Cookiewetgeving Een korte blik in de cookiejungle

Academy Oost, 16 april 2013 Frank van Doorn

› De cookiewetgeving per 5 juni 2012

› Voorbeelden

› Ontwikkelingen sinds de invoering

› Wat moet ik als bedrijf doen?

AGENDA

› 2009: Introductie nieuwe wetgeving op Europees niveau over het gebruik van cookies

› 5 juni 2012: Omzetting naar Nederlands recht

Europese wetgeving

› Het is niet toegestaan om content (dus niet alleen cookies) te plaatsen op of uit lezen van randapparatuur (PC’s en andere devices) van een gebruiker in Nederland zonder toestemming vooraf van de gebruiker, als deze cookies niet functioneel zijn

› Naast cookies gaat dit dus ook om geïnstalleerde apps en/of plugins, informatie opgeslagen over screen size, OS, browser type -> device fingerprinting

› De gebruiker moet volledig worden geïnformeerd en moet vooraf toestemming geven (opt in)

Wat zegt de nieuwe wet? (Artikel 11.7a van de Telecommunicatiewet)

› Een cookie is een hoeveelheid data die een server naar de browser stuurt met de bedoeling dat deze opgeslagen wordt en bij een volgend bezoek weer naar de server teruggestuurd wordt.

› Cookies worden gebruikt voor: ‐ het onthouden van loginnaam of instellingen

‐ het vergaren van surfinformatie (profiling)

‐ het koppelen van een browser aan tijdelijke variabelen op de server (session cookie)

Wat is een cookie?

› Websites moeten per direct voldoen aan twee verplichtingen voor niet functionele cookies:

‐ Informeren: het verstrekken van duidelijke en volledige informatie over welke cookies waarvoor nodig zijn

‐ Toestemming: er dient toestemming gevraagd te worden voor het plaatsen van cookies

› Wat is “functioneel”?

‐ Definitie is behoorlijk streng: “indien de cookie strikt noodzakelijk is voor de uitvoering van de gevraagde dienst”

‐ Voorbeelden: language selector, shopping cart, login, onthouden input gebruiker (b.v. formulieren)

Verplichtingen

› Alleen first party cookies en sessie cookies zijn toegestaan (levensduur van de cookie mag niet langer zijn dan nodig voor het doel)

› Alleen functionele/noodzakelijke cookies zijn toegestaan

› Third party cookies zijn per definitie niet functioneel (b.v. Google Analytics)

› Cookie plaatsen om vast te leggen dat je geen cookies mag plaatsen is als enige uitzondering wel toegestaan

› Toestemming voor meerdere domeinen en diensten tegelijk mag

› Website moet voorzien in het veranderen van cookie voorkeuren

› Je hebt als website eigenaar het recht om bezoekers toegang te weigeren

› Social plugins mogen, mits je ingelogd bent op het sociale netwerk (b.v. “Like”)

› Intranetten en extranetten: onduidelijk gebied

Toestemming?

› De verplichting om te voldoen aan de cookiewet rust op diegene die verantwoordelijk is voor het plaatsen van cookies en voor het verkrijgen van toegang tot de opgeslagen gegevens.

› Echter, de OPTA klopt aan bij de website owner indien men het vermoeden heeft dat er een overtreding is, niet bij de partij die de website heeft gebouwd en/of in beheer heeft

‐ Met ingang van 2013 (vooralsnog alleen handhaven tegen schrijnende gevallen)

‐ Op eigen initiatief of na klachten gebruikers

‐ OPTA waarschuwt voor boetes uit te delen

‐ Maximale boete: EUR 450.000 per type overtreding

Verantwoordelijkheid

› De wet geldt voor Nederlandse gebruikers

‐ En als mijn bedrijf in Duitsland zit?

‐ Of als mijn website internationaal is?

‐ En ik host mijn website in een ander land?

› Het gaat om waar de eindgebruiker zit, want het gaat om de randapparatuur van de gebruiker en de gegevens die daar opgeslagen worden

› Andere landen in Europa hanteren: informeren en opt-out

Nederland

Voorbeelden Uitzending Gemist:

Telegraaf:

Voorbeelden werkenbijtrimm.nl:

Voorbeelden Bolletje:

Voorbeelden ICT Recht:

› 20 December 2012: Minister Kamp wil first party analytics cookies toestaan, volgens een voorstel van Kees Verhoeven (D66)

› Februari 2013: Minister Kamp wil de verplichting tot instemming beperken tot tracking cookies.

› Maart 2013: Cookiemuren worden door Minister Kamp onwenselijk genoemd.

‐ SP en D66 willen wel expliciete goedkeuring van de gebruiker (motie afgekeurd)

‐ PvdA en VVD voorstel: “wel een actieve handeling vereist” (meerderheid voor)

› 8 April 2013: De Publieke Omroep kondigt aan cookiemuren neer te halen

› Voorbeeld: Verzoek PAN voor affiliate cookies

Ontwikkelingen sinds de invoering

› Je kunt niet niets doen!

› PIBN adviseert de wet te volgen zolang er nog geen wijziging is in de wet.

› Stappenplan:

En wat nu?

› Inventariseer welke cookies je gebruikt

› Maak een cookie statement en een privacy policy

‐ welke cookies worden geplaatst

‐ voor welk doel (bezoekersaantallen registreren, plaatjes laden, online advertising)

‐ welke informatie met een cookie wordt vastgelegd

‐ of de informatie verstrekt wordt aan derden

‐ voor welke periode de cookie op de apparatuur wordt geplaatst

› Bedenk hoe je de gebruiker om toestemming wilt vragen

› Zorg ervoor dat instellingen ZICHTBAAR te wijzigen zijn

Stappenplan

Oplossing Wehkamp

Vragen?

Fin

Cybersecurity

Ivo te Kiefte

› Cyberaanval website Telegraaf (08-04)

› Cyberaanval rechtspraak.nl (11-04)

› Cyberattack NS website en Reisplanner (12-04)

› Aanvallen op Banken (ING, Rabobank, iDeal)

› Aanval Cyberbunker op Spamhaus

› Aanvallen op banken en tv Zuid-Korea

Cybersecurity actueel

› Maakt webapplicatie onbruikbaar voor gebruikers

› Inzet van botnetwerk

› Misbruik van resources van webservers

› Misbruik van bandbreedte datacenter

Actueel: Distributed denial-of-service

“Cybercriminelen zijn geen onoverwinnelijke genieën”

› Weinig/geen interactie

› Gebruikers anoniem

› Informatie stroom in één richting

Internet toen

› Websites zijn functionele applicaties

› Data-gestuurd

› Interactief

› Koppelingen met achterliggende bedrijfssystemen

Internet nu

› Informatie stroom in 2 richtingen client/server

› Content “op maat”

› Informatie is persoonlijk en waardevol

Internet nu

› Systemen die informatie uitwisselen met input uit bijv url (sql injectie)

› Malafide hyperlinks naar bonafide site met (verborgen) script code (XSS)

› Code uitvoeren via bijv. Webformulieren (injectie)

› Misbruik van gebruikers sessies (Broken Authentication)

› Makkelijk te raden urls naar niet-publieke info (Insecure Direct Object Refererences)

› Ongefilterde foutmeldingen

Enkele voorbeelden

› Eenvoudige hacker die wil pronken (Henkie was here)

› Activisten (beweging) met ideologisch/politiek doel

› Georganiseerde misdaad, uit op geldelijk gewin (direct: phishing/afpersing, indirect: doorverkoop bedrijfsgegevens)

› Staten, uit op verbetering van hun geopolitieke situatie (n-korea/Z-korea)

Wie en waarom?

“De mens is en blijft – zowel IT-professional als eindgebruiker - vaak de zwakste schakel”

› http://owasp.org

› Non-profit organisatie

› Focus op verbetering van software security

› Richt zich op bewustwording bij alle partijen

› Publiceert jaarlijks Top 10 bedreigingen

Open Web Application Security Project

“Cybersecurity gaat minder om technologie dan u waarschijnlijk denkt”

Preventie begint met beheer en organisatie. Naast

technische maatregelen, beleggen van verantwoordelijkheden en creëren van bewustzijn

Aandachtsgebieden

Preventie begint met beheer en organisatie. Naast

technische maatregelen, beleggen van verantwoordelijkheden en creëren van bewustzijn

Detectie. Monitoring en data-mining teneinde afwijkende

patronen in gegevensverkeer te detecteren.

Aandachtsgebieden

Preventie begint met beheer en organisatie. Naast

technische maatregelen, beleggen van verantwoordelijkheden en creëren van bewustzijn

Detectie. Monitoring en data-mining teneinde afwijkende

patronen in gegevensverkeer te detecteren.

Response. In werking stellen van een response- en

herstelplan.

Aandachtsgebieden

Aandachtsgebieden

› Bekijk cybercrime als “business as usual”

› Riskmanagement zoals bij brand of fraude

› 100% veiligheid is illusie. Najagen leidt tot frustratie en schijnveiligheid

“Business as usual”

Vragen voor uw organisatie

Hoe groot is het risico voor mijn organisatie?

Hoeveel risico zijn we bereid te lopen (risk apetite)?

Welke processen vertegenwoordigen grootse waarde?

Is er integratie/afhankelijkheid van partners en hoe is hun riskmanagment?

Risico

Uw Organisatie

Hoe is onze organisatie structuur?

Zijn we in staat een gedrags- en cultuurverandering door te voeren?

Dragen we vanuit bestuur commitment uit op security?

Voorbereid op een incident? Helder communicatieplan?

organisatie

Uw Organisatie

Hoeveel budget vrijmaken en waaraan besteden?

Incidenten bestrijden of “Security by design”?

Middelen of bewustwording?

Budget

Uw Organisatie

Fin

Toegankelijkheid In design.

Toegankelijkheid In design.

Verbeteringen voor iedereen

Theorie

Wat is je designprincipe?

Elke groot bedrijf heeft hier een filosofie over (zoals google, apple, facebook enz)

Handig om die te hebben. Als designagency, …maar ook de klant

“Help people make their lives better”

Elke groot bedrijf heeft hier een filosofie over (zoals google, apple, facebook enz)

Handig om die te hebben. Als designagency, …maar ook de klant

Wat is het doel website?

vanuit perspectief leverancier

In de basis natuurlijk eerst de 2 vragen. Vraag 1:

doel website

Waar de focus?

INFORMEREN TAAKGERICHT

ERVARINGSGERICHT VERLEIDEN

In de praktijk is er zeker een focus aan te wijzen. Dus dan is deze schaal handig om te weten. Bijvoorbeeld de belastingsite met veel informatie versus Nike die een nieuwe schoen wil promoten. Maar eigenlijk is dit niet een schaal van tegenstellingen. We weten steeds beter dat een informatieve website ook een goede ervaring moet opleveren.

Stephen P. Anderson = user experience designer en auteur

Dus nu als piramide in het veelgebruikte model “de hiërarchie van behoeften”

Onderaan de essentiele “basis”

Hoe verder je opschuift, hoe meer de gebruiker de website waardeert en dus hoe groter het succes

1. Het essentiële te krijgen,

2. Eenvoudig en intuïtief

3. Een intelligent systeem, dat hun begrijpt

4. Fun om te gebruiken.

5. En natuurlijk ziet het er goed uit.

Zeker in het APP TIJDPERK zijn mensen gewend :

Dankzij het app tijdperk leren we hoe we websites kunnen verbeteren De meest succesvolle app is degene die de beste userexperience geeft. Bijvoorbeeld saaie informatie als een weertabel (morgen zon, regen enz) <> een rijke experience

Wat is de behoefte van de gebruiker?

vanuit gebruikersperspectief

Wat is de behoefte van de gebruiker?

vanuit gebruikersperspectief

Ontwerp vanuit user journeys / stories

User stories are about needs. When you write a user story, what you’re describing is a “raw” user need. It’s something that the user needs to do in his day-to-day job. If you never build any software for him, then that need will still exist! Use cases are about the behavior you’ll build into the software to meet those needs. A developer who needs to build working software should be able to read a use case and get a good sense of what the software needs to do. It typically has a lot of detail, and describes everything that the developer needs to build in order to meet the user’s need. That’s why it needs to have a lot more detail, and be clear and unambiguous. User stories are easy for users to read. When you write a user story, what you’re concentrating on is writing something that anyone can understand, in the language of the users. We all know that developers have a lot more patience for talking about details of the software they’re building than users do, which is why user stories have to be brief. A user story needs to express a complete thought in just a couple of sentences. (That’s also why it’s good to put them on index cards: somehow, that makes it clearer that it’s self-contained and independent of the other user stories.) User cases describe a complete interaction between the software and users (and possibly other systems). When you’re doing use case analysis, what you’re doing is designing a functional solution that meets the users’ needs. It needs to be something that developers can implement. It’s possible that one user story could spawn several use cases. And when you combine all of your use cases into one use case document, you’ll end up with a complete description of every interaction between the user and the software that you’re planning on building. And if your software has to interact with multiple systems, you may end up treating those other systems as actors in your use case.

“Sturend design”

Gebruikersperspectief

leid de gebruiker naar wat hij wil

klantperspectief

“Sturend design”

Gebruikersperspectief

leid de gebruiker naar wat hij wil

Leverancierperspectief

Dit vergt dus een intelligente website. Iemand die jouw behoeftes kent. Bijvoorbeeld extra bijbehorende producten, bijbehorende informatie

(+meer)

“Sturend design”

Gebruikersperspectief klantperspectief

leid de gebruiker naar wat hij wil (+meer)

(+wat jij wilt)

Bijvoorbeeld de call to action funnel

Praktische richtlijnen

Reduceren schrap het overbodige!

Essentiële Simplicitylaws

Deze kom je nog het meest tegen: Slechte layout waardoor de UI onnodig onoverzichtelijk is

Organiseren ‐ Goede layout! ‐ Groepeer informatie, ‐ Verberg informatie ‐ Verplaats informatie ‐ onderscheid hoofd- bijzaken, ‐ Wees niet bang voor groot (groter lettertype, veel witruimte)

Essentiële Simplicitylaws

Deze kom je nog het meest tegen: Slechte layout waardoor de UI onnodig onoverzichtelijk is

Tijd gevoel van snelheid geeft gevoel van eenvoud

- Snelle laadtijd - Korte formulieren - Weten waar je bent - Grote hitarea van bv menuitem

Essentiële Simplicitylaws

Deze kom je nog het meest tegen: Slechte layout waardoor de UI onnodig onoverzichtelijk is

Consistent

Intuïtief ‐ Hergebuik interface oplossingen die mensen verwachten

(klikken op logo=home) ‐ Metaforen uit echte leven (tabbladen, )

En

Voorbeeld simplicitylaws

Bron : cxpartners

Cxpartners vroeg sollicitanten:

“Maak dit eenvoudiger”

Oplossing 1 : verwijderen

Bron : cxpartners

Oplossing 2 : verbergen

Bron : cxpartners

Oplossing 3 : groeperen

Bron : cxpartners

Oplossing 4 : verplaatsen

Bron : cxpartners

Conclusie is overigens dat er niet 1 opl. Is en dat ze allen voor- en nadelen (kunnen) hebben

Test een website

Knipper met je ogen blijft er een overzichtelijk plaatje achter?

Richtlijnen drempels weg

Webrichtijnen gaan over:

› Bouwkwaliteit: het volgen van webstandaarden.

Dus toegankelijk op alle devices (mobile maar ook screenreaders, braillereader enz)

› Toegankelijkheid voor mensen en zoekmachines.

Ook door mensen die niet (goed) kunnen zien of horen, moeite hebben met ingewikkelde teksten of geen muis kunnen gebruiken. Denk bijvoorbeeld aan (kleuren-)blinden, doven, mensen met dyslexie en mensen die de Nederlandse taal minder goed machtig zijn

› Klantvriendelijkheid en gebruiksvriendelijkheid Het is voor uw bezoekers prettig als u alternatieve contactmogelijkheden biedt en goed uitlegt hoe zij gemaakte fouten kunnen herstellen. Andere voorbeelden zijn het gebruik van vriendelijke webadressen en het creëren van aangepaste foutpagina’s

Waarom:

Ontwerpers: eisen aan kleur, contrast en interactie

› Vertrouw niet op kleur alleen. Gebruik naast kleur ook vorm en/of tekst om betekenis over te dragen (niveau 1).

› Enz

IJkpunten waaraan voldaan moet worden

Ontwerpers: eisen aan kleur, contrast en interactie

› Vertrouw niet op kleur alleen. Gebruik naast kleur ook vorm en/of tekst om betekenis over te dragen (niveau 1).

› Enz

Ontwikkelaars: eisen aan code, templates, CMS en editor

› Zorg dat de webpagina's ook zonder style sheets nog begrijpelijk zijn (niveau 1). › Zorg dat de website ook zonder scripts en applets nog goed werkt (niveau 1). › Enz

IJkpunten waaraan voldaan moet worden

Ontwerpers: eisen aan kleur, contrast en interactie

› Vertrouw niet op kleur alleen. Gebruik naast kleur ook vorm en/of tekst om betekenis over te dragen (niveau 1).

› Enz

Ontwikkelaars: eisen aan code, templates, CMS en editor

› Zorg dat de webpagina's ook zonder style sheets nog begrijpelijk zijn (niveau 1). › Zorg dat de website ook zonder scripts en applets nog goed werkt (niveau 1). › Enz

Webredacteuren: toegankelijke content publiceren

› Gebruik de duidelijkste en eenvoudigste taal die zich leent voor de content van een site (niveau 1). › Zorg dat afbeeldingen voorzien zijn van een alternatieve tekst (niveau 1). › Geef bovenaan elke pagina een korte samenvatting van de inhoud (niveau 3). › Enz.

IJkpunten waaraan voldaan moet worden

Niveau 1 : 16 van de 95 ijkpunten. Basisijkpunten van toegankelijkheid: Zo zijn afbeeldingen voorzien van duidelijke alternatieve teksten, en zijn tabellen toegankelijk voor mensen met een visuele beperking. Niveau 2: 46 van de 95 ijkpunten. Zeer goed toegankelijk, onder andere voor mensen met een visuele beperking. Bijvoorbeeld eisen voor het minimale contrast dat moet bestaan tussen tekst- en achtergrondkleur, en voor het toegankelijk opstellen van webformulieren. Niveau 3: 95 van de 95 ijkpunten. Naast de richtlijnen voor toegankelijkheid worden in de Webrichtlijnen ook kwaliteitsaspecten van websites behandeld, en zijn er richtlijnen voor klantvriendelijkheid. De website is optimaal toegankelijk voor iedereen, ook mensen met een functiebeperking en ouderen. Daarnaast is de website zeer degelijk gebouwd, en wordt er bijvoorbeeld gebruik gemaakt van vriendelijke URL's. Verplicht voor alle overheidswebsites.

3 niveau’s (en keurmerken)

Bouw gelaagd

zorg dat een website ook nog werkt zonder alle extra's.

› Dat betekent niet dat een interactieve Web 2.0 site met een mooie vormgeving niet meer kan. Al die verrijkingen moeten alleen als extra lagen bovenop deze basislaag worden gebouwd.

› Benaderen via 3-schillenmodel (full design, no javascript, no JS en CSS)

Praktisch voor RIA’s

Fin