U zult ongetwijfeld gemerkt hebben dat het tegenwoordig bijna onmogelijk is om een website te bezoeken zonder gebombardeerd te worden met waarschuwingen, banners, walls en pop-ups over cookies. Dat was niet altijd zo, dus wat is er veranderd en waarom? Wat is de juiste manier om aan cookiebeheer te doen? Laten we hier wat dieper op ingaan en het uitzoeken!
Zoals we allemaal weten, is de Algemene Verordening Gegevensbescherming van de EU (GDPR) medio 2018 in werking getreden. Deze legt echt de nadruk op het recht van individuen op privacy en het recht om precies te weten wat er met hun gegevens gebeurt. De verordening ontwikkelde en verbeterde, naast vele andere principes, de praktijk van de toestemming. Van opt-ins en hoe u instemt tot wat er gebeurt als u niet instemt.
Als we toestemming wat nader bekijken, weten we dat toestemming uit een paar delen bestaat. Overweging 32 geeft ons de definitie dat “toestemming moet worden verleend door middel van een duidelijke, bevestigende handeling waarbij de betrokkene vrijwillig, specifiek, op informatie berustend en ondubbelzinnig te kennen geeft in te stemmen met de verwerking van zijn of haar persoonsgegevens door middel van een schriftelijke verklaring, langs elektronische weg of een mondelinge verklaring.” Als u daar even over nadenkt, zult u heel snel beseffen dat deze sites die u niet binnenlaten zonder met hun cookies in te stemmen onrechtmatig handelen, aangezien dit niet als “vrijwillig gegeven” kan worden omschreven. Het Europees Comité voor gegevensbescherming (European Data Protection Board – EDPB) heeft dit nu verduidelijkt en richtlijnen gegeven. Toch moeten velen hun illegale praktijken nog veranderen.
Uiteindelijk kunnen alleen functioneel essentiële cookies worden geplaatst zonder eerst extra toestemming te krijgen. Het is voor de ontwikkelaar van de site eenvoudig om de levensduur van de cookies in de configuratie zo in te stellen dat hij, als hij dat zou willen, zelfs de essentiële cookies zo kan instellen dat ze alleen gedurende de sessieperiode blijven bestaan. Dat zou hun marketingteams natuurlijk geen waardevolle informatie opleveren over uw surfgedrag en waarop u klikt, dus er is een terughoudendheid om dit te doen.
Is het beheer van cookies, naarmate de tijd verstrijkt, echt voldoende? Blijkbaar niet …
U dacht dat het wapen van uw keuze u tegen deze dingen zou beschermen, maar browsers kunnen alleen de goede oude tekstcookie afwijzen en beheren.
Welkom, de supercookie.
Browsers kunnen machteloos staan tegenover de ‘new kid on the block’ - tot nu.
De manier waarop supercookies werken is dat ze gebruikmaken van lokale opslag. Dat zijn fysieke media op uw apparaat in plaats van alleen in de browsercache. In het verleden hebben browsers caches gedeeld, zodat als u bijvoorbeeld een afbeelding op twee verschillende sites tegenkomt, de tweede uit uw lokale opslagcache wordt geladen voor snellere toegang. Sitebeheerders kunnen gemakkelijk zien of u een lokaal opgeslagen cache-onderdeel gebruikt en kunnen daarom snel een beeld opbouwen van de sites die u hebt bezocht en u dus volgen. De beheerders van deze sites kunnen alles zien, het is alsof ze een spiegel van uw scherm hebben. Als ze open en transparant zouden zijn over hun gebruik, zoals artikel 5, lid 1, onder a), hen verplicht te zijn, zouden mensen het nooit toestaan.
De browserfabrikanten vechten terug tegen deze tracking-roofdieren en passen hun softwaretoepassingen aan om met deze nieuwe soorten cookies om te gaan. Tech-gigant Google en ook de Mozilla-groep hebben beide gezegd dat de nieuwste versie van hun browsers deze cookies zal bestrijden.
Een van de gebruikte methodes is verschillende caches voor verschillende websites te gebruiken en zo elke vorm van delen uit te sluiten. Het gevolg is iets langere laadtijden op een site die u nog niet eerder bezocht hebt en die content bevat die ook aanwezig is op andere sites die u wel eerder bezocht hebt. Maar met de internetsnelheden van vandaag is het onwaarschijnlijk dat we daar als eindgebruiker ook maar iets van zullen merken.
Maar wat betekent dit alles voor onze privacy?
De manier waarop supercookies werken betekent dat de gebruiker geen toestemming kan geven voor deze tracking, zelfs als hij dat zou willen. Dit voldoet niet aan de vereiste van vrije toestemming (of bevestigende actie of iets anders). Omdat supercookies nauwelijks als functioneel essentieel kunnen worden beschouwd, is toestemming het enige mechanisme dat overblijft en gebruikers vragen om ermee in te stemmen dat ze op veel verschillende sites worden gevolgd voor het plezier van de site marketeers is moeilijk te verkopen.
Hoewel er nog niets van andere browserfabrikanten is gezien, kunnen ze toch niet te ver achterblijven. Iets anders dat nog niet is gezien, is de massale bewustmaking van het publiek. Ik heb een tiental mensen uit mijn vriendenkring (die niet ‘in de industrie’ zitten) ernaar gevraagd en niemand had van al supercookies gehoord en weinigen begrepen zelfs maar wat gewone cookies doen. Het algemene bewustzijn van de gemiddelde internetgebruiker moet aanzienlijk worden verhoogd. Iedereen is super gefrustreerd door het cookiebombardement waar ik het eerder over had, maar iedereen klikt gewoon op ‘accepteren’ om op zijn favoriete website te komen en daarom hebben de beheerders van sites geen stimulans om hun manier van werken te veranderen. De toezichthoudende instanties over de hele wereld worden overspoeld met privacykwesties en de handhaving verloopt dan ook trager dan goed is.
Uiteindelijk kunnen alleen functioneel essentiële cookies zonder gebruikersinteractie worden geplaatst. Als u een website ziet die niet aan de wettelijke vereisten voldoet, meld die dan. Goed van de technologiebedrijven dat zij dit probleem frontaal aanpakken en proactief optreden. Als gebruikers moeten we onze browsers up-to-date houden om de vruchten te plukken van het harde werk dat door de fabrikanten wordt geleverd. Als de browser van uw keuze niet wordt bijgewerkt om dit aan te pakken, moet u deze wijzigen.