Do-not-track: een brievenbussticker tegen online tracking
Ontwikkelaars van browsers werken aan privacyverbeterende technologie en onlangs beantwoordde staatssecretaris Teeven van Veiligheid en Justitie Kamervragen hierover. Twee onderzoekers van de Universiteit van Stanford hebben kort geleden een goed leesbare bijdrage voor de Amerikaanse Federal Trade Commission (FTC) gepubliceerd over hoe een do-not-tracksysteem er in hun ogen uit zou moeten zien. Wat stellen zij precies voor?
Technisch gezien stellen zij een HTTP-header voor (PDF) die de consument in zijn browser kan inschakelen om aan te geven dat hij niet gevolgd wil worden. Iedere keer dat een bezoeker een website bezoekt, stuurt hij die header naar de website. De website ontvangt dus een uitdrukking van een voorkeur van de bezoeker: de bezoeker dwingt naleving niet technisch af, maar rekent erop dat de website zijn wens respecteert. Dat betekent natuurlijk wel dat websites die header ook kunnen negeren. Daarom zou het bij dit systeem een goed idee zijn om vanuit de overheid regels op te stellen zodat de naleving juridisch wordt afgedwongen.
In een “do-not-track”-systeem staat de definitie van “tracking” natuurlijk centraal. De schrijvers definiëren dit als alle vormen van verzameling, opslag en gebruik van gegevens. Er wordt nadrukkelijk voor gekozen om dit niet te beperken tot behavioral advertising: de Like-knop van Facebook en Google Analytics vallen bijvoorbeeld ook onder de regeling. De onderzoekers kiezen ervoor om het systeem te beperken tot tracking door “derde partijen”, waarbij ze de ervaring van de consument als uitgangspunt nemen. Stel dat Google de zoektermen die jij intypt volgt met behulp van een cookie dat vanuit een ander domein van Google wordt beheerd, dan is dat niet een vorm van “tracking” – want voor de internetgebruiker is dit afkomstig van Google. Als een bedrijf daarentegen binnen haar eigen website informatie verzamelt voor een ánder bedrijf, zoals Omniture, dan zou dat wel een vorm van tracking zijn in deze definitie. Ook een Google advertentie op niet-Google-websites is een voorbeeld van iets dat wel onder de regeling valt, omdat een websitebezoeker niet de indruk heeft contact te hebben met Google: Google is hier dus wel een derde partij.
In antwoord op Kamervragen van Sharon Gesthuizen (SP) stelde staatssecretaris Teeven dat hij een do-not-tracksysteem onhaalbaar achtte. Hij leek daarbij echter het bel-me-nietregister in zijn achterhoofd te hebben. In het systeem zoals voorgesteld door de onderzoekers van Stanford is er juist géén sprake van een centraal register van afgemelde consumenten: je voorkeur wordt opgeslagen op je eigen computer en telkens verstuurd naar de websites die je bezoekt. Je kunt het do-not-tracksysteem dus beter vergelijken met een brievenbussticker.
Vaak wordt de discussie over online privacy gereduceerd tot een discussie over een cookieverbod, of meer algemeen, een verbod op het opslaan van gegevens op de computer van de websitebezoeker. Aangezien je ook door je IP-adres en je browserconfiguratie kunt worden herkend, is dat echter niet afdoende om bescherming tegen tracking te bieden. Het door Stanford voorgestelde do-not-tracksysteem biedt een uitstekende methode om je als consument te verzetten tegen tracking, zonder dat technische kennis is vereist en zonder dat je zelf een lijst van adressen van trackingbedrijven moet bijhouden.
Als dit voorstel door de FTC wordt aangenomen, hebben we binnenkort in een aantal webbrowsers een eenvoudig selectievakje om bezwaar te maken tegen tracking door Amerikaanse partijen. Het is te hopen dat ook in Europa dit voorstel in overweging wordt genomen, zodat jij precies kunt bepalen wie jou op internet mag volgen.