|
|
Supercookies - Inbreuk op privacy van internetgebruikers - Optreden overheid en privacycommissie
eerbiediging van het privé-leven
ongevraagde elektronische reclame
computervirus
gegevensbescherming
| 16/1/2013 | Verzending vraag |
| 22/5/2013 | Rappel |
| 18/12/2013 | Rappel |
| 12/3/2014 | Antwoord |
Ook gesteld aan : schriftelijke vraag 5-7757
De afgelopen dagen is er aardig wat ophef ontstaan over zogenoemde "supercookies": cookies die zichzelf herstellen, nauwelijks zichtbaar zijn en zeer moeilijk te verwijderen. In de historie van het gebruik van cookies om internetgebruikers te monitoren leveren deze cookies weer nieuwe uitdagingen op.
Aanleiding voor de ophef is een studie van onderzoekers van de gerenommeerde universiteiten van Berkeley en Stanford waarin ze nieuwe toepassingen onderzochten wat cookies betreft (zie volgende weblink: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1898390)
De zogenaamde "supercookies" zijn in staat om zichzelf opnieuw te installeren op een computer.
Dit proces kan nog versterkt worden wanneer een partij verschillende webdomeinen in handen heeft en gebruik maakt van cookie- synchronisatie. Dat houdt in dat op verschillende domeinen, bijvoorbeeld msn.com en microsoft.com, dezelfde cookies gebruikt worden. Het grote probleem met de supercookies is dat het kleine beetje controle dat internetgebruikers nog hebben, wordt aangetast.
Gebruikers kunnen cookies van hun computer verwijderen. Daarmee geven ze duidelijk aan dat ze deze niet wensen. Naar analogie zou deze actie uitgelegd kunnen worden als het niet geven van toestemming (consent) om de cookies te gebruiken voor tracking-doeleinden. Deze cookies zijn dus met andere woorden ontwikkeld om tegen de wil in van de gebruiker die deze cookies verwijdert op zijn computer deze terug te herstellen waardoor men het surfgedrag van elkeen onbeperkt kan volgen en in kaart brengen. Dit voelt bijzonder griezelig aan en het gegeven dat deze cookies worden gebruikt tegen de expliciete wil van de gebruiker in en zelf specifiek daarvoor zijn ontworpen is een verregaande inbreuk van de privacywetgeving.
Graag had ik hieromtrent dan ook volgende vragen voorgelegd:
1) Hoe reageert u op de studie over deze zogenaamde "supercookies"?
2) Hebben uw diensten of heeft de privacycommissie reeds vragen en/of klachten hieromtrent ontvangen van burgers of ondernemingen? Zo ja, kan u toelichten?
3) Bent u het met me eens dat domeinbeheerders die dergelijke cookies gebruiken en dus doelbewust cookies plaatsen op de computers van hun bezoekers die deze laatste, in tegenstelling tot de normale cookies, niet of bijzonder moeilijk van hun computers kunnen verwijderen, ingaat tegen de privacywetgeving en dus een bijzonder zware inbreuk is van de privacy? Zo ja, kan u uw standpunt toelichten en aangeven of u bereid bent dit door de nationale of andere instanties te laten onderzoeken en bent u bereid in voorkomend geval een inbreukprocedure op te starten tegen de domeinbeheerders die dergelijke cookies gebruiken? Kan u dit toelichten?
4) Bent u het met de stelling eens dat deze supercookies veel verder gaan dan de normale cookies en zich gedragen als een soort virus of malware? Zo neen, waarom niet?
5) Is er wat deze supercookies betreft geen sprake van een "computervredebreuk " naar analogie van de huisvredebreuk en moet het gebruik hiervan als zodanig verboden worden? Zo nee, waarom niet?
6) Bent u bereid dit probleem voor te leggen op Europees niveau? Zo ja, kan u toelichten? Zo neen, waarom niet?
1. Volgens een studie van de universiteit van Berkeley is een supercookie een cookie, dat wil zeggen een tracking file die op de computer wordt gezet en door de gebruiker gewiste cookies kan herstellen. De onderzoekers hebben vastgesteld dat die supercookies aanwezig zijn op talrijke websites.
De Groep 29, die de autoriteiten voor gegevensbescherming van de 27 Lidstaten van de Europese Unie (EU) bijeenbrengt, sluit zich in zijn advies 2/2010 van 22 juni 2010 aan bij de analyse van de universiteit van Berkeley: "Sommige advertentienetwerken maken in plaats van of naast traditionele tracking cookies gebruik van nieuwe, verbeterde volgtechnieken zoals ‘flash cookies’ (lokale gedeelde objecten). Flash cookies kunnen niet worden verwijderd door de gewone privacyinstellingen van de browser. Er zijn meldingen dat flash cookies expliciet als hulpmiddel zijn gebruikt om ‘traditionele cookies’ te herstellen die de betrokkene had geweigerd."
De Europese en Belgische autoriteiten zijn dus niet alleen op de hoogte van deze praktijk, maar in artikel 5, derde lid, van de richtlijn 2002/58, gewijzigd bij artikel 2.5 van de richtlijn 2009/136 is bovendien gesteld dat: "de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie [...], onder meer over de doeleinden van de verwerking.".
Voornoemd artikel is omgezet in Belgisch recht door artikel 129 van de wet van 10 juli 2012 houdende diverse bepalingen inzake elektronische communicatie. Voormeld artikel voorziet in een zogenaamde “opt in” regeling met betrekking tot cookies. Er wordt evenwel in een uitzondering voorzien “voor de technische opslag van informatie of de toegang tot informatie opgeslagen in de eindapparatuur van een abonnee of een eindgebruiker met als uitsluitend doel de verzending van een communicatie via een elektronische-communicatienetwerk uit te voeren of een uitdrukkelijk door de abonnee of eindgebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is”.
2. De wet van 8 december 1992 geeft mijn diensten niet de bevoegdheid om kennis te nemen van de klachten van de burgers en ondernemingen met betrekking tot de persoonlijke levenssfeer en supercookies in het bijzonder. Zij verleent de Commissie voor de bescherming van de persoonlijke levenssfeer en de hoven en rechtbanken van de rechterlijke orde daarentegen de bevoegdheid om een onderzoek in te stellen naar en te oordelen over de praktijken van de verantwoordelijken voor de verwerking van persoonsgegevens.
Ik heb de vraag dan ook overgezonden aan de Commissie voor de bescherming van de persoonlijke levenssfeer die ons op 19 februari 2013 heeft laten weten dat zij nog geen enkele klacht of vraag over supercookies heeft ontvangen.
3. De supercookies zijn wettelijk voor zover zij artikel 5, derde lid, van de richtlijn 2002/58 en artikel 129 van de wet Telecom in acht nemen.
De officiële interpretatie van de wet elektronische communicatie komt toe aan het Belgisch Instituut voor postdiensten en telecommunicatie (BIPT).
De vervolging van de misdrijven inzake de persoonlijke levenssfeer komt toe aan de Commissie voor de bescherming van de persoonlijke levenssfeer en aan de hoven en rechtbanken.
4. Artikel 5.3 van de richtlijn 2002/58 is zonder onderscheid van toepassing op alle cookies. Voor de supercookies gelden dus dezelfde juridische regels als voor de cookies.
5. Supercookies die in overeenstemming zijn met het Europese recht kunnen krachtens het Belgische recht echter niet worden verboden.
6. De Europese Commissie heeft in februari 2012 een voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens ingediend. De thematiek inzake nieuwe technologieën wordt tijdens de lopende onderhandelingen over de tekst op algemene wijze besproken.
Ik blijf tijdens de onderhandelingen binnen de Raad over deze tekst dan ook bijzondere aandacht hebben voor dat aspect.