Grootscheepse cookie-overtredingen door alle omroepen

Frontale botsing koppige NPO en arrogant CBP

De Nederlandse Publieke Omroep (NPO) laat illegale tracking cookies toe en zet die in om surfdata te verzamelen. Volgens toezichthouder CBP zijn dit persoonsgegevens, maar de omroep bestrijdt dit ten stelligste.

De omroepsites plaatsen de cookies zonder de vereiste ‘ondubbelzinnige toestemming’ van gebruikers te vragen en overtreedt dus de Wet bescherming persoonsgegevens (Wbp).
“Surfgedrag hoort privé te blijven, tenzij je toestemming geeft om gevolgd te worden op internet”, zegt CBP-vicevoorzitter Wilbert Tomesen in het persbericht. Bij volharding komt er een boete voor de NPO.
De kans daarop is aanzienlijk. In het ruim honderd pagina’s tellende rapport staat ook de uitgebreide discussie met de NPO opgenomen waaruit blijkt dat deze het flagrant oneens is met de conclusies van het CBP.
De feiten liegen er niet om wat betreft het plaatsen van cookies. De NPO tuigt een heel labyrint aan cookiegebruik op. Het lijkt of de middelvinger regeert. Enkele voorbeelden:
* Op alle NPO-websites worden al bij het laden van een webpagina analytische (tracking) cookies van Comscore (Sitestat) geplaatst, bedoeld voor statistiek. Ook ScoreCard Research en Mediamath zijn voor statistiek in gebruik bij omroepen;
* De Gebruiker wordt gevraagd op Akkoord te klikken voor cookies, maar wordt ook geacht toestemming te hebben verstrekt na vijf keer klikken op de site;
* Google DoubleClick cookies worden veelvuldig geplaatst, bekend van het verzamelen van gegevens per uniek gebruikt apparaat. Ook andere Google-cookies vinden eenvoudig hun weg naar omroepsites zonder - volgens het CBP - adequate uitleg van de noodzaak;
* Via de website cookievrij.nos.nl worden Google Analytics cookies uitgelezen die eerder via www.nos.nl, zijn geplaatst;
* De bezoeker die wel cookies kunnen weigeren en dat doen op de website van FunX, krijgen vervolgens toch een serie cookies met unieke identifiers (op het apparaat gericht) geplaatst die worden uitgelezen;
|* Op alle onderzochte 31 NPO-websites (behalve FunX) plaatst de NPO zelf permanente cookies die referrer URL’s registreren. Ze hebben een geldigheidsduur van 10 jaar;
* Bij bezoek aan de NOS-website worden in totaal 27 permanente advertentiecookies geplaatst met unieke identifiers, vanuit 20 verschillende externe domeinen; bij FunX 17 en bij Avro.nl wel 22;
* Advertentienetwerken zoals AppNexus en Adlantic - vanmorgen in het nieuws omdat het stopt met een activiteit - plaatsen permanente cookies. De NPO stelt gebruikers van 12 reclamecookies op de hoogste, maar het CBP trof er nog 26 van derden aan;
* De omroep schrijft dan "dat reclameruimte door de Ster nooit via veilingnetwerken wordt verkocht. Alle lopende contracten met veilingnetwerken worden door de Ster stopgezet. Ook Google-ads of vergelijkbare vormen van adverteren worden niet door de Ster gebruikt." Echter, bij nieuw onderzoek in januari 2014 trof het CBP nog steeds een groot aantal zogenaamde '_gads' cookies (Google Ads) aan;
* Dan zijn er ook constateringen voor gebruik van sociale media met cookies, zoals Addthis voor het delen van content en het Twitter-icoon;
* Van een aantal cookies wordt niet vermeld wat ze doen zoals van uservoice.com van de Vpro. Dit is overigens een sociale toepassing.

Koppen tegen elkaar
In een dialoog kruisten NPO en CBP de degens, of beter gezegd voerden een uitputtend gevecht. Een voorbeeld van de koppigheid van de omroep versus de betweterige houding van het CBP:
“Daarbij heeft het CBP gewezen op het feit dat er andere methoden [dan metingen met cookies] bestaan om publieksbereik op internet te meten en om de pluriformiteit van publieksbereik te bevorderen.
Daarbij heeft het CBP als voorbeeld van een alternatief voor het meten van publieksbereik op internet panels genoemd. Uit het feit dat de NPO schrijft dat een  panel geen alternatief lijkt te zijn in de context van het rapport, maakt het CBP op dat de NPO (nog) niet heeft bestudeerd of het daadwerkelijk een alternatief is.
Het CBP gaat er echter vanuit dat deelnemers aan dergelijke panels ondubbelzinnige, goed geïnformeerde toestemming verlenen voor het registreren van hun internetgedrag, inclusief eventuele cookies die voor dat doeleinde worden gebruikt.
Dat panels (of andere methoden) ook cookies gebruiken, staat dus niet in de weg aan het feit dat dit een legitiem alternatief voor de NPO kan zijn en dat de NPO dit zou moeten onderzoeken.”

'Opa' CBP
De climax van de totaal verziekte relatie blijkt op het laatst als de NPO een hoorzitting eist alvorens het rapport gepubliceerd zal worden. Dit weigert het CBP, want die heeft genoeg van het getalm van de omroep die ook in 2013 al over de schreef ging volgens het CBP.
In een interview met NRC vandaag noemt NPO-voorzitter het CBP een ‘opa’ die niet beseft hoe mensen, en met name jongeren, met internet en privacy omgaan.
De NPO blijft uitdrukkelijk volhouden niet in personen geïnteresseerd te zijn, maar louter in doelgroepen, maar Hagoort stelt wel: “Onder andere met cookies bekijken we of we via NPO.nl daar ook wat jongere mensen mee bereiken. Wij volgen mensen alleen op onze eigen sites. Daardoor plaatsen wij naar onze mening geen tracking cookies.”
Of surfers jong of oud zijn vraagt een zekere identificatie. Probleem blijft de definitie van surfdata als persoonsgegevens terwijl die niet expliciet worden gebruikt, bijvoorbeeld in persoonlijke profilering.
Zou de omroep op dit punt gelijk kunnen krijgen bij een wat minder stringente aanpak, hoe dan ook is de NPO wel slordig met advertentienetwerken, en laat die op grote schaal toe naar data van gebruikers te grazen.
Hagoort zegt hierover tegen NRC: “In de overeenkomsten met advertentiebedrijven staat bovendien dat zij de surfgegevens die zij verzamelen niet mogen herleiden tot individuele personen. We hebben ook technische maatregelen getroffen om ervoor te zorgen dat dat niet kan.”
Eerst zien, dan geloven geldt hier. Als er één soort partij onbetrouwbaar is met data op internet, is het de categorie ‘advertentienetwerk’. Het blijft volkomen schimmig wat ze uitvoeren op websites.
Dat uitgerekend de publieke omroep de kat de bel aanbindt, terwijl die gezien in inbedding in de overheid geacht wordt het braafste jongetje van de klas te zijn, is meer dan saillant.

We vragen de Netkwesties-experts hoe zij erover denken.

Gepubliceerd

8 jul 2014

Wat vinden de experts?

Arnoud Engelfriet
8 jul 2014
NPO is burgerlijk ongehoorzaam

De term tracking cookie is misleidend en verwarrend. Tracken impliceert volgen en wordt vaak gezien als "over meerdere sites heen". Maar privacytechnisch een irrelevante duiding.

Waar het om gaat, is of aan het cookie gegevens gekoppeld zijn die over één persoon gaan (een profiel van bijvoorbeeld interesses). Dat maakt het cookie (het profiel) een persoonsgegeven.
Er is discussie of dit pas speelt als je ook de geprofileerde persoon kunt identificeren, dus naam + contactgegevens erbij vinden zeg maar. De wet definieert persoonsgegeven immers als "direct of indirect identificeerbaar".
Weten dat bezoeker 358 van de Rijdende Rechter houdt, is niet echt een identificatie. Maar volgens de meer strikte opvatting van de Europese privacytoezichthouders (art. 29 Werkgroep) is dit wel een persoonsgegeven omdat het over één persoon gaat. Individualiseren=identificeren; ook al is het niet bij naam.
Als er ook cookies van derden/adverteerders ingezet worden dan wordt er over meerdere sites heen geprofileerd. Dat is maatschappelijk gezien enger, maar privacytechnisch is het hetzelfde: je maakt een profiel met persoonsgegevens. In de strikte visie dan.
De NPO stelt zich burgerlijk ongehoorzaam op: wij hoeven de wet niet te volgen want die is ouderwets. Dat mag, maar dan niet zeuren als je beboet wordt. Want je weet dat je fout zit.

Maarten Roelofs
8 jul 2014
Maarten Roelofs
Hoera voor de NPO deze keer

De hele cookiewetgeving is een overbodig, marktverstorend en onkundig gedrocht dat ontstaan is uit een ordinaire politieke ruil tussen Martijn van Dam - geen licht in deze materie - en de PVV.
De tracking cookies zijn, als NPO haar partners een heel klein beetje zorgvuldig uitkiest, niet herleidbaar tot persoonsgegevens. De latere nuancering en interpretatie van de wet is helemaal hilarisch.
Google en Facebook met cookies die alleen dienen voor 'analyse', en 'gebruikerservaring' zijn de meest vergaande identifiers van persoonlijke informatie. Dus durf dan ook Facebook en Google de toegang tot 's landsgrenzen te verbieden.
Wel komisch nu dat NPO, of all, misschien wel jurisprudentie gaat veroorzaken over marktverstoring (Nederlandse bedrijven worden fors benadeeld), waar deze draak van een wet debet aan is. 

 

Marianne Zwagerman
8 jul 2014
Marianne Zwagerman
Omroep heeft gelijk

Hagoort heeft natuurlijk gelijk als hij zegt dat wet- en regelgeving achterloopt bij de dagelijkse praktijk op internet.
De generatie Z kent het begrip privacy niet eens meer. En niemand zit te wachten op de ellendige cookietoestempopups en andere gebruikersonvriendelijke beschermingsmaatregelen.

Maar vooral ouderwets is de mediawet. Waardoor we nog altijd vastzitten aan een inefficiënt bestel, gebouwd op zuilen die al lang niet meer bestaan, dat we financieren met belastinggeld en tegelijkertijd toestaan om marktverstorend te opereren als een commercieel bedrijf. En dus bedient de NPO (en de STER en de NOS) zich, net als commerciële bedrijven vervolgens van de mogelijkheden die de markt en technologie bieden. Daar kunnen we moord en brand over schreeuwen. Maar liever passen we de mediawet eens zodanig aan dat de marktverstoring wordt weggenomen. Nu ja, daarover maakte ik me al regelmatig druk.

Rashid Niamat
8 jul 2014
Opa heeft heel erg gelijk

De bevindingen van het CBP laten aan duidelijkheid weinig te wensen over. De NPO heeft de cookie muur versie 1.0 (die tot oktober 2013 bestond) neergehaald en er iets voor teruggezet dat er schappelijker uitziet maar aantoonbaar nog steeds niet door de beugel kan.
In plaats van toegegeven dat deze make-over niet voldoende is en dat de gegeven uitleg hierover te kort schiet meent de NPO ons, de burger en de belastingbetaler, vooral te moeten vermaken met het schoppen tegen de schenen van de partij die de tik op de vingers heeft uitgedeeld, het CBP.
Dat komt onvolwassen en daarmee ook ongeloofwaardig over. Wie vermoedt dat hier sprake is van een bewuste poging van de NPO zo de publieke opinie te beïnvloeden wordt in de pers op zijn wenken bediend. Daar zijn zichtbaar: een opzichtige poging de definitie van tracking cookies om te buigen en het toegeven dat *niet* kan worden uitgesloten dat de “derde partijen die via onze sites cookies plaatsen” deze ook voor andere doeleinden gebruiken.
De NPO is door CBP betrapt terwijl het met de vingers in de koektrommel zat en daarbij de  koektrommel ook nog eens toonde aan allerlei vrindjes met dito graaigrage vingers. Logisch dat de NPO het CBP een vervelende opa vindt, maar opa heeft wel heel erg gelijk.

Gerrit-Jan Zwenne
9 jul 2014
Cbp oordeelt vanuit ivoren toren

Ik schreef toevallig een week of wat terug een opinietekstje over het optreden van Cbp in cookiezaken. Veel daarvan is ook voor deze zaak relevant. Ik ga daarom daar vanuit.
Waar het allereerst om gaat is dat onze cookiewet strenger is dan de wetgeving in andere EU-lidstaten. Nederland heeft een zogeheten bewijsvermoeden in de cookiewet opgenomen.
Zogeheten trackingcookies worden volgens onze wet vermoed persoonsgegevens te zijn. Dat maakt onze cookiewet behalve veel strenger ook onnodig gecompliceerd, met als onvermijdelijk resultaat veel rechtsonzekerheid.
In termen van internationale concurrentieverhoudingen is dat op zijn minst hinderlijk. Daarbij is het maar de vraag of onze cookiewet tot meer privacybescherming leidt. In de context van internet is het nou eenmaal altijd twijfelachtig of afwijkende nationale regels überhaupt effectief zijn te handhaven.

Wat ook niet helpt is dat onze nationale privacytoezichthouder nogal eigenzinnige opvattingen heeft over (a) het begrip persoonsgegevens, en (b) de uitleg van die cookieregels. In het NPO-rapport van bevindingen blijkt dit weer, luid en duidelijk:
(a) Cbp gaat uit van een heel ruime uitleg van het begrip persoonsgegevens, namelijk een uitleg waarbij het niet meer relevant is of een internetgebruiker wordt geïdentificeerd. De toezichthouder rekt zo zijn eigen bevoegdheden ver op, veel verder dan de wetgever dat heeft bedoeld. Ik heb daarover eerder al veel gezegd. Wellicht volstaat dat ik verwijs naar mijn oratie.
(b) het CBP vindt dat er geen sprake is van geldige toestemming als de internetgebruiker goed is geïnformeerd over de cookies en er vervolgens voor kiest het bezoek aan de website voort te zetten. Volgens het CBP kan er alleen sprake zijn van geldige toestemming als de internetgebruiker klikt op een akkoord- of toestemmingsknop, of als hij een vinkje zet, of iets dergelijks. Door hier de minst gebruiksvriendelijke oplossing te kiezen, negeert de toezichthouder de wens van de Nederlandse en Europese wetgevers.
Het is opvallend dat het CBP juist zijn controversiële opvattingen over een en ander nu door middel van handhavingsacties probeert af te dwingen. Je gaat je afvragen waarom. Er zou de indruk kunnen ontstaan dat de toezichthouder, met het oog op de behandeling van het cookieherstelwetje (TK 33902) en wellicht ook andere wetvoorstellen, het nodig vindt nu van zich te laten horen.
Vanuit een ivoren toren is het zicht meestal slecht. De privacytoezichthouder zou er goed aan doen wat beter naar de wetgever te luisteren. Ook wat meer aandacht voor wat internetgebruikers zelf willen zou goed zijn. Uiteindelijk gaat het om de bescherming van hun privacy.

Simon Hania
9 jul 2014
Hopen dat de NPO doorgaat tot de rechter

Het rapport van bevindingen laat zien hoe ongelofelijk complex het is om de wetgeving toe te passen in de praktijk. Je moet er echt voor doorgeleerd hebben om het een beetje te kunnen volgen, laat staan snappen. Het gros van de website beheerders zal zeggen: gooi maar in mijn pet: als zelfs organisaties als de NPO en de advertentie- en analyticsbedrijven van naam het blijkbaar al niet goed kunnen doen, wat moet ik dan?
Maar voor hen heb ik goed nieuws: de waakhond kan slechts aan exemplarische handhaving doen. Simpelweg te weinig tijd, kunde en mankracht tegenover veel teveel organisaties die een website hebben.
Oftewel: poets gewoon even de meest opvallende onhandigheden van je site (zoals cookies droppen voordat je toestemming hebt) en je kunt gewoon doorgaan zonder al teveel risico tegen de lamp te lopen.

Als het je dan toch overkomt: slimme advocaat in de hand nemen, maximaal tijd rekken en Cbp flink bezig houden. Ik hoop dan ook dat de NPO naar de rechter stapt. Daarvoor is voldoende aanleiding te vinden in de bevindingen van het Cbp en het is goed voor de publieke zaak.
Ben ik cynisch geworden? Ja, helaas.
Want doordat onze privacyautoriteit het begrip persoonsgegeven steeds verder wenst op te rekken (feitelijk in afwijking van wat hun collega's in buurlanden doen), verwatert het.
Homeopatische privacy is wat we overhouden. Jammer.

Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
Colofon Nieuwsbrief RSS Feed Twitter

Nieuwsbrief ontvangen?

De Netkwesties nieuwsbrief bevat boeiende achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen o.g.v. internet, ict, media en samenleving.

De nieuwsbrief is gratis. We gaan zorgvuldig met je gegevens om, we sturen nooit spam.

Abonneren Preview bekijken?

Netkwesties © 1999/2024. Alle rechten voorbehouden. Privacyverklaring

1
0