De cookiewet in een breder perspectief: betalen met privégegevens.
Het recht op rust en privacy is als appeltaart en moederliefde: Je kunt er niet op tegen zijn,.. toch?
Op het eerste gezicht lijkt dat inderdaad het geval. In de praktijk is het vaak anders en meer gecompliceerd. Wie een beetje ‘normaal’ mee wil draaien in een consumptiemaatschappij moet betalen voor producten en diensten. Dat betalen doen we vaak bewust met geld, maar online betalen we veel vaker onbewust met onze privégegevens.
‘Registreren. Het is gratis (en dat blijft het ook)’
Het idee dat wij ergens niet voor hoeven te betalen met ons favoriete ruilmiddel, geld, klinkt ons als muziek in de oren. Voor dat geld hebben we namelijk meestal een aanzienlijk aandeel ingeleverd van ons meest kostbare en eigenlijk enige echte bezit: Tijd.
Logisch dus dat we hier zorgvuldig mee willen omgaan.
Maar een gratis online product of dienst kost natuurlijk wel iets. Het accepteren van een privacy policy van een dergelijke service moet je eigenlijk zien als een transactie. Je ruilt een stukje van je privacy in om gebruik te kunnen maken van het platform.
Yep. Dus?
Ik heb niet de illusie dat ik hier iets nieuws vertel. De meeste internetgebruikers zijn op z’n minst op de hoogte van het feit dat bedrijven als Facebook en Google weten wie je bent en wat je leuk vindt. Persoonlijk vind ik dat niet zo’n prettig idee, maar afgezien van het feit dat ik online wel eens maandenlang ben doodgegooid met advertenties van hele toffe schoenen (ook nadat ik ze dan toch uiteindelijk maar had gekocht) ervaar ik weinig directe nadelen. Sterker nog: Ik word liever doodgegooid met nieuwe schoenen dan met nieuwe auto’s, of iets anders waar ik niets mee heb.
Ik ben mij, net als vele anderen denk ik, nog niet ten volle bewust van het profiel dat er over mij wordt opgebouwd. Ik zeg profiel, omdat ik niet weet hoe ik het anders moet noemen. Ik kan de schaal en gedetailleerdheid ervan (nog) niet omvatten. Als ik ergens iets ‘like’ en ik ben in een ‘privacy-bewuste’ bui, dan denk ik: ‘Hmm, nu kan dus iedereen zien dat ik dit leuk vind’. Ik zie deze ‘like’ en de data die daaruit voort vloeit als geïsoleerd gegeven en niet als één van de ontelbare moleculaire deeltjes waaruit mijn profiel, of misschien wel beter mijn ‘digitale simulatie’, is opgebouwd.
Als consument heb ik geen idee van de werkelijke waarde van mijn privégegevens, dus rijst de vraag: Hoe kan je een overwogen transactie doen als je de wisselkoers niet kent?
De cookiewet
De in maart 2015 gewijzigde cookiewet is bedoeld om de internetgebruiker helderheid te bieden, zodat er wél een overwogen transactie kan plaatsvinden. De cookiewet verplicht de website-eigenaar tot het geven van duidelijke informatie, zodat de gebruiker weet dat hij/zij gevolgd wordt en waarom. De bedoeling van de cookiewet is ook dat de gebruiker controle krijgt over de cookies die op zijn of haar apparatuur worden geplaatst of gelezen.
Op zich niets mis mee, zou je zo zeggen. Vanwaar dan al die weerstand en vanwaar al dat gedoe? Onder andere om de volgende vier redenen:
1. De cookiewet zet online verdienmodellen onder druk
Veel uitgevers en contentplatformen zijn al jaren op zoek naar een nieuw en duurzaam verdienmodel. Vooral uitgevers van oorspronkelijk fysieke kranten, magazines en boeken hebben de inkomsten behoorlijk zien teruglopen en proberen zichzelf online te vernieuwen. Advertenties vormen daarbij een belangrijke bron van inkomsten. Om een advertentie te kunnen laden en zoveel mogelijk te laten opleveren, moeten er al vanaf het eerste bezoek cookies geplaatst worden. Volgens de cookiewet mag dit alleen nadat de gebruiker hier nadrukkelijk toestemming voor heeft gegeven. Het vragen om toestemming moet dus gebeuren vóór het eerste bezoek aan de website. De uitgever is daarom genoodzaakt tot het plaatsen van een cookiewall. Omdat het vanuit financieel oogpunt totaal geen hout snijdt om iemand binnen te laten als hij niet wil ‘betalen’ heeft een cookiewall vaak maar één optie: ‘Ja, ik accepteer de cookies’. Oftewel een keiharde weigering aan de deur voor iedereen die niet gevolgd wil worden. Dat kan leiden tot een afname van het eerste bezoek en dus de inkomsten van de uitgever.
2. De cookiewet gaat ten koste van de gebruiksvriendelijkheid
‘De cookiewet is niet gebruiksvriendelijk!’ hoor je vaak. Mijns inziens is gebruiksvriendelijkheid niet de eerste eigenschap waarop een wet zou moeten worden beoordeeld, maar de strekking van deze opmerking is duidelijk. Het doel van ontwerpers en ontwikkelaars is het ontwerpen van een ultieme ervaring voor de gebruiker. Die ervaring begint wanneer de bezoeker de site voor het eerst bezoekt. De bezoeker kan op elke pagina binnenkomen: op de homepage, maar ook direct op het detailniveau van een artikel. Als designer ben je doordrongen van het feit dat een website geen voordeur heeft. Een website is geen boek met een begin en een eind. De ervaring die je ontwerpt kan dus niet lineair zijn. Dat is niet gemakkelijk. En de cookiewet maakt het nog moeilijker.
De eerste indruk is heel belangrijk voor de ervaring van de gebruiker en een cookiemelding vormt hierbij een doorn in het oog. Door de verplichting van de wet wordt de boodschap en daarmee de focus van de gebruiker vertroebeld. Naast de content waar hij/ zij echt voor kwam, wordt ook de aandacht gevestigd op informatie die daar niets mee van doen heeft, namelijk het beleid omtrent cookies en privacy.
Afhankelijk van het verdienmodel van de opdrachtgever en de cookies die worden geserveerd, kan de cookiewet de implementatie van een cookiewall tot gevolg hebben. En BAM! De site heeft weer een voordeur. Die mooie ‘niet-lineaire’ ervaring die je had ontworpen gaat niet meer op.
3. De cookiewet geeft cookies een slecht imago
De cookiewet verplicht de website-eigenaar ertoe om in het kader van bescherming van privacy, de aandacht te vestigen op het gebruik van cookies op zijn of haar website.. Dit zet het gebruik van cookies per definitie in een kwaad daglicht. Hoe vaak je vervolgens roept dat cookies ongevaarlijk zijn maakt niet meer zo veel uit. Het is net zoiets als heel vaak roepen dat er geen enkele reden tot paniek is…
Zoals eerder gezegd zien wij, ontwerpers en ontwikkelaars, het creëren van een ultieme ervaring voor de gebruiker als ons hoogste doel. Hoe meer wij van de gebruiker weten, hoe beter wij ons werk kunnen doen. Cookies zijn daarin onze beste vriend. Wij hebben daarmee geen enkel kwaad in de zin. Wij zijn niet de NSA. Wij willen je niet bespioneren. Wij willen je simpelweg een mooie ervaring bieden.
4. De cookiewet heeft een verkeerde naam
De officiele naam van de cookiewet is artikel 11.7a van de Telecommunicatiewet, maar dat klinkt niet zo ‘catchy’. Omdat men dit artikel gemakshalve de cookiewet is gaan noemen, is niet alleen een verkeerd beeld ontstaan over cookies, maar ook over de inhoud van het artikel.
Artikel 11.7a van de Telecommunicatiewet gaat over de voorwaarden waarop informatie in de randapparatuur van de gebruiker mag worden verkregen en opgeslagen. Cookies vormen een middel om die informatie te bemachtigen, maar de wet gaat verder dan dat. Zo is het bijvoorbeeld ook verboden om zonder toestemming informatie in de ‘local storage’ of ‘session storage’ op te slaan.
Aan de ene kant dekt de naam dus niet de lading, aan de andere kant worden cookies die puur van functionele aard zijn en in geen enkel opzicht de privacy schenden, er met de haren bijgesleept.
OK. Wat nu dan?
Als je stelt dat het uiteindelijke doel van de cookiewet het beschermen van de privacy van de gebruiker is, dan kun je wel stellen dat dat (nog) niet gelukt is. Gebruikers van websites zijn ‘banner-moe’ en nemen gemiddeld niet de moeite om echt te lezen waar ze mee instemmen. Cookie-meldingen, privacy policies, gebruikersvoorwaarden… whatever. We stemmen er massaal mee in omdat we echt geen tijd hebben om alles te lezen. Zo leveren wij stelselmatig de bouwstenen aan voor onze digitale simulaties.
Omdat we geen directe nadelen ervaren hebben we de grootste moeite om ons ‘Orwelliaanse’ voorstellingen te maken van een wereld waarin de heersende grootmacht een soort alziend oog is dat alles weet van iedereen en deze informatie gebruikt om de bevolking te onderdrukken. Ook al lijkt dat soms heel dichtbij.
Het probleem is dat de informatie die over gebruikers verzameld wordt in het bezit is van een aantal grote bedrijven. De bekendste: Google, Facebook en Twitter.
Deze bedrijven hebben als gemeenschappelijke eigenschap dat het zogeheten ‘closed-silo’s’ zijn. Dat betekent dat de informatie die zij bezitten over iedereen gaat, maar toegankelijk is voor niemand… Behalve dan voor de overheid, of voor de hoogste bieder…
“The question of your information being retained by google is not really a google-decision. It’s a political decision enforced by different governments in different ways.”
Bovenstaande quote verklaart meteen waarom de cookiewet de website-eigenaren verplicht zich te verantwoorden voor het plaatsen van zogeheten ‘third-party-cookies’ en niet de ‘third-parties’, zoals Google en Facebook zelf. Deze partijen hebben al andere afspraken met overheden. Privé afspraken. Die mogen wij niet weten.
Een pasklaar antwoord op de vraag: Wat nu? Heb ik niet. Persoonlijk vind ik EN bescherming van privacy heel belangrijk EN de cookiemelding of -wall heel vervelend. Ik ben voorstander van de wettelijke hervorming die gaande is, maar ik zie de huidige implementatie van de cookiewet niet als DE oplossing. Volgens mij is deze ook niet ‘here-to-stay’. Ik zie in ieder geval niet voor me dat, vanaf nu tot aan het einde der tijden, je op elke website welkom wordt geheten met zinnen als:
- Sorry voor het ongemak, maar de wet verplicht ons…
- Voor een volledige werking van de website worden cookies…
- Je ziet het goed! We zitten achter een cookiewall.
- etc.
Dat zou tragisch zijn. Om dit te helpen voorkomen zou het, denk ik, goed zijn als ontwerpers, ontwikkelaars en website-eigenaren iets anders gaan denken over de cookiewet. In plaats van de precieze regeltjes te bestuderen en te bedenken hoe men er net aan kan voldoen kan ook gekeken worden naar wat de cookiewet probeert te bewerkstelligen. Daarbij zou men zich de vraag moeten stellen of men daar vanuit de eigen expertise een steentje aan zou kunnen bijdragen. Het recht op privacy moet dan wel gezien worden als iets van maatschappelijk belang. Niet als iets wat alleen van pas komt wanneer je wat te verbergen hebt.
Om constructief om te gaan met de wet kunnen, denk ik, een aantal basisprincipes als uitgangspunt genomen worden:
1. Stel de gebruiker centraal
Het klinkt cliché, maar het is wel de belangrijkste voorwaarde voor een privacy-vriendelijke website. De meeste ontwerpers en ontwikkelaars komen maar weinig in contact met de uiteindelijke gebruiker van de website. Hoe groter het project hoe groter de afstand tot de eindgebruiker en hoe gemakkelijker het is om die uit het oog te verliezen. Het is dus goed om af en toe de vraag te stellen of de inzet van cookies vooral goed is voor de portemonnee van de opdrachtgever (en dus de ontwerper of ontwikkelaar ) of ook voor de ervaring van de gebruiker en zijn of haar privacy?
2. Verzamel niks wat niet nodig is
Hoe minder privégegevens er worden verzameld, hoe beter het is voor de privacy van de gebruiker. Wat men niet verzamelt kan ook niet gedeeld worden met derden. Om te bepalen wat nodig is, kan gekeken worden naar het verdienmodel van de website-eigenaar en de sector waarbinnen de betreffende organisatie werkzaam is. In het geval van ‘gratis’ content platformen ligt het in de lijn der verwachting dat men moet inleveren op privacy. Immers, voor wat hoort wat. Maar wat als er al op een andere manier wordt betaald? Is het fair om een betalende abonnee van een krant te dwingen om tracking-cookies te accepteren? Hetzelfde geldt voor websites van organisaties die gefinancierd worden met belastinggeld, zoals gemeentes, basisscholen en openbare bibliotheken. Waarom zou hier betaald moeten worden met privégegevens? De gebruiker heeft al betaald. Bovendien is er geen enkel commercieel motief (of dat zou er in ieder geval niet moeten zijn).
3. Maak bewuste keuzes
Het gebruik van cookies en de wettelijke verplichting tot een cookiemelding is vaak het resultaat van ondoordacht beleid. De inzet van bepaalde externe tools kan er automatisch voor zorgen dat privégegevens van gebruikers gedeeld worden met externe partijen, terwijl dit geen toegevoegde waarde heeft voor de gebruiker en ook geen enkel commercieel nut dient. Dat is zonde. Om een voorbeeld te noemen: het reactiesysteem Disqus wordt meestal ingezet omdat het ‘plug and play’ is. Het bevat veel functionaliteiten in één keer, waardoor minder ontwikkeld hoeft te worden. Dat bespaart veel tijd en dus geld. Maar Disqus is toevallig ook een draak van een tool als het gaat om privacy. Bij een standaard implementatie van Disqus kijken er al gauw meerdere ‘third parties’ met de gebruiker mee. Gelukkig is het helemaal niet nodig om die draak in huis te halen. Bij een website die draait op WordPress volstaan de reguliere comments in veel gevallen. Andere privacy-vriendelijke opties zijn Isso en HashOver.
Tot slot
Niet ‘publiek’ maar ‘privé’ is de standaard. Als dat andersom zou zijn dan zouden we ons schuldig moeten voelen over alles wat we liever voor ons zelf willen houden. Zonder privacy geen vrijheid. Ik ben van mening dat dát het uitgangspunt moet zijn en moet blijven bij de ontwikkeling van online diensten en producten. Ontwerpers, ontwikkelaars en website-eigenaren hebben daarin een grote verantwoordelijkheid.
Voor praktische tips omtrent het ontwikkelen van privacy-vriendelijke websites verwijs ik je naar dit artikel.
Dit artikel verscheen eerder bij Emerce
Vertel ons meer over je plannen en ambities!
We zijn klaar om jullie online uitdaging op te pakken.