Door Vincent Bongers Ik zoek een nieuwe fiets en bekijk het aanbod op internet. Eén korte blik op fietsenwinkel.nl heeft gigantische gevolgen. Sindsdien word ik achtervolgd door advertenties voor robuuste stadsfietsen en veelzijdige mountainbikes - of het nu op een obscuur Brits muziekblog is, of een krantensite. Het bombardement houdt weken aan.
Dat is het gevolg van razendsnelle online veilingen, vertelt promovendus Robbert van Eijk, die senior inspecteur is bij de Autoriteit Persoonsgegevens in Den Haag. Dat is het bestuursorgaan dat toezicht houdt op het verwerken van persoonsgegevens. Van Eijk hoopt op 29 januari te promoveren op een onderzoek naar de netwerken die informatie uitwisselen om producten en advertenties op het internet verkopen. De werkwijzen van deze netwerken kunnen botsen met grondrechten als privacy.
Desgevraagd stelt Van Eijk snel een diagnose van mijn surfgedrag:
‘Welke browser gebruik je?’
‘Google Chrome’
‘En ingelogd in Chrome?’
‘Ja.’
‘Log je nooit uit?’
‘Eh, nee.’
‘Wis je weleens je cookies?’
‘Ook niet.’
‘Dan laat je dus voortdurend sporen na.’
Van Eijk vervolgt: ‘Advertentiebedrijven als Google houden heel nauwkeurig bij wanneer je ergens interesse in toont. Er zijn allerlei platformen die de adverteerders helpen om potentiële kopers te vinden op verschillende websites. Weer andere partijen zijn heel goed in het verrijken van jouw tracking-cookies. Die proberen zoveel mogelijk informatie over jou aan die cookie te plakken. Ze weten niet zozeer wie je bent, maar weten wel welke browser en computer je hebt gebruikt, en dat je op zoek bent naar een fiets. Er is een hele snelle online veiling over wie de advertentieruimte op een site die je gaat bezoeken mag vullen met advertenties: real-time bidding heet dat.’
Al deze acties vinden binnen een paar tienden van een seconde plaats in steeds verder uitdijende netwerken die informatie inwinnen, verrijken en verhandelen. ‘Vanuit een marketingperspectief ben je dan een vis aan het binnenhengelen. Bedrijven kunnen vervolgens aanbiedingen doen: dat zijn die reclames die over je scherm flitsen.’
Puzzelstukjes
Om erachter te komen hoe dat gebeurt, beluistert Van Eijk het netwerkverkeer. ‘De server geeft mij een grote verscheidenheid aan antwoorden: puzzelstukjes van verschillende bedrijven. De een levert een plaatje, de ander een videootje, of een like-button. Al die informatie vertaal ik naar een grafische weergave: een spinnenweb van alle partijen die samenwerken en iets bijdragen aan een webpagina. Zo’n netwerk maakt het mogelijk om daar algoritmen op los te laten en gegevens te combineren. Je kunt zo onderzoeken wat er nu echt gebeurt: wie deelt gegevens over jou met wie? Dat betekent ook dat je juridische vraagstukken meetbaar kunt maken.’
Wat is volgens hem het probleem van de netwerken? ‘Onbespied zijn, is een grondrecht. Dat moet niet onderschat worden. Het kan verstrekkende gevolgen hebben dat allerlei bedrijven weten op welk moment iemand een fiets wil kopen. Snowden liet dat goed zien.’
Edward Snowden werkte bij de Amerikaanse geheime dienst NSA en maakte in 2013 een groot aantal documenten over de grootschalige spionageactiviteiten van deze organisatie openbaar.
‘De NSA gebruikte bijvoorbeeld tracking cookies om profielen op te bouwen van personen. Het systeem kan ook gebruikt worden om je voor andere zaken te benaderen, bijvoorbeeld politieke advertenties. Hoe meer je weet over iemand, onder andere door het analyseren van cookies, hoe makkelijker die persoon is te beïnvloeden. Dat bleek wel rond het Cambridge Analytica-schandaal.’ Dat bedrijf maakte gebruik van Facebook-data en liet daar psycho-demografische algoritmen op los, om uit te zoeken hoe mensen denken. Vervolgens werd die informatie gebruikt om hun politieke voorkeur te beïnvloeden.
Ernstige vertraging
‘Het probleem van gevolgd worden door tracking cookies, willen we oplossen. We hebben in Nederland al de cookiewet. Er ligt ook een voorstel voor een nieuwe Europese ePrivacy-verordening. In deze verordening staat dat het “verboden is” om cookies te plaatsen “tenzij iemand expliciet toestemming geeft”. Dat is een heel hoge lat, maar het is echt nodig. De belangrijkste reden waarom die verordening er nog niet is, is ernstige vertraging in Brussel. Ik hoop dat mijn onderzoek er mede voor kan zorgen dat de verordening er snel komt.’
Ook zonder cookies kan je profielen van personen opbouwen, aldus Van Eijk. Fingerprinting heet dat. ‘In een browser kun je bijvoorbeeld gebruik maken van de toegang van sensoren op mobiele telefoons. Deze toegangen heten application programming interfaces, die lezen fysieke eigenschappen van de sensoren van de smartphone af. In elke telefoon zijn de eigenschappen van de chips of batterij net iets anders, ook al komen ze uit dezelfde fabriek. Met die afwijkingen kun je een unieke handtekening berekenen. We weten dat dit soort informatie gebruikt wordt om gericht te adverteren.
‘Ik ben fingerprinting tegengekomen in bijvoorbeeld Hotjar, een tool waar je internetgebruik kunt analyseren. Het gaat verder dan cookies, omdat het voor een gewone gebruiker niet zichtbaar is. En je wordt er meestal ook niet specifiek over geïnformeerd als je een website bezoekt.’
Hoe surft Van Eijk zelf over het internet? ‘Ik typ de url in van de sites die ik wil bezoeken in een browser, en klik heel weinig op links. Ik heb mijn browser, Mozilla Firefox, zo ingesteld dat die alle cookies weggooit als ik deze afsluit.Ik gebruik wel sociale media, maar heel functioneel: LinkedIn en Twitter. Ik zet geen informatie over familie op Facebook of Instagram. Vroeger zat ik soms twee uur per dag op Facebook. Dat vond ik zonde van de tijd, dus weg ermee.
‘Ik heb ook geen smartphone, althans niet voor privé-gebruik. Alles wat een web-interface heeft, kan ik ook op mijn computer doen. Dan heb ik veel meer invloed over welke informatie ik niet verzameld wil hebben. Ik wil goed kunnen zien wat er met mijn gegevens gebeurt, en op een telefoon is dat veel lastiger. Het is een kwestie van beroepsdeformatie.’
Bodycams en schietgrage cowboys
Aan de promotie van Robbert van Eijk is een symposium gekoppeld waar ook de Amerikaanse hoogleraar Peter Swire komt spreken. Deze expert op het gebied van privacy, recht en het internet is verbonden aan het Georgia Institute of Technology, was adviseur van Bill Clinton en Barack Obama en deed onderzoek naar de NSA, de Amerikaanse geheime dienst.
‘In Leiden wil ik het hebben over de bodycams die politieagenten dragen’, laat Swire via Skype weten. Die camera’s zijn uitstekend wat betreft het afleggen van verantwoording bij politieacties. Zeker in het kader van bijvoorbeeld politiegeweld en Black Lives Matter.
Toevallig werd deze week bekend dat Leidse buitengewoon opsporingsambtenaren (BOA’s) ook uitgerust worden met deze camera’s. ‘Al die opnames werpen wel weer lastige vragen op. Wat doe je met al die beelden? Hoe zorg je ervoor dat ze veilig worden verwerkt en opgeslagen? De politie is niet meteen de grootste specialist op het gebied van cybersecurity. En wat mag je trouwens allemaal met al dat materiaal doen?’
Swire kreeg na de onthullingen van Edward Snowden de opdracht om de National Security Agency (NSA) door te lichten. ‘We kregen de hoogste security clearance en hebben met heel veel medewerkers gesproken. De indruk was, zeker in Europa, dat de dienst als een schietgrage cowboy tekeer ging die zich aan geen enkele regel hield.
Dat is niet het geval. Sterker nog: we ontdekten dat de NSA al in 2008 een groot programma had opgezet, waarin uitgebreid werd vastgelegd wat de wetgeving betekende voor de dienst. Er werd ook scherp op medewerkers gelet om te zorgen dat zij zich ook echt aan de wet hielden.
‘We kwamen ook wel rare dingen tegen. Zo waren er gevallen van zogeheten LOVEINT, oftewel love-intelligence. Medewerkers die gebruik maakten van de mogelijkheden die de NSA bood om onderzoek te doen naar hun geliefden of mensen waar ze verliefd op waren. Er waren negen van die gevallen, en die personen zijn ook bestraft, en in bepaalde gevallen ontslagen.’
Promotie 29 januari, 11:15, Academiegebouw. Symposium, 15:15, KOG