Cookiemonster

Een nieuwe wet die in juni van kracht is geworden, moet bezoekers van websites meer privacy geven. Er is echter nog veel onduidelijkheid over hoe deze wet gehandhaafd zal worden. Formeel gezien zijn de meeste websites, ook in de zorgsector, in overtreding. Met een paar simpele stappen is dat snel te verbeteren.

 

Privacy op internet is een heikel onderwerp. Daarbij gaat het niet alleen om kwaadwillende hackers die op computers en accounts inbreken om zo gevoelige informatie te stelen, maar ook om het feit dat veel websites ongevraagd het surfgedrag van hun bezoekers in kaart brengen. Met een onzichtbare link op de webpagina worden dan de gegevens van bezoekers doorgegeven aan een derde partij. Die plaatst een zogeheten cookie op de harde schijf van de bezoeker, een klein bestandje dat gegevens bevat over een eerder bezoek. Elke keer als een internetter contact heeft met de site, wordt dit bestandje door de derde partij op de achtergrond geraadpleegd.

Kruimelspoor
Wie wil zien hoe websites omgaan met cookies, kan het beste Firefox gebruiken. Voor deze browser zijn namelijk verschillende uitbreidingen (‘add-ons) beschikbaar, waarmee dit zichtbaar kan worden gemaakt. Met de add-on Ghostery ziet u bij elke webpagina de cookies. Hiermee kunt u ook gericht cookies weren van bijvoorbeeld advertentieketens. Gedetailleerdere gegevens levert de add-on Cookie Monster. Met Collusion maakt u het hele netwerk van gegevensuitwisseling tussen websites zichtbaar .
Een bekende bron van cookies is Google Analytics, een dienst die websitebeheerders helpt om bezoekersaantallen bij te houden. Die maakt er mooie grafieken van, zodat de webbeheerder kan analyseren wie zijn bezoekers zijn. Maar ook Google zelf maakt gebruik van deze gegevens, om bijvoorbeeld gepersonaliseerde advertenties te kunnen plaatsen. Wie bijvoorbeeld in een online winkel een paar jurken heeft bekeken, ziet kort daarna ‘toevallig’ diezelfde kleding terug bij een bezoek aan een nieuwssite.

Google is overigens lang niet de enige die dit zo doet. Ook een button van Facebook plaatst zo’n cookie, zelfs als de bezoeker er niet op klikt. Een andere bekende ‘boosdoener’ is Doubleclick, maar er zijn veel meer bedrijven die ongevraagd cookies op computers achterlaten (zie kader Kruimelspoor).

Telecomwet
Om internetgebruikers die hier niet van gediend zijn beter te beschermen, is sinds 5 juni een nieuwe Telecomwet van kracht, die het websites verbiedt om ongevraagd dit soort cookies te plaatsen of op andere manieren het surfgedrag van bezoekers vast te leggen. De wet voert daarmee Europese regels voor privacy uit. Door een amendement van PVV en PvdA (later gesteund door D66) is daarbij gekozen voor de strengst mogelijk variant. De bezoeker moet eerst expliciet toestemming geven voordat een cookie op de harde schijf mag worden gezet. De wet verbiedt echter niet alleen cookies. Het ongevraagd verzamelen van gegevens van bezoekers is verboden, welke methode er ook wordt gebruikt. Er is slechts één uitzondering: het mag alleen als die gegevens onmisbaar zijn om de website technisch te laten draaien. Een website mag bijvoorbeeld de login-gegevens tijdelijk onthouden, om te voorkomen dat je als gebruiker steeds opnieuw moet inloggen.

  
Arts en Auto en Cookies
Ook de website van Arts en Auto plaatst cookies. Om het bezoek aan de website in kaart te brengen, maken wij gebruik van de diensten van Google Analytics, WordPress.com Stats en Doubleclick. Deze informatie wordt gebruikt om de site en de dienstverlening aan onze lezers te verbeteren. Klik hier om meer te lezen over het cookiebeleid van Arts en Auto en VvAA
Handhaving
Op dit moment is er nog erg veel verwarring over hoe deze nieuwe wet moet worden geïmplementeerd. Veel websites hebben nog helemaal geen maatregelen genomen (waaronder opvallend genoeg veel overheidssites), andere sites kiezen ervoor hun bezoekers alleen te informeren (bijvoorbeeld Nu.nl) en weer andere vragen om toestemming voor het plaatsen van cookies, maar bieden wel toegang wanneer je dit niet doet (zoals de sites van initiatiefnemers PVV, PvdA en D66). De populaire nieuwssite Fok.nl is een van de weinige sites die blokkeert als het plaatsen van cookies wordt geweigerd.

Tot eind dit jaar geldt nog een lichte handhaving van de wet. Daarbij moet toezichthouder OPTA aantonen dat een website in overtreding is. Op 1 januari wordt de bewijslast omgedraaid. Na die datum moet de websitebeheerder aantonen dat hij geen persoonlijke informatie vastlegt of dat hij daarvoor toestemming heeft gekregen. Dat kan bijvoorbeeld met een apart venstertje dat opent als iemand de website bezoekt. Onduidelijk is nog wie de toestemming moet vragen, de websitebeheerder of de derde partij die de cookies plaatst. Naast deze registratie moet de sitebeheerder ook een uitleg op de website zetten over het cookiebeleid en daarnaar op elke pagina verwijzen.
De OPTA ontwikkelt op dit moment software die automatisch websites afsnuffelt op cookies. Omdat de bewijslast wordt omgedraaid, kan de vervolging daarmee vrijwel volledig worden geautomatiseerd. De maximale boete bedraagt 450.000 euro.

Medisch geheim
Hoe zit het eigenlijk met de sites van zorginstellingen in Nederland? Rond medische gegevens ligt privacy immers nog eens extra gevoelig. Het roept ook vragen op over de omgang met het medisch beroepsgeheim. Nu kunnen cookies er nooit voor zorgen dat buitenstaanders ongevraagd patiëntgegevens in kunnen zien, maar ze kunnen er bijvoorbeeld wel voor zorgen dat Google onthoudt dat iemand bij een apotheeksite minutenlang de informatie over hiv-medicatie heeft bestudeerd.

 
Eigen cookies

  • Kijk met de Firefox add-on Cookie Monster welke cookies uw eigen website gebruikt.
  • Verboden zijn in de meeste gevallen: cookies van derden en cookies die na een webbezoek nog actief blijven. Waarschijnlijk is het voldoende om Google Analytics en externe adverteerders te verwijderen.
  • Wie die functies toch wil behouden, moet toestemming van elke bezoeker vragen. Daarvoor is programmeerwerk nodig (zie www.artsenauto.nl/cookies).
  • Cookies van de eigen site zijn alleen toegestaan als ze ‘technisch nodig zijn’, bijvoorbeeld bij het invullen van een formulier dat uit meerdere pagina’s bestaat. In dat geval moet u een tekst maken met uitleg over die cookies. Onder aan elke pagina moet dan een link komen naar die uitleg.

Een kleine steekproef onder websites in de zorgsector leert dat de meeste Nederlandse ziekenhuizen op deze manier bezoekgegevens bijhouden. Dat geldt ook voor veel apotheken en fysiotherapeuten. Huisartsen blijken daarentegen vrij weinig webgegevens bij te houden. Over het algemeen hebben zij een bescheiden site zonder cookies of ze zijn aangesloten bij een dienstverlener als www.praktijkinfo.nl, die terughoudend cookies gebruikt.

Twee derde van de sites van zorgverlenende instanties in onze steekproef is in overtreding door het gebruik van ‘Google Analytics’. Het verwijderen hiervan is meestal genoeg om aan de wet te voldoen. Daardoor worden er geen bezoekersstatistieken meer bijgehouden, maar daar staat tegenover dat er zorgvuldig met de medische vragen van bezoekers wordt omgegaan.

Wie wil weten welke cookies zijn eigen website bij bezoekers achterlaat, kan dat controleren met de Firefox add-on Cookie Monster (zie kader Eigen cookies). Wie zijn beroepsgeheim serieus neemt, moet daar in ieder geval over nadenken.

Zonder kruimels
Of de nieuwe wet erin slaagt om de privacy van internetters te verbeteren, moet nog blijken. Zelfs als de OPTA streng gaat handhaven, zijn er allerlei mogelijkheden om de wet te ontduiken. Zo zijn er technieken om bezoekers te volgen zonder cookies te plaatsen. Computers kunnen namelijk op zo veel verschillende manieren worden ingesteld, dat vrijwel geen twee computers gelijk zijn. Een aantal van die instellingen is zichtbaar als u een website bezoekt. Bijvoorbeeld de taalinstelling, zodat meertalige websites daarmee rekening kunnen houden. Dat geldt ook voor de beschikbare lettertypen en plug-ins. Bij elkaar is dat ruim voldoende om bezoekers te kunnen identificeren. Ook dat is verboden volgens de nieuwe wet, maar deze manier van identificeren laat geen sporen na, in tegenstelling tot cookies. Deze techniek is daarom veel moeilijker te bestrijden.