NB. De in het artikel opgenomen voetnoten zijn zo veel mogelijk veranderd in hyperlinks en vervolgens verwijderd. Om deze reden loopt de nummering van de voetnoten niet langer door.
Privacy op Internet een utopie?
“Nederlander ruilt privégegevens niet in voor 'koopje' op internet”, zag ik onlangs als kop op Internet voorbij komen. Uit onderzoek was gebleken dat Nederlanders niet bereid zijn privégegevens en informatie over hun surfgedrag achter te laten bij adverteerders in ruil voor gratis dienstverlening. Ik kon het niet nalaten even te glimlachen bij het lezen van dit bericht. Diezelfde Nederlander ruilt namelijk al lang en breed op grote schaal zijn privacy in voor een koopje of gratis informatie op Internet. Kennelijk is men zich hier niet van bewust. In dit artikel zal ik dan ook ingaan op het (brede) thema privacy op het Internet, meer specifiek de ontwikkelingen op dat vlak de afgelopen jaren.
Wat is privacy?
Voordat ik verder in ga op allerlei recente ontwikkelingen rond het thema “Privacy op Internet”, is het wellicht eerst goed stil te staan bij de vraag: wat is eigenlijk privacy?
Privacy is een breed begrip. Er wordt vaak onderscheid gemaakt tussen relationele privacy en informationele privacy[i]. De relationele privacy ziet op de bescherming van het privéleven, dus het beschermen van intieme, kwetsbare of zeer persoonlijke onderdelen van het leven tegen de buitenwereld. Daar tegenover staat de informationele privacy, die ziet op beginselen van behoorlijk gegevensbeheer. Dat betekent bijvoorbeeld dat de verwerking van persoonsgegevens aan bepaalde zorgvuldigheidscriteria zal moeten voldoen (waarover later meer).
Die beide privacybegrippen overlappen soms, maar soms ook niet. Laat ik proberen daar een eigentijds voorbeeld van te geven. Stel dat iemand lijdt aan een chronische ziekte en daar een weblog over bijhoudt. De
informatie die op dat weblog staat is publiek toegankelijk en het kan dan ook lastig worden volgehouden dat die informatie desalniettemin behoort tot de privésfeer van de betrokkene. Dat betekent echter nog niet per se dat iedereen ook maar alles mag doen met die informatie die op dat weblog staat. Het weblog is voor bijvoorbeeld verzekeringsmaatschappijen[ii] uiteraard zeer interessant. Zij kunnen op basis van de gegevens in het weblog waarschijnlijk een veel betere kansberekening maken van de zorgkosten die voor deze patiënt zullen moeten worden gemaakt. Is het echter redelijk dat de betreffende blogger min of meer “gestraft” wordt voor zijn weblog met een hogere premie voor zijn zorgverzekeringen? Maakt het daarbij nog uit of de verzekeraar vertelt dat de beslissing tot het in rekening brengen van een hogere premie is gebaseerd op de informatie op het weblog, of die beslissing juist in stilte neemt? Of is het in rekening brengen van een hogere premie wellicht alleen redelijk wanneer er met die blogger vooraf gesproken wordt over zijn situatie? Het zijn dit soort vragen die je in een dergelijke situatie vanuit het perspectief van de informationele privacy zou moeten stellen.
Grootschalige verwerking van persoonsgegevens op Internet
In dit artikel zal ik met name ingaan op de informationele privacy. De reden dat ik de relationele privacy in dit artikel niet al te veel aandacht schenk, is dat de principes van de relationele privacy op het Internet niet wezenlijk anders zijn dan in de “normale” offline wereld. Strafrechtelijk geldt: laster blijft laster en smaad blijft smaad. Offline en online maakt daarbij weinig verschil[iii], zolang de website maar publiek toegankelijk is[iv]. Ook civielrechtelijk is het beoordelingskader niet echt anders in een online context. Het komt vaak aan op de afweging van twee fundamentele belangen: vrijheid van meningsuiting (artikel 10 EVRM) vs. bescherming van reputatie en privacy (artikel 8 EVRM). Daarvoor zijn alle feiten en omstandigheden relevant. Wel is het denkbaar dat aan internetpublicaties waarbij een breed publiek wordt gezocht de ruimere persbescherming wordt toegekend[x].
Het is juist de informationele privacy op Internet die de meeste en de meest interessante vragen oproept. Het internet is immers bij uitstek geschikt om op grote schaal persoonsgegevens aan elkaar te koppelen en om verbanden te leggen die zonder de hulp van computers nooit mogelijk zouden zijn geweest. Dat roept allerlei vragen op en die vragen zien allemaal op de informationele privacy.
Historische achtergronden bij juridisch kader
Het juridisch kader van het (informationele) privacyrecht is, ten opzichte van de historie van het Internet, al best oud. In 1981 kwam, op initiatief van de Raad van Europa, het Verdrag van Straatsburg tot stand[xi].
Op dat moment werd het Internet stapsgewijs door technici en wetenschappers gebruikt. Voor het grote publiek was Internet toen nog een onbekend fenomeen[xiii].
Dit verdrag trad voor Nederland pas op 1 november 1993 in werking. Ondertussen had de Europese Commissie op 18 juli 1990 een voorstel voor een Europese privacyrichtlijn gelanceerd[xiv]. In dat voorstel van de Europese Commissie zijn de principes uit het Verdrag van Straatsburg te herkennen. Dit voorstel heeft uiteindelijk op 24 oktober 1995 geleid tot de privacyrichtlijn 95/46/EG. Die richtlijn harmoniseert het privacyrecht in de gehele Europese Unie. Nederland heeft de privacyrichtlijn omgezet in de Wet bescherming persoonsgegevens en die wet trad in werking op 1 september 2001[xv].
Nederlands juridisch kader: de Wet bescherming persoonsgegevens
De Wet bescherming persoonsgegevens (Wbp) is een uitgebreide en genuanceerde wet. Het voert te ver voor dit artikel om de wet in detail te behandelen. De grote lijnen van deze wet zijn als volgt.
De wet geeft regels waaraan iedere verwerking van persoonsgegevens aan moet voldoen. Persoonsgegevens zijn gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon[xvi]. Die definitie is veel omvattend. Onder persoonsgegevens worden bijvoorbeeld verstaan iemands naam of adres, maar ook iemands vriendenlijst, klantnummer of (onder omstandigheden) IP-adres[xvii]. Ook het begrip verwerken is erg ruim gedefinieerd[xviii]. Het komt er op neer dat je in plaats van “verwerken” ook ieder ander werkwoord zou mogen lezen. De Wbp is op elektronische (digitale) verwerking van persoonsgegevens altijd van toepassing[xix], bij analoge verwerking is dat alleen onder omstandigheden het geval.
Een belangrijk aandachtspunt is dat de Wbp beginselwetgeving kan worden genoemd. Anders gezegd: de Wbp bevat voor veel verwerkingen weinig “harde” ge- of verboden, maar reguleert de omgang met persoonsgegevens aan de hand van enkele principes. Zo zal bij iedere verwerking van persoonsgegevens aan de volgende basisprincipes moeten worden voldaan:
- zorgvuldigheid (belang betrokkene altijd in ogenschouw nemen);
- grondslagvereiste (bestaat er wel een gerechtvaardigde reden voor deze verwerking?);
- doelbinding (geen gebruik voor hele andere doelen dan waarvoor verkregen);
- gegevenskwaliteit (kan en mag er op juistheid gegevens worden vertrouwd?);
- gegevenshoeveelheid (is er juiste balans tussen te veel en te weinig gegevens?);
- beveiliging (passende beveiligingsmaatregelen treffen);
- bewaartermijn (niet langer bewaren dan noodzakelijk);
- transparantie (betrokkene informeren over identiteit, doeleinden verwerking en andere relevante informatie).
Verder geldt een extra streng regime voor de verwerking van zogenaamde “bijzondere persoonsgegevens”. Dat zijn alle gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijke achtergronden en opgelegde rechterlijke verboden naar aanleiding van hinderlijk gedrag.
Het komt er dus op neer dat alles wat op Internet met persoonsgegevens gebeurt, zal moeten voldoen aan de Wbp. Nu is het Internet natuurlijk per definitie grensoverschrijdend, terwijl wetten slechts
territoriale gelding hebben. Dankzij de eerder genoemde privacyrichtlijn geldt echter in de gehele Europese Unie (in principe) hetzelfde juridische kader. Zolang persoonsgegevens worden verwerkt door een in de EU gevestigd bedrijf of op in de EU geplaatste apparatuur (zoals in Europese datacentra), zal die verwerking moeten voldoen aan het juridisch kader uit de privacyrichtlijn (door toepassing van één of meer nationale wetten[xx]).
Abstracte beginselwetgeving vs. concrete voorschriften
Het mooie aan abstracte beginselwetgeving zoals de Wbp is dat deze betrekkelijk tijdloos is. Er is geen wetswijziging nodig bij de ontwikkeling van nieuwe technieken. Of het nu gaat om de opkomst van Facebook,
het lanceren van nieuwe diensten door Google of het op steeds grotere schaal koppelen van gegevens, steeds blijft als uitgangspunt gelden dat de betreffende verwerking van persoonsgegevens dient te voldoen aan de principes van de Wbp.
Tegelijk laat de praktijk zien dat er behoefte bestaan aan een meer concrete invulling van die abstracte beginselen[xxi]. Dat persoonsgegevens zorgvuldig moeten worden verwerkt, daarover zal iedereen het wel snel eens zijn, maar wat betekent “zorgvuldig” nu in de praktijk? Hoeveel persoonsgegevens mag een online dienstaanbieder verzamelen en combineren en wanneer overschrijdt deze daarmee concreet een grens?
Om iets meer concrete handen en voeten aan te geven aan de abstracte voorschriften uit de privacyrichtlijn, hebben de gezamenlijke Europese privacytoezichthouders – verenigd in de artikel 29 werkgroep – door de
jaren heen diverse opinies uitgegeven[xxii]. Die opinies zijn vaak erg nuttig en geven een goed beeld van er volgens de toezichthouders op privacygebied moet gebeuren. Tegelijk is het zo dat ook die opinies vaak nog redelijk abstract blijven. Ook moet niet worden vergeten dat de opinies afkomstig zijn van de toezichthouders. Het is in het belang van de toezichthouders om het privacyrecht op een zeer privacyvriendelijke wijze te interpreteren[xxiii]. Het is maar de vraag of een rechter in een concrete situatie net zou oordelen[xxiv].
Vanuit de Europese Unie werd op een gegeven moment duidelijk dat het – mede gezien de razendsnelle ontwikkelingen in de telecommunicatie (waaronder het Internet) – noodzakelijk was om naast de abstracte regels uit de privacyverordening, ook enkele concrete voorschriften met betrekking tot privacy te geven. Vandaar dat op 12 juli 2002 de zogenaamde ePrivacy-richtlijn werd vastgesteld[xxv]. In die richtlijn werden regels gegeven omtrent onder meer het gebruik van locatiegegevens, verkeersgegevens, abonneegegevens en het opslaan van gegevens op de randapparatuur van de eindgebruiker.
Veel discussie over wijziging in cookiewetgeving
Dat laatste onderwerp, het opslaan van gegevens op de eindapparatuur van gebruikers, is de laatste jaren weer heel actueel geworden. De reden hiervoor is als volgt. Een veel gebruikte techniek op Internet waarbij
informatie wordt opgeslagen op de computer van eindgebruikers, is het gebruik van zogenaamde cookies[xxvi]. Cookies zijn kleine tekstbestandjes waarin door de websitehouder informatie kan worden opgeslagen. De websitehouder kan de informatie die hij in een cookie heeft geplaatst altijd weer uitlezen.
Op grond van de hiervoor genoemde ePrivacy richtlijn geldt sinds 31 oktober 2003 in de EU de regel dat cookies alleen mogen worden geplaatst wanneer de gebruiker voorafgaande duidelijke informatie heeft
gekregen en de gebruiker de cookies kan weigeren. Die ePrivacyrichtlijn is onlangs herzien[xxvii]. Voortaan is toestemming vooraf nodig voor het plaatsen van een cookie: opt-out wordt opt-in.
De nieuwe regels dienden uiterlijk 25 mei 2011 in de Nederlandse wet te zijn omgezet. Die datum heeft Nederland niet gehaald. Sterker nog: op het moment van schrijven is de Nederlandse wet nog steeds aanhangig bij de Eerste Kamer[xxviii]. De reden hiervoor is dat er (heel) veel discussie over de nieuwe regels is.
Strijd tussen twee kampen
Het komt er in de kern op neer dat er een strijd aan de gang is tussen twee kampen. Het ene kamp, bestaande uit privacyvoorvechters (zoals de privacytoezichthouders), stelt dat de nieuwe regels met zich meebrengen dat de internetter een actieve handeling moet verrichten voor het geven van toestemming voor het plaatsen van een cookie. Het andere kamp, bestaande uit aanbieders van online diensten, stelt dat de toestemming van de gebruiker ook mag worden afgeleid uit de browserinstellingen. De privacyvoorvechters stellen daar weer tegenover dat bijna niemand die browserinstellingen wijzigt en dat het niet mogelijk is om toestemming af te leiden uit een passieve houding.
De grap is: beide kampen hebben de tekst van de nieuwe richtlijn aan hun zijde. De privacyvoorvechters hebben gelijk dat er voortaan in de regels staat dat toestemming van de eindgebruiker vereist is voor het
plaatsen van cookies. En onder toestemming moet worden verstaan een “vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt”[xxix]. Uit een standaardinstelling in een browser kan inderdaad lastig een “specifieke”, laat staan een “op informatie berustende” wilsuiting worden afgeleid[xxx].
Aan de andere kant moet ik de voorvechters van het andere kamp gelijk geven dat er in overweging 66 van de richtlijn de volgende overweging staat: “Wanneer dit technisch mogelijk en doeltreffend is, kan (…) de toestemming van de gebruiker met verwerking worden uitgedrukt door (…) de desbetreffende instellingen van een browser (…)”. De richtlijn zelf suggereert dus dat het mogelijk is om toestemming voor het plaatsen van cookies te krijgen op basis van de browserinstellingen.
Toch denk ik dat de deze passage uit de considerans van de richtlijn door de laatste groep ietwat uit zijn verband wordt gehaald. Het doel van de richtlijn is om de privacy van internetter beter te beschermen. Van betere privacybescherming kan lastig worden gesproken wanneer er op basis van browserinstellingen volop cookies zouden mogen worden geplaatst bij de gebruiker die zich helemaal niet bewust is van zijn browserinstellingen. Het lijkt er dan ook veel meer op dat de hiervoor geciteerde overweging bedoeld is om vooruit te lopen op eventuele toekomstige technische ontwikkelingen. Daarvoor zouden producenten van browsers en exploitanten van online diensten de handen ineen moeten slaan en samen een techniek ontwikkelen waarbij de internetter op eenvoudige en voor hem begrijpelijke wijze zijn wensen kenbaar kan maken over het plaatsen van cookies op zijn computer.
De lobby gaat ondertussen volop door. Zo hebben diverse aanbieders van online diensten websites gemaakt om het “cookieverbod” belachelijk te maken. Zo heeft Sanoma, de exploitant van onder meer nu.nl, op www.sanomamedia.nl/cookieinfodemo/nu.html een website geplaatst die laat zien hoeveel pop-ups je zou krijgen bij het bezoeken van nu.nl wanneer er voor ieder cookie expliciet toestemming zou moeten worden gevraagd[xxxi]. Op deze website wordt de nieuwe wet, uiteraard bewust[xxxii], ietwat belachelijk gemaakt door op de meest gebruiksonvriendelijke en verstrekkende manier om toestemming te vragen voor het plaatsen van cookies[xxxiii]. Dat het ook anders kan wordt aangetoond door de website van de Engelse privacytoezichthouder The Information Commissioner’s Office (www.ico.gov.uk). Bij het bezoeken van deze website wordt bovenaan de pagina een melding getoond dat men graag cookies wil plaatsen, met een hyperlink naar een pagina met meer informatie.
Achterliggende belang: betalen met je persoonsgegevens
Vanwaar deze lobby over een saai en technisch onderwerp als cookies? Welke belangen gaan hier achter schuil?
Het exploiteren van een populaire, dagelijks gevulde website is een kostbare zaak. Voor de inhoud van de website (de content) zal bijna altijd moeten worden betaald, hetzij door die content in te kopen bij een derde
partij (zoals het ANP voor een nieuwswebsite), hetzij door redacteuren in te huren of in dienst te nemen. Het overnemen van andermans content vormt immers, hoewel het toch veel gebeurt, in beginsel een auteursrechtinbreuk. Met alleen content ben je er natuurlijk nog niet. Ook het “in de lucht houden” van de website en het draaiende houden van de achterliggende organisatie (denk aan financiën, p&o, marketing, management, etc.) kost natuurlijk geld.
De meeste gratis toegankelijke websites hebben maar één inkomstenbron, te weten de inkomsten uit advertenties. Die advertenties worden in de regel niet verzorgd door de websitehouder zelf, maar door een extern
online reclamebureau (zoals DoubleClick of 24/7). In de met dat reclamebureau gesloten overeenkomst staat (kort samengevat) vaak dat de websitehouder betaald krijgt per klik op een vertoonde advertentie[xxxiv]. Om de advertenties te laten vertonen, moet de websitehouder bepaalde programmacode invoegen in zijn website. Op basis van die programmacode zorgt het reclamebureau er voor dat de advertenties op de website worden getoond en dat de bijbehorende administratie wordt bijgehouden.
Online reclamebureaus kennen meerderheid internetters
Tot zover nog weinig bijzonders, zul je wellicht denken. Het gaat echter nog veel verder. De advertenties die je te zien krijgt zijn namelijk vaak niet willekeurig gekozen. Reclamebureaus plaatsen namelijk
(bijna) allemaal een cookie wanneer je een website bezoekt waarop zij de reclame verzorgen. Dat cookie brengt met zich mee dat het reclamebureau je online surfgedrag kan volgen op andere websites die van de diensten van hetzelfde bureau gebruik maken. Het cookie dat het reclamebureau plaatst is namelijk niet gekoppeld aan de ene site die je bezoekt, maar is gekoppeld aan de computers van het reclamebureau[xxxv].
De verschillende reclamebureaus die online advertenties verzorgen opereren bijna allemaal op (zeer) grote schaal. Zij verzorgen de advertenties voor vele (tien)duizenden tot miljoenen websites. Zo blijkt uit onderzoek van Comscore dat in 2010 alle top 10 advertentiebureaus in de USA allemaal meer dan 70% van de Amerikaanse internetters wisten te bereiken. Ik heb geen reden om aan te nemen dat voor Europa de verhoudingen anders liggen. Opvallend in dat kader is dat Google claimt dat zij meer dan 70% van alle internetters ter wereld kan bereiken middels haar advertentienetwerk. Met andere woorden: het lijkt een veilige aanname om te stellen dat al deze reclamebureaus in meer of mindere mate iets weten over de surfgeschiedenis van een zeer groot deel van de internetters ter wereld.
De advertenties die je te zien krijgt bij het surfen, zijn op deze surfgeschiedenis afgestemd. Wanneer je iemands surfgeschiedenis kent, is het ook erg eenvoudig om daar meer gegevens aan te koppelen. Zo zegt het wat
over jou als persoon welke sites je bezoekt. Uit onderzoek is bekend dat de websites als nuzakelijk.nl, hockey.nl en belegger.nl voornamelijk worden bezocht door wat oudere mannen uit de hogere sociale klassen. Dat is voor deze sites misschien nog niet zo verrassend. Dankzij de cookies die door het reclamebureau geplaatst zijn, is het echter heel eenvoudig mogelijk diezelfde rijke en goed opgeleide mannen ook op andere websites te volgen. Gaandeweg ontstaat bij het reclamebureau zo eens steeds verfijnder profiel van de betreffende internetter. Het is goed denkbaar dat het reclamebureau op een bepaald moment een (bijna) volledig beeld van een internetter heeft. Wie heeft er immers niet eens op internet gezocht op zijn eigen naam? Ook de woonplaats van een internetter is vaak zo achterhaald, al was het maar omdat je websites over lokale ondernemingen of lokale activiteiten bezoekt. En het zegt waarschijnlijk wel iets over je sociale klasse wanneer je op “sociale huurwoning” zoekt, of juist op “hypotheek”. Dat dergelijke profilering aan de hand van deductie nu al plaatsvindt, wordt ook ronduit erkend door bijvoorbeeld Google: “Google kan ook gebruikmaken van de paginatypen die u heeft bezocht of de inhoud die u heeft bekeken, om af te leiden wat uw geslacht is en tot welke leeftijdscategorie u behoort.”.
Voorspellen toekomstig gedrag aan de hand van data
Uit een zeer aardig artikel op de website van the Wall Street Journal blijkt dan ook dat bedrijven als reclamebureaus vaak zonder problemen een redelijke goede voorspelling kunnen doen over je geslacht, leeftijd, werk- en gezinssituatie, inkomen en bepaalde voorkeuren. Een ander aardig overzichtsartikel in The New York Times bevat een wellicht nog wel (aan)sprekender voorbeeld (weliswaar uit de “offline wereld”, maar de achterliggende principes zijn gelijk).
Een man uit de omgeving van Minneapolis (USA) eiste de manager van het warenhuis Target te spreken omdat zijn dochter, een scholier op de middelbare school, op basis van haar klantenkaart kortingscoupons had ontvangen van het warenhuis voor babykleding en wiegjes. “Proberen jullie haar zwanger te krijgen!?”, had de man woedend gevraagd. De manager maakte zijn verontschuldigingen aan de man. Toen de manager enkele dagen nogmaals telefonisch contact zocht met de man, maakt deze echter excuses aan de manager. Zijn dochter bleek inderdaad zwanger te zijn. De voorspelling van Target, op basis van het winkelgedrag van de dochter, bleek correct.
Dergelijke voorspellingen, hetzij door online reclamebureau, hetzij door de marketingafdeling van een warenhuis, worden geheel buiten je om gemaakt. Dat het gebeurt wordt in de regel ook niet aan je kenbaar gemaakt. Het is ook vaak niet mogelijk de betreffende gegevens in te zien. Voor allerlei bedrijven zijn die gegevens erg interessant. Het voorbeeld van het warenhuis laat ook zien dat de gegevens in de praktijk ook worden gebruikt. Ook op internet zijn dergelijke gegevens erg aantrekkelijk, bijvoorbeeld voor de exploitanten van webshops. Zij zouden bijvoorbeeld aan mensen met een hoger inkomen hogere prijzen in rekening kunnen brengen, of aan mensen met een lager inkomen bijvoorbeeld de optie van achteraf betalen kunnen weigeren. De vraag is of iedereen daar op zit te wachten.
Cookies zijn slechts een middel om te volgen
Opvallend is dat de discussie over online privacy vaak heel snel alleen maar over cookiegebruik gaat. Ik kan me voorstellen dat hierdoor wellicht het beeld ontstaat dat een website die cookies gebruikt per definitie
de privacy schendt. Dat is absoluut niet het geval. De techniek van cookies kan, zoals in feite alle technieken, zowel goedaardig als kwaadaardig worden gebruikt. Sterker nog: een heleboel websites en toepassingen op internet zouden niet kunnen functioneren wanneer zij niet kleine hoeveelheden gegevens op je computer zouden mogen opslaan (zoals in cookies, of in een ander geheugen[xliv]).
Op internet kun je echter ook op vele andere manieren worden gevolgd. Een bekend voorbeeld hiervan is het zogenaamde device fingerprinting. Deze techniek komt op het volgende neer. Bij het bezoeken van een website worden door de computer allerlei technische gegevens doorgegeven aan de website die je bezoekt. Te denken valt aan het type besturingssysteem, de browserinstellingen en geïnstalleerde plug-ins[xlv]. Uit onderzoek is gebleken dat de combinatie van al die (technische) gegevens vaak zo uniek is, dat het mogelijk is internetters uniek te onderscheiden of zelfs te identificeren. Het gebruik van deze techniek is niet of nauwelijks te detecteren. De Nederlandse Minister van Economische Zaken stelt weliswaar dat de nieuwe cookiewet ook op device fingerprinting van toepassing is (en dat dus toestemming van de gebruiker noodzakelijk is), maar dat lijkt mij niet juist. De cookiewet gaat immers over het opslaan of uitlezen van gegevens opgeslagen op de randapparatuur, terwijl device fingerprinting gaat over het combineren van gegevens die door de randapparatuur zelf worden uitgezonden[xlviii]. Je kunt overigens zelf eenvoudig testen of je computer via device fingerprinting te volgen is, door de test op http://www.dzw.gr/0ae11 uit te voeren.
Het is ook denkbaar dat je internetprovider een unieke code toevoegt aan het signaal van jouw internetverbinding[xlix]. Die unieke code is eenvoudig uit te lezen voor alle websitehouders, waaronder dus bijvoorbeeld ook de eerder genoemde reclamebureaus. Op basis van een dergelijke code ben je dus eenvoudig online te volgen. Enkele jaren geleden werd bekend dat veel providers van mobiel internet inderdaad een dergelijke code aan hun signaal toevoegen[li]. Volgens het privacystatement van Vodafone en dat van T-Mobile gebeurt dit op dit moment nog steeds. In het privacystatement en ook elders op de website van KPN heb ik over het gebruik van deze techniek niets kunnen vinden. Er van uitgaande dat ik goed heb gezocht, zou dit dus moeten betekenen dat KPN de techniek niet langer gebruikt[liv]. Ik heb dit verder niet kunnen verifiëren.
Mag dit nu allemaal?
Het zal je ondertussen duidelijk zijn geworden: er gebeurt van alles met je persoonsgegevens. Veel partijen op internet houden zich bezig houden met het verzamelen en analyseren van allerlei persoonsgegevens. Je
vraagt je misschien af: mag dit allemaal nu zomaar?
Er zijn enkele hele specifieke wetten en regels die duidelijke (privacy)grenzen stellen. Aanbieders van elektronische communicatienetwerken en diensten, zoals internetproviders en telefonieaanbieders, mogen verkeersgegevens[lv] niet zomaar gebruiken. Verder gelden er voor iedereen, dus niet alleen voor de telecombedrijven, strenge regels over het gebruik van locatiegegevens, het verzenden van spam en het uitlezen en opslaan van gegevens op de eindapparatuur van de gebruiker (zoals “cookies”)[lix].
Wanneer een bepaalde handeling niet onder een specifiek verbod valt, zal moeten worden teruggevallen op het algemene privacyrecht. Dat algemene kader is, zoals aan het begin van dit artikel beschreven, in vrije
algemene en abstracte termen geformuleerd. Dat stelt de privacyjurist voor een uitdaging. Zo zal moeten worden getoetst of de bedrijven die profielen opstellen daarvoor wel een grondslag hebben (artikel 8). Op zichzelf hebben online dienstverleners denk ik best een gerechtvaardigd (marketing)belang bij het, tot op zekere hoogte, profileren van hun (potentiële) klanten. De praktijk laat zien dat er enkele hele grote bedrijven zijn ontstaan, die gigantisch veel en bovendien omvangrijke profielen hebben weten op te bouwen van het internettende publiek. Intuïtief zou ik menen dat ergens onderweg in dat proces een grens is overschreden en dat de betreffende bedrijven ondertussen eenvoudigweg te veel weten. Waar die grens precies ligt, is echter niet eenvoudig aan te geven[lx].
Met betrekking tot enkele andere beginselen uit het privacyrecht zijn wel wat meer concrete opmerkingen te maken. Zo zal in principe altijd vooraf informatie moeten worden gegeven over de doeleinden van
de verwerking van persoonsgegevens (artikel 33/34 Wbp). Aan die verplichting wordt veelal niet voldaan, doordat de informatie vaak onvolledig en/of onduidelijk is. Zo concludeerde de Franse privacytoezichthouder onlangs, mede namens de overige Europese toezichthouders, dat het nieuwe geïntegreerde privacybeleid van Google onder meer om die reden waarschijnlijk niet voldoet aan Europese regels.
Ook rust op alle verwerkers van persoonsgegevens de plicht om ervoor te zorgen dat ze niet te veel, maar ook niet te weinig gegevens van mensen verzamelen (artikel 11 Wbp). Bij geautomatiseerde online profielenopbouw wordt aan dit principe waarschijnlijk niet voldaan. Er worden immers allerlei flarden van informatie, zonder enige menselijke tussenkomst of controle, door de computer gecombineerd. De kwaliteit van die data is daarmee volstrekt onbekend. Ook is de hoeveelheid verzamelde gegevens veelal niet begrensd. Ook hier geldt echter: waar precies de grens ligt, is – bij gebrek aan jurisprudentie – nog onduidelijk.
Het laatste voorbeeld waar ik op wijs is het verbod om aan de hand van profielen volledig geautomatiseerd een beslissing over iemand te nemen waaraan rechtsgevolgen zijn verbonden of die de persoon in aanmerkelijke mate treft (artikel 42 Wbp). Je zou hierbij kunnen denken aan het automatisch als “uitverkocht” weergeven van producten in een webshop of aan het fors verhogen van de prijzen (risico-opslag) bij internetters die op grond van hun advertentiecookies als onbetrouwbaar te boek staan. Of dat ook daadwerkelijk gebeurt, kan ik niet inschatten, nu dergelijke technieken in de achtergrond van een website draaien. De vraag is echter of en zo ja wanneer bij gebruik van dergelijke technieken de grens wordt overschreden.
Conclusie
Terug naar het onderzoek waar ik mee opende. Uit dat onderzoek bleek dat de gemiddelde Nederlander gesteld is op zijn (online) privacy. Hij wil in dat kader niet gevolgd worden in zijn surfgedrag door adverteerders. Het zijn adverteerders die op dit moment de exploitatie van gratis websites financieren. Opvallend is dan ook dat uit hetzelfde onderzoek ook blijkt dat diezelfde gemiddelde Nederlander aangeeft websites niet langer te zullen bezoeken wanneer deze overgaan tot betaalde toegang. De Nederlander wil dus alleen sites bezoeken die en gratis en volledig privacyvriendelijk zijn.
Een ontwikkeling terug naar volledig anonieme advertentiesystemen – waarbij advertenties niet worden aangepast op de interesses van het publiek – zie ik echter niet gebeuren. Hoe minder goed advertenties aansluiten bij de interesses van de bezoekers, hoe kleiner de kans dat men klikt op die advertentie. De zogenaamde click through ratio (CTR) daalt in dat geval[lxii]. Daarmee daalt ook de prijs per klik of vertoning die adverteerders bereid zijn te betalen. Een adverteerder plaatst immers liever een gerichte advertentie, dan dat hij advertenties als een “schot hagel” op het Internet plaatst.
Het is wat dat betreft denk ik kiezen of delen voor het gebruik van websites: ofwel betalen met geld, ofwel betalen met je persoonsgegevens. Uiteraard zijn tussenvormen ook denkbaar. Zo biedt the New York Times de mogelijkheid iedere maand 20 artikelen gratis op haar website te lezen. Wie meer wil lezen, moet een digitaal abonnement afsluiten bij de krant. Vanuit privacyoptiek is wel opvallend aan die tussenvorm dat zowel de abonnees als de andere bezoekers aan de websites advertenties te zien krijgen waarbij ze worden gevolgd[lxv]. Een abonnee bij de NYT betaalt dus zowel in geld als in persoonsgegevens. Dat
zou wellicht anders zijn wanneer in de editie voor abonnees geen gebruik wordt gemaakt van de diensten van reclamebureaus en andere externe partijen die profielen opbouwen. Mogelijk dat dit een route is die voor zowel exploitanten als gebruikers van websites acceptabel is?
Tot die tijd maak ik op mijn eigen computer gebruik van de plug-in Ghostery. Die software blokkeert veel van de bekende technieken om internetters online te volgen.
[i]
Zie hierover meer in detail “De splitsing van privacy. Advies over het grondrecht op privacy in het digitale tijdperk”, mr. drs. P.H. Blok, AA 50 (2001) 6, p. 435 e.v.
[ii]
Het voorbeeld is willekeurig. Ook andere bedrijven en instellingen als medicijnfabrikanten, begrafenisondernemers, patiëntenverenigingen, etc. zouden een dergelijk weblog zeer interessant vinden.
[iii]
Zie in dat kader bijvoorbeeld Hoge Raad 14 juni 2011, LJN BP0287 (zie ook NJ 2011/504), over de veroordeling van Maurice de Hond na online beschuldigingen met betrekking tot de “Deventer moordzaak” aan het adres van de “klusjesman”.
[iv]
Een aardig arrest in deze is bijvoorbeeld Hoge Raad 05-07-2011, LJN BQ2009, waarin is geoordeeld dat het Gerechtshof terecht een vrouw heeft veroordeeld wegens smaad vanwege het op haar Hyves pagina plaatsen van een beschuldiging aan haar ex-partner van seksueel misbruik van hun gezamenlijke kind. De Hoge Raad wijst er op dat het bij het op Hyves plaatsen van een dergelijke tekst voor de “verdachte voorzienbaar en op voorhand feitelijk te verwachten was dat de geplaatste tekst verder zou worden verspreid”.
[v]
Zie in dat kader bijvoorbeeld Hoge Raad 18 januari 2008, LJN BB3210 (Van Gasteren/Hemelrijk).
[vi]
Voor een uitgebreide beschrijving van de geschiedenis van dit verdrag en het privacyrecht in het algemeen verwijs ik graag naar “De bescherming van persoonsgegevens”, prof. J.M.A. Berkvens en prof. J.E.J. Prins, Hoofdstuk 9 in: “Recht en computer”, 5e druk, 2004.
[viii]
XS4ALL, de eerste (of een van de eerste) providers van Nederland, opende op 1 mei 1993 (op nog zeer kleine schaal) haar deuren: http://www.dzw.gr/6254d
[ix]
De volledige geschiedenis van de privacyrichtlijn 95/46/EG is na te lezen via http://www.dzw.gr/6ea5a
[xii]
De gezamenlijke Europese privacytoezichthouders hebben op 20 juni 2007 het “Advies 4/2007 over het begrip persoonsgegeven” uitgegeven, met daarin meer achtergrondinformatie over en hun visie op de strekking van het begrip “persoonsgegeven”: http://www.dzw.gr/e3549
[xv]
Welke nationale wet wanneer van toepassing is, is overigens niet altijd eenvoudig te beantwoorden. Dit kan ook verschillen voor verschillende onderdelen van de persoonsgegevensverwerking. Zie in dat kader “Opinion 8/2010 on applicable law” (WP 179 ) d.d. 16 december 2010 van de artikel 29 werkgroep. http://www.dzw.gr/ce9e0
[xvi]
Of zoals een ondernemer een keer tegen me zei: “Ik wil gewoon een verkeersbord waarop staat 50. Als ik dan 51 rijd, ga ik te hard.”. Zo zit het privacyrecht echter in grote lijnen niet in elkaar.
[xvii]
Meer informatie over de artikel 29 werkgroep is te vinden op http://www.dzw.gr/f2347. Op die website zijn ook alle door deze werkgroep uitgegeven opinies terug te lezen.
[xviii]
Dat is geen kritiek op het functioneren van die toezichthouders, het is naar mijn idee volstrekt logisch dat de toezichthouders op deze wijze opereren.
[xix]
Er komen, behoudens verzoeken tot inzage in dossiers, niet zo veel privacygerelateerde zaken voor de rechter. Ondernemingen en instellingen die met privacyissues te maken hebben kiezen er vaak voor dit in stilte op te lossen. Het afbreukrisico is simpelweg te groot wanneer de kwestie escaleert tot een rechtszaak.
[xx]
Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie).
[xxi]
De wetgeving omtrent het opslaan van gegevens op de computer van eindgebruikers wordt dan ook wel eens de “cookiewet” genoemd. Dat is niet terecht; de wetgeving ziet bijvoorbeeld ook op het zonder toestemming installeren van software (spyware) op de computer. Spyware zal ik in dit artikel echter niet behandelen.
[xxii]
Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronischecommunicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming.
[xxiii]
De laatste stand van zaken is dat de Minister van Economische zaken op 17 februari 2012 in een Nadere Memorie van Antwoord antwoord heeft gegeven op diverse vragen van leden van de Eerste Kamer. Kamerstukken I, 32 549, nr. G. http://www.dzw.gr/f405b
[xxv]
Zie in dat kader ook “Advies 2/2010 over online reclame op basis van surfgedrag (‘behavioural advertising’)” (WP 171) d.d. 22 juni 2010 van de artikel 29 werkgroep. http://www.dzw.gr/2b224
[xxvi]
Een soortgelijke pagina is ook te vinden op http://www.dzw.gr/a75d7 voor Geenstijl (eveneens geëxploiteerd door Sanoma).
[xxviii]
Je kunt je overigens afvragen waarom er überhaupt zoveel cookies zouden moeten worden geplaatst bij het bezoeken van een nieuwssite, maar dat terzijde.
[xxix]
Hele populaire websites willen ook nog wel eens betaald krijgen per vertoning van een advertentie. Ook zijn wel andere vergoedingsmodellen denkbaar. Dit alles laat ik in dit artikel verder even buiten beschouwing.
[xxx]
Daarom worden dit soort cookies ook wel “third party cookies” genoemd. Het reclamebureau dat het cookie plaatst is immers, ten opzichte van de exploitant van de website, een derde partij. Cookies die door de websiteexploitant zelf worden geplaatst worden “first party cookies” genoemd.
[xliv]
De cookiewet is van toepassing op alle gegevens die door een derde op je computer worden opgeslagen, dus niet alleen op opslag van cookies.
[xlv]
Wie zelf eens wil kunnen zien welke gegevens dat (in potentie) zijn, kan hiervoor bijvoorbeeld terecht op de laagdrempelige website www.browserspy.dk.
[liv]
KPN moet immers op grond van de Wbp informatie verschaffen over alle verwerkingen van persoonsgegevens en de doeleinden daarvan. Het toevoegen van een uniek (en dus identificerend) nummer aan een internetsignaal is m.i. evident een dergelijke verwerking van persoonsgegevens.
[lv]Verkeersgegevens zijn gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronisch communicatienetwerk of voor de facturering ervan (artikel 11.1 sub b Telecommunicatiewet). Denk daarbij aan gegevens over welke sites wanneer zijn bezocht, of wie je wanneer hebt gebeld.
[lix]
Nu nog artikel 4.1 Besluit universele dienstverlening en eindgebruikersbelangen, straks artikel 11.7a Telecommunicatiewet.
[lxii]
CTR staat voor het aantal keer dat op een advertentie wordt geklikt in relatie tot het aantal keer dat de advertentie is vertoond (uitgedrukt als percentage).
[lxv]
Ik ben geen abonnee van de NYT en heb dus niet kunnen verifiëren of de advertenties na het inloggen verdwijnen. De privacypolicy spreekt echter zeer duidelijk over het gebruik van advertentienetwerken en maakt daarbij geen uitzondering voor abonnees: http://www.dzw.gr/b752c.
