Alleen opa’s maken zich zorgen om hun privacy

In een snoeihard CBP-rapport schrijft de privacywaakhond dat de publieke omroep stiekem ons surf- en klikgedrag volgt. Mag wel, zegt de NPO. Nee hoor, de manier waarop dat gebeurt is bagger, zegt het CBP.

Foto Thinkstock, bewerking Fotodienst NRC

Hij voelt zich geen opa, zegt Wilbert Tomesen, vicevoorzitter van het College Bescherming Persoonsgegevens (CBP). Maar zo werd hij, en zijn organisatie, onlangs wel genoemd door Henk Hagoort, voorzitter van de Nederlandse Publieke Omroep (NPO). Hagoort vindt dat Tomesen spoken ziet als het gaat om de aantasting van de privacy van bezoekers van de NPO-websites van de publieke omroep.

Aanleiding voor Hagoorts uitspraken was een snoeihard CBP-rapport. De privacywaakhond schreef daarin dat de NPO stiekem tracking cookies plaatst op computers en smartphones van mensen die sites bezoeken van omroepen, radio- en tv-programma’s en Uitzending Gemist. Via deze bestandjes volgt de NPO het klik- en surfgedrag van bezoekers om te kijken of programmasites de juiste doelgroepen bereiken.

Bezoekers van NPO-websites worden ook op andere sites gevolgd. Uit het CBP-onderzoek bleek namelijk dat achttien advertentienetwerken tracking cookies achterlaten bij bezoekers van NPO-sites. Die worden benut om internetgebruikers ook buiten de omroepsites gepersonaliseerde advertenties te tonen. Adverteerders denken dat die effectiever zijn dan algemene reclame. Volgens Hagoort is dat acceptabel, omdat klik- en surfgedrag nooit tot individuen zouden worden herleid. „Mijn opa voelt misschien nog wel iets bij de opstelling van het CBP, maar de nieuwe generatie snapt echt niet waar ze zich druk om maken.” Wilbert Tomesen van het CBP, belast met toezicht op de publieke en private sector, blijft kritisch over de NPO.

Hagoort vindt dat u en het CBP zich opstellen als een opa die niet met zijn tijd meegaat. Begrijpt u dat?

Tomesen strekt zijn rug, ademt in en besluit dan nog even te wachten met reageren. „Nee, eerlijk gezegd begrijp ik dat niet”, zegt hij uiteindelijk beheerst. „Die cookies verzamelen gegevens over personen zonder hun toestemming. De manier waarop die toestemming zogenaamd tot stand komt, is namelijk bagger. Als je doorklikt op één NPO-site zou je al toestemming geven voor tracking cookies op alle omroepsites. Die toestemming geldt ook nog eens voor tien jaar. Dan bied je geen kans om een weloverwogen keuze voor tracking cookies te maken. Bovendien worden ze vaak al geplaatst bij het laden van de site, voordat iemand toestemming kán geven.”

Adverteerders en de NPO zeggen dat ze van anonieme mensen alleen hun voorkeuren willen weten om ze gepersonaliseerde advertenties te tonen.

„Deze cookies zijn ervoor gemaakt om personen van elkaar te kunnen onderscheiden. Ten eerste leidt dat ertoe dat mensen verschillend worden behandeld, doordat ze uiteenlopende informatie krijgen aangeboden: van gepersonaliseerde advertenties tot persoonlijke kijktips. Dat beperkt de keuze van sitebezoekers en mag alleen als ze daarvoor toestemming geven. Ten tweede is het herleiden van surfgedrag naar concrete personen vaak wel mogelijk. Daarbij gaat het om persoonsgegevens en heb je toestemming van mensen nodig om hun gegevens te mogen verwerken.”

Bedrijven en sites stellen dat ze in geldproblemen komen als ze niet meer ongevraagd bestandjes mogen plaatsen. Is dat het waard?

„Het kan toch niet zo zijn dat je alleen kan bestaan door fundamentele rechten met voeten te treden? Dan heb je een verdienmodel dat niet door de beugel kan. Zeker als je de publieke omroep bent. Ga dan niet schamperen over iets wat in de grondwet staat en in internationale mensenrechtenverdragen is verankerd. Mensen betalen belasting voor de NPO en via deze weg betalen ze ook nog met hun persoonsgegevens.”

Het is sites al jaren onduidelijk hoe ze op een juiste manier om toestemming kunnen vragen. Hoe moet dat?

„Als bezoekers voor het eerst op een website komen, moet hun de keuze worden gegeven tussen verder surfen met of zonder tracking cookies. Met uitleg erbij, wat voor gegevens die cookies allemaal verzamelen en waarvoor.”

Sites hebben vaak een ‘cookiewall’. Dan kom je de site niet op als je niet op ‘akkoord’ klikt. Mag dat wel?

„Bij de sites van de NPO mag dat niet. Daar moet je als burger gewoon vrij toegang toe hebben, ook als je niet gevolgd wilt worden. Voor nieuwssites geldt dat misschien ook wel. Je zou kunnen stellen dat die ook een maatschappelijke rol vervullen. En alleen ergens op een site stellen dat toestemming wordt afgeleid uit het feit dat je verder surft, mag sowieso niet.”

Dan zijn de meeste sites in overtreding. Pakt u die allemaal aan?

„Wij hopen dat het zover niet komt en dat sites zich vanzelf aan de wet gaan houden. Zo niet, dan komen we vroeg of laat langs. Uiteindelijk is het aan de rechter om te bepalen of wij de wet juist handhaven. De kans bestaat dat we met de NPO ook bij de rechter terechtkomen.”

Pak liever Google en Facebook aan, zeggen de advertentiebedrijven. Die weten pas veel van hun gebruikers, vaak zonder dat ze daar expliciet toestemming voor geven.

„Daar wordt aan gewerkt. Facebook is in Ierland gevestigd en wordt onderzocht door de Ierse toezichthouder. Bij Google hebben we samen met andere Europese toezichthouders eerder al geconstateerd dat ze gebruikers onvoldoende informeren en dat het duister is wat ze met de persoonsgegevens doen. We zijn met Google nu in de handhavende fase beland. Dat betekent dat we een last onder dwangsom (een soort boete, red.) kunnen opleggen. Die kan flink oplopen, er zit geen bovengrens aan. Als Google desondanks niets aanpast, dan komt ook deze zaak voor de rechter.”

Moeten we niet toe naar een systeem waarin mensen zelf de persoonsgegevens te koop aan kunnen bieden die ze online achterlaten? Dan verdienen ze er zelf tenminste wat aan. Er zijn al bedrijven die zo’n systeem willen opzetten.

„Dat lijkt me hartstikke mooi. Als ze dan ook maar goed worden geïnformeerd en de keuze houden om niets te verkopen, en dus niet gevolgd te worden.”