“Privacy zou anders om moeten zijn!” heb ik tijdens een presentatie over privacy geroepen als commentaar op de cookiewet. De spreker snapte meteen wat ik bedoelde een bood mij aan daar een onderzoek over te doen. Naar mijn mening moet de gebruiker de macht over zijn privacy krijgen. Maar wat bedoelde ik daar nou eigenlijk mee? Waarom moet het anders?
Cookiewet
Per 5 juni 2012 is de onder de naam “cookiewet” bekende geworden wijziging aan de Telecomunicatiewet(artikel 11.7)[1] in werking getreden. Deze wijziging, gebaseerd op de EU ePrivacy Richtlijn 2002/58/EC[2], heeft als doel om de verzameling van privacy gevoelige informatie te beperken via een opt-in. Door deze wet moeten websites impliciet of expliciet toestemming krijgen van de gebruiker om cookies te mogen plaatsen.
Het voldoen aan deze wet is echter op verschillende vlakken erg moeilijk. Het is als voorbeeld onmogelijk om de keuze van een gebruiker over het gebruik van cookies op te slaan zonder het gebruik van cookies. Zou een gebruiker dusdanig de cookies weigeren en de website houdt zich aan de cookiewet, dan zou de website bij het volgende bezoek niet weten of de cookie geweigerd werd en wordt aan de gebruiker weer de zelfde vraag over het gebruik van cookies gepresenteerd.
Het gebruik van cookies is vooral voor grote websites van belang. In eerste instantie werd er helemaal niet of hard op gereageerd door het niet toepassen van de wet op hun website[3] of gebruikers te weren die de cookies niet accepteren[4]. Ook de NPO maakte zich schuldig van het weigeren van gebruikers. Als reactie daarop schreef het CBP op 31 januari 2013 een brief aan de staatssecretaris van Onderwijs, Cultuur en Wetenschap over dat de NPO gebruikers niet mag weigeren op het feit de cookies niet geaccepteerd werden[5].
Tot vandaag is er nog geen verandering voor deze wet uitgevoerd. Niemand past de wet toe en er wordt alleen maar door de vingers heen gekeken. Veel websites maken er geen gebruik van en iedereen weet dat er een wetswijziging moet komen. Op 7 oktober schrijft het CBP een brief aan de Minister van Economische zaken met het advies om de cookiewet aan te passen[6]. Pas een half jaar later op 28 maart 2014 dient het kabinet een wetsvoorstel in ter versoepeling van de cookiewet[7]. Dit wetsvoorstel stelt dat alleen nog maar om toestemming hoeft te worden gevraagd wanneer deze privacygevoelige gegevens bevatten.
Hoe zou je zo een wet kunnen handhaven? Bedrijven als Google en Facebook hebben al laten zien zich er niets van aan te trekken en vele kleine buitenlandse websites zullen geen weet hebben van de Nederlandse wetgeving of verkeer uit Nederland gewoon blokkeren om straffen te vermijden. Het lijkt in ieder geval geen oplossing te zijn waardoor privacy echt beschermd kan worden zonder dat het voor gebruikers andere nadelige gevolgen zal hebben.
Bovendien kunnen de websites gebruikers gaan irriteren om de privacygevoelige cookies te accepteren. De cookiemuur en cookiepopup zijn hier de grote voorbeelden van. In beide gevallen wordt de gebruiker lastig gevallen met een tekst die informeert over het gebruik van cookies. Meestal zit hier een grote knop om de privacygevoelige cookies accepteren en een onduidelijke link of kruisje om de deze te weigeren. Het herinnerd aan de algemene voorwaarden die je moet accepteren bij het installeren van software. Niemand zit hier op te wachten en probeert zo snel als mogelijk verder te gaan door middel van de duidelijk grote en opvallende knop te drukken die jou iets laat accepteren waar jij het misschien helemaal niet mee eens bent.
Dit is alleen maar te voorkomen door de website de macht te ontnemen om zulke valkuilen te kunnen maken. De gebruiker zou er bewust voor moeten kiezen, ook als deze haast heeft. Als een website zonder privacygevoelige cookies werkt zou de gebruiker deze ook al zonder een keuze gemaakt te hebben moeten kunnen gebruiken zonder een privacygevoelige cookie opt-in aanvraag te ontvangen.
Do Not Track Header
Al in 2007 werd er in America brandde de discussie los over het schenden van privacy door middel van privacygevoelige cookies. De Network Advertising Initiative, die werd opgericht voor de zelfregulatie op het verzamelen van privacy gevoelige gegevens, faalde er in om deze zelfregulatie uit te oefenen. Consumenten groepen hebben via een brief de U.S. Federal Trade Commision erop attent gemaakt dat het gebruik van de privacygevoelige cookies en de vergaarde informatie uit de hand loop zonder dat de consumenten dit zien[8]. In deze brief hebben ze ook gevraagd om een Do Not Tack lijst voor gebruikers die niet willen dat hun informatie door deze cookies wordt verzameld.
Pas in juli 2009 hebben de twee onderzoekers Christopher Soghoian en Sid Stamm een prototype Firefox plugin ontwikkeld die de Do Not Track header aan het HTTP protocol toevoegde. Dit is uiteindelijk het systeem dat de FTC in december 2010 aankodigde als de grote oplossing voor het probleem van privacygevoelige gegevens verzameling door cookies[9]. Microsoft die heel enthousiast was over deze oplossing zette de Do Not Tack header meteen standaard op aan toen deze in 2012 toegevoegd werd in Internet Explorer 10 op Windows 8[10]. Microsoft kreeg hier harde kritiek van marketing bedrijven[11] en de apache webserver had een patch uitgebracht waar de Do Not Track header van Internet Explorer 10 geïgnoreerd werd en pas een maand later weer werd verwijdert[12].
Desondanks het werk van de W3C aan de Do Not Track header[13][14] is het nog niet gestandaardiseerd. Ook de Effectiviteit van de Do Not Tack header is matig. Het is voor een website niet verplicht de Do Not Track header te verwerken. Dit systeem bestaat dus weer alleen maar uit zelfregulatie zonder dat er toezicht op kan worden uitgevoerd. Het grote probleem bij deze manier van beschermen is van de privacy is dat de meeste gebruikers hier geen weet van hebben en het ook nooit zullen tegenkomen. Daardoor wordt het door de marketing bedrijven niet geaccepteerd.
Javascript en Cookies
Vaak wordt er geroepen om Javascript of cookies te deactiveren. Het is zeker waar dat het uitschakelen van deze twee opties zullen waarborgen dat er geen informatie kan worden verzameld over het surfgedrag. Echter wordt er niet bij verteld wat voor een impact het uitschakelen van Javascript of cookies op het gebruik van het internet heeft.
Het Javascript van een website kan vergeleken worden met een programma dat in de browser van de gebruiker wordt gestart en hierdoor dynamischer informatie kan tonen of leuke visuele effecten kan genereren. Zonder Javascript zouden websites heel statisch zijn. Een goed voorbeeld is het automatisch aanvullen van wat een gebruiker op google.com intypt. Als Javascript uitgeschakeld is zou dit onmogelijk zijn. Het is mogelijk om te herkennen of een gebruiker geen Javascript gebruikt en deze een website aan te bieden die zonder Javascript werkt[15], echter bieden website deze mogelijkheid maar zelden aan.
Cookies op zich zijn het probleem nog niet. Een cookie kan informatie opslaan zodat een website de gebruiker kan identificeren en instellingen kan opslaan. Zonder cookies zou een website niet kunnen weten wanneer een gebruiker ingelogd is, behalve als dit via het adres doorgegeven wordt. Dit geeft echter nog veel ernstigere problemen. Zonder cookies zou een gebruiker bij het versturen van de link die hij gebruikt ook meteen de toegang tot zijn account mee geven. Het uitschakelen van cookies of Javascript is niet handig en zou het internet weer in een stenen tijdperk terug brengen.
Er is echter een soort cookie die wel uitgeschakeld kan worden. Deze cookie wordt ook hoofdzakelijk gebruikt voor het vergaren van privacygevoelige informatie. Het gaat om 3rd party cookies. Deze cookies komen van een andere websites komen dan waar de gebruiker op dat moment is en hebben de mogelijkheid een gebruiker te volgen en zo het gehele surfgedrag te kunnen analyseren. Deze andere websites die de 3rd party cookie plaatsen zijn meestal advertentie diensten. Vaak is het echter ook de enige manier voor een website om geld te verdienen. Hierdoor kunnen websitebeheerders er makkelijk van overtuigd worden om het schenden van de privacy van zijn gebruikers mogelijk te maken.
Het blokkeren van alleen maar 3rd party cookies is in de meest gebruikte browsers gewoon mogelijk en het vermindert de hoeveelheid van data die er van de gebruikers surfgedrag bijgehouden kan worden[16]. De impact van het uitschakelen op de functionele werking van websites is verdraaglijk voor gebruiker en de aanbieder van de website. Hierdoor zou de privacy van de gebruiker beter gewaarborgd kunnen worden. Er zijn betere oplossingen bedacht voor wat 3rd party cookies voor gebuikt werden.
Betere oplossingen
Door transparantie van hoe verzamelde data gebruikt wordt zijn gebruikers sneller geneigd akkoord te stemmen met het verzamelen over hun surfgedrag[17]. Maar wat er achter gesloten deur echt gebeurd kan de gebruiker nooit weten. Het is tijd om de gebruiker de controle te geven over zijn privacy. De gebruiker moet overzicht krijgen over wie welke data bijhoudt en daar op zijn tijd zelf toestemming voor geven.
Mozilla's browser add-on Lightbeam[18](voorheen Collusion) maakt het voor de gebruiker mogelijk om tijdens het surfen te zien door welke websites er data verzamelen en welke connecties er tussen verschillende websites zijn. Dit add-on is niet bedoeld om de privacy van de gebruiker te beschermen, in plaats daarvoor zorgt het voor transparantie en bewustzijn over het probleem. De TED presentatie over Collusion heeft in 2012 veel aandacht gekregen[19].
Mozilla is een echte voorloper op privacy gebied en probeert zijn gebruikers zo goed als mogelijk te beschermen en besteed veel tijd aan het ontwikkelen van nieuwe, veiligere manieren op een digitale identiteit te hebben. Ten eerste heeft Mozilla in zijn browser Firefox 3rd Party cookies standaard uit gezet[16], hier door zijn de privacygevoelig cookies al niet meer mogelijk. Ook door Google standaard via een SSL connectie te benaderen blokkeert Firefox de mogelijkheid om de HTTP Referrer header[20] sturen naar de via Google gevonden website. Hierdoor is het niet meer mogelijk voor de website om te weten hoe deze gebruiker de website heeft benadert[21].
Authentificatiediensten
Facebook, Google en Microsoft bieden authentificatiediensten op het OAuth[22] standaard aan. Hierdoor is het inloggen op andere websites die de authentificatiediensten hebben geïmplementeerd makkelijk en snel. Echter wordt vaak vergeten of geïgnoreerd welke privacygevoelige informatie de bezochte website en de authentificatiedienstverlener kunnen verzamelen door hier gebruik van te maken.
Een alternatief op authentificatie frameworks zoals OAuth[22] is het Mozilla project Persona[23]. Persona bewaart geen gegevens over waar de gebruiker inlogt en houdt het gedrag van de gebruiker niet bij. Ook de website die de gebruiker bezoekt krijgt geen informatie over de gebruiker. Hierdoor is zeker dat alle persoonlijke informatie van de gebruiker door de gebruiker zelf aan de website verstrekt moet worden en bedrijven als Facebook, Google en Microsoft het surfgedrag niet kunnen bijhouden.
Sociale Media
Op veel website zijn knoppen te zien waarmee men de gebruiker content meteen kan delen met zijn sociale netwerken. Bij Facebook is het Like'n, bij Twitter is het Tweeten en bij Google is het +1'en. Deze knoppen geven deze bedrijven echter ook de mogelijkheid om de gebruiker te volgen. Hier maken ze dusdanig ook graag gebruik van[24][25]. Een oplossing om tegen te gaan dat deze knoppen het surfgedrag van de gebruiker bijhouden kan worden gerealiseerd door het gebruik van browser add-ons zoals Ghostery[26]. Dit is echter een blokkade van de diensten en beperkt het het gebruiken van deze diensten.
Een betere oplossing voor de toekomst is weer in een Mozilla project te vinden. Het Social API[27] maakt het mogelijk om content makkelijk te kunnen delen naar de sociale media zonder dat deze het surfgedrag van de gebruiken kunnen volgen. Er wordt dus alleen maar data naar de sociale media website gestuurd wanneer de gebruiker dit wilt doen. Daarnaast dient het Social API als zekere manier om add-ons te maken die informatie van sociale media kunnen opvragen en tonen zonder dat deze informatie kunnen vergaren over hoe dit gebruikt wordt. Voor de sociale media website zal het er uit zien alsof de gebruiken de website direkt benadert.
Conclusie
Privacy is van de gebruiker, maar de keuze of privacy gewaarborgd wordt ligt meestal nog bij de mensen die er geld aan verdienen. Het moet anders om, de gebruiker moet de keuze hebben wat er met zijn privacy gedaan wordt. Het is met huidige technologie te makkelijk voor bedrijven voor bedrijven om grote collecties aan privacygevoelige data te verzamelen over gebruikers. Oude technologieën die hiervoor benut worden moeten uitgeschakeld of geblokkeerd worden en plaats maken voor nieuwe technologieën die privacy nier een keuze van bedrijven maar een keuze van gebruikers maakt. Privacy by default en Privacy by design moeten de toekomstige filosofieën worden.
Discussiepunten
[1] http://wetten.overheid.nl...ldigheidsdatum_15-06-2014
[2] http://europa.eu/legislat...e_framework/l24120_nl.htm
[3] nieuws: Nederlandse websites leggen cookieregels naast zich neer - update
[4] http://www.headline-inter...van-headline-interactive/
[5] http://www.cbpweb.nl/down..._20130205-cookies-npo.pdf
[6] http://www.cbpweb.nl/downloads_adv/z2013-00718.pdf
[7] http://tweedekamer.nl/dow...=Voorstel%20van%20wet.doc
[8] https://www.cdt.org/files...protectionsbehavioral.pdf
[9] http://online.wsj.com/new...4594804575648670826747094
[10] http://blogs.technet.com/...-8-set-up-experience.aspx
[11] http://blogs.wsj.com/digi...ers-advertising-industry/
[12] https://issues.apache.org/bugzilla/show_bug.cgi?id=53845
[13] http://www.w3.org/2011/tracking-protection/
[14] http://www.w3.org/TR/2011/WD-tracking-dnt-20111114/
[15] http://www.w3.org/wiki/HTML/Elements/noscript
[16] http://blog.mozilla.org/p...bout-third-party-cookies/
[17] http://www.thedrum.com/ne...ata-collection-activities
[18] http://www.mozilla.org/en-US/lightbeam/
[19] http://www.ted.com/talks/gary_kovacs_tracking_the_trackers
[20] Wikipedia: HTTP referer
[21] http://blog.mozilla.org/p...-out-https-google-search/
[22] http://oauth.net/
[23] http://www.mozilla.org/en-US/persona/
[24] https://www.facebook.com/help/293506123997323
[25] http://lifehacker.com/591...hat-you-can-do-to-stop-it
[26] https://www.ghostery.com/nl/
[27] https://developer.mozilla.org/nl/docs/Social_API
/discuss
Cookiewet
Per 5 juni 2012 is de onder de naam “cookiewet” bekende geworden wijziging aan de Telecomunicatiewet(artikel 11.7)[1] in werking getreden. Deze wijziging, gebaseerd op de EU ePrivacy Richtlijn 2002/58/EC[2], heeft als doel om de verzameling van privacy gevoelige informatie te beperken via een opt-in. Door deze wet moeten websites impliciet of expliciet toestemming krijgen van de gebruiker om cookies te mogen plaatsen.
Het voldoen aan deze wet is echter op verschillende vlakken erg moeilijk. Het is als voorbeeld onmogelijk om de keuze van een gebruiker over het gebruik van cookies op te slaan zonder het gebruik van cookies. Zou een gebruiker dusdanig de cookies weigeren en de website houdt zich aan de cookiewet, dan zou de website bij het volgende bezoek niet weten of de cookie geweigerd werd en wordt aan de gebruiker weer de zelfde vraag over het gebruik van cookies gepresenteerd.
Het gebruik van cookies is vooral voor grote websites van belang. In eerste instantie werd er helemaal niet of hard op gereageerd door het niet toepassen van de wet op hun website[3] of gebruikers te weren die de cookies niet accepteren[4]. Ook de NPO maakte zich schuldig van het weigeren van gebruikers. Als reactie daarop schreef het CBP op 31 januari 2013 een brief aan de staatssecretaris van Onderwijs, Cultuur en Wetenschap over dat de NPO gebruikers niet mag weigeren op het feit de cookies niet geaccepteerd werden[5].
Tot vandaag is er nog geen verandering voor deze wet uitgevoerd. Niemand past de wet toe en er wordt alleen maar door de vingers heen gekeken. Veel websites maken er geen gebruik van en iedereen weet dat er een wetswijziging moet komen. Op 7 oktober schrijft het CBP een brief aan de Minister van Economische zaken met het advies om de cookiewet aan te passen[6]. Pas een half jaar later op 28 maart 2014 dient het kabinet een wetsvoorstel in ter versoepeling van de cookiewet[7]. Dit wetsvoorstel stelt dat alleen nog maar om toestemming hoeft te worden gevraagd wanneer deze privacygevoelige gegevens bevatten.
Hoe zou je zo een wet kunnen handhaven? Bedrijven als Google en Facebook hebben al laten zien zich er niets van aan te trekken en vele kleine buitenlandse websites zullen geen weet hebben van de Nederlandse wetgeving of verkeer uit Nederland gewoon blokkeren om straffen te vermijden. Het lijkt in ieder geval geen oplossing te zijn waardoor privacy echt beschermd kan worden zonder dat het voor gebruikers andere nadelige gevolgen zal hebben.
Bovendien kunnen de websites gebruikers gaan irriteren om de privacygevoelige cookies te accepteren. De cookiemuur en cookiepopup zijn hier de grote voorbeelden van. In beide gevallen wordt de gebruiker lastig gevallen met een tekst die informeert over het gebruik van cookies. Meestal zit hier een grote knop om de privacygevoelige cookies accepteren en een onduidelijke link of kruisje om de deze te weigeren. Het herinnerd aan de algemene voorwaarden die je moet accepteren bij het installeren van software. Niemand zit hier op te wachten en probeert zo snel als mogelijk verder te gaan door middel van de duidelijk grote en opvallende knop te drukken die jou iets laat accepteren waar jij het misschien helemaal niet mee eens bent.
Dit is alleen maar te voorkomen door de website de macht te ontnemen om zulke valkuilen te kunnen maken. De gebruiker zou er bewust voor moeten kiezen, ook als deze haast heeft. Als een website zonder privacygevoelige cookies werkt zou de gebruiker deze ook al zonder een keuze gemaakt te hebben moeten kunnen gebruiken zonder een privacygevoelige cookie opt-in aanvraag te ontvangen.
Do Not Track Header
Al in 2007 werd er in America brandde de discussie los over het schenden van privacy door middel van privacygevoelige cookies. De Network Advertising Initiative, die werd opgericht voor de zelfregulatie op het verzamelen van privacy gevoelige gegevens, faalde er in om deze zelfregulatie uit te oefenen. Consumenten groepen hebben via een brief de U.S. Federal Trade Commision erop attent gemaakt dat het gebruik van de privacygevoelige cookies en de vergaarde informatie uit de hand loop zonder dat de consumenten dit zien[8]. In deze brief hebben ze ook gevraagd om een Do Not Tack lijst voor gebruikers die niet willen dat hun informatie door deze cookies wordt verzameld.
Pas in juli 2009 hebben de twee onderzoekers Christopher Soghoian en Sid Stamm een prototype Firefox plugin ontwikkeld die de Do Not Track header aan het HTTP protocol toevoegde. Dit is uiteindelijk het systeem dat de FTC in december 2010 aankodigde als de grote oplossing voor het probleem van privacygevoelige gegevens verzameling door cookies[9]. Microsoft die heel enthousiast was over deze oplossing zette de Do Not Tack header meteen standaard op aan toen deze in 2012 toegevoegd werd in Internet Explorer 10 op Windows 8[10]. Microsoft kreeg hier harde kritiek van marketing bedrijven[11] en de apache webserver had een patch uitgebracht waar de Do Not Track header van Internet Explorer 10 geïgnoreerd werd en pas een maand later weer werd verwijdert[12].
Desondanks het werk van de W3C aan de Do Not Track header[13][14] is het nog niet gestandaardiseerd. Ook de Effectiviteit van de Do Not Tack header is matig. Het is voor een website niet verplicht de Do Not Track header te verwerken. Dit systeem bestaat dus weer alleen maar uit zelfregulatie zonder dat er toezicht op kan worden uitgevoerd. Het grote probleem bij deze manier van beschermen is van de privacy is dat de meeste gebruikers hier geen weet van hebben en het ook nooit zullen tegenkomen. Daardoor wordt het door de marketing bedrijven niet geaccepteerd.
Javascript en Cookies
Vaak wordt er geroepen om Javascript of cookies te deactiveren. Het is zeker waar dat het uitschakelen van deze twee opties zullen waarborgen dat er geen informatie kan worden verzameld over het surfgedrag. Echter wordt er niet bij verteld wat voor een impact het uitschakelen van Javascript of cookies op het gebruik van het internet heeft.
Het Javascript van een website kan vergeleken worden met een programma dat in de browser van de gebruiker wordt gestart en hierdoor dynamischer informatie kan tonen of leuke visuele effecten kan genereren. Zonder Javascript zouden websites heel statisch zijn. Een goed voorbeeld is het automatisch aanvullen van wat een gebruiker op google.com intypt. Als Javascript uitgeschakeld is zou dit onmogelijk zijn. Het is mogelijk om te herkennen of een gebruiker geen Javascript gebruikt en deze een website aan te bieden die zonder Javascript werkt[15], echter bieden website deze mogelijkheid maar zelden aan.
Cookies op zich zijn het probleem nog niet. Een cookie kan informatie opslaan zodat een website de gebruiker kan identificeren en instellingen kan opslaan. Zonder cookies zou een website niet kunnen weten wanneer een gebruiker ingelogd is, behalve als dit via het adres doorgegeven wordt. Dit geeft echter nog veel ernstigere problemen. Zonder cookies zou een gebruiker bij het versturen van de link die hij gebruikt ook meteen de toegang tot zijn account mee geven. Het uitschakelen van cookies of Javascript is niet handig en zou het internet weer in een stenen tijdperk terug brengen.
Er is echter een soort cookie die wel uitgeschakeld kan worden. Deze cookie wordt ook hoofdzakelijk gebruikt voor het vergaren van privacygevoelige informatie. Het gaat om 3rd party cookies. Deze cookies komen van een andere websites komen dan waar de gebruiker op dat moment is en hebben de mogelijkheid een gebruiker te volgen en zo het gehele surfgedrag te kunnen analyseren. Deze andere websites die de 3rd party cookie plaatsen zijn meestal advertentie diensten. Vaak is het echter ook de enige manier voor een website om geld te verdienen. Hierdoor kunnen websitebeheerders er makkelijk van overtuigd worden om het schenden van de privacy van zijn gebruikers mogelijk te maken.
Het blokkeren van alleen maar 3rd party cookies is in de meest gebruikte browsers gewoon mogelijk en het vermindert de hoeveelheid van data die er van de gebruikers surfgedrag bijgehouden kan worden[16]. De impact van het uitschakelen op de functionele werking van websites is verdraaglijk voor gebruiker en de aanbieder van de website. Hierdoor zou de privacy van de gebruiker beter gewaarborgd kunnen worden. Er zijn betere oplossingen bedacht voor wat 3rd party cookies voor gebuikt werden.
Betere oplossingen
Door transparantie van hoe verzamelde data gebruikt wordt zijn gebruikers sneller geneigd akkoord te stemmen met het verzamelen over hun surfgedrag[17]. Maar wat er achter gesloten deur echt gebeurd kan de gebruiker nooit weten. Het is tijd om de gebruiker de controle te geven over zijn privacy. De gebruiker moet overzicht krijgen over wie welke data bijhoudt en daar op zijn tijd zelf toestemming voor geven.
Mozilla's browser add-on Lightbeam[18](voorheen Collusion) maakt het voor de gebruiker mogelijk om tijdens het surfen te zien door welke websites er data verzamelen en welke connecties er tussen verschillende websites zijn. Dit add-on is niet bedoeld om de privacy van de gebruiker te beschermen, in plaats daarvoor zorgt het voor transparantie en bewustzijn over het probleem. De TED presentatie over Collusion heeft in 2012 veel aandacht gekregen[19].
Mozilla is een echte voorloper op privacy gebied en probeert zijn gebruikers zo goed als mogelijk te beschermen en besteed veel tijd aan het ontwikkelen van nieuwe, veiligere manieren op een digitale identiteit te hebben. Ten eerste heeft Mozilla in zijn browser Firefox 3rd Party cookies standaard uit gezet[16], hier door zijn de privacygevoelig cookies al niet meer mogelijk. Ook door Google standaard via een SSL connectie te benaderen blokkeert Firefox de mogelijkheid om de HTTP Referrer header[20] sturen naar de via Google gevonden website. Hierdoor is het niet meer mogelijk voor de website om te weten hoe deze gebruiker de website heeft benadert[21].
Authentificatiediensten
Facebook, Google en Microsoft bieden authentificatiediensten op het OAuth[22] standaard aan. Hierdoor is het inloggen op andere websites die de authentificatiediensten hebben geïmplementeerd makkelijk en snel. Echter wordt vaak vergeten of geïgnoreerd welke privacygevoelige informatie de bezochte website en de authentificatiedienstverlener kunnen verzamelen door hier gebruik van te maken.
Een alternatief op authentificatie frameworks zoals OAuth[22] is het Mozilla project Persona[23]. Persona bewaart geen gegevens over waar de gebruiker inlogt en houdt het gedrag van de gebruiker niet bij. Ook de website die de gebruiker bezoekt krijgt geen informatie over de gebruiker. Hierdoor is zeker dat alle persoonlijke informatie van de gebruiker door de gebruiker zelf aan de website verstrekt moet worden en bedrijven als Facebook, Google en Microsoft het surfgedrag niet kunnen bijhouden.
Sociale Media
Op veel website zijn knoppen te zien waarmee men de gebruiker content meteen kan delen met zijn sociale netwerken. Bij Facebook is het Like'n, bij Twitter is het Tweeten en bij Google is het +1'en. Deze knoppen geven deze bedrijven echter ook de mogelijkheid om de gebruiker te volgen. Hier maken ze dusdanig ook graag gebruik van[24][25]. Een oplossing om tegen te gaan dat deze knoppen het surfgedrag van de gebruiker bijhouden kan worden gerealiseerd door het gebruik van browser add-ons zoals Ghostery[26]. Dit is echter een blokkade van de diensten en beperkt het het gebruiken van deze diensten.
Een betere oplossing voor de toekomst is weer in een Mozilla project te vinden. Het Social API[27] maakt het mogelijk om content makkelijk te kunnen delen naar de sociale media zonder dat deze het surfgedrag van de gebruiken kunnen volgen. Er wordt dus alleen maar data naar de sociale media website gestuurd wanneer de gebruiker dit wilt doen. Daarnaast dient het Social API als zekere manier om add-ons te maken die informatie van sociale media kunnen opvragen en tonen zonder dat deze informatie kunnen vergaren over hoe dit gebruikt wordt. Voor de sociale media website zal het er uit zien alsof de gebruiken de website direkt benadert.
Conclusie
Privacy is van de gebruiker, maar de keuze of privacy gewaarborgd wordt ligt meestal nog bij de mensen die er geld aan verdienen. Het moet anders om, de gebruiker moet de keuze hebben wat er met zijn privacy gedaan wordt. Het is met huidige technologie te makkelijk voor bedrijven voor bedrijven om grote collecties aan privacygevoelige data te verzamelen over gebruikers. Oude technologieën die hiervoor benut worden moeten uitgeschakeld of geblokkeerd worden en plaats maken voor nieuwe technologieën die privacy nier een keuze van bedrijven maar een keuze van gebruikers maakt. Privacy by default en Privacy by design moeten de toekomstige filosofieën worden.
Discussiepunten
- Is de cookiewet wel nuttig?
- Wat vind je van de data verzameling van marketingbedrijven?
- Hoe bewust was je voor het lezen van dit artikel over jouw privacy op het internet?
- Vind je dit een serieus thema en wil je de veranderingen die er aan komen of ben je er misschien door geïrriteerd en zou alles moeten blijven zo als het is?
- Heb je er vertrouwen in dat er wetten en handhaving gaat komen voor het beschermen van de privacy of zouden technologieën privacy moeten afdwingen?
- Ga je nu meer aandacht besteden aan welke data je in het internet achter laat?
- Heb je nog aanvullingen op dit thema?
[1] http://wetten.overheid.nl...ldigheidsdatum_15-06-2014
[2] http://europa.eu/legislat...e_framework/l24120_nl.htm
[3] nieuws: Nederlandse websites leggen cookieregels naast zich neer - update
[4] http://www.headline-inter...van-headline-interactive/
[5] http://www.cbpweb.nl/down..._20130205-cookies-npo.pdf
[6] http://www.cbpweb.nl/downloads_adv/z2013-00718.pdf
[7] http://tweedekamer.nl/dow...=Voorstel%20van%20wet.doc
[8] https://www.cdt.org/files...protectionsbehavioral.pdf
[9] http://online.wsj.com/new...4594804575648670826747094
[10] http://blogs.technet.com/...-8-set-up-experience.aspx
[11] http://blogs.wsj.com/digi...ers-advertising-industry/
[12] https://issues.apache.org/bugzilla/show_bug.cgi?id=53845
[13] http://www.w3.org/2011/tracking-protection/
[14] http://www.w3.org/TR/2011/WD-tracking-dnt-20111114/
[15] http://www.w3.org/wiki/HTML/Elements/noscript
[16] http://blog.mozilla.org/p...bout-third-party-cookies/
[17] http://www.thedrum.com/ne...ata-collection-activities
[18] http://www.mozilla.org/en-US/lightbeam/
[19] http://www.ted.com/talks/gary_kovacs_tracking_the_trackers
[20] Wikipedia: HTTP referer
[21] http://blog.mozilla.org/p...-out-https-google-search/
[22] http://oauth.net/
[23] http://www.mozilla.org/en-US/persona/
[24] https://www.facebook.com/help/293506123997323
[25] http://lifehacker.com/591...hat-you-can-do-to-stop-it
[26] https://www.ghostery.com/nl/
[27] https://developer.mozilla.org/nl/docs/Social_API
/discuss
:strip_icc():strip_exif()/u/192890/brain.jpg?f=community)
:strip_icc():strip_exif()/u/88308/tieinterceptor2%252070.jpg?f=community)
:strip_icc():strip_exif()/u/89520/kl.jpg?f=community)
/u/27299/hoofd.png?f=community)