In politiek Den Haag wordt er druk gediscussieerd over het al dan niet digitaal volgen van internetgebruikers en het controleren van de internetverbindingen. De dames en heren politici denken met een nieuw op te stellen ‘cookiewet' de anonimiteit van internetgebruikers te kunnen waarborgen. Maar niets is minder waar, meent informaticastudent Ralph Broenink van de Universiteit Twente. In ieder geval KPN en Vodafone hebben manieren om hun klanten te volgen, zonder cookies op hun smartphone te plaatsen.
Ralph Broenink voerde, ter afronding van zijn bacheloropleiding Informatica, het onderzoek uit bij de vakgroep Distributed and Embedded Security (DIES) van het onderzoeksinstituut CTIT. Hij kreeg een negen als eindcijfer voor zijn onderzoek. ‘Voor mijn onderzoek heb ik in eerste instantie gekeken naar de informatie die wordt gelekt door een webbrowser', aldus de informaticastudent. ‘Hier gaat het om informatie zoals de geïnstalleerde lettertypen en browserversie. Aan de hand van deze ‘basisinformatie' heb ik geprobeerd een browser over het internet te volgen. Met een succesratio van ruim 90 procent kan ik zeggen dat dit onderzoek redelijk geslaagd is en dat mensen in het algemeen dus ook volgbaar zijn zonder dat er cookies in het spel zijn. Ik heb over dit deel van het onderzoek al iets online geplaatst op de website www.letmetrackyou.org.'
Anonymous customer recognition (ACR)
Het probleem met het volgen op deze manier, dus zonder het gebruik van cookies, is volgens Broenink dat het erg moeilijk is om computers die op dezelfde manier zijn geïnstalleerd van elkaar te onderscheiden. ‘Mobiele telefoons zijn daar een goed voorbeeld van; deze hebben in het algemeen dezelfde lettertypes en browsers erop staan. Daarom heb ik gekeken wat voor informatie er nog meer werd verstuurd. Zo kwam ik erachter dat iedereen die Vodafone gebruikt om op het internet te surfen, de obscure ‘X-VF-ACR'-header bevat, een stuk informatie die door Vodafone aan ieder webrequest wordt toegevoegd en bestaat uit 256 bytes aan versleutelde data. Het is mij niet gelukt om deze data te ontsleutelen, maar het is me wel duidelijk geworden waar het voor wordt gebruikt.'
Broenink nam met Vodafone contact op en kreeg na enig aandringen iemand te spreken. ‘Daar werd me uiteindelijk verteld dat ‘ACR' staat voor ‘anonymous customer recognition' en dat dit via een interface aan partners beschikbaar wordt gesteld. Partners die daar ‘ook' een statische identifier uit kunnen halen (oorspronkelijk is het bedoeld voor ‘carrier billing', afrekenen op de telefoonrekening). Dit heeft de aard van een cookie, maar is, doordat het door Vodafone zelf in de webrequests wordt ingevoerd, niet te verwijderen. Zo kan Vodafone, samen met zijn partners, een gebruiker volgen binnen zijn website en een gebruikersprofiel opstellen van de klant. Uiteindelijk zou dit bijvoorbeeld gebruikt kunnen worden voor zeer gerichte advertenties of persoonlijke aanbiedingen.'
KPN en T-Mobile
Maar Vodafone is niet de enige die volgcode gebruikt, meent Broenink. ‘Naast naar Vodafone, heb ik ook gekeken naar andere grote Nederlandse providers. Zo voegt KPN aan het internetverkeer de ‘Brand-ID' toe, wat inhoudt dat iedere website die vanaf een KPN-toestel wordt bezocht, kan weten of de bezoeker bijvoorbeeld Hi of Simyo gebruikt. Ook voegt KPN het interne ip-adres (10.*.*.*) toe aan iedere http-request. Dit ip-adres is volledig zinloos voor websites, omdat het een intern adres is en niet van buitenaf benaderbaar is, maar het kan waarschijnlijk wel gebruikt worden om een gebruiker te volgen (althans, in dezelfde sessie). Helaas had ik niet meer tijd om hier echt gedegen onderzoek naar te doen. Bij T-Mobile heb ik dergelijke informatie overigens niet aangetroffen.'
Wat Vodafone en KPN precies met de stukjes internetcode willen, is Broenink niet helemaal duidelijk. ‘Natuurlijk kan ik niet bewijzen dat de telecomproviders dit ook daadwerkelijk gebruiken voor het volgen van hun klanten. Feit blijft dat het technisch een kleine stap is om het ook daadwerkelijk te doen. Ik denk dat het een grove privacy-schending is als het wordt gebruikt, want een klant kan er echt niets tegen doen. Ook wanneer de ‘cookiewet' wordt aangenomen, en internetgebruikers zich privé voelen, zijn ze niet anoniem op het internet.'
Reactie Vodafone
Vodafone is het niet eens met de conclusies van Broenink en laat in een officiële verklaring weten dat zij zonder toestemming geen klantinformatie aan derden doorspelen.
De geconstateerde tracking zaken staan los van cookies. Het kan dus best zijn dat ook met een goede cookiewet de gebruiker nog steeds niet anoniem is, maar dat wil in elk geval dus nog allesbehalve zeggen dat de cookiewet bijvoorbeeld niet nodig zou zijn.
Wat het onderzoek wel aantoont, is dat er mogelijk een uitgebreidere / algemenere wet moet komen die gewoon omschrijft wat wel en wat niet mag m.b.t. tracking. Maar eigenlijk denk ik dat er nu al (algemene(re)) wetten zijn waar Vodafone en KPN zich niet aan houden als je naar de onderzoeksresultaten van Broenink kijkt.
Deze berichtkop lijkt mij toepasselijker: ‘Jurisprudentie, controle en handhaving nodig inzake tracking’.
Of eventueel ‘Betere wetgeving, controle en handhaving nodig inzake tracking’, mocht het zo zijn dat huidige wetgeving niet voldoende kapstokmogelijkheden bieden om deze problemen aan te pakken.
Wat Vodafone doet, is dat niet gewoon een vorm van browser fingerprinting?
De Eerste Kamerfractie van het CDA vraagt in de tweede vragenronde over de nieuwe Telecomwet aan de minister: De memorie van antwoord geeft geen toelichting op de praktijk van «device fingerprinting» als een alternatieve manier om mensen individueel op internet te volgen zonder cookies te gebruiken. Het gaat dan om het herkennen van een individu (al dan niet met behulp van Java scripts) aan zijn specifieke browserinstellingen, bijvoorbeeld aan geïnstalleerde plug-ins, tijdzone en beeldschermgrootte. Uit onderzoek blijkt dat er zoveel verschillende instellingen mogelijk zijn, dat individuele gebruikers in bijna 90% van de gevallen individueel herkend en gevolgd kunnen worden. Hoe dient ten aanzien van deze activiteit met de cookiebepalingen te worden omgegaan?
Eerder las ik in een interessant artikel het volgende: “Het lullige is dat cookies een minder grote bedreiging voor de privacy vormen dan browser fingerprinting. Cookies staan op je eigen computer, je kan ze zelf verwijderen. Je kan ook zien welke sites er veel gebruik van maken, en besluiten deze te boycotten. Er zijn ook hele handige plugins en ook browsers helpen inmiddels behoorlijk mee. Tegen passieve fingerprinting staat zelfs de meest slimme gebruiker met lege handen…. De bedoeling van het cookieverbod was gerichte reclames en verminderen van privacy tegen te gaan. Nu is de meest gangbare techniek daarvoor verboden, maar een andere, veel ingrijpender techniek juist toegestaan….Zo leidt de onkunde van regering en parlement tot een verbod op de mindere van twee kwaden, de cookies” Lees het hele artikel hier: http://www.security.nl/artikel/39896/1/Klein_Duimpje_in_Den_Haag.html
Kortom: met deze wet die is bedoeld om de privacy van gebruikers te bevorderen lijkt het kind met het badwater te worden weggegooid.
Trackingcookies worden, als het aan Van Dam en Van Bemmel ligt, trouwens niet volledig verboden, maar de eis om ondubbelzinnige toestemming te verkrijgen is natuurlijk wel een aanzienlijke belemmering. Feitelijk vraag je aan internetgebruikers om actief een sticker op hun brievenbus te plakken met een verzoek om reclame. Wellicht lukt dat wanneer een populaire website anders gewoon niet toegankelijk is (de website moet tenslotte ergens van worden betaald en als men geen gerichte reclame wenst komt dat betaalmodel onder druk te staan), maar dat is weinig sympatiek. Minister Verhagen heeft over opt-in voor geolocaties in zijn brief van 20 december jl. gezegd: “afgaande op ervaringen met vrijwillige opt-in-regelingen in andere sectoren, moet dan rekening worden gehouden met een positieve respons van ongeveer 10%”….Wanneer 10% van het thans in gebruik zijnde aantal routers gebruikt mag worden voor de verwerking van persoonsgegevens van gebruikers, is het niet mogelijk in Nederland op een zinvolle wijze geolocatiegebaseerde diensten aan te bieden. De innovatie die deze vorm van dienstverlening kan opleveren, gaat daarmee aan Nederland voorbij.
De leden van de VVD-fractie in de Eerste Kamer vragen de regering terecht of zij van mening is dat de argumenten van de staatssecretaris van Veiligheid en Justitie ten aanzien van de economische effecten niet naar analogie zouden moeten gelden voor de cookiebepaling of de uitleg daarvan. Een goede vraag, lijkt mij, en ik ben benieuwd naar het antwoord van de minister.