Klantverraders

Klantverraders


In de uitzending van 9 dec. 2015, en ook in de eerdere uitzending van 2 dec, heeft het televieprogramma Zembla uit de doeken gedaan hoe (Amerikaanse) databrokers van miljarden mensen wereldwijd velerlei persoonlijke gegevens verzamelen om daarvan profielen samen te stellen. Zulke profielen kunnen gekocht worden, bijvoorbeeld door een financiële instelling om te gebruiken voor als u een hypotheek aanvraagt, of door een verzekeringsmaatschappij wanneer u zich als nieuwe klant meldt. Zembla toonde aan dat men bij deze databrokers ook lijsten kan kopen met medische gegevens van Nederlanders.


De meest-gebruikte manieren waarop zulke gevoelige (medische) gegevens verzameld worden is via zogenaamde tracking (of third party) cookies op websites en via apps op een telefoon of tablet. Een cookie is een klein bestandje dat een website bij uw bezoek op uw computer plaatst. Zulke cookies zijn handig voor voorkeursinstellingen of winkelmandjes. Iedere keer dat u een website X bezoekt, kan de webserver van die site de eigen cookies (van een vorig bezoek) terugvragen aan uw computer — en daarmee bijvoorbeeld de taalinstelling van de vorige keer wederom gebruiken. Wanneer webpagina X een onderdeel van een andere webserver Y afhaalt, bijvoorbeeld via een like-knop of via een plaatje of zelfs via een enkele pixel, dan kan deze webserver Y ook alle eerdere cookies (van Y) opvragen. Wanneer zo’n third party webserver Y op heel veel andere websites voorkomt, kan via een uniek nummer in een tracking cookie herkend worden dat u dezelfde persoon bent die eerder ook op andere websites was. Op zo’n manier kunnen databrokers, via tracking cookies op miljoenen webpagina’s, het website bezoek van mensen onderling koppelen, en daar een profiel van maken.


Ons surfgedrag zegt heel veel over ons. Wat denkt u zelf als u hoort van een collega die de website babyopkomst.nl bekijkt? Of van een vriend die naar erectiestoornis.nl gaat? Stelt u zich eens voor dat uw buren een overzicht zouden hebben van alle websites die u de afgelopen jaren bezocht heeft. Zou u nog zo onbekommerd bij ze op de koffie gaan? Bij Zembla bleek dat veel medische websites tracking cookies bevatten. Daarmee geven ze aan databrokers informatie over wie hun website bezoekt, en ook wie welke pagina’s met welke medische aandoeningen bekijkt. Ze zijn dus klantverraders: ze leveren hun klanten uit aan (buitenlandse) spionnen.


Onbenul


Sommige van de eigenaren van websites met tracking cookies zijn zich helemaal niet bewust van die cookies: ze hebben extern ergens een website besteld en hebben er helemaal niet bij stilgestaan wat de website stiekem prijsgeeft over haar bezoekers. Zulk gebrek aan bewustzijn ontslaat de eigenaren echter niet van hun verantwoordelijkheid en is irrelevant op het moment dat er boetes uitgedeeld gaan worden. De makers van webpagina’s zouden beter met hun klanten moeten overleggen of die eigenlijk wel klantverrader cookies op hun webpagina’s willen hebben. Daarbij moeten die klanten weten dat ze de gebruikers daar expliciet toestemming voor moeten vragen (zie hieronder).


Privacy


Privacy is een moeilijk begrip. Misschien wel het belangrijkste aspect van privacy is dat informatie in context hoort te blijven. Wat je aan de dokter vertelt moet in een medische context blijven, en hoort niet bij de supermarkt op te duiken. Op zo’n manier geformuleerd hecht iedereen aan privacy. Het is belangrijk dat mensen in een medische omgeving open en eerlijk spreken over hun aandoeningen, zodat artsen juist geïnformeerd zijn en de beste behandeling kunnen bepalen. Het is dus belangrijk dat mensen er vertrouwen in kunnen hebben dat er zorgvuldig omgegaan wordt met medische gegevens. Daarom vallen zulke medische gegevens in de speciale categorie van bijzondere persoonsgegevens waar volgens de wet extra zorgvuldig mee omgegaan moet worden. Voordat ze naar een dokter gaan zoeken veel mensen naar medische achtergrondinformatie op het web. Daartoe zijn er veel websites, die vaak proberen een vertrouwde sfeer uit te stralen, zodat de bezoekers het gevoel krijgen zich in een vertrouwde medische context te bevinden, met bijbehorende zorgvuldigheid. Het is dan een schokkende ervaring als blijkt dat zulke websites klantverraders zijn, en via tracking cookies aan externe partijen doorgeven welke webpagina’s (met welke aandoeningen) u allemaal bekijkt. Daarmee wordt de gesuggereerde vertrouwelijke medische context geschonden. De uitzending van Zembla heeft geleid tot grote verontwaardiging — en terecht — en daarmee ook tot kamervragen.


Cookie wetgeving


In Nederland is er na enige jaren van discussie juridische duidelijkheid onstaan over cookies. In artikel 11.7a van de Telecommunicatiewet staat dat functionele cookies, die noodzakelijk zijn voor de werking van een website, door die webpagina zelf, zonder toestemming, geplaatst mogen worden op de computer van de gebruiker. Andere cookies, waaronder tracking cookies voor advertentie- en profilerings-doeleinden mogen alleen geplaatst worden nadat de gebruiker duidelijk geïnformeerd is en expliciete toestemming gegeven heeft. In theorie is de zaak daarmee netjes geregeld, maar in de praktijk blijkt dat websites vaak gewoon geen toegang geven als je hun cookies niet accepteert, zie bijvoorbeeld geenstijl.nl of gezondheidsplein.nl. Private organisaties mogen de toegang inderdaad weigeren, zie artikel 11.7a, lid 5. In het bijzonder mogen private websites met gezondheidsinformatie hun gebruikers alleen toegang geven als ze accepteren dat precies bijgehouden wordt welke medische informatie ze bekijken. Hier ontbreekt de vertrouwelijkheid die elders in de medische sector zo belangrijk is.\


In, en na, de uitzendingen van Zembla bleek dat verschillende websites door alle negatieve aandacht stopten met het plaatsen van tracking cookies. Publiciteit heeft dus invloed. De wetgever kan hierdoor besluiten om ook medische websites onder het genoemde artikel 11.7a, lid 5 te laten vallen, zodat ze ook zonder tracking cookies toegang moeten bieden. Maar, om verwarring te voorkomen is het natuurlijk nog beter als deze websites helemaal geen tracking cookies plaatsen.


Hoe maak je tracking cookies zichtbaar?


Er zijn verschillende toevoegingen (addons) voor je webbrowser die cookies zichtbaar kunnen maken, zoals Lightbeam, uBlock Origin, of ook Ghostery. Na het installeren van Lightbeam kun je mooie cookie plaatjes zien. Hieronder zijn de 17 third party cookies die jou als klant verraden op de website gezondheidsplein.nl (op de aangegeven datum).
















Het is onthullend om hiermee wat te experimenteren. Probeer bijvoorbeeld eens een paar websites te vinden met meer dan 30 trackers. Of een website zonder trackers. (Voorbeeld: wikipedia.org of digid.nl, bravo!)


Op een aantal manieren kun je, via instellingen of toevoegingen aan je browser, het plaatsen van cookies beperken. Dat is helaas wel wat gedoe. Zo weiger ik zelf in principe alle cookies, maar sta ik (via Cookie Whitelist) van een beperkt aantal websites, waaronder bijvoorbeeld mijn bank, wel toe om cookies te plaatsen, omdat deze sites anders niet werken. Maar ik sta alleen (first party) sessie cookies toe, die bij het afsluiten van de browser direct weggegooid worden. (Ik ben altijd blij als ik op een nieuwswebsite in een reclamebalk bijvoorbeeld een bloemetjesjurk aangeboden krijg, want dan weet ik dat de profilering er volledig naast zit.) Er zijn verschillende websites met informatie om je beter te beschermen tegen cookies, zie bijvoorbeeld de webpagina van Bits of Freedom.


Naming, shaming, en framing


Waar de wetgeving (en dus de politiek) er nauwelijks in slaagt om het gebruik van tracking cookies aan banden te leggen, zien we dat publiciteit, zoals van Zembla, wel degelijk effect heeft. Er zijn echter nog veel klantverraders over. Omdat bedrijven en andere organisaties tegenwoordig zo goed letten op hun imago in de sociale media kun je ze daar ook goed treffen. Dus, als je met tools zoals Lightbeam met zekerheid vastgesteld hebt dat een (medische) website van organisatie X via tracking cookies vertrouwelijkheid schendt, stuur dan eens een twitterbericht de wereld in met daarin de hashtags #X en #klantverrader, of zet zoiets op je facebookpagina. Misschien kan zo’n crowd actie het effect van de Zembla uitzending versterken en de politiek ertoe aanzetten burgers beter te beschermen tegen profileringsgeweld. Het nieuwe woord (neologisme) ‘klantverrader’ klinkt lekker onsympathiek, omdat het zoveel lijkt op landverrader. Daar wil je niet mee geassocieerd worden.


Nieuwe norm


Cookies zijn niet het eigenlijke probleem, maar slechts een symptoom van  ongegeneerde verzamelzucht met betrekking tot gevoelige persoonlijke informatie. In een wereld zonder cookies zou dit probleem niet opgelost zijn, en zouden misschien andere technieken zoals browser-fingerprinting gebruikt worden. Uiteindelijk zal wat aan de onderliggende verzamelwoede gedaan moeten worden, via een nieuwe norm die zulk gedrag ongepast en/of ongeoorloofd maakt. De klantverrader framing kan bijdragen aan zo’n norm. De cookie blog van Lou Montulli, de ontwerper van de cookie techniek, is een aanrader voor wie (historische) belangstelling heeft voor hoe het zo ver gekomen is.


Bart Jacobs

13/12/15