Ongevraagd nestelende cookies

Ruim een kwart van de websites schendt de wet door ongevraagd ‘tracking cookies’ op computers en smart phones te plaatsen .

Foto Arjen Born

We zien ze amper meer staan: de waarschuwingen voor cookies als je voor het eerst een website bezoekt. Je klikt de waarschuwing weg en gaat verder. Je denkt: met deze site zit het wel goed.

Maar de praktijk is: die waarschuwingen dienen geen enkel doel. Het kwaad is dan vaak al geschied. Daar kwamen Taco Dankers en Gijsbert Boon van het Amsterdamse bedrijf Cookiesfabriek achter, die enkele weken lang 592.478 Nederlandse websites lieten bezoeken door meerdere computers. Ze willen een cookies-keurmerk voor websites beginnen en willen daarom aantonen dat veel websites de privacywetgeving slecht naleven. Wat bleek: 28 procent van de Nederlandse websites plaatst nog vóórdat je ergens op klikt ‘tracking cookies’ van advertentiebedrijven op je computer of smartphone. Die cookies leggen je surfgedrag nauwkeurig vast. Deze websites doen dat ongevraagd en dat is in strijd met de wet.

Op zijn kantoor in IJburg laat Dankers zien hoe zijn computers de websites automatisch afstruinen. Hij gaat naar de site van nu.nl. Direct verschijnen namen van tracking cookies als ‘beacon.krxd.net’ op het scherm. Cookies die nu dus op de computer van Dankers staan en vastleggen welke sites hij bezoekt.

Via dit soort cookies stellen advertentiebedrijven een profiel met online voorkeuren van de gebruiker samen. Vervolgens bieden ze dat te koop aan. Het stelt adverteerders in staat om hun advertenties af te stemmen op particuliere interesses. Bijvoorbeeld: man, tussen de 20 en de 30, geïnteresseerd in voetbal, extreme sporten en porno. Volgens de wet mogen websites dit soort cookies alleen achterlaten na toestemming van de sitebezoeker. Als Dankers surft naar nrc.nl en volkskrant.nl blijken die ook al bij het eerste bezoek tracking cookies te plaatsen. Van de mediasites die hij bezoekt is Geenstijl.nl, fervent privacyvoorvechter, de koploper bij het achterlaten van cookies. Bij een eerste bezoek, voordat iemand toestemming geeft, zijn het er al een stuk of twintig.

Cookies zijn er in diverse soorten. De meeste zijn kleine, onschuldige bestanden die een site op de computer plaatst om de pc te herkennen. Ze zorgen er bijvoorbeeld voor dat inloggegevens worden onthouden. Voor deze ‘functionele cookies’ is geen toestemming vereist. Tracking cookies zijn er niet voor gebruikersgemak, maar voor adverteerders. De websites die ze op de computer plaatsen, krijgen daar geld voor van advertentiebedrijven.

Wanneer een gebruiker een site bezoekt, vindt er vaak razendsnel een online veiling plaats op basis van het profiel met daarin persoonlijke interesses. De hoogste bieder mag een advertentie voorschotelen. Advertenties voor vakanties in Noorwegen bijvoorbeeld, voor wie net de site van de Noorse VVV heeft bezocht. Zo liggen van iedere gebruiker wereldwijd profielen bij advertentiebedrijven opgeslagen die constant worden geactualiseerd.

De consument vind dat misschien niet zo’n ramp. Maar die vindt het waarschijnlijk wel een probleem als door een lek diens complete, naar hem herleidbare surfgedrag op straat komt te liggen. Iets wat in het verleden al eens gebeurde bij de Amerikaanse internetaanbieder AOL. De advertentiebedrijven bezweren daarom altijd dat ze alle profielen anoniem maken. Ze zeggen niet geïnteresseerd te zijn in de identiteit van een websitebezoeker. Als ze maar weten wat diens voorkeuren zijn, zodat ze gericht kunnen adverteren.

Een belangrijk bezwaar bij tracking cookies, zegt privacyonderzoeker Frederik Borgesius van de Universiteit van Amsterdam, is dat onduidelijk is wat er met de verzamelde gegevens gebeurt. „Het grootste probleem is wat we allemaal niet weten”, zegt Borgesius. „De wereld van online marketing is volstrekt niet transparant. Advertentiebedrijven kunnen wel zeggen dat ze geen identificeerbare gegevens over surfgedrag verzamelen, maar dat is amper te controleren.” Zo heeft iedere computer een uniek adres op internet. Via deze zogenoemde IP-adressen kan bij providers iemands identiteit eenvoudig worden achterhaald.

Surfgedrag is niet alleen interessant voor advertentiebedrijven. Als online gedrag tot individuen is te herleiden, kan dat ook interessant zijn voor werkgevers die sollicitanten willen screenen, voor verzekeraars die meer van klanten willen weten, maar ook voor privédetectives, of bedrijven die willen weten waar hun concurrenten op internet naar zoeken.

Taco Dankers en Gijsbert Boon willen met de Cookiesfabriek’ de internetgebruiker beschermen en tegelijkertijd adverteerders en mediabedrijven het werk niet onmogelijk maken. Daarom willen ze een ‘nationaal cookieregister’ oprichten, met websites die garanderen aan alle privacyvoorschriften te voldoen. Consumenten zouden voor alle aangesloten websites maar één keer toestemming hoeven te geven voor het gebruik van privacygevoelige cookies. Tegelijkertijd krijgen ze inzicht in welke informatie die bedrijven verzamelen. Ook krijgen ze het recht om vergeten te worden, waarbij al hun digitale sporen worden gewist.

Dankers: „Zolang de overheid de wet niet handhaaft hebben wij geen business model. Alles wordt gedoogd. Websites en advertentiebedrijven die de wet het hardst schenden, hebben het grootste commerciële voordeel”.