Pascal van Hecke is zelfstandig constultant op het gebied van privacy en internet. Hij werkte onder meer voor het College Bescherming Persoonsgegevens. Van Hecke legt uit hoe het komt dat niet iedereen op internet dezelfde advertenties krijgt te zien: je surfgedrag op internet wordt vertaald in een profiel zodat bedrijven weten waarin jij geinteresseerd bent.
Pascal Van Hecke: ‘Terwijl jij surft met je browser bezoek je niet alleen de site die je denkt te bezoeken , maar surf je als het ware tegelijk op andere sites. In een site zitten namelijk vaak stukjes code van andere sites, en die laten dan weer cookies bijhouden: tekstbestandjes die een site verstuurt naar een computer.
Overal waar je Google-advertenties ziet staan bijvoorbeeld (‘ads by Google’) ben je op een site die meewerkt aan het opstellen van je profiel. Op basis daarvan wordt je bestookt met advertenties die op jouw interessegebieden zijn gebaseerd. Dat heet behavourial targeting. Er zijn, naast Google, een heel aantal bedrijven die daarin gespecialiseerd zijn.
Google is bekend geworden met advertenties die aangepast zijn aan de inhoud van de pagina, maar vorig jaar hebben ze de knop omgedraaid: als er advertenties getoond worden is niet alleen op basis van je bezoek aan die ene pagina, maar ook waar je eerder naartoe bent geweest. Behavourial targeting vindt dus zowel plaats op basis van de sites die Google zelf uitbaat (zoals Youtube) als van sites die op het eerste zicht niks met Google te maken hebben. Je kunt als internetgebruiker ook zelf van invloed zijn op de advertenties die je krijgt. Dat kun je doen door de zogenaamde Google ads preferences in te stellen. Daar kun je zelf aangeven dat je in reizen bent geinteresseerd, of in auto’s. Dat geeft je het idee dat je als gebruiker in controle bent.
De hamvraag is: hoe erg vind je het dat een bedrijf meekijkt met jouw surfgedrag? Sommigen vinden het beangstigend, sommigen minder. De meeste mensen zien hun surfgedrag toch als iets intiems.’
IP adres
‘Een website-uitbater kan niet onmiddellijk zijn wie er naar de site surft. Het IP-adres verwijst naar een computer, maar je weet niet wie er nu achter plaats neemt. Maar… De meeste websites zijn intussen ‘beschrijfbaar’, dat wil zeggen: interactief. Je kunt comments plaatsen, produkten bestellen, een gastenlijst invullen of op een andere manier iets van jezelf invullen, achterlaten. In de loop van de jaren zijn er behoorlijk veel sites waar je dit soort sporen achterlaat. Dan is vervolgens je IP-adres wel te koppelen aan je adres- en naamgegevens. In de bloggers-wereld is het een bekend spelletje: iemand doet zich hier voor als een beroemdheid, maar heeft datzelfde IP-adres bij jou op je blog ook wel eens een commentaar geplaatst? Wie is die persoon?
Heel veel partijen hebben zo veel kleine stukjes informatie over je, die te koppelen zijn. In de VS zijn er bedrijven die, vooral met behulp van gegevens verstrekt door webwinkels, grote databases hebben aangelegd met miljoenen IP-adressen met bijbehorende NAW-gegevens.’
En als je nou alleen rondsurft en nooit iets achterlaat? ‘Dan is de koppeling alleen door je provider te maken. Dat gebeurt ook, bijvoorbeeld omdat politie en justitie een beroep doen op providers. Dat gebeurt aan de lopende band. De politie kan een vraag stellen als: welke abonnee zat op welk moment op welk IP-adres online? Het is ook al herhaaldelijk voorgekomen dat zoektermen meespelen in rechtzaken. Maar daarvoor kan ook gewoon de history in je browser worden bekeken.
Het zal steeds lastiger worden om nooit iets in te vullen, geen gegevens achter te laten, omdat het internet steeds interactiever wordt. Het neemt dus alleen maar toe.
Een bedrijf als Wunderloop, dat een kleinere behavioural targeting-speler is, zegt privacy-voorzorgen te hebben genomen. Het waakt ervoor dat het net niet te veel informatie opslaat. Het is in hun belang dat te doen. Er komt een Europese richtlijn aan die het dit soort bedrijven lastig kan gaan maken. Wunderloop zegt geen gebruik te maken van IP-adressen, alleen van cookies. Dat is op zichzelf minder privacygevoelig. Maar die nieuwe richtlijn stelt straks misschien dat alleen van cookies gebruik gemaakt mag worden als de klant vantevoren op de hoogte is gesteld. Dat zou de doodsteek zijn voor deze sector. Het verweer van Wunderloop op deze richtlijn is juist: als je je zo gaat concentreren op de cookies, zijn we als industrie genoodzaakt om naar andere manieren te kijken, en die zijn juist privacy-gevoeliger (zoals IP-adressen).
Het is lovenswaardig dat bedrijven als Wunderloop en Google soms wel degelijk inspanningen doen om gevoelige gegevens niet onnodig op op te slaan, maar in algemene zin weten we dat bedrijven data-hongerig zijn. De natuurlijke reflex van een IT-specialist is: je kunt nooit genoeg opslaan, want je weet nooit wanneer de gegevens nog van pas komen.’
Maar als een bedrijf meer over me weet, dan word ik toch gewoon beter bediend? ‘Het is beslist niet zo dat het voor jou als consument altijd prettiger is dat een commerciële partij meer kennis over jou heeft. Je zou zeggen: fijn, ik krijg gericht advertenties die bij mijn interesses aansluiten. Maar als je binnen een site van elektronica klikt op luxe produkten, of binnen de site van een hotel klikt op luxe-arrangementen, dan onthoudt het systeem dat jij in luxe geïnteresseerd bent, dat je je kennelijk wat kunt veroorloven, en dus krijg jij niet de advertentie met die aantrekkelijke korting of die aanbieding te zien. Je krijgt misschien juist nog meer dure, luxe advertenties te zien waarin geappeleerd wordt aan exclusiviteit. Bij vliegmaatschappijen wordt daar ook naar gekeken: investeren in een trouwe klant die altijd bij jou boekt heeft niet zo veel nut, je kunt die kortingen beter afvuren op kritische klanten. Behavourial targeting kan zo dus ook in je nadeel werken als consument. Er is een informatie-ongelijkheid tussen jou en de aanbieder van de site: jij weet niet wat zij van jou weten.’
Nieuwe risico’s
‘Wat super-hot is: adverteren via sociale netwerken. Dan hebben we het dus over Facebook, Twitter, Hyves en LinkedIn. Reuze-interessant voor bedrijven, omdat je niet alleen letterlijk kunt zien wie je bent, maar ook de communicatie met je vrienden. Facebook is aan het experimenteren met ‘scriptjes’ die ze aanbieden aan andere websites. Kennis van jouw surfgedrag is nog aantrekkelijker als bedrijven echt je identiteit kennen, met al die intieme informatie op die sociale netwerken. Dat gaat de grenzen van online privacy verder oprekken. Je kunt steeds vaker ‘meekijken in de hersenpan van iemand’. En als het gaat om zulke grote bedrijven als Google en Facebook… daar werken nogal wat mensen. De controle daarop is niet geregeld, er is eigenlijk nauwelijks iets over afgesproken. Anders dan Google weet Facebook vaak wel heel precies wie je bent, wat je doet, waar je van houdt, wie je vrienden zijn, etcetera.
Iets anders dat de komende jaren heel belangrijk wordt is: gezichtsherkenning. Google heeft gezichtsherkenning bewust weggelaten uit Google Goggles. Bedrijven leggen zichzelf nu nog restricties op, maar het gaat de komende jaren een hot topic worden. Wat technisch kan: je maakt op straat een foto van iemand en via gezichtsherkenning wordt via een zoekmachine informatie over die persoon gezocht. Je ziet dan meteen met wie je te maken hebt, en wat over over hem of haar online staat!
Tenslotte: locatiebepaling. Alle hippe mobieltjes, Androids en iPhones, hebben dit standaard ingebouwd. Telkens wanneer je Google Maps opstart gaat je telefoon na welke Wifi-hotspots er in de buurt zijn. Die info stuurt de telefoon door naar een van de providers. Zo kan je hele leef- en reispatroon gevolgd worden.’
