Op
praktisch iedere website die je bezoekt, kom je ze tegen: cookiemeldingen. Vaak
klik je zonder er uitvoerig over na te denken op ‘accepteren’ of ‘weigeren’ (of
soortgelijke buttons) en vervolg je je browse-avontuur. En, uiteraard begrijp
je wel ongeveer hoe cookies werken. Maar wat er precies achter de schermen
gebeurt, wat de vele mogelijkheden van cookies zijn en wat (juridisch)
toelaatbaar is, blijft toch vaag.. Herken je jezelf hierin? In een aantal
verschillende blogs, geef ik antwoord op al je vragen. Met vandaag het derde
onderdeel: hoe worden cookies gebruikt om internetgebruikers te identificeren?
Inleiding
In mijn
vorige blogs, lazen we dat cookies worden gebruik voor verschillende doeleinden. Eén daarvan is het ‘tracken’, oftewel volgen van
internetgebruikers. Vaak worden verschillende technieken gebruikt om de persoon
achter de informatieaanvragen te identificeren, al dan niet door het analyseren
van door hem of haar ingevoerde gegevens en/of surfgedrag, of door
identificatie van randapparatuur. Trackingcookies liggen al een tijdje onder
een vergrootglas, maar toch zijn er nog steeds veel onduidelijkheden en
misverstanden over. Daarom leg ik vandaag uit hoe trackingtechnieken werken en
wat er allemaal bij komt kijken.
Big
platforms, big data
Door
middel van third party cookies kunnen grote hoeveelheden data worden verzameld
en gekoppeld. Hier wordt veel gebruik van gemaakt in de online advertentiewereld.
Om geld te kunnen verdienen door middel van advertising,
zijn veel websites aangesloten bij advertentieplatforms. Wanneer je via je
browser verbinding maakt met deze website, kunnen tracking cookies worden geplaatst
in je browser. Deze zijn alleen niet afkomstig van de webwinkel zelf, maar van een
groot platform – laten we AdSense van Google als voorbeeld nemen. Google zorgt
er na plaatsing van de cookies voor dat automatisch advertenties op de website
van de websitehouder geplaatst worden. Dit is voor een websitehouder aantrekkelijk,
aangezien deze via AdSense eenvoudig inkomsten kan genereren. Dit
advertentieplatform van Google is immers zeer bekend en wordt door veel
adverteerders gebruikt. Voor adverteerders is er het voordeel dat Google door
middel van haar technologie, zeer gericht mensen kan ‘targetten’ op het internet.
En adverteerders betalen daar graag (veel) geld voor.
Maar,
uiteindelijk is de grote winnaar toch wel Google: zij kan namelijk met relatief
weinig werk (het proces verloopt immers automatisch) heel veel inkomsten
genereren. En aangezien heel veel websites aangesloten zijn bij AdSense, kan
zij alle informatie over alle bezoekers van al haar partnerwebsites bijhouden,
bijvoorbeeld over welke websites op welke tijden zijn bezocht, met welk
apparaat, et cetera. Daarmee worden advertenties enerzijds steeds relevanter,
waardoor Google steeds meer in trek valt bij adverteerders en nog meer
inkomsten kunnen worden gegenereerd. Maar er is nog een ander voordeel:
aangezien Google zelf ook veel persoonsgegevens onder zich heeft – bijvoorbeeld
de gegevens die door middel van online applicaties als Gmail verkregen zijn –
kan zij alle door AdSense verzamelde gegevens ook nog eens koppelen aan de bij
haar bekende persoonsgegevens. Door haar advertentiedienst, komt zij dus steeds
meer te weten over haar bestaande klanten.
Fingerprinting
Fingerprinting
is een nog veel slimmer techniek voor de identificatie van websitebezoekers. Dat
werkt als volgt: wanneer je verbinding maakt met een website, kan deze informatie
over jouw browser en apparaat opvragen en vervolgens analyseren. Dat kan bijvoorbeeld
door het uitvoeren van een script dat via Javascript of Flash werkt. Bij mij
kan in dat kader worden gezien dat ik een Macbook, versie 10.14 heb, waarop ik het
Nederlands als primaire taal heb ingesteld, en mijn tijdzone op UTC +2. Dit
wordt ook wel device fingerprinting
genoemd. Dit kan aan de hand van de bovenstaande als voorbeeld gegeven (en vrij
generieke) data, maar er is steeds meer mogelijk. Uit een onderzoek van de
Universiteit van Cambridge, blijkt bijvoorbeeld dat apparaten op ‘globally’
unieke wijze zouden kunnen
worden geïdentificeerd door het (puur) analyseren van sensordata van
smartphones.
Naast
device fingerprinting, bestaat ook canvas
fingerprinting. Hierbij wordt een specifiek element opgevraagd bij het
apparaat van de internetgebruiker in de vorm van een afbeelding. Afhankelijk
van de eigenschappen van het apparaat (denk aan het besturingssysteem, maar ook
aan geïnstalleerde lettertypes), wordt de afbeelding ‘gerendered’ in een
bepaalde vorm en teruggestuurd naar de webserver. De afbeelding wordt
vervolgens geanalyseerd, en daaruit kan vervolgens informatie over het apparaat
van de websitebezoeker worden afgeleid. Het grote voordeel van device en canvas
fingerprinting, is dat geen tekstbestanden in de vorm van cookies hoeven te
worden geplaatst bij de websitebezoeker (feitelijk zijn het dus geen cookies,
maar tegelijkertijd vallen deze wel onder cookiewetgeving, waarover later meer).
Dit maakt dat fingerprinting lastig te traceren is. Dit – in combinatie met het
feit dat fingerprinting zo eenvoudig werkt – maakt dat er grote privacybezwaren
zijn tegen fingerprinting. Wat hier bij komt, is dat websitehouders
verschillende technieken combineren om je zo effectief mogelijk te kunnen identificeren.
We zagen in
mijn vorige blog dat dit bijzonder bezwaarlijk kan zijn; hierdoor kan je
immers geïdentificeerd worden, zelfs als je vanaf verschillende apparaten
browset, en zelfs als je je cookies regelmatig verwijdert.
Wat kan
je doen?
Om maar
gelijk met de deur in huis te vallen: uiteindelijk kan je (vrijwel) niet
volledig anoniem zijn op het internet. Tegen tracking cookies, schijnt de
gebruikmaking van een goede Adblocker echter wel (wat) te helpen. Maar bij
fingerprinting is het een ander verhaal, aangezien met analyse van apparaten
heel veel mogelijk is (denk aan het voorbeeld van de sensordata). Een eerste
stap die ondernomen zou kunnen worden tegen fingerprinting, is het uitschakelen
van scripts, zoals Javascript en Flash. Hiermee kunnen fingerprinting scripts
enerzijds niet meer worden uitgevoerd, maar anderzijds loop je zo ook een hoop mis
– heel veel websites maken immers gebruik van deze technieken, en sommige
websites zijn zelfs niet meer te bezoeken wanneer je deze hebt uitgeschakeld.
Echt een goede oplossing lijkt dit dus niet te zijn. Wel is er een aantal goede
browsers en plugins beschikbaar die fingerprinting kunnen verminderen. Ik durf
echter nog wel vraagtekens te stellen of dit te allen tijde effectief is.
De
gebruikmaking van een VPN-dienst, waarmee je internetverkeer feitelijk wordt ‘omgelust’
naar een andere server, zou ook een optie kunnen zijn. Als je altijd achter een
VPN-verbinding browset, kan je fingerprint hierdoor immers niet aan jouw echte
IP-adres worden gekoppeld. Wanneer je echter een keer niet vanuit je
VPN-verbinding browset, kan je IP-adres echter wel weer gekoppeld worden aan
het VPN-adres, lijkt me. Het meest effectief, is als verschillende technieken
gebruikt worden. Veel illegale forums op het ‘dark web’, maken in dat kader
bijvoorbeeld gebruik van VPN-diensten, anonieme browsers, een anoniem netwerk
en anonieme zoekmachines om zo anoniem mogelijk te zijn. Maar, zelfs dit is nog
niet altijd genoeg. Zo zijn enkele ‘drugsmarktplaatsen’ ongeveer een maand
geleden opgerold
door Europese autoriteiten. Daar is echter aanzienlijk meer moeite in
identificatie gestoken door autoriteiten. Commerciële partijen hebben (denk ik)
niet de middelen om ook in deze gevallen te kunnen identificeren, dus voor nu
lijkt me dit de enige aanbeveling die ik kan doen waar ik (redelijk) zeker over ben..
Tot zover mijn derde blog over cookies. In mijn volgende blog, zal ik meer uitleg verschaffen over het juridisch kader van cookies. Heb je in de tussentijd vragen of opmerkingen over het bovenstaande of ben je op zoek naar (uitgebreider) advies ten aanzien van cookies? Neem dan contact op met Mike Landerbarthold en/of Thomas van Essen. Wij helpen je uiteraard graag verder.
https://www.solv.nl/weblog/cookies-part-3-hoe-kan-je-worden-geidentificeerd-door-middel-van-cookies/21798
