De P3P van Privacy

Veertien dagen geleden heb ik methodes besproken om op internet anoniem te blijven (na te lezen op http://www.nrc.nl/internet/internetcolumn). Maar als je niet zelf allerlei maatregelen wilt nemen, kun je dan in ieder geval weten welke gegevens websites over je verzamelen en hoe ze deze gebruiken?

Veel websites hebben op hun voorpagina een link naar hun privacy policy. Wantrouw sites die dat nalaten. Staat zo'n link er wel, dan kun je het document bestuderen. Een genoegen is dat niet, want vaak gaat het om tekst in quasi-juridisch jargon. Dit zou je voor elke site apart moeten doen. In de praktijk neemt niemand die moeite.

Makkelijker wordt het wanneer een site het TRUSTe-logo voert. Dit is een plaatje in groen en wit, met de naam van het logo erop. TRUSTe (www.truste.org) is mede opgericht door de Electronic Frontier Foundation, een organisatie voor digitale burgerrechten. Bedrijven als America Online en Microsoft steunen het intitiatief met geld. TRUSTe geeft geen dwingende voorschriften omtrent de privacy van de klant. Waar het om gaat is openheid. Een bedrijf dat privégegevens probeert te verzamelen, deze gegevens doorverkoopt, en ze zelf gebruikt om spam te versturen, kan toch een TRUSTe-logo krijgen, zolang het hier maar open over is en bezoekers de gelegenheid geeft de gegevens op juistheid te controleren.

Een nieuw instrument waarmee de surfer zijn persoonlijke levenssfeer enigszins kan beschermen zonder dat het veel moeite kost, is de afgelopen weken geruisloos geïntroduceerd. Het heet P3P en zit in Internet Explorer 6, de jongste browser van Microsoft. IE 6 is beschikbaar sinds augustus, en is een onderdeel van Windows XP, het nieuwe besturingssysteem. P3P is ontwikkeld door het World Wide Web Consortium (W3C), een lichaam dat standaarden voor het World Wide Web bedenkt. De afkorting staat voor Platform for Privacy Preferences Project.

Een website die aan P3P meedoet, verplicht zich zijn privacybeleid bekend te maken in een standaardformaat. Dit maakt twee dingen mogelijk. In de eerste plaats kunnen browsers die geschikt zijn voor P3P tot nu toe alleen IE 6 dit `privacy statement' met een paar klikken zichtbaar maken (klik in IE 6 op `Beeld - Privacy Report' en dubbelklik op de juiste website). Speuren op webpagina's hoeft niet meer.

In de tweede plaats is dankzij de standaardformulering een geautomatiseerde vergelijking mogelijk met de wensen van de bezoeker. Deze wensen zijn makkelijk in te stellen (Extra - Internetopties - Privacy) en betreffen alleen de behandeling van zogeheten cookies. Cookies zijn kleine tekstbestandjes die sites kunnen achterlaten op de harde schijf van de bezoeker, en die worden gebruikt om hem bij een volgend bezoek te herkennen. Die herkennning kan dienen om de weergave van de site op het scherm aan te passen aan de specificaties van de pc, maar ook om de surfgewoonten van de eigenaar te registreren.

De standaardinstelling van IE 6 is helaas het toelaten van alle cookies. De op een na strengste instelling van IE 6 weigert alle cookies van sites die niet aan P3P voldoen, en bovendien cookies die de site helpen aan persoonlijke informatie. Enig experimenteren leert dat deze instelling weinig problemen oplevert bij het surfen. Bij de boekenwinkel Bol.com blijft de begroeting `Welkom Herbert' uit en de gegevens voor een transactie moeten weer worden ingetypt. Een cookie van de Consumentenbond wordt geweigerd omdat de CB nog niet aan P3P meedoet. Ook een cookie van Microsoft wordt buiten gehouden, ook al doet Microsoft wel aan P3P mee. Blijkbaar was dit cookie te nieuwsgierig. Hinder levert een en ander niet op, een gerust gevoel wel.

P3P garandeert niet dat sites zich houden aan hun eigen uitgangspunten, maar sites moeten wel vermelden waar een bezoeker met klachten terecht kan. De website van P3P (www.w3.org/P3P) vermeldt nog maar een dikke 200 deelnemende sites, maar IE 6 zal de markt wel weer veroveren dus is er genoeg druk om te gaan meedoen. Overigens ontslaan dergelijke automatismen de internettende burger niet van de plicht zelf voorzichtig te zijn bij het invullen van allerlei formulieren op het Web.

beet@nrc.nl