Is fingerprinting het nieuwe cookie?

Is fingerprinting het nieuwe cookie?
15 dagen geleden
Gepost in Gastblogs

Is fingerprinting het nieuwe cookie? Tegenwoordig zijn er verschillende manieren om gebruikers te volgen en te identificeren. Wij hebben eerder geschreven over het gebruik van cookies (bijv. vind-ik-leuk-knop) en tracking pixels (bijv. in e-mails). In dit artikel gaan we in op fingerprinting. De techniek van fingerprinting wordt op verschillende manieren gebruikt. In dit artikel lees je wat fingerprintingis, hoe fingerprinting werkt en hoe je deze techniek op een juridisch verantwoorde manier kan gebruiken.

Noot: Er zal niet diep worden ingegaan op de techniek van fingerprinting. Slechts voor zover dat nodig is om het juridische gedeelte uit te leggen.

Wat is fingerprinting

In het informatietijdperk waarin wij nu met zijn allen leven, kan iedereen veel over elkaar te weten komen. En laat dat nu iets zijn waar veel bedrijven een groot voorstander van zijn. Immers, hoe beter jij jouw websitebezoeker kent, hoe beter jij in staat bent om jouw diensten daarop aan te passen of beter passende advertenties er getoond kunnen worden.

Zoals in de inleiding gezegd, zijn er verschillende manieren om gebruikers te identificeren. In de media, op sociale media en op andere plaatsen lees en hoor je vaak over het gebruik van cookies om gebruikers te tracken en te identificeren. Een minder vaak gehoorde methode is fingerprinting. Dit betekent overigens niet dat fingerprinting maar zelden wordt gebruikt. Maar, wat is fingerprinting?

Het is mogelijk om van verschillende soorten gegevens en data unieke identificatiegegevens samen te stellen. Door bepaalde technieken te gebruiken kunnen individuele gebruikers of apparaten geïdentificeerd worden. Dit proces wordt fingerprinting genoemd.

Welke soorten fingerprinting bestaan er

Hoewel er verschillende manieren zijn om fingerprints samen te stellen, zijn er maar twee soorten fingerprints:

  • Browser fingerprinting
  • Device fingerprinting

De benaming zegt het eigenlijk al. Bij browser fingerprinting wordt de browser geïdentificeerd en bij device fingerprinting het apparaat dat wordt gebruikt.

Hoe werkt fingerprinting

Fingerprinting maakt gebruik van een eenvoudig gegeven namelijk dat computers bijna altijd van elkaar verschillen. Een veel gemaakte vergelijking, en daar komt de naam ook vandaan, is dat onze vingerafdrukken ook uniek zijn. Eigenlijk werkt fingerprinting hetzelfde als hoe de opsporingsdiensten vingerafdrukken gebruiken. Hoe zit dat?

Browser fingerprint
Voor sites is het belangrijk dat er bepaalde informatie wordt verkregen om te kunnen zorgen dat de site optimaal getoond wordt. Hiervoor wordt bijvoorbeeld gegevens gebruikt over de browser, schermresolutie, geïnstalleerde fonts en locatie.

Voorbeeld: Canvas fingerprinting is een veel gebruikte methode voor browser fingerprinting. Hierbij wordt er een script gedraaid dat de browser een unieke tekening laat maken.

Device fingerprinting
Browser fingerprinting en device fingerprinting verschillen niet veel van elkaar. In veel gevallen verwerken ze dezelfde soort gegevens en data. Het verschil zit hem in de plek waar ze dat doen. Bij device fingerprintingworden de gegevens en data gebruikt van het apparaat.

Voorbeeld: Met Adiocontext fingerprinting wordt er een geluidssignaal door het apparaat gestuurd. Doordat ieder apparaat andere prestatiespecificaties heeft, wordt er een uniek geluidssignaal geproduceerd.

Waarom wordt fingerprinting gebruikt
Over het algemeen wordt fingerprinting voor een aantal doelen gebruikt zoals de beveiliging van verbindingen, het aanpassen van de lay-out van de site en tracking en analyse. Daarbij komt dat het veel makkelijker is om het plaatsen van cookies uit te zetten of te blokkeren dan fingerprinting.

Doordat je veel gegevens en data kan verzamelen met fingerprinting, is het mogelijk om een zeer nauwkeurig profiel van een gebruiker te maken. Als je eenmaal dat profiel hebt, is het niet zo moeilijk meer om de gebruiker over het internet te volgen zonder het gebruik van cookies. Daarnaast wordt het dus heel eenvoudig om gepersonaliseerde advertenties te laten zien. Ook is het mogelijk om met deze gegevens opnieuw een trackingcookie voor een desbetreffende gebruiker aan te maken.

Er zijn technieken van fingerprinting die een gebruiker niet of nauwelijks door heeft. Dat komt doordat er bij deze methoden gebruik wordt gemaakt van gegevens die door apparaten standaard worden verzonden. Deze techniek vormt een gevaar voor de privacy van gebruikers.

Voorbeeld: Veel webshops bieden middels een pop-up korting aan als je je inschrijft op de nieuwsbrief. Om ervoor te zorgen dat de bezoeker niet bij ieder bezoek aan de site dezelfde pop-up krijgt, wordt de bezoeker herkent middels fingerprinting om te zorgen dat de pop-up gepersonaliseerd. Zo kan de bezoeker bij het eerste bezoek een pop-up krijgen en als hij zich niet heeft ingeschreven bij bijvoorbeeld het vijfde bezoek nog een keer, maar dan met een andere tekst.

Is de cookiewet van toepassing op fingerprinting

In het verleden is er veel discussie geweest over de vraag of de cookiewet van toepassing is op fingerprinting. De wetstekst van de Telecommunicatiewet (Tw) heeft namelijk bepalingen die techniekneutraal zijn. Ook wordt er gesproken over het opslaan en uitlezen van informatie. Fingerprinting leest alleen informatie uit en slaat deze niet op. Dit bracht met zich mee dat het niet uit de wetgeving bleek of Fingerprinting onder deze wetgeving valt.

De Artikel 29-werkgroep, het huidige European Data Protection Board, heeft in twee opinies het standpunt geuit dat fingerprinting onder de cookieregels uit de Telecommunicatiewet valt. Met dit standpunt valt fingerprinting automatisch ook onder het regime van de Algemene Verordening Gegevensbescherming (AVG).

Waar moet je op letten om rechtsgeldig fingerprinting te gebruiken
Om te beginnen moet je kijken naar waar je fingerprinting voor wil gaan gebruiken. Er is namelijk een groot verschil tussen waar je aan moet voldoen als je een gebruiker bijvoorbeeld over het internet wil tracken of dat je alleen wil dat de site in het juiste formaat wordt getoond. Dat laatste is slechts functioneel en zal geen tot weinig inbreuk maken op de privacy van de gebruiker. Dat in tegenstelling tot het vormen van een profiel waarmee je de gebruiker wil volgen. Dit zal waarschijnlijk een grote inbreuk zijn op diens privacy. Daar gelden nu eenmaal strenge voorwaarden voor.

Vervolgens moet je goed nadenken over de gegevens die je wil gaan verwerken. Is het wel nodig dat je bepaalde gegevens verwerkt? Of kan het ook met minder, of andere, gegevens? Dit is belangrijk omdat veel van de gegevens die je verzameld bij fingerprinting op zichzelf geen persoonsgegevens zijn. Maar als je alle gegevens bij elkaar legt, dan kan er toch een goed profiel van iemand gemaakt worden en dan blijk je uiteindelijk toch gegevens te verwerken waar je iemand mee kan identificeren.

Als je de gegevens verwerkt voor functionele doeleinden, dan is wel het laatste wat je wil persoonsgegevens verwerken en aan de strenge regels van het privacyrecht gebonden zijn. Daarom is het belangrijk dat je goed nadenkt over het doel dat je wil bereiken en welke gegevens daarvoor nodig zijn.

Als je de antwoorden hebt op de vragen voor welk doel je fingerprinting wil gebruiken en welke gegevens je daarvoor gaat verwerken, dan weet je of de Telecommunicatiewet en/of de AVG van toepassing zijn.

Als je gegevens verwerkt waar je iemand mee kan identificeren, dan zal je aan de verplichtingen uit privacywetgeving moeten voldoen. Het is hierbij overigens niet noodzakelijk dat je iemand ook daadwerkelijk identificeert.

Je zal moeten zorgen dat je de gebruiker goed inlicht over het gebruik van fingerprinting. Hierbij moet je vertellen waarom je gebruik maakt van deze techniek, welke gegevens je verzamelt en dat de gebruiker hiervoor eventueel toestemming moet geven en hij deze toestemming ook weer kan intrekken.

Je moet ervoor zorgen dat je op de juiste en correcte wijze toestemming van de gebruiker krijgt voordat je de gegevens gaat verzamelen. Daarnaast is het belangrijk dat je ervoor zorgt dat er technische en organisatorische maatregelen zijn genomen waarmee de verzamelde gegevens en de profielen die je maakt goed beschermd zijn.

Fingerprinting en ePrivacy Verordening

Fingerprinting wordt deels in de Telecommunicatiewet geregeld. Het is de bedoeling dat deze regels vervangen gaan worden met de ePrivacy Verordening (ePV). De ePV moet ervoor zorgen dat huidige en nog te ontwikkelen technieken allemaal onder deze privacywetgeving vallen, zodat niet de situatie ontstaat dat er opeens technieken zijn die niet zijn gereguleerd. Zoals dat nu het geval is.

Device fingerprinting wordt expliciet genoemd in de overwegingen van de ePV. Hierdoor kan er geen twijfel zijn en zullen de cookieregels ook gaan gelden voor fingerprinting.

Als je alvast vooruit wil lopen, dan zijn onderstaande de regels die (waarschijnlijk) gaan gelden zodra de ePV van toepassing is. Het gebruik van verwerkings- en opslagcapaciteit van eindapparatuur en het verzamelen van gegevens uit eindapparatuur van gebruikers is verboden, tenzij:

  • de gebruiker toestemming heeft gegeven; of
  • het noodzakelijk is voor het aanbieden van een door de gebruiker aangevraagde dienst; of
  • het noodzakelijk is om de omvang van het publiek de bezoekers te meten, mits deze meting door de website aanbieder of een verwerker wordt gedaan.
Bron: https://www.ris-rijkschroeff.nl/Blogs/Privacyrecht/Is-fingerprinting-het-nieuwe-cookie