omschreven. Dat wil echter niet zeggen dat er geen regels zijn waar de websites aan moeten voldoen als ze bijvoorbeeld Mouseflow of Hotjar gebruiken voor het opnemen van sessies. Voor het opnemen van een sessie wordt een cookie op de computer van de websitebezoeker geplaatst, waarbij informatie van randapparatuur wordt uitgelezen. Dat betekent dat de praktijk van sessionreplay onder de cookiebepaling valt.

Deze wettelijke bepaling is in 2015 versoepeld, waardoor, bij uitzondering, cookies die uitsluitend zijn bedoeld voor een goed werkende website, zonder toestemming van de bezoeker zijn toegestaan. Het gaat dan bijvoorbeeld om een cookie om de inhoud van een winkelwagentje bij een webwinkel te onthouden of om bepaalde analytische cookies. De cookies die geplaatst worden voor sessionrecording, zullen meestal niet onder deze uitzonderingen vallen, omdat deze veel ingrijpender zijn en gevolgen kunnen hebben voor de persoonlijke levenssfeer.

David Kortweg van Bits of Freedom stelt dan ook dat websites de gebruikers vooraf goed moeten informeren en om hun toestemming moeten vragen. "In heel veel gevallen wordt de gebruiker onvoldoende geïnformeerd en is de gegeven toestemming niet geldig. Je verschuilen achter wat algemene tekst in een privacypolicy of algemene voorwaarden is bij de inzet van dit soort technologie echt onvoldoende."

Als een website niet expliciet om toestemming vraagt, komt dit al snel in het vaarwater van het strafrechtPieter Kalis, die als promovendus aan de Universiteit van Leiden onderzoek doet naar de beveiliging van netwerken in het Telecommunicatierecht, deelt deze analyse en stelt dat een melding van een website in de vorm van "Wij plaatsen cookies ja/nee" onvoldoende is voor toestemming voor sessionrecording. "Een korte omschrijving inclusief doelomschrijving en een link naar de volledige voorwaarden zou al genoeg kunnen zijn, mits daarbij duidelijk gevraagd wordt om toestemming. Maar dan mag het dus niet zo zijn dat er alvast cookies worden geplaatst voordat men op Ja heeft kunnen klikken." Of er sprake is van expliciete toestemming, hangt dus sterk af van de concrete situatie.

Hoogleraar informatierecht Nico van Eijk merkt in deze context nog op dat als een website niet expliciet en op een duidelijke plek om toestemming vraagt, en dus de cookiebepaling uit de Telecommunicatiewet niet naleeft, dit al snel in het vaarwater van het strafrecht komt. "De activiteiten bij sessionrecording kunnen dan gezien worden als een vorm van computerhuisvredebreuk en gegevensdiefstal wanneer geen toestemming is verkregen. Het is dan in wezen een vorm van hacking."

Daarnaast kan sprake zijn van schending van de Wet bescherming persoonsgegevens. Pieter Kalis zegt dat als gegevens geanalyseerd en gecombineerd worden, de wet stelt dat ze als persoonsgegevens gezien moeten worden. "Wanneer een site zegt geen persoonsgegevens op te slaan, dan moet er wel rekening mee worden gehouden dat persoonsgegevens meer zijn dan alleen bijvoorbeeld namen of huisadressen. Wanneer er allemaal analyses op die sessionrecordings worden losgelaten, kun je al vrij snel spreken van gegevens die herleidbaar zijn tot een individu en dat zijn persoonsgegevens."

Reacties (288)

Wijzig sortering
Google Chrome extension die je laat weten als de website die je bezoekt dit soort tracking gebruikt:

Snoopie
De vraag is hoe nuttig dit is als je hiervoor een relatief obscure extensie het volgende moet toestaan: 'read and change all your data on the websites that you visit'.
Het is nogal logisch dat die extensie die rechten nodig heeft, anders is detectie onmogelijk.

Niets obscuurs aan verder, als je had geklikt wist je dat de code openbaar op Github te vinden was.
Kun je verifiëren dat de applicatie gecompiled is volgens de code die op Github te vinden is?
Updated: 3 October 2016

Al bijna anderhalf jaar niet meer geüpdatet, dan zet ik toch mijn vraagtekens bij de detectiegraad.
Die vraag is simpel : wat kun je als eindgebruiker doen tegen sessionrecording en is dat bijvoorbeeld op te lossen met een browserplugin ?
uBlock origin heeft het i.i.g. in de EasyPrivacy lijst staan en deze staat standaard aan.

[Reactie gewijzigd door Maurice-k op 24 januari 2018 08:03]

Er bestaan een aantal bedrijven die gewoon adverteren met het feit dat ze alle muis klikken bewegingen, toetsaanslagen en scroll-bewegingen enz. registreren en dat deze niet door de bekende ad- en privacyblockers tegen gehouden worden. Ik weet van minimaal twee bedrijven uit Amerika en één uit de UK. Als potentiële klant heb ik gewoon mailings van ze gehad.

Nu ben ik wars van alles en iedereen die naar privacy gegevens hengelt en ik heb de mailings en een gedrukte folder van het Engelse bedrijf begin November al naar de AP gestuurd. Een kopie is naar een commissie van de Tweede kamer gestuurd. We hebben namelijk ook gemeenten en provincies als klant en ik moet er niet aan denken dat de ingetikte wachtwoorden op straat komen te liggen. Het komt wel heel dicht bij ordinaire spionage. Zeker omdat je bij het Engelse bedrijf ook gewoon de site van een concurrent mocht opgeven om te laten monitoren.

Het Engelse bedrijf lijkt al een paar weken niet meer te bestaan (zelfs het webdomein is weer vrij). Bij de Amerikaanse bedrijven zou je wat extra code op je site moeten zetten om de monitoring mogelijk te maken.
In het belang van het onderzoek naar de bedrijven mag ik geen namen noemen en kan ik ook alleen de informatie geven die de bedrijven zelf in hun mailings aan potentiële klanten hebben verstrekt.

Zelf gebruik ik software van SpyShelter om key- en mouse loggers buiten de deur te houden. Die slaat ook alarm als een website een keylogger gebruikt. Bij autoscout24 slaat die bijvoorbeeld alarm. Adblock plus en Ghostery zijn dan al ongezien gepasseerd.

Ik hoop van harte dat de nieuwe Europese privacy wet aanleiding gaat geven om de verborgen praktijken naar boven te halen. Er komt in elk geval meer mankracht (Duitsland wil hier aardig in investeren) en de boetes kunnen behoorlijk oplopen. Als de mensen hun werk goed doen moeten ze hun geld dubbel en dwars terug kunnen verdienen.
Het geeft ook maar weer aan hoe belangrijk extensies, zoals uBlock, zijn geworden. Het gaat allang niet meer om reclame te blokkeren maar is nu een wapen geworden om je privacy te waarborgen! Jammer dat de website industrie het maar niet wil inzien dat ze veel te ver gaan, verder dan de meesten willen.
Ik gebruik het al een tijdje niet meer omdat reclame voor mij geen probleem is, soms klik ik ook gewoon op een banner en zo ben ik zelfs interessante dingen tegen gekomen. Ook het idee dat een website daar geld aan verdiend is voor mij belangrijk, gezien ik niet onder de illusie ben dat ik de dienst gratis hoor te krijgen.

Maar blijkbaar betekent dit dus dat ik met dingen instem waar ik me niet bewust van ben.

Een Turkse spreekwoord: Je geeft een hand en ze nemen je arm. (Elini versen kolunu kaparlar)
Het is alleen dat je niet alleen reclames maar je ook tegen andere dingen beschermt.
Zoals deze clicktale, malware en resource abuse zoals bitcoin mining.

UBlock Origin bescherm je hier standaard allemaal tegen. Eigenlijk is het nu zover dat je dit als essentieel moet zien, net zoals een firewall en een antivirus programma wanneer je Windows gebruikt.

Ook handig is een Raspberry Pi in je netwerk zetten met Pi-Hole erop. Die vangt ook van alles af op DNS-niveau.

[Reactie gewijzigd door CR2032 op 24 januari 2018 18:52]

Thanks, ik ga Pi-hole verder onderzoeken. Ik heb nu deze filters ingesteld.
Graag gedaan. :) Je kunt alleen beter de ads wel blokken en bepaalde vertrouwde sites whitelisten waar je de advertenties wel van wil zien.

Dan voorkom je gevaarlijke en onveilige ads waar je verder tegenaan kunt lopen.

[Reactie gewijzigd door CR2032 op 25 januari 2018 18:31]

Geef ze een vinger en ze nemen je hele hand is de Nederlandse variant hiervan.

OT: Ik heb op sommige sites ook geen moeite met het toestaan van de advertenties, maar helaas zie je dat steeds meer van dit soort enge dingen in elkaar geflats worden.

Een ex werkgever van me wist het voor elkaar te krijgen zoveel spyware op een pagina te donderen dat je bijna live kon zien wat users deden. toen ik vroeg naar de privacy van users werdt daar lachgerig om gedaan want "privacy levert geen geld op"
OT: Ik heb op sommige sites ook geen moeite met het toestaan van de advertenties,
Het alleen maar tonen was ook nooit een echt probleem. Vervolgens van alles er omheen bouwen om te spioneren wel.
Ik gebruik zelf alleen Ghostery voor dezelfde reden.
Leuk om het tegengeluid van de Adblocker ook eens voorbij te zien komen en dat je advertenties toe laat om websites inkomsten te laten genereren. Dit is namelijk wel waardoor een hoop sites in de lucht kunnen blijven.

Dat gezegd hebbende vind ik wel dat er een onbalans is ontstaan in de waarde uitwisseling die plaatsvindt via browsen. Een gebruiker consumeert gratis content en in plaats daarvoor verruilt hij zijn aandacht, wat verkocht wordt aan adverteerders in de vorm van advertenties. Dit model is echter scheef gegroeid omdat uitgevers steeds meer geld over de rug van de consument wilt verdienen (data/privacy, overvloed aan impactvolle advertenties, etc.). Het resultaat: men installeert ad-blockers.

Ik ben erg geinteresseerd in oplossingen om deze onbalans te herstellen en er zijn oplossingen in aantocht. Mocht men het leuk vinden, lees dan eens over Brave. Dit is een browser die standaard Ads en Trackers blokkeert en privacy hoog in het vaandel heeft. Ook werken ze aan een blockchain oplossing in de vorm van een Basic Attention Token (BAT, een crypto-currency welke momenteel live staat op exchanges en ge- en verkocht kan worden) die de Brave gebruiker in de toekomst in staat stelt om BAT te verdienen in ruil voor advertenties. Zo krijg de consument, los van zijn aandacht, ook een financiele incentive om advertenties geserveerd te krijgen. Mijn inziens erg interessante ontwikkelingen :)
Da's grappig, ik whitelist vooral websites met dezelfde redenatie: ze mogen mij advertenties serveren, want ik heb niet de illusie dat ik de dienst gratis hoor te krijgen. Ik doe dit bijvoorbeeld ook bij *specifieke* Youtube kanalen.
Ik ben ook zeker niet tegen session recording. Ik had er overigens tot dit artikel nog niet van gehoord overigens, dus dat het zo 'geheim' gebeurt vindt ik dan weer jammer. Zelf zou ik dit als developer prima durven implementeren in de producten die ik maak, als het tot doel heeft de gebruikersinterface beter aan te laten sluiten bij wat de gebruiker wil.
De enige reden dat ik eigenlijk een adblocker heb is omdat sommige sites zó verschrikkelijk veel ads serveren dat de content niet meer leesbaar is. Of omdat er soms nog wel eens malware meekomt bij advertenties.
dat is ook een nederlands spreekwoord.

on topic:
niet alle websites zijn diensten.
Er is ook gewoon een Nederlands spreekwoord hoor: je geeft een vinger en ze nemen je hand.
Nou ja, de combinatie is wel leuk: je geeft ze een vinger, de nederlander neemt de hele hand en de turkse nederlander pakt ook gelijk de arm mee ;-)
Als ik dus ublock gebruik, worden mijn sessionsniet gerecord?

Hebben adblock of alternatieven soortgelijke functionaliteit?
ublock origin en ghostery houden bijv. beiden yandex.ru tegen. maar hotjar.com bijv. alleen door ghostery. in ublock origin kon ik hem wel aanvinken. Ligt aan de lijst die ze gebruiken.
Gelukkig kan je zo gauw je op een pagina bent met bijv. ublock zien wat er allemaal geblocked wordt, maar ook wat niet. Wat je wel wil blocken kan je aanvinken.
adblock heeft vast ook wel die funtionaliteit, maar zal je in de opties er van extra trackers moeten toevoegen als ze niet standaard er in staan. Wat standaard is kun je daar in de opties terug vinden.

[Reactie gewijzigd door Xfade op 24 januari 2018 16:53]

ublock origin en ghostery beide installeren? of geeft dit problemen?
Draai al een jaar uBlock en Ghostery naast elkaar, gaat gewoon goed
Heeft mij nog nooit problemen gegeven :)
Zo een onzin vind ik dat. Zolang het niet gedeeld wordt met anderen en puur voor zichzelf voor welk doeleinde dan ook, is het prima. In een fysieke winkel zien ze, mbv van camera's bijvoorbeeld, toch ook welke route je loopt? Waar je stopt om te kijken, whatever. Waarom mag een website dat dan niet doen voor eigen verbetering?

Zolang de informatie niet gedeeld wordt vind ik persoonlijk dat reacties zoals die van jou grenzen aan het dramatische. Je loopt toch ook niet met gezichtsbedekkende kleding door een winkel?
Ik laat niet zo vaak wachtwoorden, creditcard gegevens, adresgegevens etc. achter in een fysieke winkel.
Dus die vergelijking gaat voor mij niet helemaal op.

Overigens vind ik het prima dat sites mijn gedrag analyseren. Zeker op het moment dat het doel is om een betere site te maken (lees, meer te verkopen, maar daar ben ik hopelijk nog zelf bij).
Maar het wordt wat grijzer op het moment dat er persoonlijke gegevens worden vastgelegd.
Als jij betaalt met je creditcard in een winkel, dan hebben ze dat ook.

Maar vergeet niet, ze registeren bij die site voorbeelden niet alleen de betalende mensen, maar de surfende mensen. Dus behalve je IP hebben ze niet perse je persoonlijk gegevens om je klik en bewegings gedrag te analyseren.....
In theorie wel, al doe ik dat in de praktijk nooit (betalen in een echte winkel met cc)

Nee, dat is inderdaad het vervelende. Al laat ik, als ik geen order plaats, niet snel persoonsgegevens achter op een website.
Maar dit gaat m.i. wel veel te ver.
Dat is pertinent onwaar. Als jij betaalt met jouw creditcard ziet de winkel niet jouw CC, CVC of vervaldatum.
Dat wordt afgehandeld door de betaalprovider (eigenaar van 'het bakje' waar je jouw kaart instopt)
In een fysieke winkel zijn er vaak camera's, ja. Maar als je dit echt wilt vergelijken moet je het zien met RFID-lezers in een fysieke winkel die ook nog eens je identiteitskaart lezen terwijl je aan het winkelen bent.

En ik loop niet met gezichtsbedekkende kleding (en we weten allemaal naar wat je hier insinueert. Leuk) in een winkel maar ik heb wel een Secrid portemonnee.
Ik insinueerde niets, dan zou ik het namelijk gewoon zeggen. Dat jij het op een bepaalde menier op vat moet jij weten.

Wat ik wil zeggen is: de enige manier om een vergelijking te trekken, zoals jij dat blijkbaar nodig vindt tijdens het browsen, zou tijdens het fysiek winkelen je volledig onzichtbaar/bedekt te maken. Anders kunnen ze exact hetzelfde, hebben ze geen RFID voor nodig. Dat maakt het alleen makkelijker. Maar ze halen al van alles door gewoon Visuele tracking, als ze dat zouden willen.

Een goied voorbeeld: De AH deed dat toen dmv de app en welke routes je zou kunnen lopen. Daarmee hebben ze in veel winkels, naar mijn mening, een betere opstelling gemaakt voor veel mensen, zoals ik., om de dagelijkse boodschappen te doen.

Wat ik wil zeggen is dit: jouw privacy is helemaal niet in het geding. Ten eerste ga jij naar hun website, dus je zit in hun omgeving, en zij willen graag leren van jouw gedrag in hun omgeving, zodat ze verbeteringen kunnen invoeren om jou een betere ervaring te bieden. Ten tweede: zolang ze dat _niet_ delen met anderen, is er dus niks aan de hand met de door jouw aangehaalde privacy. Nogmaals, je zit in hun omgeving.
Bedankt voor je reactie. Ik ben het vrijwel volledig oneens met je.

Ook de je voorbeeld van een app die je volgt klopt niet. Het idee is dat de wifi MAC adres gevolgd wordt. Ik weet niet wat Android heeft gedaan, maar Apple heeft het noodzakelijk gezien om variabele MAC adressen toe te passen op iPhones.

Je laatste paragraaf lees ik met open mond.

Edit: Je insinuatie was volgens mij toch echt dat iemand paranoide is als ze hun gezicht zouden bedekken, net als hoe ze zichzelf zouden beschermen tegen sessionrecording ook paranoide zou zijn. Dit was toch echt je insinuatie. Als je iets anders bedoeld wil ik het graag weten.

[Reactie gewijzigd door Ra5a op 25 januari 2018 10:45]

Open mond reactie, daar doe ik htet voor.

Volgens jou was paranoide de insinuatie, dat was het (nogmaals) niet: wat ik zei is letterlijk: als je je privacy echt wilt beschermen, met alles dus, zul je altijd compleet bedekt voor een winkel gaan, anders kunnen ze feitelijk gezien hetzelfde wat ze op een website kunnen. Ik vind het niet paranoide wat je zegt, maar dat een website jouw gedrag analyseert voor eigen gebruik om te verbeteren als privacy issue zien vind ik grenzen aan het dramatische.
Volgens mij moet je het artikel nogmaals lezen.

Ik ben van mening dat sessionrecording te ver gaat en dat ik me daar tegen wil beschermen, maar jij trekt het meteen naar het extreme "er is niets mis met gedrags analyse".

En als websites zo'n actie mogen ondernemen mag ik ook een reactie nemen. (vooral gezien het feit dat ik me amper bewust was van de situatie.) Stel, volledig als voorbeeld, dat morgen bekend word dat winkels je spuug opvangen om je DNA te krijgen, dan ga ik toch echt mijn best doen om me te beschermen, maar ik moet nogsteeds winkelen.

Trouwens, je mag met een pet rondlopen. Dit beschermt je identiteit en mag ook gedragen worden met dit doel. Een pet mag ook gedragen worden om volledig esthetische redenen.
Je gebruikt haakjes alsof je me citeert en dat is fout. Ik zeg niet dat er _niets_ mis mee is. Ik zeg ook niet dat er iets mis is als jij je daar tegen wilt beschermen. Ik zeg, nogmaals, dat ik je reactie overdreven vind.

Je hebt gelijk met de pet, ze kunnen jou als individu en dus jou fysieke bewegingen echter nog steeds uniek onderscheiden van andere mensen in de winkel, dus ik blijf bij mijn standpunt dat de enige manier om te voorkomen dat een website weet wat jij op _hun_ website doet, is om die niet te bezoeken.

Zolang ze, nogmaals, je gegevens niet delen vind ik dat ze dat mogen doen.
Daarmee hebben ze in veel winkels, naar mijn mening, een betere opstelling gemaakt voor veel mensen, zoals ik., om de dagelijkse boodschappen te doen.
Ik denk dat ze het vooral hebben gebruikt om de winkel zo in te richten dat je wordt verleid om nóg meer spullen in je karretje te stoppen, om meer klanten tegelijk in hun winkel kwijt te kunnen, om minder personeel kwijt te zijn aan het bijvullen enz. Vergeet niet: een commercieel bedrijf doet dit soort dingen om er zélf beter van te worden, niet om jou van dienst te zijn (dat is slechts een bijkomstigheid).
Het een sluit het ander niet uit. :) Ik ben niet naief. Maar normaal gezien is iets wat mij van dienst is, ook in dienst van het bedrijf....maximale winst, dat snap ik.
Helder, dan zijn we het eens. Maar toch even advocaat van de duivel: is het in jouw belang dat de winkel jou zo manipuleert dat dat je er nog meer geld uit gaat geven?
In een fysieke winkel worden camera's tot nu toe echt nog niet gebruikt om je koopgedrag te analyseren, al zijn daar ook wel ontwikkelingen. Maar de camera's die jij bedoelt hangen daar voor bewaking, alleen wanneer er iets gebeurd worden de beelden teruggekeken specifiek voor die gebeurtenis, dus dat is compleet iets anders.
Uiteraard, wanneer ze met AI of weet ik veel wat de video 24/7 gaan analyseren om wel te bepalen in welke hoek kopers het meeste rondhangen en bij voorkeur ook nog met gezichtherkenning gaan bepalen wie er in de winkel komt, dan wordt het volgens mij toch echt wel een ander verhaal en lijkt het al een stuk meer op wat in dit artikel beschreven wordt.
Hoewel ik weet dat dit mogelijk is moet je je afvragen waarom Tweakers (en andere sites) dit doen. Voor hun is gebruikers gemak en conversie van belang echter dit is ook in je eigen belang. Jij wilt een zo makkelijk mogelijke flow hebben iets wat met duizenden gebruikers goed te analyseren is mits je de juiste data hebt. Ik heb er zelf dan ook niet zoveel moeite mee tenzij ze specifieke gebruikers eruit gaan lichten en hun individuele data gaan bekijken.

Ik denk dat het hier dan ook om gaat, privacy kan goed samen gaan naar mijn inziens met het tracken van gebruikers mits dit anoniem gebeurd.
Dat klopt niet helemaal.
Op bijvoorbeeld Facebook is het niet het doel om de gebruikservaring zo goed mogelijk te maken, maar om je zo lang mogelijk op de site te hebben. Ze kunnen bijvoorbeeld precies kijken hoeveel reclame ze tussen nuttige berichten kunnen stoppen voordat je de site verlaat.
Ben het er wel mee eens dat analytics kan helpen om je site positief te verbeteren.
Tip: F.B. Purity
Gooit echt alle meuk uit Facebook.
En zelfs als je dat hebt, ben je niet 100% veilig. Er zijn namelijk ook producten (pakket van 1 vd Big Five) die nog wat verder kunnen gaan en ook alle packets (decrypted) kunnen capturen en opslaan om gebruikers gedrag te kunnen replayen.
Waar is de tijd gebleven dat je voor elkaar cd's fikte met win 98 of XP erop en gewoon anoniem op het web kon omdat niemand er wat van snapte??? Ik mis die simpelheid van vroeger wel eens. Dit hele gebeuren over privacy ''of wat daar van over is'' zakt alleen maar verder weg en ben je straks anoniem als je er juist niet meer op zit.

Door mijn verleden houd ik juist van internet maar men, wat zou ik graag willen dat alles weg kon ivm big data.
Dat waren tijden ... Twilight en Digital Stealth ... Brings back memories ..
O+

Zat je ook op mIRC? Ook zulk heerlijk tijdverdrijf. Maar waar ik echt nostalgia van krijg is Unreal tournament. De eerste in zijn soort. Echt dagen, zo niet maanden aan versleten :D
Ja, mIRC ken ik nog wel. Geen idee hoeveel tijd ik daar aan heb verkwist. In die tijd verbleef ik nog in het furry fandom. IRC werkte gewoon goed, in tegenstelling tot de chatboxen die je via Netscape Navigator kon bezoeken. Bijna 20 jaar geleden ... De tijd vliegt :Y)
Furnet / Anthrochat! :)
In die tijd was het #Pantherchat en #Wolfsrudel. Veel tijd in doorgebracht. Inmiddels alweer heel wat jaren uit het fandom :P
Ja, kanalen waar voor iedereen wat wils was die daarnaar op zoek was. Echt vet dat we die basis hebben meegemaakt. Op een gegeven moment merkte je dat half life veel los maakte. ICQ vond ik qua Messenger echt heel nice maar dat was later. Ik weet nog inderdaad dat de verbindingen wel ruk waren toen :X was je net lekker in gesprek, knalde die er weer uit.

Gaat snel man. Ik zou af en toe wel weer terug willen hoor. Veel anoniemer en wat meer sociaal gericht :)
JavaScript blokkeren.
Ik ben een browserspelletje aan het maken en verbaas mij hoe simpel het is om muis/keystrokes op te vangen, wordt niet eens om permissie gevraagd.
Ik had Javascript uitgeschakeld in Firefox (Android) d.m.v. de "about:config" pagina. Websites laden plots 3x zo snel, maar de Tweakers site gaat dan stuk. Kan dan geen menu opties meer gebruiken. Helaas niet de meest elegante optie. Toch bedankt !
Zeker niet elegant inderdaad.
Maar voor websites die je niet vertrouwd wel en goede.
Bij Tweakers kun je JavaScript aanzetten en vertrouwen op de rest van de plugins die nare websites/connecties blokkeren.
Maar T.net geeft aan dat zelf ook dit soort scripts draaien. Zogezegd niet met alle spy-features, maar euh dat moet je op hun woord geloven :)
Helaas werkt dan vrijwel geen enkele site meer idd. Alles gebruikt tegenwoordig Javascript. Is het niet een mega script dan staat er ergens wel een klein scriptje waardoor een bepaalde functionaliteit niet werkt.
Eigenlijk heb ik daar niet zo'n moeite mee, het 'ouderweste' (s)html is voldoende en werkt op alle soorten van apparaten. phone, desktop enz. Daar was het dan ook voor bedoeld.

Ik durf te wedden dat de belanghebbenden heel snel een nieuwe site hebben. Dus zal het wel meevallen
Enkel en alleen al een mobiel menu openen op een gsm is Javascript al voor vereist, dat kan je vrijwel niet oplossen met enkel html/css (je kan hashtag gebruiken, en daarop stijlen, maar dat is echt ruk). Je hebt hoe dan ook een click event nodig die iets van een css class ergens op zet.

Dus nee, 'ouderwets' html is niet voldoende voor de websites van vandaag.
Met dynamic htlm geen probleem, en wel de versie die al gebruikt werd in netscape. Dus voordat java bestond.

Er waren en zijn zat oplossingen zonder script. heel ironisch kan je dat al zien in MSWord met ankers. Misschien allemaal niet zo mooi maar kan wel.

Ken je hem nog "luxe kost" in dit geval bandbreedte en security (privacy)

Dan maar heel minimaal html met css. Java script is dan niet vereist.
Ja het kan met ankers (dat is wel ik zei over de hashtags) maar dat werkt echt super ruk (betekend dat het ook gaat reageren als je back/front-knoppen van de browser gebruikt). Geen enkel zelf respecterende webdeveloper gebruikt dat op die manier. Het is niet alleen lelijk, het werkt ook gewoon niet goed en geeft je allerlei beperkingen (je kan anchors niet meer voor hun bedoelde functie gebruiken).

Javascript is vrijwel onmisbaar in web development tegenwoordig, anders mag jij aan mij uitleggen hoe ik een uitklapmenu voor een mobiele website kan maken zonder script (en dus ook zonder block elements waarvan de css afhankelijk is van een anchor in de url, want dat slaat nergens op).

Over dynamic html:
Dynamic HTML, or DHTML, is an umbrella term for a collection of technologies used together to create interactive and animated websites[1] by using a combination of a static markup language (such as HTML), a client-side scripting language (such as JavaScript), a presentation definition language (such as CSS), and the Document Object Model (DOM).[2] The application of DHTML was introduced by Microsoft with the release of Internet Explorer 4 in 1997.
bron: https://en.wikipedia.org/wiki/Dynamic_HTML de engelse wiki is een stuk beter en duidelijker dan de nederlandse. Al geeft de nederlandse ook gewoon aan dat het om normale javascript gaat

Kortom, dit is ook gewoon html + js, dus ook vroeger ging dit op dezelfde manier.

Dus nee, ben het totaal niet me je eens, je hebt je feiten niet echt op een rijtje.

[Reactie gewijzigd door Zoop op 24 januari 2018 14:05]

Het is echt al heel lang mogelijk om een menu zichtbaar te maken met alleen HTML en CSS.... En je hoeft er ook geen ankertjes voor te gebruiken. De twee meest gehanteerde methodes hiervoor zijn door gebruik te maken van de :focus selector in css of door een hidden checkbox in een zichtbare html label te zetten en gebruik te maken van de :checked selector.

Kijk hier maar eens voor een voorbeeld: https://codepen.io/chr1s1202/pen/sJBkD

Tuurlijk zijn er nog zat dingen te noemen waarvoor Javascript nodig is en ik maak er regelmatig gebruik van, maar een eenvoudig uitklapbaar menu hoort daar niet bij.
Dynamic HTML is toch echt een term voor HTML+JS+CSS.
N.B. Javascript != Java. Er staat dat Java-applets een concurrerende technologie is/was.
Ik heb geen java geinstalleerd en kan toch javascript uitvoeren. Dus is het geen java. Hte kan alleen binnen een browser uitgevoerd worden.

Van de Sun(y) site :-)
---
How is JavaScript different from Java?

The JavaScript programming language, developed by Netscape, Inc., is not part of the Java platform.
---
Net als bij andere scripttalen is er een interpreter nodig om de geprogrammeerde opdrachten uit te voeren. De meeste moderne browsers beschikken over een eigen interpreter voor JavaScript. Het besturingssysteem Windows heeft een ingebouwde interpreter, het bestand jscript.dll.

[Reactie gewijzigd door Bardman01 op 24 januari 2018 13:56]

In Chrome op Android kan je dit per site aangeven, misschien dat dit in Firefox ook kan? Zet je default op nee en bepaalde websites die je bezoekt, vertrouwd en niet werken kun je terug aanzetten
ik doe dit per site via scriptsafe
Ja precies, je kan hier zo'n plugin voor gebruiken zoals NoScript. Je kan ook nog adblockers gebruiken zoals ghostery, uBlock, een cookiemanager en een DNS filter: PiHole. Als je dan ook nog een VPN verbinding opzet, zelf goede ervaring met PureVPN, dan ben je denk ik wel safe m.b.t. privacy voor de komende tijd.
Ik heb wat aangeklooid met openvpn, maar heb zo vlug de configuratie niet goed gekregen.

Welke DNS gebruikt pihole eigenlijk uiteindelijk? De advertenties resolved die niet, maar naar welke DNS gaan de requests die wel door gaan?
Dat kan je configureren tijdens de setup, hier staat een lijstje maar je kan er ook zelf eentje invoeren.
De setup van pihole is heel eenvoudig. Het werkt op alle linux machines, niet perse een raspberry pi.
Zolang die sessie focus heeft. Alles buiten die site is niet te tracen. En als dat wel zo is, wordt het echt tijd om IE6 acht je te laten. ;)
Ik gebruik disconnect als browser extensie, die houdt dit soort narigheden tegen (als het goed is)
Er zijn in het verleden diverse negatieve berichten omtrent Disconnect voorbij gekomen. Bij Adblock was dat ook het geval. Het had er onder andere mee te maken dat adverteerders tegen betaling op een whitelist kwamen te staan. Voor mij was dat de reden om beide producten in de ban te doen en over te stappen naar uBlock Origin. Aangezien dat geen optie is bij Android heb ik een Pi-hole in mijn netwerk hangen die alle DNS verzoeken filtert. Hopelijk is dat voldoende.
Hoezo geen optie bij Android? Ik heb uBlock Origin gewoon in Firefox op Android draaien :)
Een andere optie is AdAway (https://adaway.org/), daarmee blokkeer je advertenties voor al je apps op Android, niet alleen voor Firefox.
Een voordeel t.o.v. Pi-hole is dat het overal werkt, terwijl een Pi-hole alleen nut heeft als je telefoon met je thuisnetwerk is verbonden.
pivpn op dezelfde raspberry zetten waar pi hole staat.
In de openvpn settings file de dns wijzigen naar het ip van je raspberry.
Hoe is dit anders dan een gewone VPN verbinding naar je thuisnetwerk? Je hoeft daarvoor geen VPN te draaien op je Pi, hij fungeert nl. al als DNS voor je interne (inclusief VPN) clients. Ik zou iig liever niet een pi die ik als persoonlijke DNS inzet ook direct blootstellen aan het internet.

[Reactie gewijzigd door PhWolf op 24 januari 2018 17:35]

Voor mensen die geen root hebben:
DNS66 of blokada
Thanks, je hebt gelijk. Het is mij volledig ontgaan dat add-ons nu ook in de mobiele Firefox geïnstalleerd kunnen worden :-)
Ook? Android Firefox heeft dat iig sinds 2012. :P
Ik heb uBlock Origin gewoon draaien op Android in Firefox.
Het wordt tijd voor heftigere oplossingen: granulair Javascript. Waarbij je permissies op onderdelen kunt weigeren, gewoon native in de browser. Bijvoorbeeld het uitlezen van de muis. Dat is zelden echt nodig, en kan prima vervangen worden door een permanente x=0, y=0 coordinaat.

Of nog beter: een browser die gewoon complete content van een site stript en in eigen opmaakvoorkeuren weergeeft ontdaan van alle bloat. Beetje zoals HP's digitale krant webdienst vroeger deed. Kreeg je dagelijks een PDF met nieuwste items van je favoriete websites.

[Reactie gewijzigd door blanka op 24 januari 2018 08:22]

Voor sommige mensen een uitkomt, maar voor de meeste mensen de zoveelste 'irritante melding' die ze weg moeten klikken (en daarmee vaak waarschijnlijk automatisch op OK gaan klikken). Het hele cookiegebeuren is in de basis een goed idee, maar veel mensen snappen het niet en klikken standaard maar op akkoord. De enige echte oplossing volgens mij is dat het veel breder geregeld wordt zonder dat je overal toestemming voor moet geven of niet. Of dat haalbaar is, is een tweede. Volgens mij zouden de regels zou moeten zijn dat er een balans is tussen functionaliteit en privacy en alle sites moeten daar gewoon aan voldoen. Niks met meer of minder toestemming geven, gewoon, DAT zijn de regels. Dat zou voor veel mensen veel beter zijn denk ik.
Het ligt aan de vraag wat er gebeurd wanneer je op 'OK' klikt. Dus wanneer dat juist voor een blokkade zorgt, wordt er gezorgd voor de standaard privacy-vriendelijke oplossing wanneer mensen er automtisch op klikken.
En inderdaad is het hele cookie-gebeuren een prima idee, alleen kan je veel sites niet gebruiken wanneer je er niet akkoord mee bent waardoor er weinig de werkende optie bestaat 'ik wil je site bezoeken maar ik wil niet gestalkt worden door je'.

Zelf ben ik het eens met dat er meer algemene regels moeten zijn, maar veel mensen zullen dat overregulering vinden...
En inderdaad is het hele cookie-gebeuren een prima idee, alleen kan je veel sites niet gebruiken wanneer je er niet akkoord mee bent
Waarbij akkoord gaan gevraagd moet worden en niet als voldongen feit gepresenteerd.
Ik had het niet echt over cookies, maar meer over de totaal beleving van websites.
Ik bedoelde het ook in het algemeen. Cookiemeldingen waren maar een voorbeeld van 'keuzes' en popups waar de meeste mensen niet op zitten te wachten. Ik bedoelde dat in de basis je mensen niet moet bestoken met vragen en keuzes, maar dat de beleving standaard veilig moet zijn voor gebruikers, met genoeg mogelijkheden voor bedrijven om gegevens te verzamelen. Prima om voor gevorderde gebruikers meer mogelijkheden en opties te geven, maar de 'gewone bezoeker' zou je er niet mee lastig moeten vallen.
Inderdaad, dat zou heel mooi zijn. Bijvoorbeeld wel onClick toestaan. Of onChange van een tekstveld (bij verlaten van focus) maar niet elke toetsaanslag, zou echt zeer welkom zijn.

Overigens gebruik ik ook uBlock en pihole (beiden!) om dit soort zooi te vermijden. Maar dat helpt niet altijd natuurlijk.

[Reactie gewijzigd door GekkePrutser op 24 januari 2018 15:18]

Een beetje zoals onderstaande add-on? Heb hem zelf nog niet getest:
https://addons.mozilla.or...fox/addon/webapi-manager/

Dat laatste kan met de "Reader View"-modus die Firefox standaard heeft, een knopje rechts in de adresbalk. Het staat er niet voor elke site, maar wel voor de meeste. Je ziet dan alleen de echte tekst van een artikel, in een netter opmaak van Firefox zelf, en verder niets.

[Reactie gewijzigd door Cerberus_tm op 24 januari 2018 18:07]

Ja precies, zou informatief zijn om ook dat even te vermelden. Ik vermoed dat Ghostery en/of pi-hole je er wel tegen beschermen. Maargoed; aanname, heb het zelf niet getest.
Dat gaat Tweakers je natuurlijk niet vertellen...

In ieder geval, een simpele Google search:
https://www.ghacks.net/20...-session-replay-tracking/
En inderdaad, het blokkeren van verschillende urls moet voldoende helpen om het te voorkomen.

[Reactie gewijzigd door sanderev66 op 24 januari 2018 07:39]

Ik gebruik uBlock origin in combinatie met Privacy Badger. Werkt perfect.
Zelf pas ik dmv PfSense "DNSBL"-lijsten toe dmv pfBlockerNG waarin ook de EasyPrivacy-lijsten worden geladen/geupdate, zo scherm ik ook een zo-groot-mogelijk deel van mijn netwerk af van deze verstrekkende praktijken. Zolang iig de DNS niet omzeild wordt (wat ik ook probeer te blokkeren, vanaf dat moment ontstonden ook bergen logs van extra connects naar 8.8.8.8/8.8.4.4 en meer publieke DNS-servers).
Daarnaast ook fervent gebruiker van uBlock.
Heel simpel. Vanaf 25 mei gaat de gdpr/avg wetgeving in zijn definitievere vorm in en dan kunnen bedrijven een boete krijgen van maximaal ¤20 miljoen of 4% van hun bruto omzet (net wat het hoogste is).
En let wel. Bedrijven MOETEN kunnen aantonen dat ze voldoen aan de wet. Anders heb je hem dus al te pakken. Het is niet vrijblijvend.

Voor iedereen die twijfelt wat gedaan wordt met hun data bij een website raad ik aan de gdpr nightmare letter te bestuderen en te versturen naar de meest malafide websites/bedrijven.
Wij implementeren een pak van deze recorders, dus zijn we er vrij goed van op de hoogte.

Niet alles recorden
Op zich is het gebruik van deze tools niet slecht, maar is het afhankelijk van hoe het gebruikt en geimplementeerd wordt. 1 op 1 replays waar alle toetsaanslagen en muis gebruik bekijken voelt wel érg creepy aan. Daarom filteren we alle inputvelden behalve de muiskliks. We zien activiteiten met een formulier, maar niet wat er daadwerkelijk geinput wordt.

Kwalitatieve, tijdelijke research
In tegenstelling tot kwantitatieve middelen zoals analytics is dit eerder een manier om kwalitatieve research te doen ter optimalisatie van websites. Hiervoor hoef je niet permanent deze tools te laten runnen, meestal heb je voldoende gebruikerspatronen binnen de paar weken, soms zelfs dagen.

Gdpr compliance
Met GDPR die eraan komt, zorgen de tools dat ze in sneltempo compliant worden. Velden recorden wordt bijvoorbeeld automatisch optin ipv optout, IP adressen worden niet meer getoond. En dat is maar goed ook. Het gaat niet om users tracken maar om flows te verbeteren.

We hebben weet van een aantal bedrijven die deze recorders effectief misbruiken. Sales dudes die realtime meelezen wat de bezoeker invult. Heel eng. Besef wat je in een invulveld schrijft, maar wat je nadien verwijdert ook bekeken kan worden.
Het gaat niet om users tracken maar om flows te verbeteren.
Dank je, ik snap niet waarom iedereen hier het als iets negatiefs ziet en het opeens allemaal wil blokkeren, wij gebruiken het ook voor onze website. Input velden worden niet opgenomen, we kijken een aantal opnames om fouten en onduidelijkheden te ontdekken en op te lossen, wat is hier zo erg aan? Wanneer het misbruikt word vind ik het ook creepy worden, maar daar zou het niet om moeten gaan.
"Wanneer het misbruikt word vind ik het ook creepy worden, maar daar zou het niet om moeten gaan. "
Het probleem is dat de gebruiker het moeilijk kan controleren of het misbruikt wordt. Dus daar moet het juist wel om gaan. Zover ik weet worden bedrijven nog steeds niet goed gecontroleerd op dit misbruik, en wanneer ze gepakt wordt is er een luttele boete voor het bedrijf. De gebruiker is echter zijn data al kwijt en krijgt geen compensatie.
Dat ben ik volledig met je eens. Ik bedoel ook niet dat misbruik geen probleem is, daar moet het ook om gaan, voor de gebruikers van deze diensten moet het niet om misbruik gaan. Een oplossing zou zijn dat deze diensten niet meer mogen dan alleen de muis opnemen, input velden opnemen zou niet mogen tenzij de gebruiker daarmee akkoord gaat.

Wat ik wil zeggen is dat mits goed gebruikt, dit helemaal geen slecht iets is, voor mij als ontwikkelaar heeft het al meerdere keren geholpen met het verbeteren van de site.

[Reactie gewijzigd door rudie221 op 24 januari 2018 10:20]

Een oplossing zou zijn dat deze diensten niet meer mogen dan alleen de muis opnemen, input velden opnemen zou niet mogen tenzij de gebruiker daarmee akkoord gaat.
Dit hangt enorm van het type website af. Als jij een webwinkel hebt waar je in principe alle keuzes met de muis maakt, inclusief hoe je wilt betalen en bij welke bank je zit, en enkel het adres wegfiltert, weet je waarschijnlijk al veel meer van de gebruiker, dan wanneer je op een bibliotheek website kijkt naar de invoervelden van iemand die naar een bepaald boek aan het zoeken is.

Het probleem is dus eigenlijk dat je niet aan het type data kan zien hoe waardevol en privacy-gevoelig de data zelf is.

Natuurlijk is het een nuttige tool, je hoeft immers geen eigen UX tests op te zetten, en je kunt exact zien waar de flow van je website stukloopt. Maar deze tools is als schieten met hagel op het UX probleem. Het verzamelt ongelofelijk veel data, en slechts een hele kleine subset is belangrijk voor de vraag: "Waarom komen mensen niet voorbij de 'onze diensten' pagina?".

Vaak kun je de vraag ook zelf beantwoorden door met een paar klanten door de website heen te lopen, of te bekijken of je advertenties wel de juiste mensen aantrekken, etc. Dat kost vaak meer tijd en/of geld, dus wordt als minder effectief gezien. Wat hier de betere oplossing is, weet ik ook niet, maar het schijnt nodig te zijn om je concurrentie een stapje voor te blijven. En geld spreekt harder dan gevoel, zo blijkt.
Als gebruiker kan ik niet zien waar het voor gebruikt wordt. Wat @siteoptimo hierboven zegt bevestigt alleen maar dat er inderdaad bedrijven zijn die het daadwerkelijk misbruiken. Dus alles staat bij mij in de blocklists.

Overigens zijn er ook andere manieren om dit soort dingen uit te vogelen, bijvoorbeeld focus groups of beta tests.
Het probleem is dat als ik bijvoorbeeld Hotjar in de lijst van script-domeinen zie staan, dat ik die simpelweg geen toegang ga geven. Ik weet dat je met Hotjar alles zou kunnen registreren. Dan ga ik niet in de privacy-voorwaarden opzoeken wat je wel en niet met Hotjar doet.

Ja, elk stukje Javascript zou dit kunnen doen. Maar bij aanwezigheid van zulke libraries is de kans al een stuk groter.

Het is vergelijkbaar met Wiv/sleepnetwet; laten we maar zoveel mogelijk kunnen, maar "we gaan het echt niet zo gebruiken". Dan zou je het dus al niet eens moeten kunnen!
Hier is het antwoord vrij gemakkelijk: lang leve GDPR.
Het wordt binnenkort immers niet meer mogelijk om dit simpelweg wat weg te moffelen in de privacy policy, dat zal je enkel kunnen als je de data op de goede manier verzamelt (zonder identificeerbare gegevens).
Indien dit toch zou gebeuren, staan er grote (administratieve) boetes tegenover.

Deze tools zullen blijven gebruikt worden, maar de "cowboys" die gewoon willen meekijken naar wat een gebruiker input, zonder instemming van de gebruiker gaan eruit. Er is immers geen rechtsgrond waarop je deze gegevens als bedrijf zou kunnen verzamelen.

Maw: maak je geen zorgen, je moét de privacy-voorwaarden straks niet eens nalezen hierover.

@ArmEagle , deze regelgeving zal pas zorgen voor boetes vanaf 25 mei 2018... Nu zitten we in een overgangsperiode. Er zal wel degelijk iets veranderen (staat zelfs in het voorbeeld dat je aanhaalt).

[Reactie gewijzigd door siteoptimo op 24 januari 2018 16:08]

Uhuh. Want de GDPR gaat natuurlijk keihard gehandhaafd worden... Zeker op alle sites in de hele wereld. Anders had de NPO natuurlijk al lang een boete gehad; https://www.bof.nl/2018/0...t-tegen-de-tracking-wall/
Hier iemand die een tool als HotJar regelmatig gebruikt om individueel gedrag van gebruikers te bekijken.

Waar gebruiken wij het voor? Om missers in onze site te verbeteren. Als je dagdagelijks aan een website werkt dan ben je op een gegeven moment blind voor hoe deze in elkaar steekt en een filmpje van één enkele gebruiker kan dan resulteren in een fix voor de website waar veel meer gebruikers wat aan hebben.

Er is voor normale bedrijven geen enkele reden om rare dingen te gaan doen met die HotJar data die mee komt met de opname, omdat de gebruiker die al invoert direct in de database van het bedrijf zelf... Als je wachtwoorden zou willen kapen op deze manier is het veel eenvoudiger voor een bedrijf om ze bijvoorbeeld gewoon in plain-text op te slaan... Dan is iets als HotJar wel erg omslachtig.
Wat voor gegevens krijg je hier nou uit, vraag ik me af? En waarom is Analytics daar niet goed genoeg voor? Geen kritiek, maar gewoon eerlijk iets wat ik me afvraag, zeker in de vorm die jullie gebruiken.
Ik zie het niet als kritiek hoor :).

Analytics geeft vooral data over het hoeveel er welke paden volgt. Kwalitatieve onderzoeken (waarbij dergelijke recordings gebruikt worden) vertellen meer over het "hoe".

Bezoekers lezen heel dikwijls met de muis, zeker bij teksten (denk aan hoe kinderen lezen met een vingertje om op de juiste regel te blijven). Uit deze muisbewegingen en mouse heatmaps haal je data die je meestal niet niet met vb analytics kan zien.

Sommige (belangrijke) website elementen worden soms straalweg niet gezien. Dat vis je eruit met dergelijke recordings. Vragen als "waarom blijven bezoekers maar zoveel tijd op deze pagina", "waarom klikken ze niet verder op...", etc kunnen gemakkelijker opgelost worden.
Je haalt hier wel degelijk veel interessante gegevens uit, zeker als je websites hebt die meer op applicaties / tools lijken. Ook wij maken hier veelvuldig gebruik van, zij het wel zonder het opnemen van toetsaanslagen en dergelijke.

Als je een applicatie ontwikkelt, probeer je die uiteraard zo gebruiksvriendelijk mogelijk te maken. Er zijn allerlei geschreven en ongeschreven regels die je hiermee helpen. Maar zelfs als je die in acht neemt, blijkt toch nog vaak dat gebruikers sommige zaken anders interpreteren of gebruiken dan hoe je het had gedacht of bedoeld.

Vaak merk je bijvoorbeeld dat mensen op UI elementen klikken die helemaal geen knop zijn. Of een menu op een "verkeerde" manier gebruiken en/of duidelijk in de war zijn op bepaalde plaatsen. Als je dan via een recording kan bekijken hoe een aantal random personen je site gebruiken, kan je hier rekening mee houden & zo gaandeweg je site verbeteren.

Hier is absoluut niets mis mee, wel in tegendeel. Dat wil uiteraard nog niet zeggen dat je zo maar alle invulvelden moet keyloggen. Een deftig web agency zal dit ook altijd weigeren naar z'n klanten toe.
Dit is geen session recording, maar een samengestelde heatmap/clickmap. Deze zou je zelfs op basis van data uit Analytics kunnen opstellen. Dit is een aggregatie van vele sessies en dus niet herleidbaar naar één sessie/persoon.

Daar gaat deze zin in het artikel over: "Er wordt wel eens data verzameld voor het verbeteren van de functionaliteit waarbij bepaalde aspecten worden opgeslagen, waarbij ook heatmaps kunnen worden gemaakt. Dit gaat echter niet verder dan wat x- of y-coördinaten en het wordt niet als een gehele sessie samengevoegd."
Wat nog onderbelicht blijft is dat je mogelijk een individuele gebruiker kan herkennen aan zijn manier van typen. Met het steeds groter worden van databases van de Facebooks van deze wereld lijkt dit vastleggen slechts een kwestie van tijd...

https://en.wikipedia.org/...ics#Use_as_Biometric_Data
Alhoewel dat waarschijnlijk wel zou kunnen, denk ik dat het makkelijker en minder foutgevoelig is om een evercookie te installeren...
Hotjar logt sinds vorig jaar standaard geen keystrokes meer voor input-velden, tenzij dit veld specifiek is gewhitelist.

https://help.hotjar.com/h...Whitelisting-input-fields
Sessie recordings worden minder vaak gebruikt dan heatmaps (clickmaps, scrollmaps) die ook bezoekgedrag (anoniem) vastleggen. Simpelweg omdat het bekijken en analyseren van opgenomen sessies veel tijd kost en niet altijd iets bijdraagt aan het einddoel. Dat einddoel hoeft niet altijd geld verdienen te zijn; vaker nog gebruiken we dit om de UX/UI en dus de gebruiksvriendelijkheid van websites te verbeteren. Zonder dat geen tevreden klanten. Alleen in specifieke gevallen, bijvoorbeeld om te onderzoeken hoe bepaalde groepen bezoekers een productfilter gebruiken, kan je vaak niet zonder sessie recordings.

V.w.b. privacy; ga er maar vanuit dat tool developers als Hotjar, Clicktale, Visual Website Optimizer, Optimizely etc. heel goed kijken naar de nieuwe Europese General Data Protection Regulation (GDPR) en zich daaraan conformeren. Daarvoor is de Europese markt voor hen te belangrijk.

En voor iedereen die zich anoniem waant door het gebruik van adblockers e.d.: dream on!
Mooi verhaal. Dan heeft conrad.nl misschien wat aan deze technieken. Wat is die site sinds jaar en dag een drama! o.a. slechte filters op zoekopdrachten, ik zoek meestal via google bij conrad.... :+
Opzich, hun site dus mogen ze meten wat ze willen.

Deden we dit allemaal niet in 2000-2008 omdat we het cool vonden, wij scriptkiddies die een website maakten voor onzelf ?

Ben er vrij zeker van dat Tweakers ook redelijk analyseert... het is hun businessmodel, dus ik snap deze "excuses" op voorhand niet echt, wel slim geprobeerd ;)
Tweakers komt in het onderzoek niet naar voren en staat ook niet in het rijtje van 970 Nederlandse websites. Bezoekers van Tweakers krijgen niet te maken met sessionrecording in de zin van het opnemen van sessies die dan via bijvoorbeeld diensten als Mouseflow of Hotjar worden doorgestuurd naar servers van derden. Er wordt wel eens data verzameld voor het verbeteren van de functionaliteit waarbij bepaalde aspecten worden opgeslagen, waarbij ook heatmaps kunnen worden gemaakt. Dit gaat echter niet verder dan wat x- of y-coördinaten en het wordt niet als een gehele sessie samengevoegd. Standaard wordt dit ook niet gedaan. Er worden wel eens a/b-testen gedaan waarin het ene deel van de gebruikers een andere uitwerking van een functionaliteit te zien krijgt dan de andere groep. Hierbij wordt de visual website optimizer als tool gebruikt, maar dit staat standaard uit.

[Reactie gewijzigd door Tivoler op 24 januari 2018 06:45]

Om wat technischer in te gaan op T.net, bij verbindingen wordt er (gepoogd) contact op te nemen met de volgende externe domeinen. Mogelijk zijn het er meer, maar deze kwam ik zo vlug tegen:
• google-analytics.com (USA)
• googlesyndication.com (USA)
• googletagservices.com (USA)
• newrelic.com (USA)
• scorecardresearch.com (USA)
• visualwebsiteoptimizer.com (USA)
• wcfbc.net (Duits)

Deze externe domeinen kunnen ook weer contact opnemen met andere externe domeinen. Daar heb ik niet naar gekeken. Wel zie ik dat een poging om dit soort domeinen te bezoeken op deze pagina 10% van alle verzoeken betreft. Dit betreft dus alleen de eerste set verzoeken, en niet de verdere verzoeken die deze sites maken.

Let wel op dat als je ze (tijdelijk, natuurlijk...) blokkeert, dat de website nog volledig lijkt te werken. Sterker nog, de site lijkt zelfs iets vlotter, maar dat is mogelijk voer voor verder onderzoek. ;)

[Reactie gewijzigd door The Zep Man op 24 januari 2018 07:31]

Deze domeinen worden bij mij ook nog geblokkeerd:
vacature.com
doubleclick.net
googleadservices.com
Pas op. Het is niet toegestaan om advertenties te blokkeren op T.net. Natuurlijk kan aangenomen worden dat je dat enkel hebt gedaan voor onderzoek. O-)
Hij blokkeert ook geen advertenties, hij blokkeert toegang tot bepaalde domeinen. Dat er op die domeinen advertenties gehost worden is bijzaak.
Precies, Tweakers heeft toch gewoon een afdeling advertenties die in Nederland deals sluit voor native advertising op de eigen servers?
Niet helemaal correct.

We sluiten deals met partijen om advertenties op onze site uit te serveren. Het systeem dat we daarvoor gebruiken is Doubleclick for Publisher, dat het vervolgens op onze site uitserveert. Op het moment dat je doubeclick blokkeert, blokkeer je daarmee ook de advertenties.
Het was cynisch bedoeld. Waar een beetje mediabedrijf dat vroeger zelf deed, huren we tegenwoordig maar zo'n externe klik-spammer in.
Dan moet je de site maar achter een paywal steken, man. Ik en ik alleen beslis wat mijn oogballen te zien wil krijgen.
Of je betaalt gewoon netjes voor een Tweakers abonnement..
Dat klopt!

Ik heb een whitelist in uBlock en Add blocker voor tweakers.net :*)
Dat klopt!

Ik heb een whitelist in uBlock en Add blocker voor tweakers.net :*)
_/-\o_
het is niet verboden hoor. je mag dan alleen niet aan acties e.d. meedoen.
Voor de rest blijft alles gewoon werken.
Pas op. Het is niet toegestaan om advertenties te blokkeren op T.net. Natuurlijk kan aangenomen worden dat je dat enkel hebt gedaan voor onderzoek. O-)
Mag ik vragen waar je dit vandaan hebt? Ik weet dat tweakers zou kunnen besluiten om je berichten te modereren/verwijderen, of zelfs je account, is dat wat je bedoelt met verboden?

Daarnaast lijkt het mij een heel 'moeilijk' verbod om daadwerkelijk te handhaven, de bans zouden dan de spuigaten uitlopen...

[Reactie gewijzigd door Raphaelo op 24 januari 2018 12:53]

Het is niet aan een website om te bepalen of een gebruiker ads blocked.
Van wie is dat niet toegestaan? Ik consumeer websites op de manier zoals ik dat wil en daar hoort geen reclame bij waardoor de content van de website verspringt en ik 'perongeluk' op de banner klik. Subtiele reclame is prima, maar dat is gewoon hoogst irritant.
Alle domains, die je hierboven hebt opgelijst worden door pihole geblocked. Ik gebruik wel extra lijsten, meer dan de pihole defaults. Je kan opzoeken of een domain door pihole geblocked is, door op de command line (putty of equivalent) het commando pihole -q <domainname> in te geven.
voorbeeld:
pi@raspberrypi:~ $ pihole -q wcfbc.net
Match found in list.11.v.firebog.net.domains:
wcfbc.net
Tegenwoordig kun je het ook via de webinterface raadplegen (http://pi.hole/admin/queryads.php , link werkt uiteraard enkel als je pihole in je netwerk hebt draaien ;))
de rest:
google-analytics.com
www.google-analytics.com
googlesyndication.com
pagead2.googlesyndication.com
googletagservices.com
www.googletagservices.com
krxd.net
cdn.krxd.net
scorecardresearch.com
sb.scorecardresearch.com
tweakers.nl
cijfers.tweakers.nl
tweakimg.net
ic.tweakimg.net
wcfbc.net
fbc.wcfbc.ne
Het allerergste is ook nog dat T.net dit ook doet bij klanten die betalen "om geen reclame te zien", maar ondertussen dus ook nog gewoon allerlei trackers plaatst. Helaas ontdek je dat pas nadat je een abonnement genomen hebt. :(
Ik gebruik sinds kort "privacy badger". Dat blockt niet a priori alle ads, maar wel trackers, dus ook ads die tracken. Voor t.net gaat het over 16 (potentiële) trackers.
Dat en:
  • Diconnect Premium
  • WebRTC
  • Decentraleyes
  • Adblock Plus
  • Cookie AutoDelete
  • Ghostery
;)
Ben er vrij zeker van dat Tweakers ook redelijk analyseert... het is hun businessmodel, dus ik snap deze "excuses" op voorhand niet echt, wel slim geprobeerd ;)
Ja, dat commentaar wou ik ook al geven :) "Bezoekers van Tweakers krijgen niet te maken met sessionrecording in de zin van het opnemen van sessies": toen dacht ik al, ah, maar 'in welke zin' dan wel? :+ En dan wel popups met "je blokkeert onze banners", ja doh. Uit al dat script.
Het lastige van die dingen is dat het nogal een definitie-kwestie is. En als je heel ver gaat zoeken zou er van alles mogelijk zijn (wat we dus niet doen) met de data die we nu al verzamelen... Het is niet ongebruikelijk dat in discussies onder dit soort artikelen dan vergezochte suggesties naar voren komen :)
Daarvoor moet je echter dan van alles inrichten en/of bouwen om ook daadwerkelijk dat doom-scenario te faciliteren, wat we dus niet hebben gedaan.

We verzamelen uiteraard wel statistieken over het gebruik van de site, soms meer gedetailleerd dan anders. Google Analytics en Webtrekk relateren bijvoorbeeld wel page-transities aan elkaar, zodat we een zeker beeld hebben van de meest bewandelde paden, maar ze verzamelen niet alle tekst die je dan ergens hebt ingevoerd of waar je precies klikte of hoe lang je met je muis bleef zweven over een bepaalde plek...
We hebben zelfgebouwde functionaliteit om muiskliks (en touch-presses) te verzamelen. Dat wordt alleen in geanonimiseerde vorm (gedaan en) gebruikt, bevat geen keystrokes-data en zetten we alleen aan, bij een percentage van de bezoekers als we daadwerkelijk weer een nieuwe klik-heatmap willen (dit was de functie die @DigitalExcorcist bedoelde).

Maar het komt er dus op neer dat deze vergaande vorm van het volgen van gedrag, gelukkig, nog vrij zeldzaam is en op Tweakers niet wordt toegepast.
Het lastige van die dingen is dat het nogal een definitie-kwestie is. En als je heel ver gaat zoeken zou er van alles mogelijk zijn (wat we dus niet doen) met de data die we nu al verzamelen...
Het lastige is dat het niet alleen jullie zijn die data verzamelen, maar ook derde partijen. Zie mijn andere reactie hierover. T.net geeft naar gebruikers geen harde garanties dat derde partijen (onder andere gevestigd in de VS) geen data misbruiken, terwijl het wel de gebruiker is die enkel T.net bezoekt en niet "googlesyndication.com" (om een voorbeeld te geven).

Dit is geen steek naar T.net, maar meer algemeen: website-eigenaren zouden (in redelijkheid en billijkheid) ook verantwoordelijk moeten zijn voor content die automatisch geladen wordt bij derde partijen. Bij schade is de website-eigenaar verantwoordelijk richting de bezoeker, waarna die het vervolgens met de derde partij mag oplossen. Vergelijk de consument die iets in een winkel koopt, waarbij naar de klant de wettelijke garantie afgehandeld moet worden door de verkoper en niet de leverancier/fabrikant/andere derde partijen.

[Reactie gewijzigd door The Zep Man op 24 januari 2018 09:21]

Aan de andere kant, de winkelier mag wel vertrouwen op de correctheid van de dienst van een derde en dat die aan alle wettelijke bepalingen voldoet als deze derde dat aangeeft.

Op het moment dat een pak melk bijvoorbeeld structureel een verkeerd label krijgt omdat de fabrikant er bijvoorbeeld water bijgooit (kosten drukken) maar doet alsof het 100% melk is, wie moet je dan aanklagen; de winkelier of de fabrikant? Helemaal als het om een product gaat dat in alle winkels verkocht word lijkt het mij niet zinvol om de website-eigenaar/winkel aan te klagen maar direct de derde partij/fabrikant.

Zo ook met website eigenaren, die moeten kunnen vertrouwen op de derde partij dat die zich aan de wet houd. Ze hebben geen mogelijkheid om zelf voor elke derde partij een audit te doen (daar krijgen ze niet eens de kans voor) dus zullen ze die derde partij op hun blauwe ogen moeten geloven als die zegt aan de wet te voldoen.

Het lijkt mij dus dat een website-eigenaar al aan zijn verantwoordelijkheid voldoet op het moment dat hij alleen derde partijen toelaat die zeggen te voldoen aan de wet. Hoe dat met user-generated content dan moet gaan lijkt mij wel lastig.
Het lijkt mij dus dat een website-eigenaar al aan zijn verantwoordelijkheid voldoet op het moment dat hij alleen derde partijen toelaat die zeggen te voldoen aan de wet. Hoe dat met user-generated content dan moet gaan lijkt mij wel lastig.
Het voorbeeld met de winkelier kan worden doorgetrokken: De winkelier staat toe dat een legertje 'derden' met de klant mee loopt en van alles noteert terwijl deze winkelt.
Zou mij dat in het echte leven overkomen dan hebben 'derden' en de winkelier die het toestaat (en eraan verdient) heel snel problemen.

Melk met water bestaat overigens al, maar dat wordt niet ontkend. Het is halfvol. :)
Ik zal je sterker vertellen, dat gebeurt min of meer al: WiFi en Bluetooth tracking in winkels. ...En dan vraagt de kassajufvrouw heel lief: “Mag ik uw postcode noteren?” of “Heeft u een clubpas/bonuskaart?”... Een mooie heatmap door de winkel van Jan Klaassen, uit de Pispaalstraat 13, 1313DL, Lotjelullum. :+
Weet ik maar ik bedoelde letterlijk personen. Steeds van die types die je op de hielen lopen en meekijken. Zou al snel tot slachtoffers en winkelbrand leiden.
Oh, ja! Even OffTopic... Halfvolle melk is afgestandardiseerde melk, waar m.b.v. ontromers vet (dat noemen we room) uit de melk wordt gehaald. Volle melk bevat ca. 3.5% vet, halfvolle melk 1.5% vet en magere melk (ondermelk/tapmelk) bevat <=0,5%.

Ook volle melk bevat water. Dat zit er van nature in. Voeg je water toe aan de melk, dan overtreed je de warenwet en kun je dikke boetes verwachten. Met de vriestesten wordt het vriespunt van de melk bepaald en kun je zien of er bovenwettelijk water is toegevoegd. Die normen liggen strak.

Mijn oorsprong ligt in de zuivel. Check anders even dit: https://www.frieslandcamp...sen-volle-en-magere-melk/.
Ook al zo'n site die niet vraagt maar je voor voldongen feiten plaatst, qua cookies.
...Op het moment dat een pak melk bijvoorbeeld structureel een verkeerd label krijgt omdat de fabrikant er bijvoorbeeld water bijgooit (kosten drukken) maar doet alsof het 100% melk is, wie moet je dan aanklagen; de winkelier of de fabrikant? Helemaal als het om een product gaat dat in alle winkels verkocht word lijkt het mij niet zinvol om de website-eigenaar/winkel aan te klagen maar direct de derde partij/fabrikant.
Als je een product koopt die niet voldoet, zal je vermoedelijk de koopovereenkomst willen ontbinden. Dat kan je alleen maar doen bij de winkelier, omdat je met niemand anders een overeenkomst hebt. De winkelier is verantwoordelijk voor de spullen die hij verkoopt.
Zo ook met website eigenaren, die moeten kunnen vertrouwen op de derde partij dat die zich aan de wet houd. Ze hebben geen mogelijkheid om zelf voor elke derde partij een audit te doen (daar krijgen ze niet eens de kans voor) dus zullen ze die derde partij op hun blauwe ogen moeten geloven als die zegt aan de wet te voldoen.
Je kunt vertrouwen wie je wilt, maar dat ontslaat je niet van je verantwoordelijkheid. Mijn advies: Bij enige vorm van twijfel, geen gebruik van maken.
Het lijkt mij dus dat een website-eigenaar al aan zijn verantwoordelijkheid voldoet op het moment dat hij alleen derde partijen toelaat die zeggen te voldoen aan de wet. ...
Dat is wel erg kort door de bocht. Ik kan me niet voorstellen dat er ooit een partij gaat zijn die beweert zich niet aan de wet te houden. Je zult toch minstens enige mate van onderzoek moeten doen. Wat referenties, en/of eventuele rechtszaken. Verzin het maar.
Zien jullie dan ook dat ik op de mobiele site regelmatig het probleem heb dat ik 2 artikels boven het artikel dat ik wil zien klik? Dit komt omdat ik eerst kijk wat er is en als ik wil klikken komt meestal de ad banner bovenaan, buiten mijn beeld, tevoorschijn en verschuift alles. Kan die plaats niet al op voorrand worden gereserveerd, want het lijkt me dat die banner altijd even groot is?
Voor inhoudelijke problemen hebben we een heel forum ;)

Overigens voor dit concrete probleem zijn alleen maar slechte oplossingen. Het wordt veroorzaakt door een combinatie van factoren: banners hebben niet altijd dezelfde grootte, er is niet altijd een banner, onze server (en de php-code) weet niet of er banners beschikbaar zijn. En in het gelinkte forum (en elders) zijn daar al diverse topics over geweest. Het komt er in onze ogen op neer dat alle oplossingen (zoals dan maar altijd, en de grootste, banners vertonen, desnoods iets van onszelf) ook niet geweldig zijn.

[Reactie gewijzigd door ACM op 24 januari 2018 18:31]

Heatmaps meen ik ooit gelezen te hebben; waar wordt het meest geklikt en hoe wordt er genavigeerd. Maar in hoeverre dat geanonimiseerd is, geen idee.
Er wordt wel eens data verzameld voor het verbeteren van de functionaliteit waarbij bepaalde aspecten worden opgeslagen, waarbij ook heatmaps kunnen worden gemaakt. Dit gaat echter niet verder dan wat x- of y-coördinaten en het wordt niet als een gehele sessie samengevoegd. Standaard wordt dit ook niet gedaan. Er worden wel eens a/b-testen gedaan waarin het ene deel van de gebruikers een andere uitwerking van een functionaliteit te zien krijgt dan de andere groep.
de nadruk ligt wel erg op "kijk ons eens anders zijn bij tweakers" LOL.
zo doorzichtig.
Ik lieg Echt niet hoor........... echt niet...... :+
Voor niets gaat de zon op ;)
tuurlijk, maar doe dan niet zo hypocriet ;)
Eensch, was sarcastisch bedoeld ;)
Ik hoop dat dit straks met de komst van AVG/GDPR eens goed bedrijven miljoenen gaat kosten. iig ga ik vanaf 25 mei bij verschillende bedrijven opvragen wat ze over mij verzamelen (zijn ze verplicht aan mee te werken) en zo nodig te verwijderen. Doen ze dit niet, meld ik het bij de AP.

Websites moeten straks expliciet hiervoor om toestemming vragen. Doen ze dit niet, zijn ze in overtreding met de wet.

[Reactie gewijzigd door sanderev66 op 24 januari 2018 07:29]

Je bent je ervan bewust dat je die vraag nu al mag stellen? GDPR is een verordening die al in voege is, alleen wordt er pas vanaf 25 mei effectief beboet.
Ik heb bij wijze van test al bij een paar grote dataverzamelaars gecontacteerd om gebruik te maken van mijn inzagerecht. Ik kreeg van beide bedrijven binnen de paar dagen mijn volledige profiel. Vb. Bisnode is de grootste Belgische dataverzamelaar. Is best boeiend om te zien wat ze over je weten. Ze geven meestal ook aan van waar ze die data hebben.
In geval van een bedrijf waar je nooit expliciet toestemming hebt gegeven (bijvoorbeeld Bisnode) vraag ik mij af wat je opties dan zijn. Kun je hen dan aanklagen vanwege schending van je privacy? Toestemming aan hen zul je waarschijnlijk nooit verlenen dus mogen ze je helemaal niet tracken.
Elke lokale DPA (data protection authority) krijgt een meldpunt. Klachten moeten ze onderzoeken. Het wordt ook makkelijker om voor het eerst een vorm van "class action suits" op te zetten.

Toestemming is maar 1 van de rechtsgronden waarmee bedrijven kunnen zeggen dat ze je gegevens verwerken. Het is bovendien (voor bedrijven) een vrij zwakke rechtsgrond, gezien toestemming ingetrokken moet kunnen worden.

Dat is waar GDPR om zal gaan: trackende bedrijven en dataverzamelaars zoals een Bisnode zullen het moelijker krijgen om data te verkrijgen en te koppelen. Bovendien moeten ze voldoen aan de rechten van de mensen waarvan ze data hebben: recht op inzage, recht op verbetering, recht om vergeten te worden,... etc.

Ook draait GDPR rond privacy by design en privacy by default: optouts mogen niet, optins zullen de standaard worden. Die wijziging begin je nu al hier en daar te merken: nu moet je al meer aanvinken dat je gegevens gedeeld mogen worden ipv uitvinken.

Bedrijven die hier niet aan voldoen gaan het lastig krijgen. Een screenshot is snel gemaakt. In aanloop naar 25 mei zal Europa hier nog veel reclame over maken. We worden immers allemaal "medecontroleur".
Kan je even posten welke vraag je juist gesteld hebt en hoe?
Ben benieuwd!

*edit*
Thanks siteoptimo!

[Reactie gewijzigd door AriGold op 24 januari 2018 12:06]

Ik heb een topic aangemaakt hiervoor, gezien het teveel is en het anders verloren gaat in de comments:
GDPR - Recht op inzage van gegevens Howto
De wet is idd al van kracht, maar pas vanaf 25 mei dit jaar wordt hij ook gehandhaafd.
Ik weet niet of hier al een topic over loopt in de zin van: ik heb bedrijf x gecontacteerd en deze reactie gekregen. Tegen dan is naar kijken. Boeit me ook heel erg!
Ik ga er iig blogs over schrijven :)
Houd er wel rekening meet dat de AP niet meteen prioriteit legt bij kleine vergrijpen, maar eerst naar grote vergrijpen zal kijken.
AP is verplicht, volgens de wet, aan alle vergrijpen aandacht te besteden ;) Dat is het hele mooie van de wet. Elk bedrijf wat persoonsgebonden gegevens verwerkt valt er onder, en ook de taken van de AP zijn duidelijk verwerkt in de wet.
Maar waar de prioriteiten liggen bepalen hun toch echt zelf.

De politie hoort ook internetoplichting te onderzoeken, maar door te weinig mankracht en kennis komen ze niet toe om alle gevallen te onderzoeken. Omdat het een gebed zonder einde is kom je niet alleen op de stapel maar wordt er gewoon gemeld dat er geen verder onderzoek verricht wordt.

Er mogen wel wetten en regels zijn, maar zolang het te veel energie en geld kost gaan ze echt wel prioriteiten stellen en daar zal een melding van een persoon vast niet onder vallen ;)
Houd er wel rekening meet dat de AP niet meteen prioriteit legt bij kleine vergrijpen, maar eerst naar grote vergrijpen zal kijken.
Prioriteit of niet, de stapel in het in-bakje blijft groeien en ooit komt je klacht aan de beurt. Tevens zijn meerdere meldingen over hetzelfde kleine vergrijp ook een signaal.
Waar zou ik die blogs kunnen vinden als je ermee begint? Ik ben wel benieuwd namelijk.
Laten we dat met zijn allen massaal gaan doen, weet ik zeker dat die wet snel gewijzigd wordt of de prijzen gaan sterk omhoog. Een recht geeft macht, maar ook een verantwoordelijkheid. Ben overigens wel voorstander van het feit dat een site duidelijk aangeeft met wie er informatie wordt gedeeld.
Zeker voor webshops, want daar kunnen nog wel eens behoorlijk veel partijen tussen zitten, denk alleen maar aan het shipping proces. Dit is allemaal niet erg maar wees er eerlijk en duidelijk over. Dus ook over alle cookies.
De enige website in die lijst waar ik daadwerkelijk af en toe kom is die van icscards. En nota bene een creditcard bedrijf neemt je ingevulde formulieren op...
Dat doen ze ook als je op de submit knop drukt.. ;)

Wat ze hier extra doen is dat ze 'meekijken' terwijl jij het formulier invult, zodat ze bijvoorbeeld kunnen zien: 'heel veel gebruikers vergeten in eerste instantie dit veld in te vullen, mischien moeten we duidelijker maken dat het verplicht is'. Of: 'heel veel gebruikers willen informatie welke diep in de site te vinden is, mischien moeten we een directe link erheen plaatsen op de frontpage'.
Zonder letterlijk iedere muisbeweging en toets aanslag te volgen kunnen ze al zien hoelang iemand op een pagina zit en welke route ze afgelegd hebben om bij die pagina te kunnen komen. ook invalid empty form meldingen kunnen makkelijk verstuurd worden.
Maar dan nog is het soms ook heel handig om met iemand mee te 'kijken'. Ons productteam hier doet dat ook met enige regelmaat (maar dan fysiek; iemand achter een pc zetten en er zelf bij zijn).
Ben met je eens dat het handig kan zijn, (tijdens ontwikkeling, vlak er na), daar ben ik ook niet op tegen.
Maar zomaar iedereen tot op de pixel nauwkeurig tracken onder de noemer service verbetering zonder dat er aanleiding voor is vind ik wat minder (tuurlijk, misschien blijkt dat het handig is om 1 knopje ergens anders te plaatsen na 5 jaar tracking van alle bezoekers, maar dat is dan niet echt waar ik graag voor getracked wil worden.
Dit gaat ook naar derde partijen.
Datzelfde gevoel heb ik nu inderdaad ook ...
Form downloaden, invullen, scannen en opsturen....opgelost. Lastig maar werkt wel.

Wat mensen al niet doen voor gemak, vaak moet je er veel andere dingen voor doen en is het resultaat gelijk aan de oplossing.
Ik kan me voorstellen dat dit ook gebruikt kan worden om fraude te detecteren? Dan kan ik icscards wel begrijpen maar ik vraag me dan ooko meteen af of het niet ook juist beveiligingsricsico's meebrengt!


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*