[divider]
Wat is canvas fingerprinting?
Canvas fingerprinting komt, als ik het goed begrijp, in de kern neer op het volgende. Het is in moderne browsers eenvoudig mogelijk om een afbeelding door de browser te laten genereren. De afbeelding staat dan niet opgeslagen op de server van de websitehouder, maar ontstaat pas bij het bekijken van de website. De aanbieder van de website kan hiermee ruimte en bandbreedte uitsparen, maar veel interessanter: dynamische afbeeldingen maken (zoals een afbeelding met de naam van de bezoeker in beeld, of denk ook aan overtype-codes die je wel eens bij formulieren ziet staan).
De locatie op het scherm waar die afbeelding wordt gegenereerd wordt het canvas genoemd. De vingerafdruk komt vervolgens als volgt in beeld: het blijkt dat verschillende browsers op basis van dezelfde instructies, toch een verschillende afbeelding produceren. De verschillen zijn soms slechts heel miniem. Dit verschijnsel kan worden veroorzaakt door de versie van de browser, maar bijvoorbeeld ook de grafische kaart die wordt gebruikt.
De uiteindelijk gemaakte afbeelding, zegt dus iets over het apparaat waarop/waarmee deze is gemaakt. Door de gegenereerde afbeelding tot in detail te onderzoeken, ontstaat dan ook een soort vingerafdruk van het betreffende apparaat. Het lijkt in zoverre dus op een variant van het al bekende device fingerprinting.
Zijn deze handelingen toegestaan of niet?
De cookiewet (eigenlijk: artikel 11.7a Telecommunicatiewet) verbiedt - kort samengevat - om zonder toestemming van de gebruiker "toegang (...) te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens (...) op te slaan in de randapparatuur van de gebruiker".
Dit roept de vraag op of het analyseren van de wijze waarop een browser een afbeelding genereert, sprake is van het verkrijgen van toegang tot "gegevens die zijn opgeslagen in de randapparatuur van een gebruiker". Daarvoor is de vraag wat is bedoeld met "opgeslagen": de gegenereerde afbeelding staat immers niet op de harde schijf van de eindgebruiker, maar zal vermoedelijk wel ergens in het werkgeheugen worden vastgehouden (om te kunnen vertonen). Ik vraag me af of de Europese wetgever bij het opstellen van de eprivacy richtlijn ook dergelijke toegang heeft voorzien en heeft bedoeld op te nemen in de richtlijn. Gelet op punt 24 in de considerans lijkt een ruime privacybescherming bedoeld; aan de andere kant lijkt de richtlijn gelet op overweging 25 toch wel sterk op cookie toegespitst.
Toezichthouder is helder: het mag niet
De toezichthouder ACM is in ieder geval wel heel stellig. In de huidige FAQ op de cookiewet valt immers het volgende te lezen:
Alle gegevens die na het initiële request worden geplaatst of uitgelezen vallen wel onder het bereik van artikel 11.7a Tw.
Met andere woorden: het op enige wijze uitlezen van gegevens over de computer van de gebruiker dat niet functioneel is, vereist volgens ACM toestemming van die gebruiker. In een eerder blogbericht signaleerde ik overigens al dat dit nieuwe vragen oproept. Die vragen zullen denk ik alleen maar verder toenemen met de opkomst van technieken als responsive design en progressive enhancement.
Gelet op de (enorme) hoogte van de boetes die ACM op kan leggen, en het gegeven dat je die boete pas aan kunt vechten nadat deze (met persbericht en al) is opgelegd, doen partijen er echter verstandig aan die discussieruimte niet op te zoeken en dergelijke nieuwe technieken dus (voorlopig) niet te gebruiken.
Waarom maken we de privacywet niet duidelijker?
Uit het voorgaande volgt dat er discussie mogelijk is of dergelijke technieken wel of niet onder de specifieke "cookiewet" vallen. Vervolgens kun je nog de discussie voeren of canvas fingerprinting niet onder omstandigheden (ook) functioneel kan zijn (en daarmee toegestaan onder de cookiewet). Dergelijke discussies zijn overigens een logisch bijeffect van wetgeving die heel specifiek gedrag reguleert.
Mijn stelling is dat het zinvoller is het specifieke belang in kwestie te reguleren (bescherming van de privacy) dan een bepaalde techniek (cookies, canvas fingerprinting, een toekomstige techniek, etc.). Voor de bescherming van de privacy is er al lang wetgeving in de vorm van de Wet bescherming persoonsgegevens (zie ook onze privacycheck). Het zou m.i. veel zinvoller zijn wanneer op basis van die wet duidelijke grenzen worden gesteld aan het volgen van individueen, dan dat er middels specifieke wetgeving grenzen worden gesteld aan volgtechnieken.
In de recente opinie van de artikel 29 werkgroep over de grondslag van het gerechtvaardigd belang, wordt deze duidelijkheid in grote lijnen gegeven. De privacytoezichthouders laten namelijk weten dat in hun visie, onder de privacywetgeving, er "bijna altijd" toestemming vereist is voor het volgen van mensen:
In this respect, it is useful to recall the Working Party's Opinion on purpose limitation, where it is specifically stated that 'when an organisation specifically wants to analyse or predict the personal preferences, behaviour and attitudes of individual customers, which will subsequently inform 'measures or decisions' that are taken with regard to those customers .... free, specific, informed and unambiguous 'opt-in' consent would almost always be required, otherwise further use cannot be considered compatible. Importantly, such consent should be required, for example, for tracking and profiling for purposes of direct marketing, behavioural advertisement, data-brokering, location-based advertising or tracking-based digital market research.'
Het is nu alleen nog afwachten wanneer deze redenering voor het eerst wordt toegepast. In rapportages van het CBP over YD Advertising en de cookies bij de NPO is dit al terug te zien. Het is nu wachten op de eerste last onder dwangsom of, zodra de wet daartoe is aangepast, de eerste boetes. Daarna pas kunnen we zien of de rechter het standpunt van de WP29 en het CBP in deze ook volgt. We houden u op de hoogte.
