Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 5-10281

van Yoeri Vastersavendts (Open Vld) d.d. 4 november 2013

aan de staatssecretaris voor Ambtenarenzaken en Modernisering van de Openbare Diensten, toegevoegd aan de minister van Financiën en Duurzame Ontwikkeling, belast met Ambtenarenzaken

Internet - Cookiewetgeving - Supercookies - "Device fingerprinting" of digitale vingerafdruk - Privacy - Europese Unie

ongevraagde elektronische reclame
computervirus
eerbiediging van het privé-leven
gegevensbescherming

Chronologie

4/11/2013Verzending vraag
2/1/2014Antwoord

Vraag nr. 5-10281 d.d. 4 november 2013 : (Vraag gesteld in het Nederlands)

Volgens de Belgische cookiewetgeving, gebaseerd op een Europese richtlijn, moet de internetgebruiker ondubbelzinnig toestemming geven voor het plaatsen van cookies.

Er zijn echte nieuwe supercookies in de maak die de privacy zeer zwaar kunnen aantasten. Het betreft supercookies die de techniek van "device fingerprinting" gebruiken.

Elke computer, smartphone of handcomputer heeft een unieke code, een zogenaamde digitale vingerafdruk. Als adverteerders in plaats van cookies die code beginnen te gebruiken als identificatiemiddel, is alle controle zoek en staat de Belgische wetgever buitenspel. Dan wordt er niets lokaal opgeslagen en kunnen buitenlandse bedrijven onbeperkt bijhouden wat onze landgenoten op het internet doen en dit voor elk toestel en individu. De Privacycommissie en de wetgever kunnen dan onmogelijk weten welke informatie een bedrijf vergaart. Ik verwijs in deze context naar mijn eerdere nog steeds niet beantwoordde schriftelijke vraag nr. 5-7758 van 16 januari 2013 betreffende de supercookies.

De "device fingerprintingtechniek" is geenszins verre toekomstmuziek. Een recente studie van de KU Leuven onthulde al dat 145 van de tienduizend meest bezochte websites die techniek gebruik.

Graag had ik hieromtrent dan ook volgende vragen voorgelegd:

1) Hoe reageert de staatssecretaris op de studie die aantoont dat al 145 van de tienduizend meest bezochte websites de zogenaamde "device fingerprintingtechniek" gebruiken?

2) Hebben de diensten van de staatssecretaris of heeft de privacycommissie reeds vragen en/of klachten hieromtrent ontvangen van burgers of ondernemingen? Zo ja, kan hij toelichten?

3) Hebben de diensten van de staatssecretaris of heeft de privacycommissie reeds Belgische bedrijven aangetroffen die deze techniek toepassen? Zo ja, kan hij toelichten met cijfers wat betreft het aantal bedrijven en/of het aantal potentieel betrokken gebruikers?

3) Is de staatssecretaris het met me eens dat domeinbeheerders die dergelijke "device fingerprintingtechniek" gebruiken ingaan tegen de privacywetgeving en de bestaande cookiewetgeving en dus een bijzonder zware inbreuk plegen tegen de privacy? Zo ja, kan hij zijn standpunt toelichten en aangeven of hij bereid is dit door de nationale of andere instanties te laten onderzoeken? Is hij bereid om in voorkomend geval een inbreukprocedure op te starten tegen de domeinbeheerders die dergelijke cookies gebruiken? Kan hij zeer gedetailleerd toelichten?

4) Is de staatssecretaris het eens met de stelling dat deze "device fingerprintingtechniek" veel verder gaat dan de normale cookies en zich gedragen als een soort virus of malware? Zo nee, waarom niet?

5) Is er wat deze "device fingerprintingtechniek" betreft geen sprake van "computervredebreuk" naar analogie met de huisvredebreuk en moet het gebruik hiervan als zodanig niet verboden worden? Zo nee, waarom niet?

6) Is de staatssecretaris bereid dit probleem voor te leggen op het niveau van de Europese Unie ? Zo ja, kan hij toelichten naar locatie, inhoud en timing toe? Zo neen, waarom niet?

Antwoord ontvangen op 2 januari 2014 :

1) Mijn administratie Fedict is wel degelijk op de hoogte van het artikel dat op 11 oktober 2013 in Ars Technica is verschenen en dat verwijst naar de studie van de KU Leuven. Er dient te worden genoteerd dat slechts 145 van de in totaal 10.000 websites deze techniek gebruiken, het betreft bijgevolg een zeer beperkt percentage.  

2) Tot op heden heeft Fedict nog geen enkele vraag of klacht vanwege burgers of bedrijven hierover ontvangen. Wij hebben ook geen weet van het feit of de Commissie voor de Bescherming van de persoonlijke levenssfeer hierover vragen of klachten heeft ontvangen.   

3) Fedict kent geen Belgische bedrijven die deze techniek zouden toepassen. 

4) Volgens Fedict is het te voorbarig om nu al op dergelijke “device fingerprintingtechnieken te reageren ook al omdat men niet zeker is hoe ze werken en dus of men wel kan spreken van een inbreuk op de privacywetgeving. Afhankelijk van de parameters gebruikt voor het “fingerprintenzou elke wijziging van een van die parameters een unieke maar nieuwe identificatie opleveren die niet kan gerelateerd worden aan de oude “fingerprint. Daarenboven is het verre van uitgesloten dat verschillende gebruikers op eenzelfde toestel een identieke “device fingerprintgenereren waardoor het nut ervan om gebruikers te volgen heel beperkt zou zijn. 

5) Fedict denkt niet dat deze “device fingerprintingtechniek” veel verder gaat dan cookies en zich gedragen als een soort virus of malware. Sinds 2010 blijkt deze techniek (device fingerprinting) al gebruikt in de Flash Player software van Adobe en toch wordt meer dan 3 jaar later deze techniek maar in heel beperkte mate gebruikt ter vervanging van cookies. We kunnen hieruit besluiten dat cookies veel effectiever en efficiënter zijn voor het identificeren van individuele gebruikers en veel minder onderhevig zijn aan aanpassingen van systeem- / toestelparameters waar “device fingerprintingzou op gebaseerd zijn. 

6) Gelet op de beperkte informatie die we over deze techniek gevonden hebben is het te prematuur om een formele uitspraak te kunnen doen over de juridische implicaties van deze techniek. Vermits er, op basis van de beschikbare informatie, geen informatie wordt geplaatst op de computer kan er moeilijk sprake zijn van “computervredebreuk”. Fedict is ervan overtuigd dat wanneer deze techniek op een veel bredere basis zou gebruikt worden, er ook een tegenbeweging zal ontstaan om software te ontwikkelen om bijvoorbeeld het unieke karakter van het “device” te beschermen (bijvoorbeeld door kleine aanpassingen of bescherming van de parameters die meestal worden gebruikt bij deze techniek).

7) Het is op dit ogenblik niet het moment om dit probleem op Europees niveau voor te leggen. De beperkte evolutie in het gebruik van deze techniek over de voorbije 3 jaar duidt op de mogelijke ineffectiviteit ervan.

Ik heb aan mijn administratie Fedict gevraagd om deze evolutie zeer nauw op te volgen. Indien nodig zal ze overgaan tot het voorstellen van de gepaste maatregelen.