Internetbedrijf weet alles van u

De vraag moet er niet over gaan of een IP-adres een persoonlijk gegeven is. Veel belangrijker is het wat internetbedrijven hiermee mogen doen, betoogt Ronald Leenes.

Illustratie Bas van der Schot Schot, Bas van der

Dezer dagen woedt een discussie over de vraag of IP-adressen, de cijfercombinaties zoals 136.125.230.12 waarmee computers elkaar kunnen vinden op het internet, persoonsgegevens zijn. Zo is de Civil Liberties Committee van het Europees Parlement bezig met een onderzoek naar IP-adressen, de Article-29 Working Party on data protection heeft vorige week besloten dat IP-adressen persoonlijke gegevens zijn. Ook andere Europese privacywaakhonden zoals het College Bescherming Persoonsgegevens menen dat dit meestal het geval is. Veel internetbedrijven, met name zoekmachineaanbieders en de advertentie-industrie betogen juist van niet.

Voor een buitenstaander lijkt het misschien te gaan om een futiel technisch debat zonder relevantie voor de doorsnee internetgebruiker. Dat is het evenwel niet. Alleen is de vraag of IP-adressen persoonsgegevens zijn, niet de juiste vraag. Van groter belang is of we de activiteiten wel moeten toestaan die bepaalde bedrijven (als Google en grote advertentieaanbieders) ontplooien op basis van IP-adressen.

In de discussie omtrent persoonsgegevens speelt vaak de gedachte dat het gaat om gegevens die verbonden zijn met een individu waarvan (eenvoudig gesteld) de naam bekend is, zodat deze in de echte wereld kan worden aangesproken. Bij IP-adressen is dat soms het geval omdat de Internet Service Provider de koppeling tussen de naam van een klant en diens IP-adres kan leggen. Maar in veel gevallen is eenduidige koppeling tussen IP-adres en individu niet mogelijk – denk aan huishuishoudens waarin meerdere computers naar buiten toe gebruikmaken van hetzelfde IP-adres. Zie hier het meningsverschil: is het glas halfvol of halfleeg.

Bedrijven als Google en advertentieaanbieders als DoubleClick zijn helemaal niet geïnteresseerd in de naam van hun gebruikers en van bezoekers. Ze zijn slechts geïnteresseerd in het herkennen van terugkerende gebruikers en bezoekers. Daartoe worden (zoek)acties en paginabezoeken van gebruikers op hun servers bewaard aan de hand van hun IP-adressen. Ook plaatsen ze cookies (kleine bestandjes) op de gebruikerscomputer die vervolgens bij latere bezoeken kunnen worden herkend.

Er wordt veel geïnvesteerd in technieken om bepaalde gebruikers zo goed mogelijk te herkennen, ook als deze deel uitmaken van een groep gebruikers met hetzelfde IP-adres (daarvoor worden onder meer de cookies gebruikt, maar ook gedragskarakteristieken zoals specifieke zoektermen).

Is dat erg? Ik meen van wel. Ik heb namelijk, net als u, veel te verbergen. Niet omdat ik illegale activiteiten ontplooi, maar omdat ik verschillende gezichten vertoon in verschillende contexten. Het is belangrijk belangrijk voor mij dat dit zo blijft.

Zoekmachineaanbieders (Google, Yahoo, Microsoft), maar vooral de grote advertentieaanbieders (DoubleClick, Tacoda) bouwen een infrastructuur die het mogelijk maakt om individuen te herkennen tijdens veel online activiteiten. DoubleClick bijvoorbeeld herkent mij (aan het cookie dat ze op mijn computer hebben geplaatst) op iedere website waar ze advertenties aanbieden – en dat zijn er veel. Zoekmachines herkennen mij tevens bij het uitvoeren van zoekopdrachten. Dergelijke informatie wordt tussen de betrokkenen uitgewisseld. Hierdoor ontstaan gedetailleerde profielen van wat ik online doe en daarmee ook van mijn interesses.

Op zichzelf gaat me dit al te ver, maar het wordt zorgelijker wanneer we bedenken dat dergelijke ‘holistische’ profielen onze sociale identiteit ondermijnen. Ik begeef me in verschillende contexten (werk, supermarkt, sportclub, theater, familie). In elk van daarvan vertoon ik andere aspecten van mijzelf, ingegeven door mijn keuzes en de behoeften binnen de context. Het gaat mijn werkgever niet aan wat mijn politieke voorkeur is en de supermarkt hoeft niet te weten waar ik werk. Sterker, het continu beschikbaar zijn van dergelijke, op zichzelf onschuldige informatie, introduceert automatisch vragen en afwegingen die helemaal niet thuishoren in de betreffende contexten.

Informatie over onszelf is contextgevoelig. De online-profielen negeren dit waardoor verkeerde conclusies kunnen worden getrokken. De profielgebruikers beschikken continu over informatie die ze in de context helemaal niet horen te hebben. Zonder scheiding van sociale contexten geen intimiteit, zonder muren geen goede buren.

De ontwikkelde profielen zijn ook om een tweede reden zorgelijk. Ze worden nu vooral gebruikt om advertenties op maat aan te bieden. Maar niets weerhoudt dienstenaanbieders om ook de inhoudelijke informatie aan te passen aan de profieldata. Internetgebruikers kunnen derhalve te zien krijgen wat de aanbieder vindt dat deze zou moeten zien, terwijl de gebruiker de illusie heeft dat in ieder geval de inhoud van de informatie ‘objectief’ is. Er bestaat een gevaar van ondoorzichtige verkokering van de informatievoorziening op basis van informatie die op onduidelijke en heimelijke wijze wordt verzameld over internetgebruikers. Dit veroorzaakt niet alleen kritiekloze consumptie, maar verkleint ook de keuzemogelijkheden van het individu.

Verder kunnen de profielen gebruikt worden voor grootscheepse (prijs)discriminatie, iedere internetgebruiker kan anders worden behandeld.

Wat dergelijke praktijken voor effecten hebben op individu en maatschappij is niet geheel duidelijk. Wat mij wel duidelijk lijkt, is dat de discussie over dit soort vragen moet gaan – en niet over de vraag of IP-adressen wel of geen persoonsgegevens zijn.

Dr. Ronald Leenes is universitair hoofddocent bij TILT, Centrum voor recht, technologie en maatschappij van de Universiteit van Tilburg.