Via Twitter werd ik gewezen op de blog van Jeroen van Eck over de privacyschending van social media buttons. Terecht wijst hij erop dat deze knoppen of widgets cookies zetten, zodat toestemming nodig is voordat je ze mag invoegen. Wij hadden een tijdje terug hiervoor een oplossing verzonnen die werkt maar niet optimaal is. Jeroen had echter een mogelijke escape gevonden. Komen we daarmee verder?
Recent heeft de Artikel 29-Werkgroep, een samenwerking tussen privacytoezichthouders, een opinie gepubliceerd over de cookiewet. Hoewel deze formeel niet bindend is, wordt er wel veel waarde aan gehecht. En in deze opinie schrijven ze (naast een advertorial voor Piwik) dit over social media widgets:
On the other hand, many “logged in” users expect to be able to use and access social plug-ins on third party websites. In this particular case, the cookie is strictly necessary for a functionally explicitly requested by the user
Met andere woorden: een social media widget cookie valt onder de uitzondering voor functionele cookies, zodat daar geen toestemming voor gevraagd hoeft te worden. Althans, wanneer de gebruiker ingelogd is. Want voor ingelogde gebruikers is die knop deel van de dienstverlening. En je kunt ook nog zeggen dat men toestemming geeft door lid te worden van een dienst die dergelijke knoppen hanteert, omdat je moet weten dat er dan cookies gezet worden.
Ik zie alleen niet hoe deze benadering tot een praktische oplossing kan leiden. Immers, je moet dan als site gaan controleren of iemand ingelogd is voordat je kunt weten dat de widget meteen ingeladen mag worden. Maar dat kun je niet weten. Die informatie heeft alleen het social netwerk zelf, en als site kun je daar niet bij.
Of weet iemand een API om aan Twitter, Facebook, LinkedIn en collega’s te vragen “is deze bezoeker ingelogd” om op die basis de gepaste code (de widget direct of de overlay die om toestemming vraagt) te tonen?
