In deze blog gaan we het hebben over browser fingerprinting en cookies. Je hebt vast wel eens van cookies gehoord, en dan bedoelen we niet de cookies die je kunt eten, maar die je moet accepteren. Cookies kunnen met name gebruikt worden om bezoekers van een website te kunnen volgen. Zoals het je vast niet is ontgaan veranderd er veel op het gebied van de Europese privacy regelgeving. Zo is het in Europa sinds 2012 verplicht voor iedere websites die gebruik maakt van cookies een cookie banner in te stellen. Deze banner vertelt je dat een desbetreffende website gebruikt maakt van (tracking) cookies. Allright! Tot zo ver de cookie banner, laten we ons eerst even verdiepen in de cookie zelf. We leggen het je graag even uit!
Wat zijn cookies en wat doen ze?
Een cookie is een bestandje dat vanuit de website die je bezoekt op je computer wordt geplaatst, om precies te zijn in je webbrowser waarin je de website bezoekt. Je kunt een cookie het best vergelijken met een tijdelijk geheugen bestandje. Veel cookies worden net zolang in het browser bewaard tot je zelf je browse geschiedenis wist, sommige ook niet, deze verdwijnen vanzelf bij het sluiten van je webbrowser. De cookies die in je webbrowser worden opgeslagen zorgen er bijvoorbeeld voor dat als je je ergens op een website inlogt, de website jouw gegevens kan onthouden en je automatisch ingelogd laat staan bij het openen van andere pagina’s op dezelfde website.
Maar wat kun je nog meer met cookies?
Naast het feit dat cookies erg handig en gebruiksvriendelijk kunnen zijn, kunnen cookies ook als vervelend worden gezien. Het gebruik van cookies wordt voor meer toepassingen ingezet dan enkel gebruikers herkenning. Zo worden er ook cookies ingezet voor marketingsdoeleinden, denk hierbij aan advertenties op maat. Het is je vast wel eens opgevallen dat je bijvoorbeeld op internet een bepaald product aan het zoeken bent, en dat je op een gegeven moment overal advertenties tegenkomt van dat desbetreffende product. Dit is precies hoe tracking cookies werken.
In de meeste webshops die er te vinden zijn, zie je ook vaak een overzicht van meest gewaardeerde producten. Ook hier spelen cookies vaak een rol. Op basis van verzamelde gegevens van verschillende gebruikers kan een goed beeld gevormd worden van specifieke interesses per bezoeker.
Welke type cookies zijn er?
Er bestaan drie type cookies. Allereerst heb je de functionele cookies, deze zijn noodzakelijk voor het goed functioneren van je website. Deze cookies herkennen wie je bent waardoor je bijvoorbeeld ingelogd zal blijven bij het switchen naar andere pagina’s, of het zal onthouden wat er in je winkelmandje zit. Voor dit type (functionele cookies) hoeft de eigenaar van de website geen toestemming te vragen. Wel dient dit opgenomen te zijn in de privacy verklaring.
Analytische cookies
Naast functionele cookies, zijn er ook analytische cookies. Deze cookies worden ingezet voor het meten van websitebezoek. Google Analytics is bijvoorbeeld zo’n tool die gebruikt maakt van analytische cookies. Met Google Analytics heeft de website beheerder een duidelijk overzicht van surfgedrag op zijn eigen websites. Zo is het mogelijk om te zien hoeveel bezoekers een pagina hebben bezocht, welke pagina’s populair zijn en uit welk land de bezoeker afkomstig is.
Tracking cookies
Tot slot hebben we nog tracking cookies. Deze cookies kunnen het bezoek van websites volgen. Door het toepassen van tracking cookies wordt er per gebruiker een profiel opgebouwd. Dit profiel bevat gegevens als surfgedrag, systeemconfiguratie en geolocaties. Tracking cookies zijn geen noodzakelijke cookies voor het optimaal laten functioneren van websites. Dit soort cookies mogen daarom ook niet zonder toestemming geplaatst worden. Ook moet het gebruik van tracking cookies vermeld worden in de privacy verklaring.
Heb jij al een cookiebanner op jouw website?
Wellicht ben je tijdens het lezen er ook achter gekomen dat je voor je eigen website een cookie banner moet plaatsen. Gelukkig is het vrij eenvoudig om zelf een geautomatiseerde cookie banner te genereren en deze weer te geven op je website. Op cookiebot.com kun je een gratis account aanmaken voor het genereren van een cookiebanner. Hierbij kun je zelf kiezen of je de cookies wilt plaatsen op het moment dat de bezoeker akkoord is gegaan, of dat je alvorens de bezoeker akkoord gaat, de cookies alvast wilt plaatsen. Vind je het ontwerp van de gratis cookie banner tegenvallen, en wil je een custom cookie banner maken? Dan zou je ook eens op CSSScripts.com kunnen kijken voor vele gratis cookie banner templates die je eenvoudig kunt aanpassen. Deze custom cookie banners kun je vervolgens weer koppelen middels een API-code van Cookiebot. Hieraan zitten wel kosten verbonden.
Tracking via browser fingerprint
Veel bekende Nederlandse websites en webshops maken gebruik van fingerprinting om zo hun website bezoekers te kunnen tracken. Het gaat in veel gevallen om banken, nieuwssites, streamingdiensten en webshops. Met fingerprinting is het mogelijk om informatie in te winnen dat betrekking heeft op de systeemconfiguratie van de websitebezoeker, hierbij moet je denken aan besturingssystemen als bijvoorbeeld Windows of MacOS, browserversies, schermresolutie en nog veel meer, de browser fingerprint heeft wat dat betreft veel weg van tracking cookies. Daardoor is zo’n bezoeker net zo eenvoudig te volgen. Omdat browser fingerprint werkt op basis van het verzamelen van gebruikte systeemconfiguratie gegevens, is het hierdoor mogelijk om per unieke gebruiker een unieke fingerprint te genereren. Het grote voordeel hiervan is dat ook wanneer je van IP-adres zou wisselen, je alsnog door de browser fingerprint gevolgd kan worden. Dit geldt ook voor incognito browsers, ook wel privé-modus genoemd.
Consumentenbond is onderzoek gestart
Onlangs kwam de Consumentenbond naar buiten met de resultaten van hun eigen onderzoek naar het gebruik van browser fingerprint onder grote websites en webshops. Begin dit jaar heeft de Consumentenbond via de Google Chrome-extensie CanvasFingerprintBlock ruim honderd populaire websites onderzocht op browser fingerprint. Maar liefst 34 procent maakt gebruik van deze browser fingerprint. In een eerder onderzoek dat verricht is in 2018 was dit nog maar 12 procent. Uiteraard zijn ook alle websites die deel uit maakten van het onderzoek benaderd. Enkele bedrijven hebben hier op gereageerd en stelden dat het gebruik van browser fingerprint noodzakelijk is voor een verbeterde beveiliging. Hierbij moet je denken aan het voorkomen van DDoS-aanvallen, scraping en fraudebestrijding.
Is browser fingerprint toegestaan?
Als je naar de Telecom- en privacywet, ook wel AVG genoemd, mag een website enkel browser fingerprint gebruiken als de bezoeker hiermee akkoord gaat. Het akkoord geef je door in te stemmen met het gebruiken van de desbetreffende cookies via de cookie banner. Echter hebben de meeste websites al een vingerprint genomen alvorens je de cookies accepteert. Van alle onderzochte websites door de Consumentbond plaatsten enkel websites als telegraaf.nl, nu.nl & ing.nl de cookies nadat je akkoord bent gegaan. Hierna ben je dan als bezoeker te tracken.
Veiligheid als argument opgegeven
Bijna alle betrokkenen die aan dit onderzoek deel namen kwamen bijna elke keer met hetzelfde argument; veiligheid. Hierbij lag de nadruk op het gegeven dat de browser fingerprint gebruikt wordt voor fraudebestrijding: Doordat de browser fingerprint gegevens weet te verzamelen en deze ook weet te koppelen aan de gebruiker, kan er vanaf een andere computer niet zo maar ingelogd worden, als dit door site configuratie zo ingesteld staat. Sommige melden dat ze de browser fingerprint gebruiken voor het tegengaan van het grootschalig kopiëren van websites. Tot slot werd het argument ‘om een aanval te herkennen en af te weren’ gebruikt. Echter als wij de wet AVG beter bekijken, is veiligheid geen rechtvaardig argument om ongevraagd browser fingerprint toe te passen. Bij banken ligt dit iets genuanceerder, zo hebben banken een speciale status waardoor ze zonder toestemming deze tracking techniek mogen inzetten. Dit heeft te maken met het feit dat ze volgens de antifraudewetgeving verplicht zijn om hun website extra goed te beveiligen.
Vervolg onderzoek Autoriteit Persoonsgegevens
Mogelijk komt na het onderzoek van de Consumentbond ook een vervolg onderzoek door de Autoriteit Persoonsgegevens. De Consumentbond heeft al haar bevindingen gedeeld met de Autoriteit Persoonsgegevens. Aangezien een groot gedeelte van de onderzochte websites geen correcte juridische grondslag hebben voor het ongevraagd toepassen van de browser fingerprint, zal dit voor mogelijk consequenties kunnen zorgen. Denk hierbij aan hoge sancties die opgelegd kunnen worden.
Strengere wetgeving opkomst Europa
Zoals de meesten onder ons al weten, komen er in heel Europa strengere wetten wat betreft internet en privacy. Op 20 januari is er in Europa een nieuw wettenpakket aangenomen die betrekking heeft op de online privacy. Het betreft hier de Digital Service Act, ook wel bekend als Verordening Digitale Diensten. Dit wettenpakket is relevant aan het eerder in leven geroepen Digital Market Act. Zo wordt het voor tech bedrijven als Google en Facebook moeilijker gemaakt om hun bedrijvigheid in Europa voort te zetten zoals ze het nu doen. Dit heeft allemaal te maken met de nieuwe privacy wetgeving die binnenkort in geheel Europa zal gelden. Door deze wet wordt het onmogelijk gemaakt om gebruiksgegevens nog (legaal) Europa uit te krijgen, maar ook dat het volgen, foppen aan banden wordt gelegd.
