Bachelor of Science scriptie
Consequenties van de cookiewet op de kennis en
het bewustzijn van de internetgebruiker van het
gebruik van cookies
Universiteit van Amsterdam
Inlever datum: 22 april 2015
Auteur:
Begeleiders:
Anouk Wortman
dhr. dr. A.W.F. Boer
10264213
dhr. dr. W.P. Weijland
Abstract
In dit artikel wordt een onderzoek naar de effectiviteit van de huidige cookiewet beschreven. In de huidige evoluerende samenleving met steeds nieuw opkomende technologieën, is het van belang de effectiviteit van de regulaties en wetten omtrent online privacybescherming na te gaan. Doel van dit onderzoek is er proberen achter te komen welke invloed de implementatie van de cookiewet heeft gehad op de kennis en het bewustzijn van de internetgebruiker over de verwerking van
persoonsgegevens.
Met behulp van de resultaten van dit onderzoek kan vernomen worden of de implementatie van de cookiewet wel degelijk voor een verschil heeft gezorgd in de kennis en het bewustzijn van de internetgebruiker van de verwerking van persoonsgegevens op website met behulp van cookies. Verwacht wordt dat de implementatie van de cookiewet ervoor heeft gezorgd dat de
internetgebruiker zich meer bewust is van het gebruik van cookies (H1), dat dit bewustzijn van ertoe heeft geleid dat de internetgebruiker meer kennis heeft gekregen van cookies (H2), dat meer kennis naar meer angst van de internetgebruiker voor het gebruik van cookies leidt (H3), dat de angst van de internetgebruiker voor cookies voor een slechtere gebruikerservaring zorgt (H4) en tenslotte, hoe hoger de leeftijd van de internetgebruiker, hoe meer angst de internetgebruiker voor het gebruik van cookies heeft (H5).
Voor dit onderzoek hebben 79 respondenten een online enquete ingevuld. Uit de resultaten bleek dat alleen H2 en H4 ondersteund worden. Dit betekent dat kennis over cookies wel beïnvloed wordt door de mate van bewustzijn van het gebruik van cookies, dat hoe meer angst de
internetgebruiker voor cookies heeft, hoe slechter hij het gebruik van de website ervaart.
Concluderend, de uitvoering van de cookiewet heeft wel de kennis van de internetgebruiker maar niet het bewust zijn van de verwerking van persoonsgegevens via elektronische
communicatienetwerken beïnvloed. Tenslotte wordt in dit artikel een conceptueel model gehanteerd. Na de uitvoering van het onderzoek wordt een verbeterd conceptueel model
voorgesteld. Belangrijk voor vervolgonderzoek is een bredere en grotere steekproef, dat het effect van de ‘toestemming voor cookies’ pop-up gemeten wordt en dat er meer factoren meegenomen dienen te worden bij angst voor schending privacy.
Inhoudsopgave
1. Inleiding 5 1.1 Hypotheses 6 2. Literatuuronderzoek 8 2.1 Privacy 8 2.1.1 Privacy in Nederland 8 2.1.2 Online privacy 112.1.3 Waarom is online bescherming belangrijk? 11
2.2 Cookies 12
2.3 De situatie voor de cookiewet 13
2.3.1 De EU 2002 privacy en elektronische communicatie richtlijn 13
2.4 De cookiewet 15
2.4.1 Wetswijziging 2014 16
2.5 Verschil bezorgdheid privacy tussen leeftijdsgroepen 18
2.6 Alternatieve oplossing bescherming 19
3. Onderzoeksmethode 20 3.1 Ontwikkeling questionnaire 20 3.2 Uitvoering onderzoek 20 4. Resultaten 22 4.1 Descriptie onderzoeksgroep 22 4.2 Descriptie data 22 4.3 Hypotheses 25 5. Discussie 27 Vervolgonderzoek 29 Referenties 32 Bijlage 34
1. Inleiding
In het huidige online tijdperk neemt het internet een grote rol in ons dagelijks leven. Van fysieke winkels stappen we langzamerhand over naar webwinkels, een bioscoopkaartje kopen we niet meer bij de bioscoop maar via de website of app, om geld over te maken gaan we allang niet meer naar de bank en de meeste informatie zoeken we via Google. Al deze activiteiten gebeuren dus
tegenwoordig op het web. Om dergelijke handelingen mogelijk te maken heeft een website gegevens nodig van zijn gebruiker. Zo moet een webshop in staat zijn een specifieke gebruiker te herkennen. Dit maakt het mogelijk om de gewenste producten van alleen die gebruiker in zijn winkelwagen te plaatsen en niet van een andere gebruiker die tegelijkertijd op de website bezig is. Voor dit herkennen van unieke gebruikers plaatst een website cookies. Met behulp van cookies kunnen dus unieke gebruikers en hun handelingen geïdentificeerd en onthouden worden. Naast functionaliteit biedt dit op marketinggebied ook mogelijkheden. Zo kunnen advertenties van een bepaald product alleen vertoond worden aan gebruikers die daarin interesse hebben getoond, door bijvoorbeeld te hebben gezocht naar dit product via een zoekmachine. Websites onthouden wat je doet, waar je op zoekt, welke producten je leuk vindt, welk merk je interessant vindt etc., maar tot op welke hoogte mogen deze websites van hun gebruikers een dergelijk uitgebreid profiel maken? Wat doet dat voor onze privacy? Is het mogelijk de websites op dezelfde manier te gebruiken als iemand niet wil dat al zijn interesses worden opgeslagen door cookies?
Sinds 5 juni 2012 is de cookiewet van kracht. In de Europese cookiewetgeving zijn twee punten vastgelegd. Ten eerste dienen bezoekers voldoende geïnformeerd te worden over de cookies die tijdens een websitebezoek worden geplaatst en gebruikt. Ten tweede moet toestemming van de bezoeker verkregen worden voordat een cookie wordt geplaatst. In Nederland is het zo dat deze toestemming niet verkregen kan worden door browser instellingen maar alleen door expliciete toestemming gegeven door de gebruiker, d.m.v. het drukken van ‘ik accepteer het gebruik van cookies op deze website’. Het uiteindelijke doel van de cookiewet is het beschermen van de gegevens/privacy van de internetgebruikers. Uit de richtlijn van het Europees parlement en de raad [EPR] (2002) blijkt dat door duidelijke informatie over de doeleinden van de cookies en de vereiste expliciet gegeven toestemming, de gebruiker zich ervan bewust moet worden dat er cookies worden geplaatst via elektronische communicatienetwerken. De invoering van de cookiewet ging gepaard met kritiek, vooral over de gebruiksvriendelijkheid wordt getwijfeld. Er kan in twijfel getrokken worden of het uiteindelijke doel van de cookiewet op deze manier wel wordt behaald. Heeft de gebruiker meer kennis over wat cookies doen en de eventuele gevaren ervan? Beseft de gebruiker welke persoonsgegevens van hem of haar verwerkt worden?
In dit artikel wordt een onderzoek naar de effectiviteit van de huidige cookiewet beschreven. Doel van dit onderzoek is er achter proberen te komen welke invloed de implementatie van de cookiewet heeft gehad op de kennis en het bewustzijn van de internetgebruiker van de verwerking van persoonsgegevens. De hoofdvraag van dit onderzoek luidt dan ook als volgt:
Hoe heeft de uitvoering van de cookiewet de kennis en het bewustzijn van de internetgebruiker over de verwerking van persoonsgegevens via elektronische communicatienetwerken beïnvloedt? Om de effectiviteit te kunnen achterhalen kan een vergelijking gemaakt worden met de aan de implementatie van cookiewet voorafgaande situatie (dit zal in het literatuur hoofdstuk aan bod komen):
Hoe waren cookies en de bijbehorende privacy issues gereguleerd voordat de cookiewet van kracht ging?
Aangezien er sprake is van kritiek over de gebruiksvriendelijkheid van de manier van toestemming vragen en informeren over cookies kan gekeken worden of er niet een meer gebruiksvriendelijk alternatief is:
De uitvoering van de cookiewet die internetgebruikers zou moeten beschermen wordt als storend ervaren, is er een alternatief?
De uitkomsten van dit onderzoek kunnen gebruikt worden om de effectiviteit van de cookiewet te bepalen. Met de resultaten kan erachter gekomen worden of de implementatie van de cookiewet wel degelijk voor een verschil heeft gezorgd in de kennis en het bewustzijn van de verwerking van persoonsgegevens op website door cookies. In dit artikel wordt met de cookiewet bedoeld; de wetgeving beschreven in de telecommunicatiewet, artikel 11.7a (2013).
De onderzoeksstrategie is als volgt, allereerst zal er een literatuuronderzoek gedaan worden om een theoretisch kader op te stellen waarin artikelen van gerelateerde onderzoeken uiteen gezet zullen worden. Vervolgens zal aan de hand van de opgestelde hypotheses en de literatuur een questionnaire worden samengesteld. Ten slotte kan met behulp van de resultaten van de questionnaire de hypotheses verworpen of ondersteund worden.
1.1 Hypotheses
In dit onderzoek is de verwachting dat de implementatie van de cookiewet, wat veel aandacht met zich meebracht, ervoor heeft gezorgd dat de internetgebruiker meer kennis kreeg over cookies:
H1 De implementatie van de cookiewet heeft een positief effect gehad op het bewustzijn van de internetgebruiker van cookies.
H2 Het bewust zijn van de internetgebruiker van het gebruik van cookies heeft een positief effect op de kennis van de internetgebruiker over cookies.
Deze kennis zal er vervolgens voor zorgen dat de internetgebruiker meer angst heeft, immers de gebruiker weet nu meer over de privacy gerelateerde risico’s die cookies met zich meebrengen:
H3 De kennis van de internetgebruikers heeft een positief effect op de angst van de internetgebruiker over cookies.
De verwachting is dat deze angst een voor de gebruikservaring negatief verschijnsel is. Immers de gebruiker weet de risico’s maar is nu misschien te voorzichtig en op zijn hoede, het niet willen
Figuur 1. Conceptueel model
accepteren van het gebruik van cookies kan zijn gebruikservaring benadelen:
H4 De angst van de internetgebruiker voor cookies heeft een negatief effect op de gebruikerservaring (van de internetgebruiker).
Tenslotte wordt verwacht dat leeftijd een rol zal spelen. De oudere internet gebruiker zal zich meer zorgen maken dan de jongere generatie:
H5 De leeftijd van de internetgebruiker zal een positief effect hebben op de angst/zorgen voor cookies.
Om achter de variabele implementatie cookiewet te komen wordt de respondent gevraagd wanneer hij kennis kreeg over cookies. Langer dan 3 jaar geleden indiceert dat de respondent al voor de implementatie van de cookiewet kennis had van cookies, korter dan 3 jaar geleden indiceert dat de respondent pas na de implementatie van de cookiewet kennis kreeg van cookies. Voor de variabele bewust zijn van gebruik cookies wordt gevraagd hoeveel de respondent het afgelopen jaar gehoord en/of gelezen heeft over cookies, de cookiewet, en het mogelijk misbruik van persoonlijke
informatie. Voor de variabele kennis over cookies wordt de respondent eerst gevraagd wat hem/haar bekend is over cookies. Vervolgens wordt de feitelijke kennis die de respondent heeft over cookies achterhaald. Aansluitend moet de respondent aan geven welke stellingen over cookies juist zijn. Voor de variabele zorgen/angst moet de mate waarin de respondent zich zorgen maakt over het gebruik van cookies duidelijk worden. Hiervoor zal de respondent moeten aangeven in hoeverre hij het eens is met stellingen omtrent deze angst en wordt de respondent gevraagd aan te geven wat dan de oorzaak is voor deze angst voor cookies. Ook voor de variabele gebruiksgemak/ervaring moet de respondent aan geven in hoeverre hij het eens is met bepaalde stellingen. Tenslotte wordt de
2. Literatuuronderzoek
2.1 Privacy
Er bestaat geen één waarheid met betrekking tot privacy. De verschillende invullingen van privacy hebben te maken met de fundamentele waarden en idealen van een bepaalde samenleving
(Whitman, 2004). Volgens Warren & Brandeis (1890) is het principe van privaat eigendom het recht op privacy en beschermt dit geschreven en ander soort producties van het verstand of emoties. Deze definitie heeft betrekking tot de Amerikaanse wet en sluit aan bij de Amerikaanse invulling van privacy, beschreven door Whitman (2004), waarbij het recht op individuele soevereiniteit centraal staat. Een Europese invulling van privacy, ook geschetst door Whitman (2004), is het recht op respect, persoonlijke waardigheid en het beschikkingsrecht op de soorten informatie die van een persoon verstrekt wordt. Een andere betekenis voor privacy, welke betrekking heeft op de Nederlandse wet, is de zeggenschap die personen hebben over hun persoonsgegevens, of beter gezegd het delen en verwerken van deze gegevens (wet bescherming Persoonsgegevens [WBP], 2000). In De van Dale wordt privacy beschreven als de mogelijkheid om in eigen omgeving helemaal zichzelf te zijn1.
Zoals hier voorafgaand uit blijkt is het concept privacy moeilijk te definiëren. Privacy is een resultaat van lokale percepties van sociale angsten en idealen (Whitman, 2004). In dit artikel wordt uitgegaan van een brede betekenis waarbij privacy het recht is op bescherming van de persoonlijke levenssfeer.
Van tijd tot tijd is het nodig om de aard en omvang van deze bescherming te herdefiniëren. Zo benadrukken Warren & Brandeis (1890) dat naar mate moderne apparaten meer mogelijkheden bieden voor het misbruiken van informatie zonder deelname of toezeggen van de benadeelde partij, de door de wet geboden bescherming op een breder fundament moet worden geplaatst. Ook
Whitman (2004) verklaart dat onze privacy bedreigd wordt door de evoluerende samenleving met steeds nieuw opkomende technologieën.
In het huidige online tijdperk is het dus van maatschappelijk belang dat de effectiviteit van regulaties en wetten omtrent online privacybescherming nagegaan worden. In dit onderzoek zal een klein onderdeel van de Nederlandse regulatie betreffende online privacybescherming, de cookiewet, getoetst worden. De termen bezorgdheid om privacy en privacy overwegingen worden in dit
onderzoeksartikel met dezelfde betekenis gebruikt.
2.1.1 Privacy in Nederland
In de Nederlandse grondwet is het recht op privacy vastgelegd in artikelen 10 tot en met 132. Artikel
10 van de Grondwet voor het Koninkrijk der Nederlanden [GKN](1983) omschrijft het volgende over privacy:
1 http://www.vandale.nl/opzoeken?pattern=privacy&lang=nn#.VM89XmRws1c 2 http://www.denederlandsegrondwet.nl/9353000/1/j9vvihlf299q0sr/vgrnbl6ah4zz
• Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
• De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
• De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.
In artikel 10 staat verder dat:
Iedereen het recht heeft om in de beslotenheid van zijn persoonlijke levenssfeer met rust te worden gelaten en om bijvoorbeeld niet te worden afgeluisterd. De persoonlijke levenssfeer omvat onder meer: het huis, briefwisseling, de communicatie via telefoon en andere
communicatiemiddelen, het recht om niet te worden bespied of afgeluisterd, het recht op zorgvuldige behandeling van persoonlijke gegevens, het recht op eerbiediging van het innerlijk leven en het recht op eerbiediging van de lichamelijke integriteit. De wet kan in bepaalde gevallen dit recht beperken, bijvoorbeeld bij de opsporing van misdaden. Ook maakt de wetgever regels voor het gebruik van privacy gevoelige gegevens. (GKN, 1983, p. 1)
Een onderdeel van privacy is de verwerking van persoonsgegevens, welke gereguleerd wordt in de wet bescherming persoonsgegevens (WBP, 2000)3. In de wet bescherming
persoonsgegevens van 6 juli 2000 wordt onder de verwerking van persoonsgegeven verstaan: Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. (WPB, 2000, p. 1)
In de artikelen 1 tot en met 4 wordt gespecificeerd voor welke situaties de wet van toepassing is. In artikel 2 wordt aangegeven dat “deze wet van toepassing is op de geheel of gedeeltelijk
geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen” (WPB, 2000, p. 2). Zo is de wet juist niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden. In hoofdstuk 2 paragraaf 1 van de wet worden de voorwaarden voor de rechtmatigheid van de verwerking van
persoonsgegevens in het algemeen beschreven (WPB, 2000, p. 2). Belangrijk hieruit is het volgende:
Artikel 6 - Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
Artikel 7 - Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld.
Artikel 8 - Persoonsgegevens mogen slechts worden verwerkt indien:
a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend; b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij
de betrokkene partij is, of voor het nemen van pre-contractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een
overeenkomst;
c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;
d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;
e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een
publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of
f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. Het College Bescherming Persoonsgegevens (CBP)4 houdt zich samen met een aantal andere
private organisaties bezig met de privacy van de Nederlandse burger. Het CBP heeft onder andere de taak om toezicht te houden op de verwerking van persoonsgegevens in Nederland en of dit naar de wet bescherming persoonsgegevens gebeurt. Deze toezicht van het CBP houdt verschillende activiteiten in zoals onderzoek doen naar mogelijke overtredingen van de wet. In artikel 65 van de wet bescherming persoonsgegevens staat dat het CPB “bevoegd is tot oplegging van een last onder bestuursdwang ter handhaving van de bij of krachtens deze wet gestelde verplichtingen” (WPB, 2000, p. 17). Het CBP mag dus handhavend optreden en bij overtredingen een boete opleggen. Een andere taak van het CBP is advies te geven over wetsvoorstellen en algemene regelgeving over de verwerking van persoonsgegevens.
Welke rol de wet bescherming Persoonsgegevens aanneemt omtrent cookies en de cookiewet zal in paragraaf 2.2 van huidig artikel naar voren komen.
2.1.2 Online privacy
Privacy en de bescherming hiervan is, zoals hier aan voorafgaand is gebleken, altijd al een veelbesproken onderwerp geweest, die met veel aandacht aan de invulling hiervan gepaard ging (Warren en Brandeis, 1890). In dit online tijdperk echter, waar het internet en geautomatiseerde databases het automatisch verzamelen en verwerken van informatie bijzonder eenvoudig maken (Cranor, 1998), lijkt de omvang van privacy overwegingen alleen nog maar toe te nemen.
In zijn artikel beschrijft Cranor (1998) hoe destijds in Amerika een commissie, de Federale Handels Commissie opgesteld voor de verbetering van de online privacy bescherming, 1190
websites bezocht die persoonlijke gegevens van de bezoekers verzamelden. Van deze 1190 websites gaf maar 14% een privacy gerelateerde mededeling en had slecht 2% een strikt privacy beleid. Consumenten hebben weinig kennis over of controle op het gebruik van hun persoonlijke informatie. Dit probleem wordt op het internet alleen maar erger door het gemak waarmee informatie kan worden verzameld, verwerkt en gecombineerd met andere informatie (Cranor, 1998). Voor online transacties bijvoorbeeld is het vaak vereist persoonlijke informatie op te geven om deze te kunnen voltooien.
Ook ander onderzoek beaamt dat de geringe kennis van internetgebruikers over hoe de informatie die zij online vrijgeven zal worden gebruikt, een groeiend probleem voor online privacy vormt (Ackerman & Cranor, 1999). Volgens Cranon (1998) zijn er in de praktijk twee
uitgangspunten belangrijk voor eerlijke informatie, namelijk kennisgeving en keuze. Individuen moeten voorafgaand aan het gebruik van een website voorzien worden van een duidelijke kennisgeving over welke data verzameld wordt en hoe deze verwerkt zal worden. Ook moet de individu de mogelijkheid krijgen om te kiezen welke data zij willen verstrekken voor bepaalde doeleinden. De uitvoering hiervan komt in de vorm van duidelijke links naar hun privacy beleid en service opties te voorzien waar mogelijk. In paragraaf 2.4 zal blijken dat de cookiewet deze
gewenste kennisgeving en keuze ook als uitgangspunten neemt.
2.1.3 Waarom is online bescherming belangrijk?
Online privacy is een groeiend probleem voor internetgebruikers. Van bijzonder belang is het zonder medeweten vrijgeven, en het latere gebruik of misbruik, van persoonlijke informatie (Ackerman & Cranor, 1999), iets wat mogelijk wordt door het gebruik van cookies. Waar mensen off-line invloed hebben in de mate waarin zij over zichzelf delen per sociale kring, heft de online omgeving en data-mining technieken deze indeling op. Wanneer geautomatiseerde databases worden samengevoegd kunnen internetgebruikers geprofileerd worden op manieren die het naleven van het recht op online privacy in twijfel zouden trekken. Dit is vooral van toepassing wanneer clickstream data, wat achterhaald waar een internetgebruiker tijdens het surfen op een website allemaal op heeft geklikt, wordt gecombineerd met persoonlijk identificeerbare gegevens die gebruikers intypen bij het invullen van online formulieren (Cranor 1998).
Veel organisaties die grote hoeveelheden data online hebben verzameld hebben niet de middelen om alles te sorteren. Deze organisaties bewaren de data voor het geval ze deze ooit nodig zullen hebben. Cranor (1998) voorspelde dat naarmate betere tools voor het verwerken van een enorme hoeveelheid data ontwikkeld zouden worden en betere data-mining applicaties op de markt zouden komen, nieuwe bedrijven opgebouwd zouden worden rond data-mining en dat verschillende toepassingen voor al deze opgeslagen data gevonden zou worden. Vandaag de dag zijn er heel wat web-gebaseerde systemen die ervoor zorgen dat informatietechnologie managers met behulp van deze data competitieve voordelen kunnen behalen (Baumer et al., 2004).
2.2 Cookies
In de vorige paragraaf is aan bod gekomen wat privacy inhoudt en hoe privacy online geschonden kan worden. Voor een beter begrip van de privacy issues gerelateerd aan cookies en de cookiewet die deze privacy moet beschermen, is het vervolgens van belang een duidelijk beeld te krijgen van wat cookies zijn. De definitie van cookies volgens het World Wide Web Consortium is “gegevens die door een webserver naar een webclient worden gestuurd, dan lokaal worden opgeslagen bij de klant en vervolgens op later verzoek teruggestuurd worden naar de server” [WCA]. Met andere woorden, een cookie is een tekstbestand die in het geheugen van een browser wordt geplaatst waar persoonlijke instellingen voor een bepaalde website in worden opgeslagen. Dit bestand dient ook als een unieke identificatie van de gebruiker tijdens web interacties, zodra de website
identificatiegegevens herkent haalt hij gegevens van de server. Ook activiteiten van de gebruiker op externe websites kunnen in dit bestand worden opgeslagen. Zo kan de gebruiker van website naar website gevolgd worden (Eirinaki & Vazirgiannis, 2003).
Cookies kunnen een nuttig hulpmiddel zijn die ervoor zorgen dat de dienstverlening via internet naar behoren functioneert, bijvoorbeeld door het onthouden van de door de gebruiker ingestelde taal of de producten geselecteerd voor de winkelwagen. Cookies zijn dus niet essentieel slecht maar zouden eventueel wel op een ongewenste manier, waarbij de online privacy van de internetgebruiker geschonden wordt, gebruikt kunnen worden. Het verschil hierin ligt in het functioneel of niet-functioneel zijn van een cookie.
De eerder beschreven cookies zijn functionele cookies, deze dragen bij aan een betere gebruikservaring voor de website bezoeker. De niet-functionele cookies zijn niet noodzakelijk voor het functioneren van de website en worden op een manier gebruikt die de privacy van de gebruiker eventueel kan schaden. Een voorbeeld van niet-functionele cookies zijn tracking cookies (Memorie van toelichting, 2014) [MVT]. Met behulp van deze cookies wordt het surfgedrag van een gebruiker gevolgd. Met de data die hiermee verkregen wordt kan een profiel van de gebruiker met zijn of haar interesses worden opgesteld. Adverteerders kunnen aan de hand hiervan verschillende reclames of kortingen tonen. Deze cookies zijn third-party cookies, geplaatst door een derde partij die de bezoeker wil volgen. Een ander voorbeeld van niet-functionele cookies is Google Analystics welke cookies plaatst om statistieken van de website bij te houden, hoe bezoekers op een website terecht komen bijvoorbeeld en welke functies zij gebruiken.
In deze gevallen wordt informatie van de internetgebruiker vrijgegeven en opgeslagen, waarnaar de gebruiker vervolgens geprofileerd wordt. Deze profilering, die zonder medeweten van de internetgebruiker gebeurt, is waartegen de cookiewet de internetgebruikers moet beschermen. Omdat in cookies gegevens kunnen worden opgeslagen die herleidbaar zijn tot de identificatie van een natuurlijk persoon, ook wel persoonsgebonden gegevens, is hier naast de cookiewet ook de wet bescherming persoonsgegevens van belang (WBP, 2000).
2.3 De situatie voor de cookiewet
Het moeten rekening houden met lokale verschillen in privacy percepties, culturele waarden en wettelijke beperkingen is al langere tijd van belang om bij internationale data transacties privacy op de juiste manier te kunnen beschermen (Baumer et al., 2004). In 1980 al werden richtlijnen
betreffende de bescherming van de privacy en het grensoverschrijdende verkeer van persoonsgegevens uitgevaardigd door de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO)5. In het onderzoek van Baumer et al. (2004) wordt beschreven dat in deze
OESO-richtlijnen acht principes zijn opgesteld die zouden moeten helpen een balans te vinden tussen de bescherming van persoonsgegeven en het verlangen naar vrij verkeer van informatie. Deze acht principes richten zich op de volgende aspecten van gegevensbescherming: collectie beperking, kwaliteit van de gegevens, doel specificatie, gebruiksbeperking, veiligheidsmaatregelen, openheid, individuele deelname, verantwoording.
Op 24 oktober 1995 wordt door het Europese parlement een informatie richtlijn uitgevaardigd welke dient als een framework voor informatie regelgeving die streeft naar een evenwicht tussen een hoog niveau van privacy bescherming voor individuen en het vrije verkeer van persoonsgegevens binnen de Europese Unie6. Hoewel deze richtlijn fundeert als de juridische
basis voor de huidige EU gegevensbescherming en in grote lijnen betrekking heeft op privacy praktijken, beperkt deze zich niet tot internet activiteiten. De privacy en elektronische
communicatie richtlijn, betreffende de verwerking van persoonsgegevens en bescherming van privacy in de elektronische communicatie sector7 aangenomen in 2002, hiertegen is voornamelijk
gericht op online privacy. Deze richtlijn creëerde extra privacy bescherming voor internetgebruikers en vergde van de EU-lidstaten om voor 31 oktober 2003 over te gaan op een geschikte nationale wetgeving.
2.3.1 De EU 2002 privacy en elektronische communicatie richtlijn
In de richtlijn 2002/58/eg (2002) wordt beschreven dat informatie en communicatietechnologie (ICT) en in het bijzonder het internet en elektronische communicatiediensten, specifieke eisen
5 http://www.oecd.org/internet/ieconomy/
oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm#top
6 http://europa.eu/legislation_summaries/information_society/data_protection/l14012_en.htm 7 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:en:HTML
vergen om het recht op privacy van de gebruikers te waarborgen. De richtlijn bevat bepalingen die cruciaal zijn om gebruikers te verzekeren dat ze de diensten en technologieën die ze voor
elektronisch communicatie gebruiken kunnen vertrouwen. De belangrijkste bepalingen hierin hebben betrekking op spam, het waarborgen van de voorafgaande toestemming van de gebruiker (opt-in) en de installatie van cookies.
In de richtlijn wordt onder andere beschreven hoe de provider van een elektronische communicatiedienst de beveiliging van zijn diensten moet beschermen, bijvoorbeeld door te verzekeren dat persoonsgegevens alleen voor bevoegde personen toegankelijk zijn. Ook wordt omschreven dat de vertrouwelijkheid van de communicatie, gemaakt over een openbaar elektronisch communicatienetwerk, beschermd moet worden. Dit houdt in dat er geen
communicatie opgeslagen, naar geluisterd of afgetapt kan worden door andere personen dan, of zonder toestemming van, de betrokken gebruikers. Tevens wordt in de richtlijn bepaald dat verkeer- en locatie gegevens gewist of anoniem gemaakt moeten worden wanneer deze niet langer nodig zijn voor het overbrengen van de communicatie, tenzij de gebruiker toestemming voor ander gebruik heeft gegeven. Voor het aanpakken van ongevraagde commerciële elektronische communicatie, beter bekend als spam, wordt in de richtlijn gesproken van een opt-in benadering. Deze opt-in benadering houdt in dat gebruikers vooraf toestemming moeten hebben geven voordat hun deze ongevraagde communicatie toegestuurd kan worden.
Wat betreft cookies wordt in de richtlijn erkend dat dit ook nuttige hulpmiddelen kunnen zijn, “bijvoorbeeld om de doeltreffendheid van het ontwerp van websites en van reclame te onderzoeken, en om de identiteit te bepalen van gebruikers die online transacties
verrichten” (Richtlijn 2002/58/eg, 2002, p. 6). Indien de cookies voor een dergelijk legitiem doel bestemd zijn wordt het gebruik hiervan toegestaan op voorwaarden dat gebruikers toestemming gegeven moeten hebben voordat er informatie op hun eindapparatuur mag worden opgeslagen of voordat toegang tot deze informatie verkregen kan worden. Eindapparatuur betekend hier de producten die voor overbrenging, verwerking of ontvangst van informatie aangesloten zijn op een openbaar telecommunicatienetwerk8. Hiervoor moeten de gebruikers voorzien worden met
duidelijke en nauwkeurige informatie over de doeleinden van het plaatsen van de cookies. Doel hiervan is dat verzekerd kan worden dat de gebruiker bewust is van de informatie die op hun eindapparatuur geplaatst wordt. Er wordt ook vermeld dat het weergeven van de juiste informatie, het aanbieden van recht van weigering en het vragen van toestemming op een zo
gebruikersvriendelijk mogelijke wijze dient te gebeuren (Richtlijn 2002/58/eg, 2002).
In de richtlijn wordt tenslotte bepaald dat elke EU lidstaat een beleid van sancties dient uit te voeren, inclusief juridische sancties in het geval van een schending van een bepaling uit deze richtlijn, en er op toe te zien dat de nationaal bevoegde instanties beschikken over de nodige middelen om de naleving van de vastgestelde nationale bepalingen te controleren.
2.4 De cookiewet
Er is sprake van een inconsistente implementatie van de hierboven besproken Europese richtlijn in Europa. Zo wordt er in het Verenigd Koninkrijk volstaan met impliciete toestemming, waarbij het voldoende is om de gebruiker duidelijk te informeren over het gebruik van cookies. Als de
gebruiker vervolgens op de desbetreffende website blijft surfen mag er vanuit gegaan worden dat de gebruiker toestemming heeft gegeven9. In Duitsland zijn er sprake van telemedia voorzieningen die
eisen dat gebruikers vooraf geïnformeerd dienen te worden als de website ze wil identificeren en is er een gegevensbeschermingwet die toestemming vergt voor het verwerken van
persoonsgegevens10.
Ook de Nederlands cookiewet verschilt van de Europese richtlijn. In Nederland is de wetgeving omtrent cookies juist strenger geregeld dan in andere Europese landen. In sommige andere Europese landen wordt gebruik gemaakt van de opt-out benadering waar er uitgegaan wordt dat de gebruiker toestemming geeft tenzij hij zelf aangeeft, bijvoorbeeld in zijn browser
instellingen, het gebruik van cookies niet te accepteren. In Nederland is dit niet mogelijk en wordt er uitgegaan van een opt-in benadering voor cookies waar vooraf toestemming voor moet worden gegeven. Ook wordt in Nederland expliciete toestemming vereist, impliciete toestemming zoals in het Verenigd Koninkrijk gebeurt voldoet niet. De exacte invulling van de cookiewet zal aansluitend besproken worden.
De cookiewet, ook wel de cookiebepaling genoemd, is een wijziging van de
telecommunicatiewet Artikel 11.7a (zie bijlage 1). Deze wet geeft de nationale invulling weer van de wetgeving die in de EU 2002 richtlijn aan alle betrokken EU-landen geëist werd. In het eerste lid wordt het doel van de cookiewet gespecificeerd: “ervoor zorgen dat het niet is toegestaan om zonder medeweten en geïnformeerde toestemming van de gebruiker, persoonlijke informatie (zoals tekstbestanden, foto’s, video’s, e-mails, adressenlijsten) op de computer of smartphone van een gebruiker te lezen of te kopiëren” (Memorie van toelichting, 2014, p. 1). In het tweede lid wordt bepaald dat deze informatieplicht en vereiste toestemming ook gelden voor andere manieren waarop informatie kan worden opgeslagen of gelezen via een elektronisch communicatienetwerk, bijvoorbeeld met behulp van fysieke media (cd’s), draadloze transmissie systemen (bluetooth) of een browser toolbar die je zoekopdrachten of bezochte sites opslaat. In het derde lid wordt de uitzondering van de vereiste toestemming voor functionele cookies aangekaart welke toegelicht zullen worden in onderstaande paragraaf Wetswijziging 2014.
De cookiewet betreft dus twee voorwaarden, de informatieplicht en toestemmingsvereiste. In de memorie van toelichting (2014) worden de invullingen van de cookiewet besproken. Hierin wordt over de informatieplicht duidelijk gemaakt dat nog voordat toestemming van de
internetgebruiker wordt gevraagd, deze gebruiker duidelijk en volledig geïnformeerd dient te
9 http://www.cookie-laws.com/irish-cookie-law/ 10 http://www.cookie-laws.com/german-cookie-law/
worden over de doeleinden waarvoor de informatie, afkomstig van het plaatsen of lezen van cookies, gebruikt zal worden. Zo moet aan de gebruiker duidelijk gemaakt worden “door wie de cookies geplaatst en gelezen worden, wie beschikking krijgt over de cookies en wie er
verantwoordelijk is voor de daarmee verkregen gegevens” (Memorie van toelichting, 2014, p. 12). Doel van de informatieplicht is dat de gebruiker er zich van bewust wordt dat zijn gegevens
gebruikt worden voor gepersonaliseerde reclame en dat zijn surfgedrag over verschillende websites gevolgd wordt. In de memorie van toelichting (2014) wordt benadrukt dat de gegeven informatie over de doeleinden van de cookies waarvoor toestemming gevraagd wordt niet misleidend mag zijn. Voor de verwerking van persoonsgegevens wordt naast de informatieplicht gesproken over de ondubbelzinnige toestemming van de internetgebruiker. Ondubbelzinnig houdt hier in dat er geen twijfel bestaat over of de internetgebruiker toestemming heeft gegeven11, ook wel expliciete
toestemming genoemd.
2.4.1 Wetswijziging 2014
Zoals voorafgaand genoemd geeft de cookiewet een strengere invulling aan de Europese richtlijn dan andere landen. Een aantal facetten van de cookiewet hebben geleidt tot ongenoegen over de gebruiksvriendelijkheid. De minister van Economische zaken Hans Kamp licht toe:
Nu in de praktijk enige tijd ervaring is opgedaan met artikel 11.7a, zijn internetgebruikers bewuster geworden van het feit dat veel websites cookies plaatsen op hun computers. In dat opzicht heeft artikel 11.7a een positief effect. Maar er is ook veel ergernis over de effecten van de bepaling. (Memorie van toelichting, 2014, p. 4)
Om deze reden wordt er in 2014 een wijziging in de telecommunicatiewet toegepast. In de memorie van toelichting van deze wetswijziging (2014) wordt het bijbehorende wetsvoorstel uitgelegd.
Het voornaamste probleem is dat er in de cookiewet van 2012 wel onderscheid gemaakt wordt tussen functionele en niet-functionele cookies maar niet tussen privacy gevoelige cookies en cookies waarbij sprake is van geringe privacy gevolgen. Er moet dus voor alle cookies, op technisch noodzakelijke cookies na, expliciet toestemming gegeven worden. In de memorie van toelichting wordt echter aangekaart dat er ook niet technische noodzakelijke cookies zijn die wel heel nuttig zijn en de privacy van de gebruiker nauwelijks raken. Deze cookies worden bijvoorbeeld gebruikt om de effectiviteit en kwaliteit van de aangeboden dienst te meten. Dit soort cookies, mits ze voldoen aan de eis dat er geen of geringe gevolgen zijn voor de privacy van de gebruiker, vallen volgens de wetswijziging van 2014 onder de uitzondering categorie. In drie gevallen is er sprake van deze uitzondering: bij analytic cookies, bij affiliate cookies en bij a/b testing.
Met behulp van analytic cookies wordt de werking van een site in kaart gebracht, zo kan, waar nodig, de kwaliteit van de website verbeterd worden. Als een derde partij analytic cookies
plaats op de website kunnen deze alsnog onder de uitzondering vallen als het gebruik van deze cookies en de daarmee opgehaalde gegevens maar geen of geringe gevolgen hebben voor de privacy van de gebruiker. Affilliate cookies worden geplaatst om erachter te komen of er via advertenties op een website websurfers naar de website van de advertentie gaan. Als de bezoeker overgaat tot aankoop dan kan de website waarop de advertentie is geplaatst hiervoor een beloning, of eigelijk een commissie, ontvangen. Ook deze cookies zijn in eerst instantie niet bedoeld om gegevens over de bezoeker zelf te verzamelen. A/b testing wordt gebruikt om de effectiviteit van verschillende versies van bijvoorbeeld reclamesbanners op een website te meten. Aan de gebruiker wordt willekeurig één van de twee versies getoond. Met behulp van cookies kan vervolgens
gemeten worden welke van de twee het beste werkt. Ook hier gaat het de partij die de cookie plaatst niet om informatie over de bezoeker.
Een andere irritatie wordt gewekt door de cookiemuur. De cookiemuur is in principe een rechtmatige manier om gehoor te geven aan de vereiste toestemming. Echter, aangezien er geen gebruik gemaakt kan worden van de site als de gebruiker niet toelaat dat er cookies worden
geplaatst is er eigelijk geen sprake van een vrije keuze. Volgens de oorspronkelijke cookiewet is het echter aan de websitehouder om te bepalen of hij een bezoeker die geen toestemming geeft voor het gebruik van cookies, ook geen toegang geeft tot zijn website. Vaak is het bij deze verzoeken om toestemming niet mogelijk om per cookie soort aan te geven of de gebruiker er toestemming voor geeft of niet, bijvoorbeeld wel voor a/b testing maar niet voor cookies die het surfgedrag tracken. Een voorbeeld van een oplossing hiervoor:
Biedt de bezoeker onder de cookie-instellingen de mogelijkheid om voor verschillende typen cookies (analytic cookies, cookies voor sociale media, cookies voor gerichte reclame) de
toestemming afzonderlijk in en uit te schakelen. Deze oplossing geeft de bezoeker meer controle over het gebruik van cookies, en draagt daarom beter bij aan het doel van de cookiebepaling.
(Memorie van toelichting, 2014, p. 17)
In sommige andere Europese landen mag uit de browser instellingen van de gebruiker worden afgeleid of hij of zij toestemming geeft voor het gebruik van cookies. In de memorie van toelichting wordt verklaard dat deze mogelijkheid in Nederland net zo min is uitgesloten als in andere Europese landen maar dat hiervoor wel aan de voorwaarden van de vereiste toestemming wordt voldaan.Dit komt neer op een dusdanig actieve handeling die de gebruiker verricht moet hebben zodat hij zich bewust is van het gebruik van cookies. Over de invulling hiervan wordt het volgende genoemd:
Als een browser internetgebruikers in staat stelt via een actieve aanpassing van de instellingen van de browser aan te geven dat hij toestemming geeft voor bepaalde typen cookies van bepaalde partijen, dan staat de Nederlandse wet toestemming in de vorm van deze aanpassing
van de browser instellingen even goed toe als de wetgeving in andere lidstaten. (Memorie van toelichting, 2014, p. 16)
Doel van de cookiewet is dat de internetgebruiker duidelijk en volledig geïnformeerd dient te worden over waarvoor de informatie, afkomstig van het plaatsen of lezen van cookies, gebruikt zal worden. In huidig onderzoek wordt dan ook verwacht dat de implementatie van de cookiewet het bewustzijn van de internetgebruiker over het gebruik van cookies positief beïnvloed en aansluitend dat een verhoogd bewustzijn van de internetgebruiker zal leiden tot meer kennis over cookies. Het weigeren van cookies met als gevolg een website niet te kunnen bezoeken (cookiemuur) wekt irritatie op bij internetgebruikers. Om deze reden is de verwachting in dit onderzoek dat de angst of zorgen voor het gebruik van cookies, wat zich kan uiten in het weigeren van cookies, zal zorgen voor een slechtere gebruikservaring voor de internetgebruiker.
2.5 Verschil bezorgdheid privacy tussen leeftijdsgroepen
In meerdere voorafgaande onderzoeken komt het verschil in de mate van bezorgdheid voor privacy tussen jongere en oudere internetgebruikers en welke factoren hierbij een rol spelen aan bod
(Moscardelli en Divine, 2007; Wang, Bianchi en Raley, 2005; Hoofnagle, King, Li en Turow, 2010). Zo beargumenteren Moscardelli en Divine (2007) dat het internet gebruik van de jongere generatie niet alleen intensiever is maar ook veel breder. Voor zowel online winkelen, entertainment als educatieve doeleinden gebruiken zij het internet. Het gevaar van dit heftige internet gebruik is volgens Moscardelli en Divine dat deze generatie niet goed in staat is de eigen privacy online te beschermen en kunnen zij “de dupe worden van online profilering, identiteitsfraude en seksuele uitbuiting” (Moscardelli en Divine, 2007, p. 233). In hun onderzoek gaan ze opzoek naar factoren die invloed hebben op de ontwikkeling van mate van bezorgdheid over online privacy van jongere internetgebruikers. De hoeveelheid tijd doorgebracht online, de manier van communiceren binnen een familie en de mate waarin zij informatieve peer invloeden accepteren blijken een positief effect te hebben op de bezorgdheid van jongeren over hun online privacy.
Een vergelijking tussen jongere en oudere volwassenen met betrekking tot hun houding ten opzichte van online privacybescherming, het tonen van privacy-beschermend gedrag, voorkeuren van overheidsbeleid omtrent privacy en kennis over de gevolgen van een dergelijke regelgeving, werd gemaakt door Hoofnagle et al. (2010). Verwacht werd dat een kleiner percentage van de jongere volwassenen zich zorgen maakten over hun privacy dan de oudere. Uit de resultaten bleek echter dat de verschillen tussen de jongere en oudere volwassenen bij de houding en gedrag ten opzichte van privacybescherming niet significant waren. Wel is er een groot verschil gevonden in de kennis over privacy regulaties. Jong volwassen geloven meer dat een dergelijke wet hen zowel off- als online beschermt dan oudere volwassen.
Uit weer ander onderzoek bleek dat binnen de groep oudere volwassenen (45 jaar en ouder) juist het grootste verschil gevonden kan worden. Volgens Sheehan (2002) hebben oudere
zijn. Jongeren blijken hiertegenovermeer pragmatisch te zijn. De groep die neigt naar zich geen zorgen te maken over privacy blijken vaak lager te zijn opgeleid dan de groep die juist heel bezorgd is.
In bovengenoemde onderzoeken worden verschillende conclusies getrokken over de invloed van leeftijd op de bezorgdheid over inbreuk op privacy. Om deze reden is er besloten om in het huidige onderzoek de leeftijd van de internetgebruiker mee te nemen als voorspellende factor voor de angst voor het gebruik van cookies. In dit onderzoek is de verwachting dat oudere internet gebruikers zich meer zorgen maken over de inbreuk op hun privacy via online activiteiten dan de jongere generatie.
2.6 Alternatieve oplossing bescherming
Het platform van privacy preferenties (P3P) maakt het privacy beleid van websites in een machine leesbaar format dat automatisch door een web browser ontleed kan worden en vergeleken kan worden met de privacy voorkeuren ingevoerd door de gebruiker (Ackerman & Cranor, 1999). Dit beleid omvat welke data zij van gebruikers verzamelen, waarvoor ze deze gebruiken en of deze gedeeld worden met andere partijen. Er wordt een P3P akkoord bereikt als het beleid van de website en de voorkeuren van de gebruiker overeenkomen. Op deze manier hoeft de gebruiker niet van elke site die hij of zij bezoekt het privacy beleid te lezen om er zeker van te zijn dat hun gegevens alleen op een voor hun acceptabele manier gebruikt zal worden. P3P bevat ook een functie die pseudonieme relaties mogelijk maakt die gebruikt kunnen worden inplaats van cookies. Gebruikers kunnen ervoor kiezen om elke keer dat ze terugkeren naar een website waarmee ze een match hebben dezelfde unieke identificatiecode te sturen. Zo wordt naar elke site een ander id gestuurd. Alhoewel P3P consumenten de mogelijkheid biedt om websites te vinden met een voor hun acceptabel beleid, is het geen garantie dat wederzijds aanvaardbare voorwaarden altijd gevonden zullen worden. Afhankelijk van de marktomstandigheden zullen er wel of niet privacy-vriendelijke keuzes beschikbaar zijn voor individuen.
Een anders oplossing wordt geboden door de verschillende beschikbare tools die het mogelijk maken om mensen anoniem op het internet te laten surfen. Eén van de bekendere anonimiteit tools is de Anonymizer, een service die het verzoek tot websites indient namens haar gebruikers. Omdat de aanvraag wordt ingediend door de Anonymizer in plaats van de gebruiker, wordt er geen informatie over de persoon in kwestie aan de website onthuld. Echter, de gebruiker moet wel vertrouwen dat de Anonymizer zijn privacy beschermd, en de tool voorkomt niet dat internet service providers (Xs4all, KPN, Telfort, Tele2 etc) van de gebruiker zijn webactiviteiten zal bijhouden.
3. Onderzoeksmethode
Het doel van huidig onderzoek is om het effect van de cookiewet op de kennis en het bewustzijn van de internetgebruiker van het gebruik van cookies te evalueren. Het onderzoek betreft een retrospectief onderzoek, ook wel een achteruit kijkend onderzoek genoemd12, aangezien de
invoering van de cookiewet al heeft plaatsgevonden voordat dit onderzoek werd opgezet. Ondanks kenmerkend voor een retrospectief onderzoek (Hess, 2004) is er bij huidig onderzoek geen gebruik gemaakt van al bestaande data verzameld voor een ander doeleind, maar is er een questionnaire ontwikkeld om de nodige data te verzamelen. De onderzoeksfunctie is evaluerend, de effecten van de cookiewet worden getoetst. Het betreft een kwantitatief onderzoek. Welke invloed de
onafhankelijke variabele de uitvoering van de cookiewet op de afhankelijke variabelen bewustzijn en kennis van de internetgebruiker over de verwerking van persoonsgegevens via elektronische netwerken heeft moet duidelijk worden aan de hand van dit onderzoek.
3.1 Ontwikkeling questionnaire
Met behulp van een online enquête moest blijken of er, na het van kracht gaan van de cookiewet, een verandering kan worden waargenomen van de kennis en bewustzijn van internetgebruikers van de verwerking van persoonsgegevens via elektronische communicatienetwerken. Doelgroep van het onderzoek zijn personen tussen de 18 en 70 jaar die het internet gebruiken. De enquête is naar 40 mogelijke respondenten gemaild. Ook is de enquête op Facebook gepost. In totaal zijn er 111 reacties gekomen.
De participanten van het onderzoek hebben deelgenomen aan een online enquête, die met behulp van de web gebaseerde survey software van Qualtrics online is ontworpen en afgenomen. Om de interesse van de participanten voor het mee doen aan de survey te behouden zijn aan het begin van de enquête de meer interessante vragen gesteld. Het eerste deel van de questionnaire bestond uit vragen waaruit moest blijken in hoeverre de participant kennis en bewustzijn heeft over cookies en de verwerking van persoonsgegevens op het internet. Ook moest hier blijken of deze kennis verschilt met voorheen, toen de cookiewet nog niet van kracht was. Het tweede deel van de questionnaire bestond uit vragen omtrent de computer vaardigheden van de participant. Het derde en laatste deel bestond uit demografische vragen zoals geslacht, leeftijd, opleidingsniveau, beroep en studie. Voor het invullen van de enquête waren alleen een computer en de Qualtrics link naar de enquête nodig. Gezien het feit dat de enquête online beantwoord is en er geen invloed uitgeoefend kon worden op de omstandigheid waarin dit plaatsvond, is de context achterwege gelaten.
3.2 Uitvoering onderzoek
Voor H1 ‘de implementatie van de cookiewet heeft een positief effect gehad op het bewustzijn van de internetgebruiker van cookies’ moet het effect van de factoren implementatie op bewustzijn achterhaald worden. Voor H2 ‘het bewustzijn van de internetgebruiker van cookies heeft een
positief effect op de kennis van de internetgebruiker over cookies’ is het effect van bewustzijn op kennis van belang. Voor H3 ‘de kennis van de internetgebruikers heeft een positief effect op de zorgen van de internetgebruiker over cookies’ wordt gekeken naar het effect van de kennis op de angst van de internetgebruiker. Voor H4 ‘de angst van de internetgebruiker voor cookies heeft een negatief effect op de gebruikerservaring (van de internetgebruiker)’ moet duidelijk worden hoe angst het gebruiksgemak beïnvloed. Voor H5 ‘de leeftijd van de internetgebruiker zal een positief effect hebben op de angst voor cookies’ wordt geprobeerd een verband te leggen tussen leeftijd en angst.
Om de factoren te achterhalen zijn corresponderende vragen in de enquête gesteld. Om achter het effect van de implementatie van de cookiewet te komen is gevraagd vanaf wanneer de respondent kennis kreeg over cookies. Langer dan 3 jaar geleden is voor de implementatie van de cookiewet, korter dan 3 jaar geleden is na de implementatie van de cookiewet. De voor deze factor correspondeerde variabele zal het label ‘Heeft u korter dan 3 jaar kennis van cookies?’ krijgen.
Voor de factor bewustzijn is gevraagd hoeveel de respondent het afgelopen jaar gehoord of gelezen heeft over cookies, de cookiewet, en het mogelijk misbruik van persoonlijke informatie. In de enquête zijn dit drie losse vragen maar na een betrouwbaarheid test in SPSS blijkt dat er sprake is van een hoge correlatie (conbrach’ alpha 0,703). Dit betekend dat deze losse vragen in de analyse samengenomen konden worden tot één variabele met label Besef_cookies.
Bij de factor kennis zijn er drie variabelen van belang. De respondenten zijn gevraagd naar hun feitelijke kennis over cookies. Om deze feitelijke kennis te achterhalen moesten de
respondenten aangeven welke stellingen over cookies volgens hun waar waren. Van de zeven stellingen waren er vijf juist en twee onjuist. Voor de ‘beste feitelijke kennis’ moesten die twee niet aangevinkt worden. Dit resulteert in de corresponderende variabele Feitelijke_kennis_cookies. Verder zijn de respondenten gevraagd in welke mate zij het eens waren met de volgende stelling op een schaal van één tot zeven, waarvan één helemaal niet mee eens en zeven helemaal mee eens, ‘Ik heb nu meer kennis dan voordat de cookiewet bestond’. Ten slotte is een categorische vraag gesteld met vier mogelijke antwoorden gegeven, ‘wat is u bekend over cookies?’.
Om achter de factor angst te komen waren zes vragen gesteld maar uit de betrouwbaarheid test in SPSS kwam een conbrach’ alpha van 0,6 dus er is sprake van een te lage correlatie tussen de zes losse vragen om samen te mogen nemen als één variabele. Na één van deze vragen, ‘ik weet dat het zinloos is niet met Facebook en Google te delen’, achterwege te hebben gelaten was er wel sprake van een acceptabele correlatie (conbrach’ alpha 0,701). Achteraf was dit een logische zet aangezien iemand die juist geen angst heeft voor cookies het hiermee eens zou kunnen zijn. De voor de factor angst corresponderende variabele wordt Zorgen_angst. Er is voor angst ook een
categorische vraag gesteld om achter de oorzaak van de angst voor cookies te komen.
Voor de gebruikerservaring/ gebruiksgemak zijn vijf vragen gesteld. Net zoals bij de factor angst bleek dat tussen deze vijf vragen bijna geen correlatie was. Na testen bleek dat drie vragen ‘hoe vaak heeft u het gevoel dat er online te persoonlijke informatie gevraagd wordt?’, ‘hoe vaak vertrouwt u een website niet?’ en ‘hoe vaak bent u op het internet persoonlijk slachtoffer geweest
van wat voelde als een onjuiste/onrechtvaardige/ongepaste inbreuk op privacy?’ de hoogste correlatie hadden en het beste samengenomen konden worden tot één variabele als maatstaaf voor gebruiksgemak: Gebruiksgemak_ervaring. Belangrijk is hier dat een hoge score voor deze variabele dus juist betekent dat de gebruikservaring slecht is (zie de hier voorafgaand genoemde bijbehorende vragen). Voor de laatste hypothese is de respondent gevraagd naar zijn/haar leeftijd.
Met behulp van het statistiek computersoftware SPSS (Statistical Package for the Social Sciences) en de resultaten van de enquête zijn de hypotheses getoetst.
4. Resultaten
Voorafgaand aan de analyse zijn alle reacties met één of meerdere ontbrekende waarden verwijderd. Van de 111 reacties bleven er 79 reacties over.
4.1 Descriptie onderzoeksgroep
Van de 79 respondenten zijn 34 tussen de 18 en 27 jaar oud (43.0%), twee tussen de 28 en 37 jaar (2.5%), vier tussen de 38 en 47 jaar (5.1%), 32 tussen de 48 en 57 jaar (40.5%) en zeven zijn tussen 58 en 67 jaar (8.9%). Geen van de respondenten waren 68 jaar of ouder. Van twee van de 79
respondenten is VMBO-T/MAVO het hoogst genoten opleidingsniveau (2.5%), van vier HAVO (5.1%), van acht VWO (10.1%), van vijf MBO (6.3%), van 23 HBO (29.1%) en van 37 WO
(46.8%). Van alle respondenten zijn er 25 man (31.6%) en 54 vrouw (68.4%). Er is veel spreiding in de eigen evaluatie van computervaardigheden, 2.5% zegt totaal niet eens te zijn met de stelling ‘ik beschik over veel computervaardigheden, 7.6% zegt oneens te zijn, 10.1% een beetje oneens, 29.1% neutraal, 31.6% een beetje eens, 13.9% is mee eens en 5.1% is het heel erg eens. Verder hebben 49 van de 79 respondenten (62.0%) nooit een computercursus gevolgd, 28 hebben dit wel (35.5%) en 2 hebben zelfs een ECDL certificaat (Europees Computer Rijbewijs) (2.5%). Alle respondenten op één na bezitten een computer of laptop. Ook gebruiken alle respondenten al minstens vijf jaar het internet (20 van de 79 respondenten 5 tot 10 jaar (25.3%) en 59 langer dan 10 jaar (74.7%)).
4.2 Descriptie data
Er is descriptieve statistiek toegepast om meer inzicht te krijgen in de invloed van de cookiewet op de internetgebruiker zijn kennis en bewustzijn. Van de 79 respondenten gaf 1,3% aan het afgelopen jaar helemaal niks over cookies te hebben gelezen of gehoord, 6,3% gaf hier aan bijna niks te hebben gelezen of gehoord, 11,4% gaf aan weinig te hebben gehoord of gelezen, 12,7% was hierover neutraal, 24,1% geeft aan een beetje te hebben gehoord of gelezen, 29,1% veel te hebben gehoord of gelezen en 15,2% heel veel afgelopen jaar te hebben gehoord of gelezen over cookies (zie diagram 1). Van de 79 respondenten gaf 17,7% aan het afgelopen jaar helemaal niet over de cookiewet te hebben gehoord of gelezen, 19% gaf hier aan bijna niks te hebben gehoord of gelezen, 17,7% gaf aan weinig te hebben gehoord of gelezen, 11,4% neutraal, 16,5% geeft aan een beetje te hebben gehoord of gelezen, 11,4% veel te hebben gehoord of gelezen en 6,3% zegt het afgelopen
Diagram 1. Bewustzijn cookies Diagram 2. Bewustzijn cookiewet
jaar heel veel te hebben gehoord of gelezen over de cookiewet (zie diagram 2). Geen van de 79 respondenten geeft aan het afgelopen jaar helemaal niets te hebben gehoord of gelezen over het mogelijk misbruik van informatie verzameld via het internet, wel geeft 6,3% bijna niks te hebben gelezen of gehoord, 17,7% weinig te hebben gehoord of gelezen, 13,9% neutraal, 26,6% een beetje te hebben gehoord of gelezen, 19,0% veel te hebben gehoord of gelezen en 16,5% het afgelopen jaar heel veel te hebben gehoord of gelezen over het mogelijk misbruik van informatie verzameld via het internet (zie diagram 3). Op de vraag ‘Wat is u bekend over cookies?’ antwoordden 19,0% ‘ik weet dat cookies iets met het internet te maken heeft maar verder niet wat het is of hoe het werkt’, 54,4% ‘ik weet wat cookies doen maar niet hoe het werkt’ en 26,6% ‘ik weet wat cookies
Diagram 4. Kennis cookies
doen en hoe dit werkt’. Geen van de respondenten gaf ‘er is mij niks bekend over cookies’ als antwoord aan (zie diagram 4). Op de stelling ‘ik maak mij nu grotere zorgen dat online bedrijven teveel persoonlijke informatie over mij verzamelen dan meer dan een jaar geleden’ geeft 5,1% van de respondenten aan het hier zeer oneens mee te zijn, 12,7% oneens, 20,3% een beetje oneens, 26,6% neutraal, 13,9% een beetje 13,9% eens en 7,9% zeer eens. Op de aansluitende vraag over wat
de respondent dacht dat de oorzaak was van deze angst gaf 16,5% aan ‘ik hoor en lees veel over dit onderwerp maar snap niet wat het allemaal precies inhoud’, 16,5% ‘er is mij nu (meer) bekend over wat cookies precies doen, daar is een angst uit voort gekomen’, 54,4% ‘ik heb niet meer angst dan voorheen, er was mij al bekend dat (te) veel persoonlijke informatie verzameld werd’, en 12,7% gaf aan ‘ik heb geen angst dat er teveel persoonlijke informatie van mij verzameld wordt online’ (zie diagram 5). Bij de stelling ‘ik heb het gevoel dat de cookiewet mijn privacy gevoelige informatie beschermt’ geeft 10,1% van de respondenten aan het hier zeer oneens mee te zijn, 16,5% oneens, 21,5% een beetje oneens, 31,6% neutraal, 15,2% een beetje eens en 5,1% eens. Geen van de respondenten geeft aan het hier zeer mee eens te zijn. Bij de stelling ‘ik ervaar de manier waarop mijn toestemming voor cookies gevraagd wordt als vervelend’ geeft 3,8% van de respondenten aan het hier zeer oneens mee te zijn, 10,1% oneens, 10,1% een beetje oneens, 16,5% neutraal, 12,7% een beetje eens en 27,8% eens en 19% zeer mee eens. Voor de stelling ‘ik bezit de kennis om de mate waarin ik persoonsgegevens deel te controleren’ geeft 11,4% aan het hier zeer oneens mee te zijn, geeft 22,8% aan het hier oneens mee te zijn, 17,7% een beetje oneens, is 19% hierover neutraal, geeft 17,7% aan het hier een beetje mee eens te zijn, 7,6% mee eens te zijn en 3,8% zeer mee eens te zijn. Zoals in de methode is genoemd zijn er ook een aantal variabelen uit verschillende vragen uit en vragenlijst samengesteld (zie tabel 1).
Tabel 1. Descriptieve statistiek voor nieuw gevormde variabelen
4.3 Hypotheses
Om de eerste hypothese te testen is een independent sample t-test in SPSS toegepast. Voor deze test is er onderscheid gemaakt tussen twee groepen: ʻkorter dan drie jaar kennis van cookiesʼ (1) en ʻlanger dan drie jaar kennis van cookiesʼ (0). Dit onderscheid moet helpen aan te tonen of het bewust zijn van het gebruik van cookies hoger is na de implementatie van de cookiewet in 2012. Uit de resultaten blijkt dat de gemiddeldes van beide groepen weinig verschillen, mensen die langer dan drie jaar kennis van cookies hebben hadden een gemiddelde van 4,5051 en een
een gemiddelde van 4.3986 en een standaardafwijking van 1.18971, er is echter geen sprake van significantie, t(77) = 0.358, p > 0.05.
Voor de tweede hypothese zijn twee regressie analyses uitgevoerd. Bij de eerste test als onafhankelijke variabele Besef_cookies en als afhankelijke variabele het antwoord op de stelling ʻIk heb nu meer kennis dan voordat de cookiewet bestondʼ (Q8_1). Uit de resultaten blijkt dat het bewust zijn van het gebruik van cookies een significante invloed heeft op het hebben van meer kennis dan voor de cookiewet, F(1,77) = 18,509, p < 0,05. Uit de R square blijkt dat dat de variabele Besef_cookies de variabele Q8_1 voor 19,4% kan verklaren. De tweede regressie test heeft als onafhankelijke variabele Besef_cookies en als afhankelijke variabele
Feitelijke_kennis_cookies. Er is sprake van een positieve, b-waarde = 0.244, significante invloed van het bewust zijn van het gebruik van cookies op feitelijke kennis, F (1,77) = 4,743, p < 0.05. Echter uit de R Square blijkt dat het model van Besef_cookies slechts 5,8% van de variabele Feitelijke_kennis_cookies verklaard, de voorspellende kracht van deze variabele is dus niet groot. Tenslotte is voor H2 een univariate variantie analye test (UNIANOVA ) toegepast met de variabelen Besef_cookies en de vraag ʻwat is u bekend over cookiesʼ (Q2). Uit deze test blijkt dat er een significant effect bestaat tussen de gemiddelden van deze twee variabelen, F(2,76) = 7.189, p < 0.05.
Voor het onderzoeken van de derde hypothese waren zes testen vereist aangezien er drie variabelen van kennis en twee van angst meegenomen dienden te worden. Twee hiervan waren regressie testen, drie UNIANOVA en één crosstabs test. De eerste regressie test had als
onafhankelijke variabele ʻik heb nu meer kennis dan voor de cookiewet bestondʼ (Q8_1) en als afhankelijke variabele Zorgen_angst. Uit de resultaten blijkt dat het hebben van meer kennis dan voor de cookiewet bestond geen significante invloed heeft op zorgen over cookies, F(1,77) = 1,286, p > 0,05. De tweede regressie test had als onafhankelijke variabele Feitelijke_kennis_cookies en als afhankelijke variabele Zorgen_Angst. Ook hier blijkt er geen sprake te zijn van een significante invloed van feitelijke kennis op zorgen over cookies, F(1,77) = 0.473, p > 0.05. Uit de eerste UNIANOVA test, met afhankelijke variabele Zorgen_Angst en onafhankelijke variabele ʻwat weet je van cookiesʼ (Q2), blijkt geen sprake te zijn van een significant effect, F(2,76) = 0.224, p > 0.05. Uit de tweede UNIANOVA met als afhankelijke variabele ʻik heb nu meer kennis dan voor de cookiewet bestondʼ (Q8_1) en onafhankelijke variabele ʻwat is de oorzaak van deze angstʼ (Q14) blijkt geen sprake van significantie, F(3,75) = 0.679, p > 0.05. Ook bij de laatste UNIANOVA test, met als afhankelijke variabele Feitelijke_kennis_cookies en onafhankelijke variabele ʻwat is de oorzaak van deze angstʼ (Q14), blijkt geen sprake te zijn van een significant effect, F(3,75) = 0.510, p > 0.05. Om het effect van de twee nominale variabelen ʻWat is u bekend over cookiesʼ en ʻWat is de oorzaak van deze angstʼ te toetsten is een CROSSTABS test uitgevoerd. Uit de Chi-square test blijkt dat er geen sprake is van een significante invloed, X2(6) = 11.442, p > 0.05.
Voor de vierde hypothese zijn een regressie analyse en een UNIANOVA analyse uitgevoerd. Uit de resultaten van de regressie analyse, met als onafhankelijke variabele Zorgen_Angst en als afhankelijke variabele Gebruiksgemak_ervaring, blijkt dat zorgen over cookies een significant
invloed heeft op het gebruiksgemak, F(1,77) = 32.279 en p < 0.05. Uit de R square blijkt dat het model 29,6% van Gebruiksgemak_ervaring kan verklaren. Er is sprake te zijn van een positief lineair verband tussen deze variabelen, b-waarde = 0.735. Uit de UNIANOVA test met variabelen Gebruiksgemak_ervaring en ʻWat is de oorzaak van deze angst?ʼ (Q14) blijkt dat er sprake is van een significante effect, F(3,75) = 4.083, p < 0.05. Uit de Post Hoc test blijkt echter dat dit
significante verschil maar op één punt van sprake is (bij ʻik heb geen angst dat er te veel
persoonlijke informatie van mij verzameld wordt onlineʼ en ʻer is mij nu (meer) bekend over wat cookies precies doen, daar is een angst uit voort gekomenʼ).
Voor de vijfde en laatste hypothese zijn zowel een regressie als UNIANOVA test uitgevoerd. Uit de resultaten van de regressie test, met als onafhankelijke variabele de leeftijd van de
respondent (Q29) en als afhankelijke variabele Zorgen_Angst, blijkt geen sprake te zijn van een significant verband tussen deze twee variabelen, F(1,77) = 0.532, p > 0.05. Uit de UNIANOVA test met de variabelen leeftijd (Q29) en ʻwat is de oorzaak van deze angstʼ (Q14) blijkt ook geen
significantie, F(3,75) = 1.227, p > 0.05.
5. Discussie
Uit de resultaten blijkt dat de onderzoeksgroep van huidig onderzoek niet optimaal representatief is voor de bevolking van Nederland. De respondenten zijn voornamelijk studenten en hoogopgeleiden van middelbare leeftijd. Het grootste deel van de respondenten is vrouw. De computervaardigheden worden door de respondent zelf beter dan gemiddeld beoordeeld, de helft van de respondenten is het meer eens dan oneens met ‘ik heb veel computervaardigheden’. Verder blijkt uit de resultaten dat het grootste deel van de respondenten het afgelopen jaar wel veel heeft gehoord en gelezen over cookies en het mogelijk misbruik van informatie verzameld via het internet, maar een stuk minder over de cookiewet zelf. Daarnaast zegt het grootste deel van de respondenten wel te weten wat cookies doen maar niet precies hoe dit werkt. Het grootste deel van de respondenten verklaard niet meer zorgen te hebben dat online bedrijven teveel persoonlijke informatie verzamelen dan meer dan een jaar geleden. Dit komt overeen met meer dan de helft van de respondenten die aanduiden nu niet meer angst te hebben dan voorheen, voor de cookiewet, en al te weten dat er (te) veel
persoonlijke informatie verzameld werd. Wel geeft meer dan de helft van de respondenten aan niet het gevoel te hebben dat de cookiewet zijn of haar privacy gevoelige informatie beschermt.
Tenslotte ervaart meer dan de helft van de respondenten de manier waarop toestemming gevraagd wordt voor cookies als vervelend.
In dit onderzoek was de verwachting dat de implementatie van de cookiewet, wat veel
aandacht met zich meebracht, ervoor heeft gezorgd dat de internetgebruiker meer kennis kreeg over cookies: H1 De implementatie van de cookiewet heeft een positief effect gehad op het bewustzijn van de internetgebruiker van cookies, H2 Het bewustzijn van de internetgebruiker van cookies heeft een positief effect op de kennis van de internetgebruiker over cookies. Uit de resultaten is gebleken
dat H1 verworpen is. Dit betekent dat de implementatie van de cookiewet geen significante invloed heeft gehad op het bewustzijn van internetgebruikers van het gebruik van cookies: het gemiddelde bewustzijn is voor en na implementatie niet significant anders. Mensen die al langer dan 3 jaar (voor de implementatie van de cookiewet) kennis van cookies hebben, hadden een gemiddelde van 4.5 voor het bewustzijn van het gebruik van cookies (op een schaal van 1 t/m 7). Mensen die korter dan 3 jaar (na implementatie van de cookiewet) kennis hebben, hadden een gemiddelde van slechts 4.4. Sowieso zijn niet veel mensen zich dus bewust van het gebruik van cookies.
Uit de resultaten blijkt dat H2 wel wordt ondersteund. Van de drie testen die voor H2 werden uitgevoerd bleken er bij twee sprake te zijn van significantie: mensen die zich meer bewust zijn van cookies geven aan nu meer kennis van cookies te hebben dan voor de cookiewet bestond, en hoe meer bewust hoe beter het antwoord op de vraag ‘wat weet je van cookies’ (ik weet wat cookies doen en hoe dit werkt). Er is dus hoe dan ook een verband tussen het bewust zijn van het gebruik van cookies en de kennis over cookies.
Vervolgens werd verwacht dat deze kennis voor meer angst van de internetgebruiker zorgen, immers de gebruiker weet nu meer over de (privacy) risico’s die cookies met zich meebrengen: H3 De kennis van de internetgebruikers heeft een positief effect op de zorgen van de internetgebruiker over cookies. Uit de resultaten is echter gebleken dat deze hypothese verworpen wordt. Een
verklaring hiervoor zou kunnen zijn dat het per persoon heel erg kan verschillen of juist meer of minder kennis voor meer angst zorgt. Veel kennis betekent dat je meer over de gevaren weet, echter het gebrek aan kennis kan een gevoel van geen grip hebben op de gevaren veroorzaken. Meer kennis kan dus leiden tot zowel meer als minder zorg.
Uit de literatuur bleek vervolgens dat de angst voor cookies zich kan uiten in het willen weigeren van het gebruik van cookies, de gebruiker weet immers de risico’s en is hierdoor te voorzichtig en op zijn hoede. Dit kan als gevolg hebben dat de gebruiker de website niet kan bezoeken (door middel van een cookiemuur). De verwachting was dan ook dat angst voor het gebruik van cookies voor een slechtere gebruikservaring zou zorgen: H4 De angst van de internetgebruiker voor cookies heeft een negatief effect op de gebruikerservaring (van de internetgebruiker). Deze hypothese wordt door de resultaten ondersteund, hoe meer angst, hoe slechter de gebruikservaring.
Tenslotte werd in de literatuur verschillende standpunten aangenomen wat betreft de invloed van leeftijdverschil op het hebben van zorgen of angst met betrekking tot privacybescherming op het internet. Zo verwachtte Hoofnagle et al. (2010) dat ouderen zich meer zorgen zouden maken over hun privacy en gaf Sheehan (2002) aan dat oudere volwassenen de neiging of zich helemaal geen zorgen te maken om privacy of juist heel bezorgd te zijn. De verwachting was dan ook dat de oudere internet gebruiker zich meer zorgen zou maken dan de jongere generatie: H5 De leeftijd van de internetgebruiker zal een positief effect hebben op de angst voor cookies. Uit de resultaten van huidig onderzoek blijkt echter dat leeftijd geen invloed heeft op de zorgen voor het gebruik van cookies, H5 wordt dus verworpen.
