Kamil van Buuren

November 15th, 2016

(Dutch-alert) Cookiewetgeving: de oplossing die het probleem werd

Het doel van de cookiewetgeving* is nobel: de argeloze internetgebruiker behoeden voor privacy- en identiteitsellende.

Wat bepalend is voor het behalen van dat doel is de manier waarop je dat doet. Beleidsmakers hebben nu vol ingezet op symptoombestrijding: beperkende wetgeving. Terwijl educatie & voorlichting betere, structurelere oplossingen zouden zijn.

In dit artikel een voorbeeld van hoe de cookiewet zijn doel voorbij schiet en nu het probleem veroorzaakt dat het wilde oplossen.

Soorten cookies

Wat is een cookie ook alweer? Dat is een klein tekstbestandje dat een website op je computer plaatst. In je browser (Safari, Internet Explorer, Chrome, Firefox, Edge, Opera, etc.) om precies te zijn.

Het is handig om te weten dat er 2 soorten cookies zijn:

1. 1st party cookies.
2. 3rd party cookies.

Party betekent in dit geval: partij. Als in: derde partij, in tegenstelling tot eerste partij.

Kort door de bocht**:

• 1st party cookies: worden geplaatst door een site (site-x.nl) en de informatie erin kan alleen gelezen worden door diezelfde site (site-x.nl).
• 3rd party cookies: worden geplaatst door een site (site-x.nl) en de informatie erin kan uitgelezen worden door andere sites (site-x.nl, site-y.nl en site-z.nl).

Oftewel: de ene cookie is de andere niet.

Aanleiding voor de wetgeving: 3rd party cookies

De aanleiding voor de wetgeving ligt bij de ‘trackingcookies’. Cookies die over verschillende sites heen bijhouden waar je heen gaat en wat je doet. Dat zijn de situaties waarin je je afvraagt hoe het toch kan dat nu.nl weet dat jij dat espresso-apparaat van bol.com hebt bekeken. Deze momenten geven veel mensen het gevoel dat ze gevolgd en bespioneerd worden. Je raadt het misschien al: dit wordt allemaal verzorgd door de 3rd party cookies.

1st party cookies spelen hier geen rol bij, want die worden gebruikt — en zijn noodzakelijk — voor zaken als:

• Inloggen (en ingelogd blijven).
• Verlanglijsten samenstellen.
• Bijhouden welke producten je bekeken hebt zodat je die makkelijk terug kan vinden.
• Opslaan van instellingen.
• Etc.

Tamelijk nuttige, handige dingen, zonder welke het gebruik van websites in het algemeen een stuk minder prettig zou zijn.

3rd party cookies blokkeren in de browser

Elke browser heeft de optie om cookies te blokkeren en om daarbij onderscheid te maken tussen 1st party en 3rd party cookies. Ikzelf blokkeer al jaren 3rd party cookies en zie dus nooit producten verschijnen die ik op een andere site heb bekeken.

Een andere oplossing, in plaats van de cookiewetgeving, was dus geweest: mensen vertellen dat dit kan en hoe je dit doet. Educatie & voorlichting. (De Consumentenbond heeft een mooi overzicht van hoe je 3rd party cookies blokkeert.)

Wetgeving: draak die zijn doel voorbij schiet

Maar goed, men besloot het anders aan te pakken en de wetgeving werd een feit. Uiteindelijk blijkt het een draak. Niet dat de sector niet heeft geprotesteerd, maar de wetgever wilde niet luisteren. Het is nu zover dat er stemmen opgaan om de hele boel weer af te schaffen, omdat de meldingen zo verschrikkelijk irritant zijn en men ze routinematig wegklikt.

De oplossing die het probleem werd

En onlangs liep ik tegen de volgende paradoxale situatie aan: op allerlei sites van de NPO (Uitzending Gemist, NOS.nl, etc.) probeerde ik de cookiemelding — routinematig — weg te klikken, maar dat ding bleef maar verschijnen. Wat bleek?

De NPO regelt zijn cookiemelding (‘cookiewall’) centraal, vanaf één server: publiekeomroep.nl.

Dat gaat als volgt:

• Ik bezoek bijvoorbeeld NOS.nl.
• publiekeomroep.nl plaatst bij mij een cookie om op te slaan of ik de NPO-cookiemelding accepteer of niet.
• NOS.nl moet die cookie kunnen lezen, om te zien of ik de NPO-cookiemelding wel of niet heb geaccepteerd.
• publiekeomroep.nl is een andere site dan NOS.nl, dus de cookie die publiekeomroep.nl plaatst moet een — juist — 3rd party cookie zijn (anders kan NOS.nl de informatie niet uitlezen).

Kortom: om de cookiemelding op de sites van de NPO correct te laten functioneren, moet ik 3rd party cookies toestaan, terwijl ik die wil blokkeren, omdat ik niet getracked wil worden. De ironie.

Voor de duidelijkheid: de NPO-situatie dient hier slechts als voorbeeld van hoe de cookiewetgeving en -meldingen inmiddels meer het doel lijken te zijn geworden, in plaats van het middel te blijven. De gekozen oplossing — om één centrale server te gebruiken — is goed te begrijpen: anders moet je voor elke aparte NPO-site die melding gaan maken en beheren.

Laten we de internetter opleiden

Onderwijl heeft het de online sector handenvol geld gekost en — belangrijker nog — heeft het de argeloze internetgebruiker niet geholpen, want dit is niet wat hij nodig had.

Wat hij wel nodig had: educatie & voorlichting. Vergelijk het met automobilisten: de meeste bestuurders weten niet hoe een auto werkt, maar weten wel zo’n beetje hoe je de olie moet verversen, of de remvloeistof moet checken.

Eigenlijk is er al een voorbeeld van hoe het zou kunnen: VeiligBankieren.nl (een site waar je wordt voorgelicht over wat je kan doen om online veilig te bankieren). Waarom niet iets vergelijkbaars, maar dan voor internetgebruik in het algemeen? En waarom geen basisles internet op school?

Het medium is niet meer weg te denken uit onze manier van leven en er zullen altijd mensen of organisaties proberen ‘iets vervelends’ te doen; alertheid is dus immer geboden. In dit verhaal gaat het om cookies, maar zaken als phishing, de gevaren van ransomware en bewustwording van online privacy-issues in het algemeen zouden ook zeker op het lijstje moeten staan.

Laten we de argeloze internetgebruiker daarover informeren en hem de alerte mind- en toolset geven om goed met het internet om te gaan.

---

* De exacte inhoud van de — in de volksmond — ‘cookiewet’ is te vinden in artikel 11.7a van de Nederlandse Telecommunicatiewet.

** Zie voor meer informatie: What is the difference between first and third-party cookies? (Engels).