Op grond van de Wet bescherming persoonsgegevens (ook wel privacywet genoemd) zijn websites verplicht om aan te geven met welke doeleinden zij persoonsgegevens van bezoekers verzamelen. Verreweg de meeste websites weten dat al en hebben keurig een privacybeleid op de website uitgeschreven. Tegenwoordig maken veel websites gebruik van diensten, plugins en cookies van derde partijen, zoals Google Analytics, Adsense, Facebook, Twitter, Doubleclick etc, maar zonder dat in hun privacyverklaring te vermelden. Zelfs nog los van de op handen zijnde strengere cookiewet, moet dat wel!
Goed, inmiddels weten de meeste internetgebruikers wel ongeveer wat een cookie is - een klein bestandje op de computer die bij browsen wordt meegestuurd - maar nog steeds is het voor de meeste nog abracadabra wat de verschillende soorten cookies doen. Naast de gewone cookies die nodig zijn om te zorgen dat iemand niet steeds dezelfde gegevens opnieuw hoeft in te voeren en om het winkelmandje mogelijk te maken, maken veel websites gebruik van nog allerlei andere technologieën waarvan sommige een stuk schimmiger zijn. Via browser fingerprinting is het bijvoorbeeld mogelijk om bezoekers te identificeren aan de hand van hun unieke browserinstellingen. Daar komt geen cookie meer bij kijken en dit valt ook buiten de nieuwe, strenge cookiewet. Alles waarbij er iets op het randapparaat (pc, smartphone, etc) van de gebruiker wordt geplaatst, zoals ook de 'sneaky' flash-cookies die niet worden verwijderd als je je browser vertelt je cookies te wissen, valt wel onder de cookiewet en daarvoor zal geïnformeerde toestemming nodig zijn. Maar hopelijk wordt toch het 'lek' in de wet nog aangepast, zodat de informatieplicht niet meer wordt opgehangen aan het al dan niet plaatsen van bestandjes, maar waar het werkelijk om gaat, namelijk het volgen van het online gedrag van internetters.
Wie zijn "zorgvuldig geselecteerde partners"?
Veel websites vermelden wel dat er cookies worden gebruikt, maar vermelden daarbij niet of derden via cookies, plugins of andere technische middelen toegang krijgen tot informatie en welke informatie dan wel. Soms wordt wel vermeld dat van diensten van derden gebruik wordt gemaakt om inzicht te krijgen in het gedrag van bezoekers op de site, zodat de site kan worden verbeterd en kan worden nagegaan hoe effectief bepaalde advertenties zijn. Maar eigenlijk weet de bezoeker dan nog steeds niets. Wie zijn deze derden en welke informatie verzamelen zij precies en hoe? Kunnen deze derden ze nog voor andere doeleinden gebruiken? Hoe 'anoniem' is die informatie werkelijk?
Die derden kunnen best anders omgaan met de gegevens dan dat ook de website-eigenaar zelf weet en heeft aangegeven in zijn privacy policy. Van de Facebook “Like button” is inmiddels bijvoorbeeld gebleken dat deze volgt op welke websites een bezoeker allemaal is geweest, ook als de bezoeker die knop nooit heeft aangeklikt. Het lijkt aannemelijk dat de meeste gebruikers in elk geval zouden verwachten dat alleen het aanklikken van de Like button een effect zou hebben, namelijk dat wordt opgeslagen dat de button is aangeklikt door een zekere gebruiker (bijvoorbeeld te herkennen aan IP-adres X en browser Y). Wanneer steeds meer websites zo'n knop implementeren, kan Facebook toch aardig volledig het online gedrag van internetters volgen en opslaan, zonder dat internetters daar zelf erg in hebben en met alle mogelijke gevolgen van dien. Het is dus cruciaal om te vermelden welke derden welke plugins en cookies via uw website gebruiken. Het beste is om daarbij ook al een directe link te plaatsen naar het privacybeleid van deze derden.
Actief informeren en goed uitleggen wordt verplicht
De nieuwe en reeds veel besproken "cookiewet" die op komst is, eist voorafgaande geïnformeerde toestemming voordat bijvoorbeeld een Facebook “Like” cookie gezet mag worden. Tegen deze wetgeving is veel protest geweest, maar er kan gezegd worden dat de branche deze aan zichzelf te danken heeft. Zij is er kennelijk immers onvoldoende zelf in geslaagd om vertrouwen te kweken dat er verantwoord met persoonsgegevens en online identiteiten wordt omgesprongen en internetters te informeren over de manieren waarop hun gegevens worden verwerkt.
Voor bedrijven die aan behavioural targeting doen of verwachten door (op persoonlijk koopprofiel) gerichte advertenties hogere omzetten te halen, zie ik nu een kans om het toch wat negatieve imago van behavioural targeting te proberen weg te nemen en de internetter voor zich te winnen. Als een website goed heeft uitgelegd waarom de website met sociale plugins en gerichte advertenties een werkelijk betere gebruikservaring geeft dan de website zonder, zal de gebruiker zelf kiezen voor de versie mét.
Zelf wil ik bijvoorbeeld best wel relevantere en op mijn voorkeuren afgestemde advertenties, maar ik eis daarbij wel dat mij heel duidelijk wordt uitgelegd hoe mijn 'profiel' wordt samengesteld en ik wil ervan verzekerd zijn dat mijn profiel niet kan worden gekoppeld aan mijn 'echte identiteit' door partijen waarvan ik dat niet wil. Daar hoort bij dat elke website mij vertelt welke derde-partijen er precies gegevens verzamelen via de site. Daar hoort ook bij dat ik op eenvoudige wijze kan zorgen dat ik niet meer wordt gevolgd wanneer ik niet meer overtuigd ben dat dit volgen werkelijk in mijn eigen belang is.
Het is nog een hele kunst om zo relevant mogelijke gegevens te gebruiken zonder dat identificatie mogelijk wordt. Toen ik voor een poos in Zuid-Korea verbleef, waarvan mijn klanten op de hoogte waren, kon één klant bijvoorbeeld zien dat ik hun website op een zeker moment had bezocht, omdat er een Zuid-Koreaans IP-adres en Nederlandstalige browser werden gedetecteerd. In mijn geval was dit geen enkel probleem, maar de meeste internetters zullen er wellicht niet op bedacht zijn dat dergelijke identificatie ook mogelijk is.
'Tools' kunnen gebruikers zelf de controle teruggeven
Een bedrijf dat gebruikers zelf een tool levert die kan helpen om te achterhalen wat voor sporen zij achterlaten op het wereldwijde web, is Evidon. De tool is een browserplugin, genaamd Ghostery.
Met deze plugin – voor de duidelijkheid; ik heb geen aandelen Evidon, maar ik vind het een bijzonder nuttig gereedschap – is te zien welke derde partijen er cookies plaatsen. Het zou ook u kunnen verbazen hoeveel dat er zijn. Als je bijvoorbeeld naar de site van Winamp surft, worden er 11 'bugs' op je computer gezet. Doorklikken via de plugin, geeft een overzicht van de code die wordt geïnstalleerd. Die is meestal alleen te begrijpen voor de 'techies' onder ons, maar handig is ook dat er directe links staan naar de privacy policies van de bedrijven die deze cookies plaatsen/beheren. Bijvoorbeeld Google (Analytics en Adsense), Facebook (Social Plugins), Twitter, Doubleclick en Comscore Beacon blijken bijzonder veel gebruikt. In enkele gevallen blijkt via de privacy policy een “opt-out” mogelijk, waarbij het bedrijf belooft degene die daarvoor kiest niet langer te zullen volgen, maar vaak is de optie nogal verstopt.
Zelf volledige en eerlijke informatie verschaffen blijft cruciaal
Hoe goed Ghostery ook is: eigenlijk zou de tool niet eens nodig moeten zijn. De websitebeheerders horen, zoals gezegd, zelf al aan te geven wat voor third party cookies er op hun site worden toegepast. Ook moeten zij aangeven waar deze voor dienen en hoe deze worden gebruikt, of ten minste een link naar waar deze informatie te vinden is. Dat moet straks niet alleen van de wet; ook Google zelf eist al dat gebruikers van Analytics de volledige privacy policy van Analytics aan bezoekers verschaffen. Een rondje privacy policies met Ghostery in de hand laat zien dat de meeste privacy statements bepaald niet volledig zijn. Dat lijkt mede te verklaren te zijn doordat er veelal een aardige keten van personen bestaat tussen de techneut die de website maakt en de jurist die de privacy policy opstelt. Beter is het dus als de jurist die de policy opstelt, zelf kan nagaan wat voor tracking er “onder de motorkap” van de site plaatsvindt. Een bezoeker die met behulp van Ghostery ziet dat uw privacy policy onvolledig is, zal zijn vertrouwen in u snel kwijt zijn.
Een ding is zeker: enkel het zinnetje “wij plaatsen cookies om de gebruikerservaring te verbeteren” kan echt niet meer.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.