Privacy Friendly

Opinie

Tracking cookies

7 maart 2019, 09:00

De AP schrijft dat websites toegankelijk moeten blijven als de gebruiker tracking cookies weigert. De NOS bericht daarover met een naar mijn idee vrij onduidelijk verhaal over de vraag of dit nu terecht is of niet.

Voor de duidelijkheid: tracking cookies. Los van de technische details gaat het er hier om of je 'cross-site' gevolgd wordt. Of de krant (veelal door een derdepartij) mag laten volgen wat jouw interesses zijn bij online winkels, zodat je gerichte reclame kunt ontvangen. Je hebt geen idee wie jou volgt. Volgens het onderzoek uit "Je hebt wel iets te verbergen" kan het daarbij gaan om vele tientallen derdepartijen waar je nog nooit van hebt gehoord. Data-brokers die handelen in jouw persoonsgegevens, zonder dat je het weet. Zonder dat je weet wat zij over jou weten. Formeel zijn het verwerkingsverantwoordelijken waar je jouw betrokkenerechten bij kunt uitoefenen. Moet je wel weten wie het zijn.

Het argument van de sites is dat zij deze tracking nodig hebben voor advertentieinkomsten. Natuurlijk is het zo dat die inkomsten hoger zijn als er gerichter geadverteerd kan worden. Ik volg alleen niet dat dit belang opweegt tegen het (zeer gedetailleerd) profileren door onbekende derden. Doe dan minder gerichte advertenties. In het papieren tijdperk hadden we ook kranten en tijdschriften die ongerichte advertenties hadden - kennelijk toch rendabel. Als je dan zou betogen dat die hogere advertentieinkomsten voor gerichte reclame nodig zijn om gratis diensten te betalen, vraag ik me af waarom ik ook tracking cookies krijg bij diensten waar ik voor betaal. Die tracking klinkt toch meer als kans dan als noodzaak. Privacy by design gaat uit van minimalisatie en dus verwerking die noodzakelijk is.

Voor die tracking cookies is toestemming nodig. Dat is niet nieuw. Wat wel nieuw is, is dat die toestemming niet afgedwongen mag worden: de toestemming mag geen voorwaarde zijn voor het leveren van de dienst. Dus niet "geen toestemming, geen toegang", oftewel "als we je niet mogen profileren, krijg je de dienst niet". De consument die niet gevolgd wil worden heeft immers feitelijk geen keus als hij mag kiezen tussen "volgen" en "geen dienst" en kan dus geen 'vrije toestemming' geven. In het arbeidsrecht is dat heel bekend: als een werkgever vraagt om toestemming snapt iedereen dat dat geen zuivere toestemming is (i.c. vanwege de gezagsrelatie). In de informatiewereld zijn we nog niet zo ver. We zeggen dan snel dat je gewoon een andere dienst moet gebruiken. Kies gewoon een andere Facebook, een andere Google en een andere NRC. Kennelijk vinden de contentleveranciers dat hun concurrenten een kwalitatief gelijkwaardig alternatief bieden.

Naar mijn idee gaat de discussie fout op die suggestie van een alternatief. De vraag zou niet moeten zijn of je kunt uitwijken naar een (kwalitatief vergelijkbare) andere dienst die zich wel gedraagt. De vraag zou moeten zijn waarom deze diensten denken massaal persoonsgegevens te kunnen verwerken en te delen met onduidelijke derden. Onder de AVG heb je daar immers een grondslag voor nodig - en betrokkenerechten. Je zou voor de lol bij jouw online krant een verzoek om inzage moeten doen waarbij je expliciet vraagt naar de ontvangers van jouw persoonsgegevens (en dan ook jouw IP, browser fingerprint, timestamps waar zij de verantwoordelijke voor zijn). Ik vermoed dat je geen bevredigend antwoord krijgt.

Privacy (en daarmee persoonsgegevensverwerking) is een afweging tussen het beoogde belang en het geschonden belang. Ik zou op zijn minst een poging willen zien waarin openlijk wordt uitgelegd dat deze tracking business redelijk en verdedigbaar is met betrekking tot de gegevensbescherming van de consument. Zolang die uitleg uitblijft heeft de AP zondermeer gelijk.

Hugo Leisink
12 maart 2019, 09:26
Het is mooi dat de AP deze uitspraak heeft gedaan, maar het zal nog wel even duren voordat dit allemaal op orde is. Zelf gebruik ik de Firefox add-on Cookie Lympha [addons.mozilla.org]. Cookies accepteren, klik op het Lympha knopje om alle cookies weg te gooien en je hebt toegang tot de website zonder gevolgd te worden.