Op de digitale tiplijn Meld Misdaad Anoniem zouden zogeheten trackers van Google en Twitter actief zijn die websitebezoekers volgden. Was de anonimiteit van melders in gevaar?
Wie tot afgelopen dinsdag de website van Meld Misdaad Anoniem bezocht, kreeg, zonder dat hij daarvan op de hoogte was, zogenoemde tracking cookies in zijn browser geïnstalleerd. Met deze trackers kunnen advertentiebedrijven gebruikers volgen zodat ze hen onder meer gerichte reclame kunnen tonen.
Omdat surfgedrag van internetters wordt gezien als ‘gevoelige informatie’ moet hiervoor toestemming worden gevraagd aan bezoekers van de website. Dit deed Meldpunt Misdaad Anoniem niet en daarmee was het platform in overtreding. RTL Nieuws bracht de fout gisteren aan het licht na een tip. De Autoriteit Persoonsgegevens, die toeziet op gebruik van persoonsgegevens door organisaties, nam contact op met het meldpunt dat de cookies onmiddellijk verwijderde.
Wat was er aan de hand?
Een website waar je anoniem meldingen kunt doen (in dit geval van misdaden) en die bezoekers laat tracken? Dat klinkt tegenstrijdig. Waarom deed de website dit? We besluiten om eerst verhaal te halen bij Titus Visser, die directeur is van NL Confidential, de onafhankelijke organisatie achter het platform.
Volgens Visser, die direct onderstreept dat de anonimiteit van melders nooit in gevaar is geweest, ging het om een ‘onbedoeld bij-effect’ van andere activiteiten op de site. ‘We waren zelf niet op de hoogte van die trackers. Daarom was er ook geen cookie-melding actief.’ Volgens Visser zijn de trackers vermoedelijk geactiveerd doordat YouTube en Twitter waren geïntegreerd op de website. ‘Dat was natuurlijk onhandig van ons,’ geeft hij toe.
Wat doen trackers ?
Een onhandige actie dus. Maar wat zijn die trackers eigenlijk en wat doen ze precies? Een tracker is niets meer dan een klein tekstbestandje dat wordt opgeslagen in de browser van een gebruiker en waarin een unieke code staat waaraan servers de gebruiker kunnen herkennen. Zo’n zogeheten Cookie ID ziet er als volgt uit.
Algebra voor de meeste mensen. Maar servers kunnen de informatie die in een cookie over de gebruiker wordt opgeslagen ‘aflezen’. Zo weet een webwinkel welke producten u aan een winkelwagen heeft toegevoegd of weet een nieuwssite met een betaalmuur dat u een geregistreerde gebruiker bent of dat u al meer dan drie artikelen heeft gelezen.
In het geval van Meld Misdaad Anoniem ging het om drie trackers: Doubleclick (Google), Twitter en Piwik. Die laatste tracker wordt gebruikt voor de site-analyse. De andere twee worden gebruikt voor ‘gerichte reclame’. Zo kan iemand die Meld Misdaad Anoniem bezoekt later op een andere site een reclamebanner krijgen van het meldpunt.
Wie ziet die gegevens?
Meld Misdaad Anoniem is niet de enige website die trackers gebruikt. Sterker nog. Vind maar eens een site die géén trackers gebruikt. Nadat u dit bericht heeft gelezen, zijn er zeker acht partijen die uw online gedragingen zullen volgen. Dat geldt net zo goed voor de site van RTL Nieuws en andere uitgevers. U merkt hier, op de cookie-melding na, niets van. Wel zult u steeds vaker reclame krijgen die gerelateerd is aan uw internetgedrag.
De vraag is dus hoe kwalijk deze trackers zijn en wie de informatie die de trackers verzamelen, kunnen zien. We vragen het aan Eduard Nandelall die met zijn bedrijf OptimusAd dagelijks gebruikmaakt van informatie afkomstig uit dit soort cookies en trackers. Volgens Nandelall krijgt hij nooit persoonsgegevens te zien. ‘We werken met geanonimiseerde profielen. Je kunt dus banners tonen aan mannen van boven de veertig die geïnteresseerd zijn in voetbal. Maar er is niemand die de persoonsgegevens daadwerkelijk ziet. Dan zal je toch Google moeten hacken, ik wens je succes daarmee.’
Je kan jouw keuzes op elk moment wijzigen door onderaan de site op "Cookie-instellingen" te klikken."
Aangezien de gegevens in dit geval door Google worden verwerkt, vragen we aan het Amerikaanse techbedrijf wat ze precies kunnen zien. Volgens een woordvoerder registreren de automatische systemen van het bedrijf in sommige gevallen dat een bepaald IP-adres of Google-account (indien ingelogd) de website Meld Misdaad Anoniem heeft bezocht. ‘Maar het is niet zo dat Google kan zien wat je precies op die site kwam doen en wat voor gegevens je hebt achtergelaten. Adverteerders kunnen al die informatie sowieso niet zien.’
Is uw anonimiteit in gevaar
Systemen van Google weten dus soms vanaf welk IP-adres of Google-account het meldpunt is bezocht. Is daarmee de anonimiteit van de melder in gevaar? Directeur Visser van het meldpunt wijst dat resoluut van de hand. ‘Er komen zoveel mensen op onze site, dat zegt niets over wie een melding achterlaat. Die trackers waren alleen actief op de gewone website. Voor het melden van een misdaad hebben we een apart systeem. Daar was en is geen sprake van dit soort trackers.’
Toch zijn er wel zorgen. Veiligheidsexpert Mark Loman wijst erop dat in theorie overheidsinstanties een verzoek kunnen doen om deze data of een bepaalde identiteit te achterhalen. Visser: ‘Binnen het Openbaar Ministerie geldt de instructie dat géén naspeuring mag worden gedaan naar de identiteit van melders bij Meld Misdaad Anoniem.’
Geef mensen een keuze
Volgens Daphne van der Kroft van internetprivacy-organisatie Bits of Freedom is het een principekwestie en moeten bezoekers van dergelijke sites ‘gewoon geen zorgen’ hebben over of ze überhaupt worden gevolgd. ‘Bezoekers moeten in elk geval de keuze krijgen of ze het willen of niet.’ Haar organisatie pleit ervoor om op sommige sites, bijvoorbeeld belangrijke overheidssites, trackers te verbieden.
Bits of Freedom denkt niet dat er in dit geval een gevaarlijke situatie is ontstaan. ‘Als je op de website van Meld Misdaad Anoniem een melding maakt van een inbreker, dan staat die heus niet de volgende dag op de stoep om verhaal te halen. Maar dat er ergens mensen zijn die bijhouden wie er op de site komt, staat vast.’
Niet zoveel aan de hand
De Autoriteit Persoonsgegevens kan niet zeggen of de anonimiteit van bezoekers in gevaar is geweest. ‘Wij hebben geconstateerd dat artikel 6 en 8 van de Wet bescherming persoonsgegevens zijn overtreden doordat de site onzorgvuldig is omgegaan met gevoelige gegevens en geen ondubbelzinnige toestemming heeft gevraagd om gegevens te verzamelen,’ zegt een woordvoerder. Omdat het meldpunt de trackers onmiddellijk heeft verwijderd, maakt de privacywaakhond er verder geen zaak van. ‘Het probleem was snel verholpen, maar we houden wel de vinger aan de pols.’
Directeur Visser gaat onderzoeken hoe gevaarlijk dit soort trackers precies is, en of de functionaliteit van de site kan worden verbeterd zonder trackers te gebruiken. Voor hem is het belangrijk dat mensen zich veilig en anoniem voelen op de website.
‘Ik betreur het dat mensen de suggestie wekken dat de anonimiteit van melders in gevaar is geweest. Dat is absoluut niet het geval. Als je er goed naar kijkt, is er natuurlijk niet zoveel aan de hand geweest.’