De PvdA beschermt jou tegen afluisteren; wie volgt?

Do-not-track: een brievenbussticker tegen online tracking

Bewaarplicht bel- en internetverkeer nu ook ongrondwettig verklaard in Cyprus

Ontwikkelaars van browsers werken aan privacyverbeterende technologie en onlangs beantwoordde staatssecretaris Teeven van Veiligheid en Justitie Kamervragen hierover. Twee onderzoekers van de Universiteit van Stanford hebben kort geleden een goed leesbare bijdrage voor de Amerikaanse Federal Trade Commission (FTC) gepubliceerd over hoe een do-not-tracksysteem er in hun ogen uit zou moeten zien. Wat stellen zij precies voor?

Technisch gezien stellen zij een HTTP-header voor (PDF) die de consument in zijn browser kan inschakelen om aan te geven dat hij niet gevolgd wil worden. Iedere keer dat een bezoeker een website bezoekt, stuurt hij die header naar de website. De website ontvangt dus een uitdrukking van een voorkeur van de bezoeker: de bezoeker dwingt naleving niet technisch af, maar rekent erop dat de website zijn wens respecteert. Dat betekent natuurlijk wel dat websites die header ook kunnen negeren. Daarom zou het bij dit systeem een goed idee zijn om vanuit de overheid regels op te stellen zodat de naleving juridisch wordt afgedwongen.

In een “do-not-track”-systeem staat de definitie van “tracking” natuurlijk centraal. De schrijvers definiëren dit als alle vormen van verzameling, opslag en gebruik van gegevens. Er wordt nadrukkelijk voor gekozen om dit niet te beperken tot behavioral advertising: de Like-knop van Facebook en Google Analytics vallen bijvoorbeeld ook onder de regeling. De onderzoekers kiezen ervoor om het systeem te beperken tot tracking door “derde partijen”, waarbij ze de ervaring van de consument als uitgangspunt nemen. Stel dat Google de zoektermen die jij intypt volgt met behulp van een cookie dat vanuit een ander domein van Google wordt beheerd, dan is dat niet een vorm van “tracking” – want voor de internetgebruiker is dit afkomstig van Google. Als een bedrijf daarentegen binnen haar eigen website informatie verzamelt voor een ánder bedrijf, zoals Omniture, dan zou dat wel een vorm van tracking zijn in deze definitie. Ook een Google advertentie op niet-Google-websites is een voorbeeld van iets dat wel onder de regeling valt, omdat een websitebezoeker niet de indruk heeft contact te hebben met Google: Google is hier dus wel een derde partij.

In antwoord op Kamervragen van Sharon Gesthuizen (SP) stelde staatssecretaris Teeven dat hij een do-not-tracksysteem onhaalbaar achtte. Hij leek daarbij echter het bel-me-nietregister in zijn achterhoofd te hebben. In het systeem zoals voorgesteld door de onderzoekers van Stanford is er juist géén sprake van een centraal register van afgemelde consumenten: je voorkeur wordt opgeslagen op je eigen computer en telkens verstuurd naar de websites die je bezoekt. Je kunt het do-not-tracksysteem dus beter vergelijken met een brievenbussticker.

Vaak wordt de discussie over online privacy gereduceerd tot een discussie over een cookieverbod, of meer algemeen, een verbod op het opslaan van gegevens op de computer van de websitebezoeker. Aangezien je ook door je IP-adres en je browserconfiguratie kunt worden herkend, is dat echter niet afdoende om bescherming tegen tracking te bieden. Het door Stanford voorgestelde do-not-tracksysteem biedt een uitstekende methode om je als consument te verzetten tegen tracking, zonder dat technische kennis is vereist en zonder dat je zelf een lijst van adressen van trackingbedrijven moet bijhouden.

Als dit voorstel door de FTC wordt aangenomen, hebben we binnenkort in een aantal webbrowsers een eenvoudig selectievakje om bezwaar te maken tegen tracking door Amerikaanse partijen. Het is te hopen dat ook in Europa dit voorstel in overweging wordt genomen, zodat jij precies kunt bepalen wie jou op internet mag volgen.

  1. Niels

    Klinkt als een goed idee, hopelijk groeit het verder

  2. Alexander

    Zijn er mensen die (als ze niet zijn ingelogged) willen dat ze gevolgd worden? i.e. gaat dit niet een zinloze optie worden omdat iedereen het standaard aanvinkt?

  3. Tom

    Mooie vergelijking van die sticker. Illustreert ook mooi dat er evengoed bedrijven kunnen en zullen blijven bestaan die het do-not-track verzoek negeren. Maar het is een mooie extra laag in de verdediging die consumenten tegen tracking kunnen aanwenden.

    @Alexander: Veel mensen willen gewoon kunnen browsen en ze zijn al blij als alles gewoon werkt. Die gaan niet zomaar in optieschermen dingen instellen. Het wordt natuurlijk een ander verhaal als browsers de do-not-track optie standaard aan zouden zetten.

  4. Alexander

    @Tom Maar zullen ze dat ook denken nadat je hebt uitgelegd wat de gevolgen zijn? In het bovengenoemde artikel staat:

    Third-party web
    tracking is also unpopular: numerous studies have shown the vast majority of Americans oppose
    the practice.

    Daarnaast heb je ook nog de mogelijkheid dat websites zeggen: Je moet de do not track header uitzetten om deze website te bekijken etc. Of: als de wetgeving hierop anticipeert: Als je volledig wil genieten van deze website moet je op dit knopje rammen.

    Ik denk dat zelf regulering hier zinloos is omdat het iets is wat niemand wilt. Als ze zich willen associeren met een bepaalde website kunnen ze inloggen onder een (anoniem) account

  5. Niels 2

    Ik vraag me altijd af wat het doel van dit soort zaken is voor de website eigenaar. Goed, ze hebben een hele bak met IP adressen en daaraan gekoppeld het surfgedrag. En dan??
    Dan kunnen ze gericht reclame sturen? Nou en, er moet toch geld verdient worden.

    Als je dit wil ‘afvangen’ als overheid zou je anonymous surfing moeten invoeren. De provider neemt 1 ipadres waarvandaan al haar abbonees afstappen, probleem opgelost, maar dan wordt je abbo wel duurder en zullen heel veel sites niet meer gratis toegankelijk zijn.

    Tis maar waar je prioriteiten liggen….

  6. Maarten

    Ha! meer headers -> meer identificatie entropie -> betere traceerbaarheid.

  7. Maarten

    Er zijn zoveel meer dingen waarop dan inloggegevens of bijvoorbeeld IP adres waarmee de computer waarop de browser draait kan worden geïdentificeerd, dat het een bijna verloren strijd is.
    ter referentie:
    https://panopticlick.eff.org/

  8. YC

    In één belangrijk opzicht is dit juist helemaal niet te vergelijken met een brievenbussticker: als de krantenjongen mijn sticker negeert, weet ik dat meteen, er zit dan immers wat in mijn brievenbus. Maar hoe weet ik nou wanneer/of ik wat aan die do-not-track-knop heb? Misschien wel bijna nergens, alleen bij een paar grote websites?

    Het is ook een nachtmerrie voor de wetshandhaver: nu zo’n beetje de halve wereld een eigen website heeft, is het toch niet te doen om al die servers op tracking-scripts en -data te controleren? Dat lijkt me ongeveer net zo’n haalbaar plan als het beteugelen van downloaders.

    Ik vind dit dus een onhandige maatregel; het zorgt hooguit voor schijnveiligheid. En je veilig voelen terwijl je het niet bent is volgens mij erger dan je niet veilig voelen.

    Een betere oplossing? Wacht de marktwerking af (dat is natuurlijk niet altijd zo, soms moet je juist wel reguleren), en als de privacyschendingen schering en inslag worden, komen er heel gauw commerciële, gebruiksvriendelijke versies van die Tor routers: http://www.technologyreview.com/web/26981/?a=f

  9. Alexander

    @Niels2 Het is heel duur voor providers om vanaf 1 (naja, waarschijnlijk meerdere) IP addressen. Er moeten dan namelijk een enorme vertaaltabel komen.

    Daarnaast is dat helemaal niet het probleem. Het probleem is dat het bedrijf jou of je computer op een bepaalde manier identificeert, en dat kan op basis van veel meer dan alleen je IP adres.

  10. Michel

    @Alexander1: nee, blijkbaar niet, want er zijn ook nog steeds mensen zonder nee-nee-sticker die niet in het bel-me-niet-register-staan en die bij de supermarkt een bonuskaart-op-naam-en-adres hebben in plaats van anoniem.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.