Je hoeft niet eens te klikken voor cookies

Nederlandse websites schenden massaal de privacywet // Eén op de drie plaatst ongevraagd ‘tracking cookies’ op je computer // Ze weten dat het niet mag, maar doen het toch

We zien ze amper meer staan: de waarschuwingen voor cookies als je voor het eerst een website bezoekt. Je klikt de waarschuwing weg en gaat verder. Je denkt: met deze site zit het wel goed.

Maar dat is theorie.

Want de praktijk is: die waarschuwingen dienen geen enkel doel. Het kwaad is dan vaak al geschied.

Daar kwamen twee Amsterdamse ondernemers achter, die enkele weken lang 592.478 Nederlandse websites lieten bezoeken door meerdere computers. Taco Dankers en Gijsbert Boon heten ze. Ze wilden aantonen dat veel websites de privacywetgeving slecht naleven.

Wat bleek: 28 procent van de Nederlandse websites plaatst nog vóórdat je ergens op klikt ‘tracking cookies’ van advertentiebedrijven op je computer of smartphone. Die cookies – in feite kleine tekstbestanden – leggen je surfgedrag nauwkeurig vast. Deze websites doen dat zonder het aan je te vragen en in strijd met de wet.

Op zijn kantoor in Amsterdam IJburg laat Dankers zien hoe zijn computers de Nederlandse websites automatisch afstruinen. Hij gaat naar de site van nu.nl. Direct verschijnen er namen van tracking cookies als ‘beacon.krxd.net’ op het scherm. Cookies die nu dus op de computer van Dankers staan en vastleggen welke websites hij bezoekt en waar hij op klikt. Het blijkt in dit geval te gaan om een ‘visitor tracking and monetization service’ die nu.nl het surfgedrag van zijn bezoekers laat volgen.

Via dit soort cookies stellen advertentiebedrijven een profiel met je online voorkeuren samen. Vervolgens bieden ze dat te koop aan. Het stelt adverteerders in staat om hun advertenties af te stemmen op jouw interesses.

Volgens de wet mogen websites dit soort privacygevoelige cookies alleen achterlaten na expliciete toestemming van de sitebezoeker.

Als we surfen naar nrc.nl en volkskrant.nl blijken die ook al bij het eerste bezoek tracking cookies te plaatsen. Van de mediasites die we bezoeken is Geenstijl, tegenwoordig fervent privacyvoorvechter, de absolute koploper bij het achterlaten van dit soort privacyschendende cookies. Bij een eerste bezoek, voordat iemand ook maar ergens toestemming voor geeft, zijn het er al een stuk of twintig.

Wat zijn cookies eigenlijk?

Cookies zijn er in diverse soorten. En lang niet alle cookies zijn privacygevoelig. De meeste zijn onschuldig en vooral handig. Het zijn kleine bestanden die een site op je computer plaatst om je pc te herkennen. Ze zorgen er bijvoorbeeld voor dat je inloggegevens worden onthouden. Daardoor word je ook op de betaalpagina direct herkend en kun je makkelijk online afrekenen. Voor deze ‘functionele cookies’ is geen expliciete toestemming van de bezoeker vereist.

Tracking cookies zijn heel anders van aard. Die zijn er niet voor jouw gemak, maar voor het commerciële belang van adverteerders. De websites die ze op je computer plaatsen, krijgen daar geld voor van advertentiebedrijven.

Bijvoorbeeld van advertentiebedrijf Doubleclick, een dochterbedrijf van Google. De internetgigant is met diverse dochterbedrijven die tracking cookies plaatsen veruit de grootste verzamelaar van profielen met persoonlijke voorkeuren van mensen.

Dat werkt zo: zodra je een website bezoekt vindt er vaak razendsnel een online veiling plaats op basis van jouw profiel met daarin je persoonlijke interesses. De hoogste bieder mag jou een advertentie voorschotelen. Scheermesjes voor mannen, pumps voor vrouwen, dat soort werk.

Het kan ook specifieker. Advertenties voor vakanties in Noorwegen bijvoorbeeld als je net de site van het Noorse toerismebureau hebt bezocht.

Zo liggen van iedere internetgebruiker wereldwijd profielen bij advertentiebedrijven opgeslagen die constant worden geactualiseerd op basis van je recente surfgedrag.

Hoe erg zijn tracking cookies?

Dat ligt er maar aan hoe je ertegenaan kijkt. Het College Bescherming Persoonsgegevens (CBP) verwoordt het op zijn website als volgt: „Met tracking cookies kan een grote hoeveelheid gevoelige persoonsgegevens worden verzameld – gegevens over iemands surfgedrag – zonder dat de betreffende internetgebruiker dit weet.”

Volgens het college leidt het plaatsen van tracking cookies zonder expliciete toestemming ertoe dat bezoekers van een site verschillend worden behandeld: ze krijgen speciaal op hen gerichte advertenties voorgeschoteld.

Als consument vind je dat misschien niet zo’n ramp. Maar je vindt het misschien wel een probleem als door een lek je complete, naar jou herleidbare surfgedrag op straat komt te liggen. Iets wat in het verleden al eens gebeurde bij de Amerikaanse internetaanbieder AOL.

De advertentiebedrijven bezweren daarom altijd dat ze alle profielen anoniem maken. Ze zeggen helemaal niet geïnteresseerd te zijn in de identiteit van een websitebezoeker. Als ze maar weten wat diens voorkeuren zijn, zodat ze gericht kunnen adverteren.

Man, tussen de 20 en de 30, geïnteresseerd in voetbal, extreme sporten en porno bijvoorbeeld. Al zeggen veel advertentiebedrijven weg te blijven van ‘gevoelige informatie’ als bezoek aan pornosites – en dat ze daarover niets vastleggen.

Of ze leggen de informatie vast, maar zorgen ervoor dat deze meneer geen pornogerelateerde advertenties in beeld krijgt. Hooguit ziet hij wat vaker aanbiedingen van datingsites.

Wat doen advertentiebedrijven?

Dat is onduidelijk. Neem het Nederlandse advertentiebedrijf Adatus. Dat zei in 2011 profielen van 10,4 miljoen Nederlandse websurfers te bezitten. Tegelijk verklaart het bedrijf op de eigen website veel belang te hechten aan de privacy van internetgebruikers. „Adatus weet nooit wie jij bent of wat je contactgegevens zijn.”

We vragen wat Adatus dan wél met de surfgegevens van Nederlanders doet. Het bedrijf zegt nu geen profielen meer te bezitten. De tekst op de site is verouderd, zegt mededirecteur Auke van den Hout.

Verwarrend dus. Wat een bedrijf als Adatus precies over ons surfgedrag heeft vastgelegd of nog steeds vastlegt is voor een buitenstaander lastig te achterhalen.

Hier stuiten we op een van de belangrijkste bezwaren bij tracking cookies, zegt privacyonderzoeker Frederik Borgesius van de Universiteit van Amsterdam. „Het grootste probleem is wat we allemaal niet weten”, zegt hij. „De wereld van online marketing is volstrekt intransparant. Advertentiebedrijven kunnen wel zeggen dat ze geen identificeerbare gegevens over surfgedrag verzamelen, maar dat is amper te controleren.”

Zo heeft iedere computer een uniek adres op internet. Via deze zogenoemde IP-adressen kan bij internetproviders iemands identiteit worden achterhaald.

Het kan ook eenvoudiger. Als je ergens op het internet een keer je naam en adres achterlaat bijvoorbeeld. Gegevens die met tracking cookies worden verzameld, kunnen zo aan je identiteit worden gekoppeld.

Online surfgedrag is niet alleen interessant voor advertentiebedrijven. Als sitebezoek en klikgedrag tot individuen zijn te herleiden, kan dat ook interessant zijn voor werkgevers die sollicitanten willen screenen, voor verzekeringsbedrijven die meer van potentiële klanten willen weten, maar ook voor privédetectives of voor bedrijven die willen weten waar hun concurrenten op internet naar zoeken.

Worden er profielen met surfgedrag verhandeld die herleidbaar zijn naar specifieke personen?

Tweede Kamerlid Sharon Gesthuizen van de SP vroeg het vorig jaar augustus aan minister Opstelten (Veiligheid en Justitie, VVD). Ze had een Amerikaans bericht gelezen waarin stond dat online zoeken naar informatie over herpes en kanker via tracking cookies door verzekeraars wordt opgemerkt.

Opstelten antwoordde dat in Nederland „voor het plaatsen en lezen van cookies toestemming nodig is van de internetter en dat deze toestemming moet worden verkregen nadat de internetter hierover duidelijk en volledig is geïnformeerd”.

Het is precies deze wettelijke waarborg die momenteel op grote schaal wordt geschonden. De minister vervolgde zijn schriftelijke antwoord met een verwijzing naar onderzoeken, maar die lopen nog.

Of in Nederland tot personen herleid surfgedrag wordt verhandeld is dus onbekend. Er zijn ook nog geen boetes uitgedeeld aan bedrijven die de regels overtreden.

Taco Dankers en Gijsbert Boon gaat het allemaal niet snel genoeg. Zij willen met hun bedrijf ‘Cookiesfabriek’ de internetgebruiker beschermen en tegelijkertijd adverteerders en mediabedrijven het werk niet onmogelijk maken.

Daarom willen ze een ‘nationaal cookieregister’ oprichten, dat aangesloten bedrijven en organisaties garandeert dat ze aan alle privacyvoorschriften voldoen. Consumenten zouden voor alle aangesloten websites maar één keer toestemming hoeven te geven voor het gebruik van privacygevoelige cookies. Tegelijkertijd krijgen ze inzicht in welke informatie die bedrijven allemaal verzamelen.

„Zolang de overheid de wet niet handhaaft hebben wij natuurlijk geen businessmodel. Alles wordt voorlopig gedoogd. Websites en advertentiebedrijven die de wet het hardst schenden, hebben het grootste commerciële voordeel”, zegt Dankers.

Dit zeggen de websites En dit zeggen de Tweede Kamerleden

De websites in het artikel hebben we gevraagd waarom ze zonder toestemming van bezoekers tracking cookies plaatsen. Geenstijl.nl reageerde niet op dit verzoek. Nrc.nl, nu.nl en vk.nl wel.

De uitgever van NRC Media:

NRC houdt zich inderdaad niet aan de huidige wetgeving rondom cookies. We vragen aan bezoekers die voor het eerst een site van ons bezoeken namelijk geen expliciete toestemming tot het plaatsen van cookies. Wel spreken wij met onze adverteerders af dat de functies die hun cookies vervullen de privacy niet mogen schenden. Deze aanpak – de adverteerder laten voldoen aan de wettelijke normen waarbij NRC de verantwoordelijkheid neemt dit te controleren – is volgens ons de beste manier om de privacy van onze bezoekers te beschermen. Overigens is het wel mogelijk de site te bekijken zonder dat er cookies worden achtergelaten.”

De juridische afdeling van nu.nl:

„Het klopt dat op onze sites, ook al op de eerste pagina die je bezoekt, cookies worden geplaatst. Wij zijn echter van mening dat we daarmee niet handelen in strijd met de wet. Alleen plaatsing van een cookie heeft geen gevolgen voor de privacy. Pas als de cookie weer wordt uitgelezen (op een volgende bezochte pagina) verkrijgt degene die de cookie heeft geplaatst daaruit informatie. Wanneer iemand op een van onze sites niet (impliciet of expliciet) akkoord gaat met het gebruik van cookies, worden de cookies die al op de computer van die gebruiker staan via onze sites niet meer gebruikt. Geeft iemand dus op de eerste pagina aan niet akkoord te zijn met het gebruik van cookies, dan worden deze dus feitelijk niet gebruikt en is de privacy geen moment in het geding geweest.”

Nu.nl reageerde niet meer op de vraag hoe de site kan garanderen dat advertentiebedrijven, die hun tracking cookies via nu.nl plaatsen, die geplaatste cookies niet uitlezen als een bezoeker daar uiteindelijk geen expliciete toestemming voor heeft gegeven.

Directeur productontwikkeling De Persgroep/vk.nl:

„Door De Persgroep, waar de Volkskrant onderdeel van uitmaakt, is de keuze gemaakt om de in de markt meest gebruikelijke praktijk te volgen. Dat houdt in dat we de gebruiker uitgebreid informeren over het gebruik van cookies via een alertbalk en een uitgebreid cookiestatement, maar geen onderscheid maken tussen of het een eerste of volgend bezoek is.”

Bart de Liefde van de grootste regeringspartij VVD reageert verontwaardigd op het grote aantal websites dat ongevraagd tracking cookies plaatst. „Ik ben geschrokken van de hoeveelheid bedrijven die zich niet aan de Nederlandse wet houdt. Dat kan niet. De consument moet zelf kunnen beslissen of hij gevolgd wil worden of niet. Die vrijheid wordt hem nu ontnomen.”

De Liefde zegt minister Kamp (Economische Zaken, VVD) te gaan vragen privacywaakhond CBP ertoe te bewegen de privacywet te handhaven. „Ik roep bedrijven op hiermee te stoppen. Als ze dat niet doen dan zijn ze wat mij betreft nog niet jarig. Dan moet het CBP stevig ingrijpen.”

Sharon Gesthuizen van de grootste oppositiepartij SP zegt dat dit onderzoek aantoont dat veel websites zich zelfs niet aan de minimale voorwaarden houden. „Het intikken van een webadres blijkt al voldoende om tracking cookies op je computer te krijgen. Dat is zonder meer kwalijk. Dit is iets waar minister Kamp zich voor moet verantwoorden.” Toch verbaast het Gesthuizen niet dat dit gebeurt. „De minister heeft eerder laten zien zich weinig zorgen te maken over privacygevoelige cookies. Ook veel burgers vinden waarschuwingen over cookies maar irritant en zijn zich er niet van bewust hoeveel gegevens er over hen worden verzameld. Kennelijk voelen bedrijven daarom de ruimte de wet op deze manier te overtreden.”

Surfen zonder cookies

Als je helemaal niet wilt dat websites op jouw computer cookies plaatsen, dan kun je je browserinstellingen aanpassen zodat je een waarschuwing krijgt voordat dat gebeurt. Ook kun je de instellingen zo aanpassen dat je browser alle cookies of alleen de cookies van derde partijen weigert. Ook kun je je cookies die al zijn geplaatst verwijderen. Let erop dat je de instellingen apart voor elke browser en computer die je gebruikt moet aanpassen.

Het kan zijn dat enkele functies van sites verloren gaan of zelfs dat je bepaalde websites helemaal niet meer kunt zien. Daarnaast betekent het weigeren van cookies of het inschakelen van ‘do not track’ ook niet dat je geen advertenties meer te zien krijgt. De advertenties zijn dan alleen niet meer toegesneden op jouw interesses en worden vaker herhaald.

Hoe je je instellingen kunt aanpassen, verschilt per browser. Wil je cookies van specifieke partijen uitzetten, kijk dan op youronlinechoices.eu.

    • Wilmer Heck