Nieuw browsersignaal kan cookiebanners overbodig maken

Jun 11, 2021

Nieuw browsersignaal kan cookiebanners overbodig maken

Vandaag hebben Noyb en Sustainable Computig Lab ("CSL") een voorstel gepubliceerd voor een nieuw automatisch browsersignaal om verouderde cookiebanners definitief uit te bannen. "Advanced Data Protection Control" (ADPC) wil aantonen dat een gebruiksvriendelijke Europese oplossing voor privacy-instellingen gemakkelijk kan worden geïmplementeerd.

Cookiebanners zijn vervelend voor gebruikers en bedrijven. Cookiebanners zijn niet alleen vaak onwettig (zoals onze 500 klachten van twee weken geleden hebben aangetoond), maar ook ongelooflijk irritant voor gebruikers. Ook bedrijven die eigenlijk een gebruiksvriendelijke website willen runnen, hebben geen andere keuze dan irritante banners te gebruiken als ze cookies willen plaatsen.

Wettelijk voorzien, maar onbestaande. Volgens artikel 21, lid 5, van de GDPR en de ePrivacy-verordening moeten automatische signalen van de browser websites eigenlijk op de achtergrond vertellen of een gebruiker toestemming geeft voor gegevensverwerking - of niet. Het enige probleem: zo'n signaal bestaat nog niet - waarschijnlijk ook omdat veel trackingbedrijven via vervelende banners meer toestemming beloven.

Advanced Data Protection Control (ADPC). Vergeleken met de binaire "opt-out"-benaderingen uit de VS (zoals"Do not Track" of"Global Privacy Control"), biedt ADPC veel meer gedifferentieerde opties: het signaal kan ook specifieke toestemming ("opt-in") voor een specifieke website en een specifiek doel vertegenwoordigen.

Schrems:"Voor Europa hebben we meer nodig dan alleen een 'opt-out', zodat het in ons rechtskader past. Daarom noemen we het prototype 'Advanced' Data Protection Control, omdat het veel flexibeler en specifieker is dan eerdere benaderingen."

Zoals het "slim" delen van camera's in de browser. Webpagina's kunnen hun privacyverzoeken op een machineleesbare manier verzenden, en ADPC maakt het mogelijk het antwoord te verzenden met behulp van headersignalen of via Java Script. Op dezelfde manier als je een app toegang kunt geven tot je camera, kunnen gebruikers hun gegevens vrijgeven door middel van een uniforme, eenvoudige pop-up in de browser. Dit zou een einde maken aan absurde klikmarathons op opzettelijk complexe banners. Bovenal maakt ADPC ook intelligent beheer van zoekopdrachten en automatische antwoorden mogelijk: Zo zouden gelijkaardige vragen voor alle websites gemakkelijk met ja of nee kunnen worden beantwoord. Gebruikers kunnen er ook voor kiezen om alleen specifieke verzoeken te ontvangen - vergelijkbaar met een "spamfilter" voor e-mails.

Schrems:"ADPC maakt een intelligent beheer van privacyverzoeken mogelijk. Een gebruiker zou bijvoorbeeld kunnen zeggen: 'vraag het me pas nadat ik de site een aantal keer heb bezocht' of 'vraag het me na 3 maanden nog eens' Het is ook mogelijk om soortgelijke verzoeken centraal te beantwoorden. ADPC maakt het dus mogelijk om de stroom van gegevensverzoeken op een zinvolle manier te beheren."

Voorrang voor kwaliteitsinhoud mogelijk. Voor de voorstanders van ADPC is het ook belangrijk dat zogenaamde "witte lijsten" het mogelijk maken om met één enkele klik voorrang te geven aan kwaliteitsjournalistiek of kunst en cultuur: verenigingen zouden "witte lijsten" kunnen aanbieden en promoten die de gebruikers met één enkele klik kunnen goedkeuren. Dit is niet mogelijk via een wettelijke regeling, aangezien de wetgever - in tegenstelling tot de gebruikers - geen voorkeur mag geven aan een bepaalde economische sector.

Schrems:"Veel gebruikers zijn waarschijnlijk wel bereid om meer gegevens met kwaliteitsmedia te delen, maar willen hun gegevens niet aan honderden externe trackingbedrijven geven. Met ADPC kan een krantenvereniging bijvoorbeeld reclame maken voor een whitelist waarmee bepaalde gegevens automatisch door kwaliteitsmedia kunnen worden verwerkt. De gebruiker kan zo met één klik bepaalde groepen ondersteunen."

ePrivacy verordening brengt besluit. Of zo'n signaal uiteindelijk door bedrijven moet worden gebruikt en dus succesvol zal zijn, is aan de wetgever: Een dergelijk signaal wordt voorgesteld als onderdeel van de ePrivacy-verordening, waarover nu de laatste onderhandelingen worden gevoerd. Het staat nog ter discussie of en in welke vorm het wettelijk bindend zal zijn. Californië loopt in dit opzicht voor op de EU, omdat een overheidsinstantie het gebruik van zo'n signaal bindend kan maken.

Schrems:"Met ADPC willen we ook de Europese wetgever laten zien dat zo'n signaal haalbaar is en voor alle partijen voordelen oplevert. We hopen dat de onderhandelaars van de lidstaten en het Europees Parlement hier voor een solide wettelijke basis zullen zorgen, die binnen afzienbare tijd toepasbaar recht zou kunnen zijn. Wat Californië al heeft gedaan, moet de EU ook kunnen doen."

***

Achtergrond. ADPC is een samenwerking tussen noyb en het Sustainable Computing Lab van de Vienna University of Economics and Business. Het project werd gedeeltelijk gefinancierd door netidee (achter de Oostenrijkse domeinadministratie nic.at). De afgelopen twee jaar hebben we talloze discussies gevoerd met deskundigen en bouwen we voort op de ervaring met"Do not Track" en soortgelijke signalen zoals"Global Privacy Control" in Californië. ADPC is een technische specificatie en een prototype voor een eenvoudige browser-plugin en is bedoeld om als basis voor discussie te dienen en levendige feedback te genereren. Meer informatie en FAQ's zijn te vinden op dataprotectioncontrol.org.