Op praktisch iedere website die je bezoekt, kom je ze tegen: cookiemeldingen. Vaak klik je zonder er uitvoerig over na te denken op ‘accepteren’ of ‘weigeren’ (of soortgelijke buttons) en vervolg je je browse-avontuur. En, uiteraard begrijp je wel ongeveer hoe cookies werken. Maar wat er precies achter de schermen gebeurt, wat de vele mogelijkheden van cookies zijn en wat (juridisch) toelaatbaar is, blijft toch vaag.. Herken je jezelf hierin? In een aantal verschillende blogs, geef ik antwoord op al je vragen. Met vandaag het derde onderdeel: hoe worden cookies gebruikt om internetgebruikers te identificeren?
In mijn vorige blogs lazen we dat cookies worden gebruik voor verschillende doeleinden. Eén daarvan is het ‘tracken’, oftewel volgen van internetgebruikers. Vaak worden verschillende technieken gebruikt om de persoon achter de informatieaanvragen te identificeren, al dan niet door het analyseren van door hem of haar ingevoerde gegevens en/of surfgedrag, of door identificatie van randapparatuur. Trackingcookies liggen al een tijdje onder een vergrootglas, maar toch zijn er nog steeds veel onduidelijkheden en misverstanden over. Daarom leg ik vandaag uit hoe trackingtechnieken werken en wat er allemaal bij komt kijken.
Door middel van third party cookies kunnen grote hoeveelheden data worden verzameld en gekoppeld. Hier wordt veel gebruik van gemaakt in de online advertentiewereld. Om geld te kunnen verdienen door middel van advertising, zijn veel websites aangesloten bij advertentieplatforms. Wanneer je via je browser verbinding maakt met deze website, kunnen tracking cookies worden geplaatst in je browser. Deze zijn alleen niet afkomstig van de webwinkel zelf, maar van een groot platform – laten we AdSense van Google als voorbeeld nemen. Google zorgt er na plaatsing van de cookies voor dat automatisch advertenties op de website van de websitehouder geplaatst worden. Dit is voor een websitehouder aantrekkelijk, aangezien deze via AdSense eenvoudig inkomsten kan genereren. Dit advertentieplatform van Google is immers zeer bekend en wordt door veel adverteerders gebruikt. Voor adverteerders is er het voordeel dat Google door middel van haar technologie, zeer gericht mensen kan ‘targetten’ op het internet. En adverteerders betalen daar graag (veel) geld voor.
Maar, uiteindelijk is de grote winnaar toch wel Google: zij kan namelijk met relatief weinig werk (het proces verloopt immers automatisch) heel veel inkomsten genereren. En aangezien heel veel websites aangesloten zijn bij AdSense, kan zij alle informatie over alle bezoekers van al haar partnerwebsites bijhouden, bijvoorbeeld over welke websites op welke tijden zijn bezocht, met welk apparaat, et cetera. Daarmee worden advertenties enerzijds steeds relevanter, waardoor Google steeds meer in trek valt bij adverteerders en nog meer inkomsten kunnen worden gegenereerd. Maar er is nog een ander voordeel: aangezien Google zelf ook veel persoonsgegevens onder zich heeft – bijvoorbeeld de gegevens die door middel van online applicaties als Gmail verkregen zijn – kan zij alle door AdSense verzamelde gegevens ook nog eens koppelen aan de bij haar bekende persoonsgegevens. Door haar advertentiedienst, komt zij dus steeds meer te weten over haar bestaande klanten.
Fingerprinting is een nog veel slimmer techniek voor de identificatie van websitebezoekers. Dat werkt als volgt: wanneer je verbinding maakt met een website, kan deze informatie over jouw browser en apparaat opvragen en vervolgens analyseren. Dat kan bijvoorbeeld door het uitvoeren van een script dat via Javascript of Flash werkt. Bij mij kan in dat kader worden gezien dat ik een Macbook, versie 10.14 heb, waarop ik het Nederlands als primaire taal heb ingesteld, en mijn tijdzone op UTC +2. Dit wordt ook wel device fingerprinting genoemd. Dit kan aan de hand van de bovenstaande als voorbeeld gegeven (en vrij generieke) data, maar er is steeds meer mogelijk. Uit een onderzoek van de Universiteit van Cambridge, blijkt bijvoorbeeld dat apparaten op 'globally' unieke wijze zouden kunnen worden geïdentificeerd door het (puur) analyseren van sensordata van smartphones.
Naast device fingerprinting, bestaat ook canvas fingerprinting. Hierbij wordt een specifiek element opgevraagd bij het apparaat van de internetgebruiker in de vorm van een afbeelding. Afhankelijk van de eigenschappen van het apparaat (denk aan het besturingssysteem, maar ook aan geïnstalleerde lettertypes), wordt de afbeelding ‘gerendered’ in een bepaalde vorm en teruggestuurd naar de webserver. De afbeelding wordt vervolgens geanalyseerd, en daaruit kan vervolgens informatie over het apparaat van de websitebezoeker worden afgeleid. Het grote voordeel van device en canvas fingerprinting, is dat geen tekstbestanden in de vorm van cookies hoeven te worden geplaatst bij de websitebezoeker (feitelijk zijn het dus geen cookies, maar tegelijkertijd vallen deze wel onder cookiewetgeving, waarover later meer). Dit maakt dat fingerprinting lastig te traceren is. Dit – in combinatie met het feit dat fingerprinting zo eenvoudig werkt – maakt dat er grote privacybezwaren zijn tegen fingerprinting. Wat hier bij komt, is dat websitehouders verschillende technieken combineren om je zo effectief mogelijk te kunnen identificeren. We zagen in mijn vorige blog dat dit bijzonder bezwaarlijk kan zijn; hierdoor kan je immers geïdentificeerd worden, zelfs als je vanaf verschillende apparaten browset, en zelfs als je je cookies regelmatig verwijdert.
Om maar gelijk met de deur in huis te vallen: uiteindelijk kan je (vrijwel) niet volledig anoniem zijn op het internet. Tegen tracking cookies, schijnt de gebruikmaking van een goede Adblocker echter wel (wat) te helpen. Maar bij fingerprinting is het een ander verhaal, aangezien met analyse van apparaten heel veel mogelijk is (denk aan het voorbeeld van de sensordata). Een eerste stap die ondernomen zou kunnen worden tegen fingerprinting, is het uitschakelen van scripts, zoals Javascript en Flash. Hiermee kunnen fingerprinting scripts enerzijds niet meer worden uitgevoerd, maar anderzijds loop je zo ook een hoop mis – heel veel websites maken immers gebruik van deze technieken, en sommige websites zijn zelfs niet meer te bezoeken wanneer je deze hebt uitgeschakeld. Echt een goede oplossing lijkt dit dus niet te zijn. Wel is er een aantal goede browsers en plugins beschikbaar die fingerprinting kunnen verminderen. Ik durf echter nog wel vraagtekens te stellen of dit te allen tijde effectief is.
De gebruikmaking van een VPN-dienst, waarmee je internetverkeer feitelijk wordt ‘omgelust’ naar een andere server, zou ook een optie kunnen zijn. Als je altijd achter een VPN-verbinding browset, kan je fingerprint hierdoor immers niet aan jouw echte IP-adres worden gekoppeld. Wanneer je echter een keer niet vanuit je VPN-verbinding browset, kan je IP-adres echter wel weer gekoppeld worden aan het VPN-adres, lijkt me. Het meest effectief, is als verschillende technieken gebruikt worden. Veel illegale forums op het ‘dark web’, maken in dat kader bijvoorbeeld gebruik van VPN-diensten, anonieme browsers, een anoniem netwerk en anonieme zoekmachines om zo anoniem mogelijk te zijn. Maar, zelfs dit is nog niet altijd genoeg. Zo zijn enkele ‘drugsmarktplaatsen’ ongeveer een maand geleden opgerold door Europese autoriteiten. Daar is echter aanzienlijk meer moeite in identificatie gestoken door autoriteiten. Commerciële partijen hebben (denk ik) niet de middelen om ook in deze gevallen te kunnen identificeren, dus voor nu lijkt me dit de enige aanbeveling die ik kan doen waar ik (redelijk) zeker over ben.
Zie ook: Cookies: hoe werken ze en waarom bestaan ze?
Zie ook: Cookies: welke soorten cookies zijn er en wat doen zij?
Dit artikel is ook te vinden in het dossier e-Privacy
Meer van SOLV Advocaten