Welkom terug, 145.433.24.2

Wie op internet surft, kan herkend worden door het IP-adres van zijn computer.

De gegevens die bedrijven zo verzamelen, zijn een gevaar voor onze sociale identiteit.

Zijn IP-adressen – de cijfercombinaties via welke computers elkaar vinden op internet – persoonsgegevens? Over die vraag vindt dezer dagen een verwoede discussie plaats.

Het College Bescherming Persoonsgevens (CPB) noemt de adressen in de meeste gevallen inderdaad persoonsgegevens. Veel internetbedrijven – zoekmachines, adverteerders – zijn daarentegen een andere mening toegedaan. IP-adressen zijn immers niet ‘persoonsgebonden’, stellen zij.

In feite hebben beide partijen half gelijk. Internetproviders kunnen wel degelijk een koppeling leggen tussen de naam van een klant en diens IP-adres. Maar in de meeste gevallen is die koppeling niet mogelijk, omdat huishoudens over meerdere computers beschikken, of omdat mensen op verschillende computers werken.

Het lijkt hier te gaan om een futiele technisch kwestie, die weinig relevant is voor de doorsnee internetter. Maar schijn bedriegt. Zijn privacy staat op het spel. Maar of IP-adressen al dan niet persoonsgegevens zijn, is niet de juiste vraag. Veel belangrijker is of de activiteiten die bedrijven als Google op basis van IP-adressen ontplooien wel billijk zijn.

Zoekmachines als Google en adverteerders als DoubleClick zijn namelijk helemaal niet geïnteresseerd in de naam van hun bezoekers. Ze zijn vooral geïnteresseerd in het herkennen van een gebruikersprofiel. Daartoe worden – aan de hand van de IP-adressen – zoekacties en paginabezoeken op de eigen servers bewaard. Ook worden cookies op de computer van de gebruiker geplaatst, zodat deze bij volgende bezoeken kan worden herkend. In dit soort technieken wordt veel geïnvesteerd; het helpt bedrijven gedragskarakteristieken van klanten in kaart te brengen.

Is dat erg? Jazeker. We hebben allemaal iets te verbergen. Niet omdat we illegale activiteiten ontplooien, maar omdat we verschillende identiteiten hebben. Omdat internetbedrijven steeds preciezer bijhouden wat mensen doen op internet, ontstaan gedetailleerde profielen – van onze interesses en gedragingen. Dat gaat op zichzelf al tegen de privacy van burgers in. Maar vooral zorgelijk is het dat ‘holistische’ internetprofielen onze sociale identiteit ondermijnen.

Een mens begeeft zich immers altijd in verschillende contexten – werk, supermarkt, sportclub, familie etcetera. In elke context vertoont hij andere aspecten van zichzelf, ingegeven door zijn keuzes en behoeften binnen die context. Die contexten wil hij dus gescheiden houden; het gaat een werkgever niets aan wat iemands politieke voorkeur is en de supermarkt hoeft niet te weten waar iemand werkt. Online profielen gaan volledig voorbij aan het feit dat persoonsgebonden informatie contextgevoelig is.

De profielen zijn ook om een tweede reden zorgelijk. Ze worden nu vooral gebruikt om advertenties op maat aan te bieden, maar niets weerhoudt bedrijven ervan ook andere informatie aan te passen aan het profiel. Zo zouden ze kunnen bepalen wat gebruikers te zien krijgen, terwijl de gebruiker de illusie heeft dat de de informatie ‘objectief’ is. Wie zegt dat niet alle resultaten op Google ‘gesponsorde’ links kunnen zijn? En wie zegt dat de artikelen op gesponsorde weblogs en websites niet de belangen van adverteerders verwoorden?

Consumptieprofielen kunnen dus niet alleen kritiekloze consumptie veroorzaken, maar ook de individuele keuzemogelijkheden ongemerkt verkleinen. Bovendien dreigt het gevaar van discriminatie: iedere internetter zou andere informatie aangeboden kunnen krijgen.

De vraag is dus niet of IP-adressen persoonsgegevens zijn. De vraag is hoe wij onszelf als personen definiëren.

Ronald Leenes is universitair hoofddocent bij het Tilburgs Centrum voor recht, technologie en maatschappij van de Universiteit van Tilburg.