Device fingerprinting
Bij iedere bezoek aan een pagina op Internet wordt door de browser automatisch informatie meegezonden aan de server waarop de betreffende pagina wordt gehost. Dat is eigen aan de werkwijze van het Internet. Via onder meer deze pagina op Browserspy.dk is te zien welke informatie er wordt meegezonden door de software die u gebruikt.
Het verschilt per computer/apparaat, mede vanwege de instellingen die op die specifieke computer zijn gemaakt, welke informatie er precies wordt meegezonden (de zogernaamde "headers"). Uit onderzoek blijkt dat de combinatie van die (automatisch meegezonden) informatie dusdanig uniek kan zijn, dat deze kan worden gebruikt om internetters mee te identificeren. Het kan ook zijn dat de automatisch meegezonden informatie nog uniek is, maar dat in combinatie met andere - aanvullend opgevraagde - gegevens over (de instellingen van) de gebruikte computer er alsnog een uniek profiel ontstaat.
Het identificeren van internetters aan de hand van dergelijke technische kenmerken van de gebruikteapparatuur en software wordt device fingerprinting genoemd.
Minister: cookiewet van toepasssing op device fingerprinting
Bijna een jaar geleden antwoordde de minister in antwoord op kamervragen dat bij het lezen van de headers er "informatie [...] wordt gelezen van de computer van een gebruiker" en dat op die handeling dus de cookiewetgeving van toepassing is. Naar mijn idee een onhoudbaar standpunt, omdat de betreffende informatie door (de software van) de bezoeker van de webpagina actief aan de webserver wordt verstrekt. Van uitlezen van informatie opgeslagen op de computer is naar mijn idee dan ook geen sprake. Hierover heb ik dan ook in het verleden in mijn eerdere blogbericht kritisch geschreven.
Daar komt bij dat de uitleg van de minister met zich mee zou brengen dat voortaan voor iedere handeling die een internetter zelf op Internet verricht, onder het bereik van de cookiewet komt te vallen. Iedere handeling op internet brengt namelijk het verzenden van die headers met zich mee. Ook dat maakt dat het onverkort toepassen van het initiele standpunt van de minister tot praktisch onhoudbare situaties zou leiden.
Opta: cookiewet alleen van toepassing op opvragen aanvullende kenmerken apparatuur en software
De OPTA heeft in de recente publicatie het standpunt over analyse van kenmerken van gebruikte apparatuur en software genuanceerd ten opzichte van het eerdere standpunt van de minister. De OPTA overweegt namelijk het volgende:
Zijn de regels ook van toepassing op serverloganalyse?
Nee, artikel 11.7a Tw ziet op het plaatsen en uitlezen van gegevens op de randapparatuur van een gebruiker. Bij serverloganalyse is er geen sprake van het actief plaatsen of uitlezen van gegevens, maar van het analyseren van de gegevens die door de gebruiker zelf naar de server worden gestuurd. Het gaat hier om analyse van de door de gebruiker bij een initieel get / http request gestuurde informatie. Dit initiële request bevat gegevens over het opgevraagde adres, het opvragende IP-adres, user agents en soortgelijke beperkte gegevens. Alle gegevens die na het initiële request worden geplaatst of uitgelezen vallen wel onder het bereik van artikel 11.7a Tw. De met de browser meegestuurde gegevens kunnen persoonsgegevens bevatten, waarop de Wet bescherming persoonsgegevens van toepassing is.
Volgens de OPTA valt het uitlezen van de initiele browserheaders niet onder de cookiewetgeving, maar het daarna aanvullend uitlezen van extra gegevens over de gebruikte software/apparatuur wel. Een standpunt dat in ieder geval heel wat beter werkbaar is dan het standpunt van de minister.
Roept toch weer nieuwe vragen op
Niettemin roept ook deze interpretatie van de cookiewet vragen op voor de praktijk. Er wordt bij het surfen op Internet namelijk veelvuldig informatie uitgelezen over de gebruikte (versies van) software. Ter illustratie: wie http://www.dzw.gr/f4414 bezoekt en daarbij een andere browser dan Firefox gebruikt, krijgt de melding in beeld "U gebruikt niet de nieuwste versie van Firefox. Upgrade vandaag om het beste uit het internet te halen!". Dat kan Google nog afleiden uit de headers die standaard mee worden gestuurd bij het bezoeken van een website, dus voor het geven van deze melding heeft Google in de nieuwste interpretatie van de cookiewet geen toestemming nodig.
Wie filmpjes wil bekijken op Internet (zoals bij YouTube), heeft daarvoor echter veelal een plug-in nodig (waarbij Flash het meest wordt gebruikt). Veel websites die dergelijke plug-ins gebruiken, controleren veelal zelf of de bezoeker wel beschikt over de laatste versie van die plug-in. Die controle is echter niet uit te voeren zonder de betreffende informatie op de computer van de eindgebruiker uit te lezen (voorbeeld). Dat zou betekenen dat het uitvoeren van een dergelijke controle ook onder de cookiewet valt en hiervoor dus toestemming is vereist.
Dat is alleen anders wanneer zou moeten worden aangenomen dat die controle strikt noodzakelijk is om de filmpjes te kunnen tonen (artikel 11.7a lid 3 sub b Tw). Dat is in veel gevallen maar de vraag. De oude versie van een plug-in werkt immers vaak nog best wel. De reden dat wordt afgedwongen dat de nieuwste versie van een plug-in wordt gebruikt zit dan veeleer in het eenvoudiger onderhouden van de eigen website en/of de maatschappelijke verantwoordelijkheid internetters ertoe te bewegen niet met achterhaalde (onveilige) software het Internet op te gaan. De vraag is of de uitzondering in de cookiewet hiervoor is bedoeld.
Wordt ongetwijfeld weer vervolgd...
