Wie houdt die ‘supercookies’ in de gaten? Niemand die het weet

Foto Sesamestreet

Ophef over tracking headers, ook wel supercookies genoemd. Vodafone zou daarmee app- en surfgegevens over gebruikers verzamelen zonder dat zij dat simpel kunnen weigeren. Overdreven, zeggen anderen. Hoe zit dat? Vier vragen:

1. Wat doet Vodafone nou precies?

Bij Vodafone kun je bepaalde online-aankopen doen via de telefoonrekening. Bijvoorbeeld in sommige appwinkels kunnen klanten een app kopen, en die via hun telefoonrekening betalen. Om aan de winkel te laten weten dat degene die aankoop kan doen, injecteert Vodafone de tracking headers in het netwerk. Deze tracking headers bevatten voor de winkel geen herleidbare details over de klant. Wel kan Vodafone zien waar hij winkelt.

tracking headers

2. Is het erg dat dat gebeurt?

Daarover valt te twisten. Bedrijven die een betaling afhandelen moeten nou eenmaal op een of andere manier de transactie koppelen aan een gebruiker. Tracking headers zijn daarvoor een handige (maar niet de enige) manier.

Het is wel oppassen met tracking headers: ze kunnen ook worden gebruikt voor het verzamelen van veel meer informatie over surf- en app-gedrag van mensen. Amerikaanse telecomaanbieders hebben ze in het verleden gebruikt om profielen van klanten te maken voor advertenties. Toen daar ophef over ontstond, zijn ze helemaal gestopt met tracking headers.

Vodafone zegt dat het de technologie daarvoor niet gebruikt. Maar woordvoerder Joost Galema geeft toe dat Vodafone tot aan mei tracking headers ‘breder heeft ingezet’ dan alleen voor online-betalingen. Toen stuurde het bedrijf de tracking headers mee bij het bezoek van klanten aan allerlei andere websites, ook als dat niet nodig was voor betalingen. Galema zegt dat daarbij geen profielen van klanten zijn opgebouwd. Wel is het bedrijf destijds gestopt met de brede toepassing van tracking headers vanwege ‘privacybezwaren’ van klanten. Vodafone zegt dat klanten zichzelf kunnen afmelden voor tracking headers via de klantenservice.

3. Klopt de term supercookie?

Het controversiële aan tracking headers is dat je ze niet eenvoudig kunt weigeren: ze worden namelijk niet op je eigen smartphone opgeslagen, maar ze staan op het netwerk van Vodafone. Volgens de Nederlandse cookiewet moeten klanten de mogelijkheid hebben om cookies direct te kunnen weigeren.

Maar zijn het wel cookies? Dat hangt ervanaf hoe je ‘cookie’ definieert. Als het een bestand is dat gegevens over gebruikers verzamelt, zou je een tracking header een cookie kunnen noemen. ‘Super’ slaat dan op het feit dat ze niet te weigeren zijn.

Maar als je de technische definitie van cookie als uitgangspunt neemt (een bestand dat op de smartphone of computer van een gebruikers zelf staat) dan ligt dat anders. Tracking headers staan namelijk op het netwerk.

4. Wie houdt er toezicht op?

Die definitiekwestie blijkt ook verwarrend te zijn voor degenen die moeten opletten of Vodafone zich wel aan de wet houdt. In Nederland handhaaft de Autoriteit Consument en Markt de cookiewet. Woordvoerder Saskia Bierling:

“Onze conclusie is dat we geen haakjes zien waarmee we op de ‘tracking headers’ of hoe je dit wilt noemen toezicht kunnen houden. Wij houden toezicht als het gaat om gegevens die worden geplaatst op het apparaat van de gebruiker. Dat is nu niet het geval.”

Het College Bescherming Persoonsgegevens zegt dat het zelf gaat over de verwerking van persoonsgegevens. Volgens een woordvoerder is het ook mogelijk dat het Agentschap Telecom over het technische toezicht gaat. Overigens is het best vreemd dat er zoveel onduidelijkheid over het toezicht bestaat: met de technologie wordt al sinds 2000 geëxperimenteerd door telecomproviders.