Wie houdt ‘supercookies’ in de gaten? Niemand kent het antwoord

De telefoonaanbieder gebruikt zogeheten tracking headers. Maar wie controleert of het bedrijf zich wel aan privacywetten houdt?

Tracking headers om betalingen af te handelen

Vodafone gebruikt in Nederland zogeheten tracking headers, ook wel supercookies genoemd. Met tracking headers kunnen telecomaanbieders gegevens over gebruikers verzamelen zonder dat zij dat simpel kunnen weigeren. Het is een complexe technologie, waarover veel juridische en technische onduidelijkheid bestaat.

1 Wat doet Vodafone nou precies?

Bij Vodafone kun je bepaalde online-aankopen doen via de telefoonrekening. Bijvoorbeeld in sommige appwinkels kunnen klanten een app kopen, en die via hun telefoonrekening betalen. Om aan de winkel te laten weten dat degene die aankoop kan doen, injecteert Vodafone de tracking headers in het netwerk. Deze tracking headers bevatten voor de winkel geen herleidbare details over de klant. Wel kan Vodafone zien waar hij winkelt.

2 Is het erg dat dat gebeurt?

Daarover valt te twisten. Bedrijven die een betaling afhandelen moeten nou eenmaal op een of andere manier de transactie koppelen aan een gebruiker. Tracking headers zijn een handige (maar niet de enige) manier daarvoor.

Het is wel oppassen met tracking headers: ze kunnen ook worden gebruikt voor het verzamelen van veel meer informatie over surf- en app-gedrag van mensen. Amerikaanse telecomaanbieders hebben ze in het verleden gebruikt om profielen van klanten te maken voor advertenties. Toen daar ophef over ontstond, zijn ze helemaal gestopt met tracking headers.

Vodafone zegt dat het de technologie daarvoor niet gebruikt. Maar woordvoerder Joost Galema geeft toe dat Vodafone tot aan mei tracking headers ‘breder heeft ingezet’ dan alleen voor online-betalingen. Toen stuurde het bedrijf de tracking headers mee bij het bezoek van klanten aan allerlei andere websites, ook als dat niet nodig was voor betalingen. Galema zegt dat daarbij geen profielen van klanten zijn opgebouwd. Wel is het bedrijf destijds gestopt met de brede toepassing van tracking headers vanwegeprivacybezwaren’ van klanten. Vodafone zegt dat klanten zichzelf kunnen afmelden voor tracking headers via de klantenservice.

3 Klopt de term supercookie?

Het controversiële aan tracking headers is dat je ze niet eenvoudig kunt weigeren: ze worden namelijk niet op je eigen smartphone opgeslagen, maar ze staan op het netwerk van Vodafone. Volgens de Nederlandse cookiewet moeten klanten de mogelijkheid hebben om cookies direct te kunnen weigeren.

Maar zijn het wel cookies? Dat hangt ervanaf hoe je ‘cookie’ definieert. Als het een bestand is dat gegevens over gebruikers verzamelt, zou je een tracking header een cookie kunnen noemen. ‘Super’ slaat dan op het feit dat ze niet te weigeren zijn.

Maar als je de technische definitie van cookie als uitgangspunt neemt (een bestand dat op de smartphone of computer van een gebruikers zelfstaat) dan ligt dat anders. Tracking headers staan namelijk op het netwerk.

4 Wie houdt er toezicht op?

Die definitiekwestie blijkt ook verwarrend te zijn voor degenen die moeten opletten of Vodafone zich wel aan de wet houdt. In Nederland handhaaft de Autoriteit Consument en Markt de cookiewet. Maar woordvoerder Saskia Bierling weet niet of supercookies ook onder dat toezicht vallen. „Het is nogal technisch allemaal, en wat ik ervan begrijp ook allemaal vrij nieuw. Het kan zijn dat het gedeeld toezicht is met het College Bescherming Persoonsgegevens, maar dat zijn wij nog aan het uitzoeken.” Het CBP zegt dat het zelf gaat over de verwerking van persoonsgegevens. Volgens een woordvoerder is het ook mogelijk dat het Agentschap Telecom over het technische toezicht gaat. Overigens is de techniek helemaal zo nieuw niet: daarmee wordt al sinds 2000 geëxperimenteerd door telecomproviders.

Tweede Kamerlid Kees Verhoeven (D66), een van de bedenkers van de cookiewet, wil meer duidelijkheid. „Er lijkt sprake van een grijs gebied. Net zoals bij normale cookies zouden gebruikers ook supercookies gemakkelijk moeten kunnen weigeren. Als de ACM constateert dat de huidige wetten daarvoor niet voldoen, wil ik die aanpassen.”