Mag je provider je telefoonnummer meesturen bij websitebezoek?

Een lezer wees me op een Deens artikel (extragratis privacyschendende vertaling) waarin werd gemeld dat de telecomoperator TDC de telefoonnummers van hun mobiele gebruikers beschikbaar stelt aan ‘geselecteerde’ websites. Het deed me denken aan X-ASID, maar het lijkt een andere technologie te zijn.

Waar ik me over verbaasde, is de opmerking op het einde:

“Het is net als bij het surfen vanaf een computer, en uw IP-adres wordt opgeslagen. Hier is het gewoon uw telefoonnummer “, zegt Rasmus Avnskjold.

Oftewel: we sturen uw telefoonnummer mee want als je op internet zit gaat ook je IP-adres mee en dat is eigenlijk hetzelfde. Eh, wat?

Natuurlijk is dit een volstrekt andere kwestie. Een IP-adres is nodig als deel van de communicatie via internet. Als de wederpartij je IP-adres niet weet, dan wordt het heel lastig IP pakketjes terug te sturen. Om die reden is er geen toestemming nodig om dit IP-adres te mogen ontvangen en gebruiken voor dit doel. (Formeel: het IP-adres wordt verwerkt op grond van “noodzakelijk bij de uitvoering van de overeenkomst tot aanlevering van een webpagina”.

Maar het telefoonnummer meesturen met een internetbrowsesessie lijkt me daar bepaald niet nodig bij. Ze gaan je echt niet bellen of de webpagina wel snel genoeg laadt of zo. De enige reden om het telefoonnummer mee te sturen, is om de bezoeker te kunnen identificeren. En dát mag niet zonder aparte toestemming van die bezoeker.

Oh, en morgen wordt plenair gestemd in de Eerste Kamer over de cookiewet. Spannend!

Arnoud

11 reacties

  1. KPN heeft in 2001 ook zo’n dienst bedacht voor ADSL-gebruikers. Een website eigenaar kon dan NAW opvragen van een KPN-bezoeker (bijvoorbeeld handig & veilig voor wehkamp.nl). Ik weet niet of het ooit live is gegaan.

    En laatst stuurde O2 in de UK per ongeluk het telefoonnummer mee naar alle websites: http://thenextweb.com/mobile/2012/01/25/uk-mobile-operator-o2-sends-your-phone-number-to-every-website-you-visit/

    Ik denk dat mobiele en vaste providers wel hongerig/zoekend zijn om op deze manier meer geld te verdienen. En dat website-eigenaren wel geinteresseerd zijn in extra autenticatie. Misschien gaan die partijen iets proberen te introduceren dat lijkt op de bestaande locatie-bepaling in webbrowsers: nu krijg je al af en toe de tekst “This site wants to know your location” voor bijvoorbeeld maps.google.nl en als je zoekt naar “pizza”. Misschien gaan ze pogen het te leveren als extra service. 😉

  2. Die dienst van KPN heette ‘klipping’: bij een ‘mxstream’, of later ‘ADSL van KPN’ IP adres was het telefoonnummer op te vragen (als ik het me goed herinner ‘voor de juiste partijen’). Die dienst werd toen heel snel uitgezet voor xs4all klanten toen het bekend werd.

  3. @Peter (reactie 2), bij mobiele telefoons wordt niet je nummer meegestuurd, want dat doet er niet toe. Da’s alleen om dingen voor mensen behapbaar te maken (redelijk vergelijkbaar met de DNS name van een website). Wat er wel toe doet zijn je IMSI en IMEI nummers (respectievelijk het ID van je SIM-kaart en je telefoon). En die worden braaf met elk telefoongesprek meegestuurd.

  4. @Marco Als je denkt dat het mogelijk is om je anoniem ‘op het internet te begeven’ dan heb je het mis. Dat is technisch zo goed als onmogelijk.

    Dat kan alleen als we overal DNSSEC, DANE, HTTPS (geen enkele HTTP), Tor (dus trager) gebruiker en iedereen de zelfde software versie en waarschijnlijk zelfs hardware geven (monocultuur dus) en teven bestaande mogelijkheden uit bestaande protocollen slopen die wel degelijk nut hebben.

    Als een voorbeelden, kijk maar een wat evercookie met de ETag doet, “profiling” of zoek maar eens op passive OS TCP fingerprinting.

    En een monocultuur zoals we wel weten is een slecht idee, kijk maar eens wat er met Windows en IE is gebeurt.

  5. Leuk artikel 😉 Zinnen als ‘voor de juiste partijen’ of ‘geselecteerde derden’ betekenen eigenlijk bijna altijd ‘voor wie er genoeg voor wil betalen’. Wat ik in de comments lees van het gelinkte artikel, is dat dit in Denemarken gewoon legaal is. Het lijkt me in NL een schending van de privacywet, tenzij er opt-in mechanisme is, misschien. Maar dan wel eentje waar je per 3e partij kunt aanvinken of het toegestaan is.

    Overigens zou ik het niet bezwaarlijk vinden als een website via de browser van je device je telefoonnummer kan vragen. De browser moet dan vervolgens die vraag dan weer aan de gebruiker stellen, natuurlijk. Maar misschien werkt dit al zo, ik ben niet zo thuis in de mobiele wereld.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.