Telecombedrijf KPN verzekert zijn internetgebruikers dat hun anonimiteit naar buiten toe gewaarborgd is. Wel geeft het bedrijf toe dat er van een speciale code gebruik wordt gemaakt die een telefoonnummer met de achterliggende persoonsgegevens koppelt aan een bankrekeningnummer. KPN doet dit als bemiddelaar tussen een betaald contentprovider en zijn klant.
‘Als klanten van KPN met hun mobiele telefoon surfen op het internet, voegt KPN een code toe die het voor klanten mogelijk maakt om aankopen te doen via het internet', staat in een officiële verklaring van de telecomprovider te lezen. ‘Deze unieke en anonieme code wordt gebruikt ten behoeve van een incassofunctie, waarbij de contentprovider (een website) aan KPN verzoekt een bedrag bij een klant te incasseren, omdat deze iets wil aanschaffen.'
Geen aparte rekening
KPN gebruikt in zijn verklaring een voorbeeld waarin een klant van KPN naar een website van een dagblad surft waar hij een artikel vindt dat hij graag wil lezen, maar waarvoor hij moet betalen. Deze klant kan er dan via deze procedure voor kiezen om de betaling via zijn KPN-factuur te laten lopen. ‘Deze gang van zaken is gebruiksvriendelijk: de website hoeft geen aparte rekening te sturen naar klant en de klant hoeft geen aparte rekening te betalen. KPN incasseert immers namens de website.'
Veiligheid en privacy van de klant zijn hierbij gewaarborgd, zo stelt KPN, omdat alleen KPN de koppeling kan maken tussen de code en (de rekening van) de klant. ‘Voor anderen dan KPN is de code zinloos en onbruikbaar. Overigens moeten contentproviders die van deze incassofunctie gebruikmaken, een contract ondertekenen met KPN. Deze incassofunctie kan dus alleen door bonafide contentproviders worden gebruikt.'
X-VF-ACR en Brand-ID
KPN gebruikt de code niet om klanten te volgen, iets wat het bedrijf wel zou kunnen doen volgens informaticestudent Ralph Broenink van de Universiteit Twente. Hij kwam tijdens onderzoek erachter dat zowel Vodafone als KPN in de http-header codes hebben gestopt waarmee klanten gevolgd kunnen worden zonder dat er cookies op de smartphone worden geplaatst. Bij Vodafone vond hij de ‘X-VF-ACR'-header, KPN voegt de ‘Brand-ID' aan het internetverkeer toe. Ook legde Broenink uit hoe dit kan en wat hiervan de gevolgen kunnen zijn.
Vodafone is het overigens niet eens met de conclusies van Broenink en laat in een officiële verklaring weten dat zij zonder toestemming geen klantinformatie aan derden doorspelen. KPN volgt nu dit voorbeeld en legt uit dat de ‘Brand-ID' uitsluitend gebruikt wordt om te factureren. ‘KPN legt geen enkel verband met andere gegevens die KPN over zijn klanten verwerkt', aldus de verklaring. ‘Deze procedure is openbaar, bekend en wordt al sinds jaar en dag gebruikt.'
Hoe vaak veranderd het brand-id? Indien dit eenmaal wordt toegewezen aan een telefoon blijft het een uniek id dat op langere termijn aan iemand te herlijden valt.
Misbruik wordt altijd achteraf geconstateerd; gelegenheid maakt de dief..
De grootste denkfout die bij beveiliging wordt gemaakt, is dat men kijkt naar legitime intentie in plaats van te kijken welke deuren je creërt en dus in de gaten moeten houden(!).. Verder is beveiliging/privacy een sluitpost waarop men op korte termijn even geld kan besparen ten kosten van de klant. De enige manier die ik zie om dit te veranderen is dat de Opta boetes uit gaat delen bij het lekken van gegevens van ‘burgers’ (dit is overigens ook een voorstel van de Ombudsman, zo ver ik weet). De bedrijven moeten blijkbaar eerst de pijn echt voelen..
Ik krijg ineens een dejavu.
Dacht dat deze dienst een stille dood was gestorven… Is switchpoint weer uit de mottenballen?
http://www.emerce.nl/nieuws/sp-in-het-geweer-tegen-switchpoint-van-kpn
Zelfs als KPN/Vodafone dat id netjes gebruiken, blijft het voor websites een prima middel om jouw gedrag op die website over langere tijd te volgen.