Toon posts:

Aantoonbaar maken wat cookies daadwerkelijk verzamelen

Pagina: 1
Acties:

Vraag

maandag 15 februari 2021 09:02

Acties:
  • 0Henk 'm!
  • OCTheEagle
  • Registratie: April 2005
  • Laatst online: 01-11-2022

OCTheEagle

Topicstarter
In het kader van mijn werk is er afgelopen jaar veel aandacht besteed aan het cookiebewustzijn voor de websites die worden gehost. Sindsdien is op elke website helder welke cookies worden geplaatst als je de slider op de cookiewall op noodzakelijk (basis), functioneel en uitgebreid zet. Bij het overslaan van de cookiewall wordt automatisch 'noodzakelijk' gekozen. Via cookie tooling (bijv cookiebot) kun je zien welke cookies bij welk niveau worden geplaatst. Dit sluit dan ook aan op hetgeen de gebruiker heeft gekozen bij de slider. Verder is per website een glossary opgenomen met uitleg per cookie. So far so good.

Vanuit onze IA functie binnen ons bedrijf komt nu de vraag 'wij zien welke cookies worden geplaatst, en dat per cookie een beschrijving wordt gegeven, maar kun je laten zien dat een cookie alleen hetgeen doet wat je beschrijft dat die zou moeten doen'. Hoewel deze vraag erg interessant is, lukt het onze IT-afdeling niet om dat afdoende aan te tonen. Voor Google Analytics, Facebook etc kunnen we een dashboard laten zien waarin we zaken kunnen aan of uitzetten, maar echt een lijncontrole van 'als je dit cookie aanzet dan wordt dit feitelijk bijgehouden/verzameld' kunnen we niet. Het argument van de IA functie is dat 'cookies mogelijk privacygevoelige data zoals IP-adressen kunnen meesturen'. Persoonlijk vind ik dat wat ver gezocht. Is dat terecht of zijn er toch manieren om antwoord te geven op de vraag 'wat een cookie feitelijk doet'? Ik heb gezocht via termen als 'auditing cookies' en de handleidingen van Google Analytics etc gelezen maar vind daar geen verder antwoord op mijn vraag.

Beste antwoord (via OCTheEagle op 15-02-2021 14:31)

maandag 15 februari 2021 09:23

  • Janoz
  • Registratie: Oktober 2000
  • Laatst online: 15:33

Janoz

Moderator Devschuur®

!litemod

Het antwoord op de vraag is heel simpel:

Nee


Om toch een iets langer antwoord te geven, sowieso is je titel al niet juist. Een cookie verzamelt in principe helemaal niks. Hij wordt alleen elke keer meegestuurd wanneer er een call naar de server gedaan wordt en aan die kant kan vervolgens van alles aan elkaar geknoopt worden. Alleen de beheerders van die servers kunnen technisch bepalen wat er exact allemaal met die data gebeurt. Jullie IT-afdeling kan niet in de servers van facebook of google kijken.

Uiteindelijk wordt de vraag dus bij de verkeerde afdeling neergelegd. Het is juist legal afdeling welke in de verschillende overeenkomsten zou moeten duiken om te zien wat wanneer met welke geimporteerde dienst gebeurt en vervolgens afwegen of ze die dienst nog wel zouden willen gebruiken

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

Alle reacties

maandag 15 februari 2021 09:21

Acties:
  • 0Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

IMHO:

Als men wil valsspelen: niet.

De cookie hoeft alleen een uniek ID te bevatten, waarbij alle kennis over jou op de servers staat. Of dat unieke ID serverside alleen wordt gebruikt om te onthouden dat OCTheEagle de site graag in het Engels ziet, of dat dat feit i.c.m. mailadres ook wordt doorverkocht, kan je aan de cookie niet zien.

Zonder valsspelen:
Pluis de privacy policies van alle betrokken diensten na, check de verwerkerovereenkomst als dat aan de orde is, etc.

De beschrijvingen in de 'cookie walls' plus de naam van de cookie zegt ook wat.
dat 'cookies mogelijk privacygevoelige data zoals IP-adressen kunnen meesturen'
offtopic:
Dat is een zin die prima thuis hoort in YouTube: Digibetocratie | Zondag met Lubach (S13) van gisteravond :X

Hint: je IP-adres is natuurlijk sowieso bekend. De postbode moet je adres kennen om te weten waar het doos koekjes naartoe te sturen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 15 februari 2021 09:23

Acties:
  • Beste antwoord
  • 0Henk 'm!
  • Janoz
  • Registratie: Oktober 2000
  • Laatst online: 15:33

Janoz

Moderator Devschuur®

!litemod

Het antwoord op de vraag is heel simpel:

Nee


Om toch een iets langer antwoord te geven, sowieso is je titel al niet juist. Een cookie verzamelt in principe helemaal niks. Hij wordt alleen elke keer meegestuurd wanneer er een call naar de server gedaan wordt en aan die kant kan vervolgens van alles aan elkaar geknoopt worden. Alleen de beheerders van die servers kunnen technisch bepalen wat er exact allemaal met die data gebeurt. Jullie IT-afdeling kan niet in de servers van facebook of google kijken.

Uiteindelijk wordt de vraag dus bij de verkeerde afdeling neergelegd. Het is juist legal afdeling welke in de verschillende overeenkomsten zou moeten duiken om te zien wat wanneer met welke geimporteerde dienst gebeurt en vervolgens afwegen of ze die dienst nog wel zouden willen gebruiken

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

maandag 15 februari 2021 10:04

Acties:
  • 0Henk 'm!
  • Yucon
  • Registratie: December 2000
  • Laatst online: 21:05

Yucon

*broem*

Je kunt een cookie zien als een stempeltje dat je achteraf weer kunt herkennen. Niet meer en niet minder.

maandag 15 februari 2021 10:29

Acties:
  • 0Henk 'm!
  • Jaaap
  • Registratie: Februari 2000
  • Niet online

Jaaap

Ehh...
Een cookie kan prima data bevatten, ook een ip adres kun je er prima in zetten.
SOMS bevat een cookie alleen een identificatienummer maar dat hoeft niet.
Je helpt de TS hier helemaal niet mee.

Dat betekent
Het gebeurt
Dit verandert
Wat bepaalt

maandag 15 februari 2021 11:04

Acties:
  • +1Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Jaaap schreef op maandag 15 februari 2021 @ 10:29:
Ehh...
Een cookie kan prima data bevatten, ook een ip adres kun je er prima in zetten.
SOMS bevat een cookie alleen een identificatienummer maar dat hoeft niet.
Je helpt de TS hier helemaal niet mee.
Natuurlijk kan het ook andere data bevatten, ook pak-em-beet je naam of laatste bestelling. Dat doet echter niets af aan dat je niet kunt laten zien dat een cookie alleen hetgeen doet wat je beschrijft dat die zou moeten doen. En dat is de vraag. :)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 15 februari 2021 11:14

Acties:
  • 0Henk 'm!
  • Johnny
  • Registratie: December 2001
  • Laatst online: 16:43

Johnny

ondergewaardeerde internetguru

OCTheEagle schreef op maandag 15 februari 2021 @ 09:02:
Het argument van de IA functie is dat 'cookies mogelijk privacygevoelige data zoals IP-adressen kunnen meesturen'. Persoonlijk vind ik dat wat ver gezocht. Is dat terecht of zijn er toch manieren om antwoord te geven op de vraag 'wat een cookie feitelijk doet'? Ik heb gezocht via termen als 'auditing cookies' en de handleidingen van Google Analytics etc gelezen maar vind daar geen verder antwoord op mijn vraag.
Cookies kunnen voor van alles worden gebruikt, daarom moet je in begrijpelijke taal uitleggen wat jij er mee doet. Ieder verzoek naar een webserver bevat een verwijzing naar het IP-adres. Dat is niet het punt. De vragen die je dient te beantwoorden in je privacyverklaring zijn: welke informatie opgeslagen? Voor hoe lang? Waar (wat voor computers, welk land)? Wie heeft er toegang? Welk nut dient het?

Bij het onderzoeken van zoiets is de eerste stap om in de inspector van de browser te kijken. Onder "storage" kan je zien welke cookies/local storage items er staan. Als je eenmaal die lijst hebt dan kan je ze categoriseren van functioneel naar marketing etc. Als het interne cookies zijn moet je nagaan waar deze voor wordt gebruikt en dat uitleggen in je privacyverklaring. Als het cookies van derden zijn moet je nog steeds uitleggen waarom jij die gebruikt en wat en je met informatie doet maar ook wat de derde partij met informatie doet, maar daarvoor kun je naar hun privacyverklaring verwijzen.

Aan de inhoud van de bovenstaande tekst kunnen geen rechten worden ontleend, tenzij dit expliciet in dit bericht is verwoord.

maandag 15 februari 2021 11:42

Acties:
  • 0Henk 'm!
  • OCTheEagle
  • Registratie: April 2005
  • Laatst online: 01-11-2022

OCTheEagle

Topicstarter
Bedankt allemaal voor de antwoorden.

Al met al dus de uitleg dat je niet feitelijk kunt vaststellen wat een cookie doet (los van wat er in de cookie uitleg staat). Enige uitzondering vormen de cookies die een IT-afdeling zelf heeft geschreven (voor zover dat van toepassing is).

Ik haal er dus uit dat je voor cookies van derden (Google, Facebook etc), zult moeten kijken naar de verwerkersovereenkomsten. Vaak geven de derde partijen uitleg over de cookies die zij plaatsen en wat deze doen (Zie bijv hier) echter kun je niet vaststellen dat die cookies daadwerkelijk doen wat daar staat.

Voor wat betreft het IP-adres dat wordt verwerkt geldt dat ik die wel voorbij zag komen in de handleiding over Google Analytics die door de Autoriteit Persoonsgegevens wordt gegeven. Zie daarvoor hier. Samengevat komt het neer dat als je de basis GA functionaliteit gebruikt dat je daarvoor niet expliciete toestemming hoeft te geven mits het IP-adres wordt geanonimiseerd. Hoe je het IP-adres moet anonimiseren wordt in de handleiding weergegeven.

maandag 15 februari 2021 13:07

Acties:
  • 0Henk 'm!
  • Jaaap
  • Registratie: Februari 2000
  • Niet online

Jaaap

Er zijn wel websites en browser-addons die cookie tracking inzichtelijk maken, bv
http://collusion.toolness.org/
en
https://addons.mozilla.or...efox/addon/lightbeam-3-0/

[Voor 22% gewijzigd door Jaaap op 15-02-2021 13:08]

Dat betekent
Het gebeurt
Dit verandert
Wat bepaalt

maandag 15 februari 2021 15:02

Acties:
  • 0Henk 'm!
  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 27-03 13:42

kodak

FP ProMod
OCTheEagle schreef op maandag 15 februari 2021 @ 11:42:
Voor wat betreft het IP-adres dat wordt verwerkt geldt dat ik die wel voorbij zag komen in de handleiding over Google Analytics die door de Autoriteit Persoonsgegevens wordt gegeven. Zie daarvoor hier. Samengevat komt het neer dat als je de basis GA functionaliteit gebruikt dat je daarvoor niet expliciete toestemming hoeft te geven mits het IP-adres wordt geanonimiseerd. Hoe je het IP-adres moet anonimiseren wordt in de handleiding weergegeven.
Wat de AP er niet bij schrijft is dat dit voldoende is. Ze geven zelfs een waarschuwing dat ze het niet zomaar voldoende vinden, zelfs als je deze optie kiest.
Dat lijkt te komen omdat je als gebruiker van Google eigenlijk alleen maar vraagt of ze bepaalde gegevens van je klanten willen verwerken. Dat zorgt er niet voor dat je klanten hun IP-adres niet aan Google geven, alleen dat Google kennelijk een toezegging doet dat ze niet alles van het IP-adres van je klanten zullen verwerken. Met andere woorden, je moet heel veel vertrouwen in Google hebben dat die zorgvuldig met de gegevens van je klanten om gaan en je hebt geen enkele mogelijkheid om daar heel zeker van te zijn. Tenzij jullie met Google een overeenkomst hebben dat Google het door een onpartijdige controle laat aantonen of ze die toezegging wel nakomen. En dat lijkt niet te gebeuren.
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee