|
|
Supercookies - Inbreuk op privacy van internetgebruikers - Optreden overheid en privacycommissie
eerbiediging van het privé-leven
computervirus
gegevensbescherming
ongevraagde elektronische reclame
| 16/4/2013 | Verzending vraag |
| 22/5/2013 | Antwoord |
Ik leg deze vraag graag voor aan de geachte staatsecretaris gezien de vice-eerste minister en minister van Binnenlandse Zaken zelf naar hem verwijst om een antwoord te geven (vraag nr. 5-7757). De afgelopen dagen is er aardig wat ophef ontstaan over zogenoemde "supercookies": cookies die zichzelf herstellen, nauwelijks zichtbaar zijn en zeer moeilijk te verwijderen. In de ontwikkeling van het gebruik van cookies om internetgebruikers te monitoren leveren die cookies weer nieuwe uitdagingen op.
Aanleiding voor de ophef is een studie van onderzoekers van de gerenommeerde universiteiten van Berkeley en Stanford waarin ze nieuwe toepassingen in verband met cookies onderzochten (zie volgende weblink: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1898390 )
De zogenaamde "supercookies" zijn in staat om zichzelf opnieuw te installeren op een computer.
Dat proces kan nog versterkt worden wanneer een partij verschillende webdomeinen in handen heeft en gebruik maakt van cookie-synchronisatie. Dat houdt in dat op verschillende domeinen, bijvoorbeeld msn.com en microsoft.com, dezelfde cookies gebruikt worden. Het grote probleem met de supercookies is dat het kleine beetje controle dat internetgebruikers nog hebben, wordt aangetast.
Gebruikers kunnen cookies van hun computer verwijderen. Daarmee geven ze duidelijk aan dat ze die niet wensen. Naar analogie zou die actie uitgelegd kunnen worden als het niet geven van toestemming (consent) om de cookies te gebruiken voor tracking-doeleinden. Die cookies zijn met andere woorden ontwikkeld om ze, tegen de wil in van de gebruiker die de cookies verwijdert, op zijn computer te herstellen waardoor men het surfgedrag van elkeen onbeperkt kan volgen en in kaart brengen. Dat voelt bijzonder griezelig aan en het gegeven dat die cookies worden gebruikt tegen de expliciete wil van de gebruiker in en daarvoor zelfs zijn ontworpen is een verregaande inbreuk op de privacywetgeving.
Graag had ik daaromtrent volgende vragen voorgelegd:
1) Hoe reageert de minister op de studie over de zogenaamde "supercookies"?
2) Hebben zijn diensten of heeft de privacycommissie reeds vragen en/of klachten daaromtrent van burgers of ondernemingen ontvangen ? Zo ja, kan hij toelichten?
3) Is hij het met me eens dat domeinbeheerders die dergelijke cookies gebruiken en dus doelbewust cookies op de computers van hun bezoekers plaatsen die laatstgenoemden niet of bijzonder moeilijk van hun computers kunnen verwijderen, in tegenstelling tot de normale cookies, ingaan tegen de privacywetgeving en dus een bijzonder zware inbreuk plegen op de privacy? Zo ja, kan hij zijn standpunt toelichten en aangeven of hij bereid is dat door de nationale of andere instanties te laten onderzoeken? Is hij bereid desgevallend een inbreukprocedure op te starten tegen de domeinbeheerders die dergelijke cookies gebruiken? Kan hij zeer gedetailleerd toelichten?
4) Is hij het met de stelling eens dat die supercookies veel verder gaan dan de normale cookies en zich gedragen als een soort virus of malware? Zo nee, waarom niet?
5) Is er wat deze supercookies betreft geen sprake van een "computervredebreuk " naar analogie van de huisvredebreuk en zou het gebruik ervan als zodanig verboden moeten worden? Zo nee, waarom niet?
6) Is hij bereid dit probleem voor te leggen op Europees niveau? Zo ja, kan hij toelichten? Zo neen, waarom niet?
1. De studie die uitgevoerd is door Berkeley en Stanford, geeft duidelijk weer dat er een potentieel gevaar is wat het lekken betreft van privacygevoelige data van personen en dat bepaalde types cookies zoals de flash cookies niet eenvoudig kunnen verwijderd en/of geblokkeerd worden (ook niet wanneer men de privacyfilter van de browser activeert). Evercookies/ubercookies zijn ook cookies die persistent zijn net zoals supercookies. Deze werden niet opgenomen in de studie.
2. Tot op heden heeft Fedict hieromtrent geen vragen of klachten ontvangen van burgers of ondernemingen. Het is ons niet bekend of de Privacy Commissie vragen of klachten hieromtrent heeft ontvangen.
3. Sharing van cookies is een techniek die veelvuldig gebruikt wordt voor statistische doeleinden (denk aan google analytics) en voor de integratie met sociale media (Twitter, Facebook, Google+, Linkedin, enz.). Het is al jaren een veelgebruikte techniek en meer dan common practice.
Er wordt ook veelvuldig gebruik gemaakt van online trackers door bedrijven die een deel van hun winst halen uit het aanbieden van reclame, typisch voor nieuwssites, sociale media, enz. hier zit duidelijk een risico op datalekken en inbreuken op de privacy.
Volgens de wet moet een gebruiker toestemming geven voordat een cookie op zijn systeem kan geplaatst worden en moet de gebruiker ook eenvoudig zijn toestemming weer kunnen intrekken. Deze supercookies zijn dus in strijd met de wet. Als de cookies op systemen in België worden geplaatst is de Belgische wet van toepassing. Fedict kan deze problematiek met de Commissie voor de Bescherming van de Persoonlijke Levenssfeer bespreken
4. Inderdaad, in sommige gevallen kan men de supercookies misbruiken, zodat ze deel gaan uitmaken van een aanvalspatroon (malware/spyware/xss/cache sniffing/session hijacking/enz.).
5. Het plaatsen van cookies zonder medeweten van de persoon en zonder zijn toestemming en de onmogelijkheid om de toestemming in te trekken zijn reeds verboden.
6. Enisa (European Network en Information Secuity Agency) heeft hierover een studie gepubliceerd :
www.enisa.europa.eu/activities/identity-and-trust/library/pp/cookies
in deze studie wordt er enkel gewezen naar de bestaande richtlijnen :
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri =CELEX:32009L0136:EN:NOT
http://europa.eu/legislation_summaries/information_society/l24120_en.htm
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri =CELEX:32002L0058:EN:NOT