Lex Bruinhof, 24 augustus 2012

Cookies zijn het ergste niet…

Er is veel te doen over de wijziging van de Telecommunicatiewet van 5 juni jongstleden, waardoor eigenaren van websites voortaan uitdrukkelijk moeten vragen of de bezoeker het plaatsen van cookies op zijn computer accepteert. Ik schreef daar destijds al over. Politici begrijpen de nieuwe regels niet, online adverteerders spreken van een veel te stringente uitvoering van de Europese richtlijn en de sitebeheerders kijken de kat maar even uit de boom. Vooralsnog worden de regels in ieder geval vrijwel nergens naar de letter van de nieuwe wet uitgevoerd. De markt wacht op de eerste blijken van handhaving of een afslijpen van de scherpe kantjes.

Maar wat kúnnen die cookies nu helemaal? OK, er kan per IP adres mee worden bijgehouden welke sites bezocht zijn en hoe vaak en waar men vandaan kwam toen men de site bezocht, etc. Resultaat is dat er een redelijk specifiek profiel van de gebruiker van het IP adres kan worden gemaakt, wat het mogelijk maakt op de persoon toegesneden advertenties aan te bieden. Heel veel meer is er niet aan de hand.

Nee, dán de apps op uw i-phone of i-pad. Ik las gisteren een verontrustende column van Luuk Koelman op Webwereld over de app Clueful. Clueful is een meta-app: een app die liet zien tot welke persoonlijke gegevens ándere apps op een i-phone of i-pad zich allemaal toegang verschaften. Zonder dat aan de gebruiker te melden uiteraard. In de woorden van Clueful: “You'd be surprised how many things an app can learn about you and what you do. Without you ever knowing it.“

Apple was kennelijk ook verbaasd, want ongeveer een maand geleden werd Clueful zonder veel ceremonie uit de App Store verwijderd na daar twee maanden aangeboden te zijn. In de tussentijd had het volgens de Webwereld column 65.000 apps genalyseerd. Enkele resultaten, volgens een info-graphic van Bitdefender (de makers van Clueful):

• ruim 41% van alle apps houdt de lokatie van de gebruiker bij
• ruim 16% heeft toegang tot het Facebook account van de gebruiker
• ruim 18% kan bij álle contact-data van de gebruiker
• 20% kan met telefoonnummers rommelen (als men dat zou willen)

De conclusie van Webwereld columnist Luuk Koelman was: “We weten nu waarom zoveel apps gratis zijn – of belachelijk goedkoop. De reden: dergelijke apps zijn in veel gevallen niets meer dan stukjes spyware die je als consument “gratis” op je iPhone of iPad mag zetten. Treurig, maar waar.”

Nu ik zelf geen inhoudelijk onderzoek gedaan heb laat ik die conclusie even aan Koelman, maar te denken geeft het wel. Laten we duidelijk zijn: (gewone) cookies kunnen nergens bij en gaan niet veel verder dan het tracken van surfgedrag vanaf een IP-adres. Als de boodschap van Bitdefender echter klopt kunnen diverse apps, zonder medeweten of toestemming van de gebruiker, bij echte persoonsgegevens en kunnen ze daar nog mee rommelen ook.

Per 1 januari krijgt het College Bescherming Persoonsgegevens bevoegdheden ten aanzien van cookie-gebruikers. Wellicht moeten ze zich eerst eens op app-aanbieders richten?

Vragen?