De privacyschending van social media buttons

De cookiewet moet eigenlijk nog helemaal uitkristalliseren. Er zijn nog weinig websites die aan de richtlijnen voldoen en handhaving vindt nog niet plaats. Eerder schreef ik al dat de focus te weinig op de gebruikers ligt en teveel op de gevolgen voor eigenaren van websites. Eén van de dingen die dankzij de cookiewet ter discussie is komen te staan is het gebruik van social media buttons. Social media buttons maken namelijk gebruik van cookies. Maar wat betekent dat nou eigenlijk? Welke gegevens verzamelen die knoppen, voor wie en hoe?

Wat veel website-eigenaren zich niet realiseren is dat ze door het toevoegen van social media buttons (zoals onderaan dit artikel) de sociale netwerken waar deze buttons toe behoren de mogelijkheid geven om bezoekers op hun website te volgen. Tegelijkertijd geven gebruikers door gebruik te maken van het sociale netwerk aan dat deze sociale netwerken ze op die manier mogen volgen. Onder andere door het gebruik van cookies zorgen deze sociale netwerken dat ze die gegevens op kunnen slaan en later kunnen gebruiken.

De manieren waarop en welke data deze sociale netwerken opslaan staan benoemd in de privacy statements van de verschillende sociale netwerken. Hieronder staan de passages die betrekking hebben op dit beleid.

Facebook:

We ontvangen gegevens wanneer je een game, toepassing of website gebruikt, die gebruikmaakt van Facebook-platform of wanneer je een website opent met een Facebook-functie (zoals een sociale plug-in) en soms via cookies.

Google(+):

We kunnen gegevens verzamelen over de services die u gebruikt en de manier waarop u ze gebruikt, zoals wanneer u een website bezoekt die onze advertentieservices gebruikt of wanneer u onze advertenties en inhoud bekijkt en gebruikt.

Twitter:

We may tailor content for you based on your visits to third-party websites that integrate Twitter buttons or widgets. When these websites first load our buttons or widgets for display, we receive Log Data, including the web page you visited and a cookie that identifies your browser (“Widget Data”).

LinkedIn:

Wij verzamelen informatie als u pagina’s, functies en de functionaliteit van LinkedIn, inclusief mobiele LinkedIn-toepassingen, software (zoals het toevoegen van uw profiel, deelname aan Groepen, contacten uploaden, etc.) en platformtechnologie (zoals ‘Delen op LinkedIn’-knoppen of toepassingen van derden) weergeeft en overgaat tot interactie. We verzamelen ook uw IP-adres, browsertype, besturingssysteem, mobiele provider en internetprovider en we ontvangen de URL’s van sites die u bezoekt voor en na de LinkedIn-website, of sites die LinkedIn-platformtechnologie geïntegreerd hebben.

En zelfs diensten als AddThis die alleen delen via sociale netwerken mogelijk maken:

We collect Non-Personally Identifiable Information via the AddThis Button for use on the AddThis Platform. For example, when you visit a web page that contains one of our AddThis Buttons, our server logs collect your Internet Protocol address, browser type, browser language, the date and time you visited that web page, and (if you came to a web page where an AddThis Button is enabled via a search engine such as Google), the web search that landed you on that web page. We also collect information regarding how often you share content with others using the AddThis platform.

Wat vooral blijkt uit deze passages is dat de sociale netwerken redelijk vaag houden wat ze precies opslaan en wat ze er precies mee doen. Maar hier komt de Nederlandse cookiewet dan genadeloos om de hoek kijken. De cookiewet zegt namelijk dat voordat een cookie geplaatst wordt je moet zeggen wie de cookie plaatst, wat je gaat opslaan, waarvoor je het gebruikt en of gegevens aan derden worden verstrekt (bron: cookierecht.nl). Daar ligt dus nog een grote uitdaging voor website-eigenaren (of juist de sociale netwerken). Hoe dat precies opgelost zal worden moet nog blijken.

Wat ik hier positief aan vind is dat mensen nu eindelijk eens bewust worden wat de gevolgen zijn van het plaatsen van dit soort buttons op hun website. Want ik geloof dat 99% van de mensen die deze buttons plaatsen zich niet bewust is van het feit dat ze hiermee sociale netwerken toestemming geven om de bezoekers op hun site te volgen. En de enige manier om die bewustwording wel te creëren lijkt het wettelijk opleggen van zo’n informatie- of toestemmingsplicht.

Of gaat de verplichting te ver? Moeten die sociale netwerken misschien gewoon harder aangepakt worden? Zij verzamelen tenslotte de gegevens. Wat vind jij?

Update: Via een reactie op een bericht op Twittermania naar aanleiding van dit artikel, kwam ik op het volgende document van de EU. Hierin staat de volgende passage:

Consent from non-members and “logged-out” members is thus needed before third party cookies can be used by social plug-ins.

On the other hand, many “logged in” users expect to be able to use and access social plug-ins on third party websites. In this particular case, the cookie is strictly necessary for a functionally explicitly requested by the user

Dit zou dus betekenen dat cookies voor ingelogde gebruikers gezien kunnen worden als functionele cookies, omdat de social media buttons worden gezien als een essentieel onderdeel van de dienst van deze sociale netwerken. Voorwaarde is wel dat deze cookies verlopen wanneer de gebruiker uitlogt of zijn browser sluit.

Dat maakt functionaliteiten als het tracken van deze gebruikers natuurlijk nog niet toegestaan:

However these modules can also be used to track individuals, both members and non-members, with third party cookies for additional purposes such as behavioural advertising, analytics or market research, for example.

Een belangrijk kanttekening hierbij is dat de ‘third party’ die de cookies voor de ingelogde gebruikers plaatst ook de enige is die deze cookies uit kan lezen. Deze partijen zijn dus ook de enige die kunnen zorgen dat de cookies alleen op die manier gebruikt worden en daardoor de social media buttons buiten de cookiewet te laten vallen. De vraag is echter of ze dat willen doen. (Met dank aan @ictrecht voor de toelichting)

9 thoughts on “De privacyschending van social media buttons

  1. Helder stuk, maar ik mis de cookienotificatie op je site, ondanks dat er share-opties staan…

    • Dat klopt Chasalin. Ik kies er nu nog voor om niet aan de cookiewetgeving te voldoen, omdat ik weet dat het nu te veel ten koste gaat van de functionaliteit van mijn website. Mijn berichten zullen minder snel gedeeld worden en mijn Analyticsdata zal incompleet zijn.

      Als de bewustwording bij de consumenten/gebruikers groter is en er een bruikbare oplossing is dan zal ik dit zeker gaan toevoegen. Gelukkig heb ik je in dit bericht in ieder geval goed geïnformeerd over wat die knoppen precies doen.

  2. waarom zou iemand idd een dergelijke functionaliteit ontwikkelen als addthis> wat roy zegt.

    Echter stelt de cookie wet dat je (deels) verantwoordelijk bent voor de cookies die via jouw site door derden worden geset. dus als addthis set, en zelf geen toestemming vraagt, moet jij dat doen…sociale buttons zijn tegenwoordig “een Must” natuurlijk ;-) maar reken er maar niet op dat ze er zelf eea op toe leggen. Jij als site eigenaar bent dus de pineut.

    • Sociale netwerken als Twitter en Facebook zouden het nog kunnen doen bij het aanmaken van een account. Van hen zou je nog kunnen verwachten dat ze het daar zelf reguleren. Bij AddThis hebben de ‘end users’ echter geen eigen account, zelf toestemming vragen is voor hen dan alleen mogelijk bij de AddThis-knoppen op de websites. En dat zou natuurlijk een doodsteek zijn voor hun dienst. Je hebt dus gelijk dat zij dat echt niet zelf zullen gaan doen.

  3. allemaal zullen ze het niet doen. Ook omdat de wet europa niet eenduidig is. in NL vragen ze ondubbelzinnige toestemming. De melding op TMG sites of bijv Stateofsearch zijn dus volgens mijn interpretatie van de wet niet goed. Echter in andere landen weer wel. Wij zijn klein, alhoewel een online natie. Als ik een een dergelijke partij zou zijn zou ik kiezen voor de manier waar de meeste landen mee werken. dit betekent dat NL buiten de boot valt en je dus wellicht SOWIESO toestemming moet vragen omdat een linkedin het wel afvangt, maar niet op de NL geoordloofde manier.

  4. Pingback: Wanneer zijn social-media-knop-cookies functioneel? - Cookierecht

  5. Goed artikel, bedankt! Liefst zie ik dat de netwerken zelf hun buttons niet activeren als de gebruiker niet is ingelogd, en dan dus ook niet tracken

  6. Pingback: Bedenk een Hypothese en verzamel daarbij tenminste 10 relevante bronnen. | RESEARCH METHODOLOGY

Comments are closed.