Het wetsvoorstel met betrekking tot de nieuwe regels over gebruik van cookies is nog steeds aanhangig. Over dit wetsvoorstel hebben we al eerder geschreven, ik verwijs graag naar [intlink id="7585" type="post"]die eerdere berichtgeving[/intlink].
Device fingerprinting: volgen internetter aan de hand van technische kenmerken computer
Cookies zijn niet de enige manier om internetters op eenvoudige wijze te kunnen volgen. Uit onderzoek is gebleken dat internetters in de regel ook te identificeren zijn aan de hand van de combinatie van allerlei (technische) eigenschappen van de apparatuur en software die door een internetter worden gebruikt. Dit wordt device fingerprinting genoemd en hierover [intlink id="4943" type="post"]schreef ik al eerder[/intlink] in het kader van de nieuwe cookiewet.
Kamervragen over device fingerprinting
Leden van de CDA-fractie in de Eerste Kamer hebben aan de Minister vragen gesteld over het gebruik van deze techniek. In de Nadere Memorie van Antwoord van 17 februari 2012 heeft de Minister van Economische Zaken het volgende antwoord gegeven:
De leden van de CDA-fractie vragen hoe ten aanzien van device fingerprinting met de cookiebepaling moet worden omgegaan.
Device fingerprinting kan worden gebruikt om het surfgedrag van individuele internetgebruikers te volgen. Als met een computer of mobiele telefoon een website wordt bezocht, geeft de browser bepaalde instellingen en kenmerken van het apparaat (computer, mobiele telefoon) door aan die website. Te denken valt aan het type besturingssysteem, de browserinstellingen, geïnstalleerde plug-ins, tijdzone en beeldschermgrootte en dergelijke. Deze combinatie van instellingen en kenmerken (de «device fingerprint») is zo specifiek, dat een adverteerder die via verschillende sites dezelfde fingerprint aantreft, er met redelijke mate van zekerheid vanuit kan gaan dat het gaat om dezelfde computer, en dus dezelfde internetgebruiker. Als deze adverteerder bijvoorbeeld op verschillende sites advertentiebanners plaatst, kan hij de fingerprints van de computers waarmee die sites zijn bezocht verzamelen. Door die gegevens te analyseren kan hij afleiden welke sites de (verder ongeïdentificeerde) bezoeker achter een bepaalde fingerprint heeft bezocht. Hierbij wordt dus surfgedrag gevolgd aan de hand van informatie die wordt gelezen van de computer van een gebruiker. Artikel 11.7a is niet alleen van toepassing op het plaatsen van gegevens op de randapparatuur van een gebruiker, maar ook op het verkrijgen van toegang tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker. Ook het gebruik van device fingerprinting valt daarom onder artikel 11.7a. Deze conclusie wordt overigens gedeeld door de Artikel 29-werkgroep in Opinion 16/20116. Het lezen van de combinatie van instellingen en kenmerken van het apparaat met als uitsluitend doel de met dat apparaat opgevraagde dienst te leveren (bijvoorbeeld om de bezochte website goed te kunnen weergeven) valt onder de uitzondering in het derde lid. Het lezen van deze informatie om het surfgedrag van de gebruiker van het apparaat te volgen valt niet onder de uitzondering. Hiervoor is dan ook geïnformeerde toestemming van de gebruiker vereist.
Erg ruime interpretatie wetttekst
In het antwoord gaat de minister uit van een wel erg ruime interpretatie van de wettekst. De kernoverweging van de Minister is de volgende:
Artikel 11.7a is niet alleen van toepassing op het plaatsen van gegevens op de randapparatuur van een gebruiker, maar ook op het verkrijgen van toegang tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker.
Deze overweging lijkt me op zichzelf juist. Vergelijk immers de voorgestelde wettekst:
Artikel 11.7a 1. Onverminderd de Wet bescherming persoonsgegevens dient een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker (....)
Om hier de conclusie aan te verbinden dat device fingerprinting onder de nieuwe cookiewet valt, begrijp ik echter niet. Bij device fingerprinting wordt namelijk niet toegang gezocht tot gegevens op de computer van de internetter. In tegendeel: het is juist de computer van de internetter die actief de betreffende (technische) informatie doorgeeft aan de server van de website die wordt bezocht. Dat staat zelfs letterlijk in de inleiding van het antwoord van de minister. Van toegang tot informatie opgeslagen op de apparatuur van de eindgebruiker is dan ook helemaal geen sprake. De apparatuur zendt die informatie zelf uit.
Opmerkelijke verwijzing naar opinie artikel 29 werkgroep
Ook de verwijzing naar de opinie van de artikel 29 werkgroep vind ik opvallend. In de betreffende opinie staat het volgende over device fingerprinting:
The Article 29 WP refers to its Opinion 2/2010 which outlines that behavioural advertising involves the processing of unique identifiers be that achieved through the use of cookies, or any
kind of device fingerprinting. The use of such unique identifiers allows for the tracking of users of a specific computer even when IP addresses are deleted or anonymised. In other words, such unique identifiers enable data subjects to be “singled out” for the purpose of tracking user behaviour while browsing on different websites and thus qualify as personal data.
Moreover, the Article 29 WP would like to note that the Article 5(3) of the revised e-Privacy Directive is applicable independently of whether the information stored or accessed in the user’s terminal equipment consists personal data or not.
De werkgroep lijkt hier twee zaken te willen opmerken:
- het volgen van internetters op zondanige wijze dat deze te identificeren zijn, impliceert een verwerking van persoonsgegevens (en dient dus te voldoen aan de WBP);
- het plaatsen of uitlezen van gegevens op eindapparatuur van internetters dient te voldoen aan de cookiewetgeving, ongeacht of de betreffende gegevens persoonsgegevens zijn of niet.
Beide stellingen lijken mij juist. Om hier echter de conclusie aan te verbinden dat de werkgroep zou hebben gezegd dat device fingerprinting onder de cookiewet valt, lijkt mij niet helemaal juist.
Consequenties
Het antwoord van de minister roept bovendien een heleboel andere vragen op. De cookiewet is al omstreden, met deze ruime uitleg van de minister zou de wet nog wel eens veel meer omstreden kunnen raken. Zo wordt de informatie die voor device fingerprinting wordt gebruikt, ook gebruikt voor bijvoorbeeld het bijhouden van statistieken over het websitebezoek. Een websitehouder wil immers graag weten met welke browserversie of op welke schermresolutie zijn website wordt bezocht, zodat hij daar in het ontwerp rekening mee kan houden. Het gebruiken van die informatie zou, in de visie van de Minister, straks vallen onder de nieuwe cookiewet. Een uitzondering gaat niet op. De uitzondering waar de minister op wijst van artikel 11.7a lid 3 Tw is namelijk alleen van toepassing wanneer het uitsluitend doel van het gebruik van de informatie is om (a) de communicatie uit te voeren of (b) de door de gebruiker gevraagde dienst te leveren. Dat is bij het bijhouden van statistieken niet het geval; het bijhouden van statistieken is immers niet vereist om de communicatie uit te voeren en om die dienst heeft de gebruiker ook niet gevraagd.
Laat ik nog een voorbeeld geven. Het is mogelijk uit te lezen welke taalversie van een browser door een internetter wordt gebruikt. Die informatie kan, al dan niet in combinatie met bijvoorbeeld het land van herkomst van het gebruikte IP-adres, worden gebruikt om een website automatisch in de (waarschijnlijke) taal van de bezoeker weer te geven. Het gebruik van die gegevens is niet "strikt noodzakelijk" om de website weer te kunnen geven. Het is gewoon handig en gebruikersvriendelijk. Aan de uitzondering van het derde lid van artikel 11.7a Tw wordt dus - in ieder geval naar de tekst van de wet - niet voldaan. Het lijkt mij echter sterk dat alle websites die deze informatie automatisch gebruiken, hiermee zullen stoppen.
Het is de vraag of de uitzondering van artikel 11.7a lid 3 Tw dan wellicht ruimer zou moeten worden gelezen. Die ruime uitzondering geldt dan echter ook voor cookiegebruik. Het lijkt mij zuiverder om verkeersgegevens en andere technische gegevens die bij device fingerprinting worden gebruikt buiten het bereik van de cookiewet te laten.
