Wat mag je nog met tracking pixels tegenwoordig?

| AE 11460 | Privacy | 25 reacties

orgverzekeraars maken gebruik van omstreden tracking-software die is verstopt in e-mails aan klanten, zo meldde Radio 1 onlangs. Deze reportage was een vervolg op eerdere berichten dat onderwijsdienst DUO trackers gebruikte om te zien of studenten hun mail wel lazen, zonder dit te melden. Dat zou in strijd zijn met de AVG. DUO is ermee gestopt, de door Reporter Radio onderzochte zorgverzekeraars gaan hun privacyverklaring aanpassen maar lijken niet te stoppen. Wat dus de vraag oproept, mag dat nu wel of niet van de AVG?

Een tracking pixel is een al wat oudere truc om te achterhalen of iemand je mailbericht heeft gelezen, althans opengeklikt. Er zit dan een plaatje van 1 bij 1 pixel in de mail, en je mailprogramma haalt dat plaatje op net zoals andere afbeeldingen. Dat valt jou als lezer niet op want het is maar 1×1 pixel en bovendien wit of transparant. Maar bij het ophalen wordt je IP-adres geregistreerd, en de bestandsnaam is uniek voor jou als ontvanger zodat de afzender kan zien dat deze pixel vanuit jouw mailbericht is opgevraagd. Dat is dan het bewijs dat jij die mail hebt geopend.

In deze context is dat IP-adres een persoonsgegeven, of iets preciezer: die unieke bestandsnaam in combinatie met IP-adres en datum plus tijd van opvraging is het persoonsgegeven “persoon ed@example.com heeft de mail opengeklikt”. En dan is de AVG van toepassing.

Onder de AVG moet je allereerst een grondslag hebben. Dat zal gewoonlijk het eigen gerechtvaardigd belang moeten zijn, want toestemming vraagt geen hond en echt noodzakelijk voor een overeenkomst is het niet. Welke nieuwsbrief is zo belangrijk dat je moet moet moet weten dat deze aangekomen is? Maar een eigen belang – marketing en statistieken – dat zie ik wel. Daar staat dan natuurlijk het privacybelang van de ontvanger tegenover, maar wanneer je de vastlegging uitsluitend gebruikt voor algemene statistieken (deze truc geeft 5% meer opens, in België leest slechts 20% onze nieuwsbrief) dan denk ik dat het marketingbelang wint.

Wel moet je duidelijk informeren over de tracking. Dat zal op zijn minst in de privacyverklaring moeten gebeuren. Maar eigenlijk denk ik dat het duidelijker moet dan dat – een zin bij het “inschrijven voor de nieuwsbrief” formulier, en misschien zelfs wel een zin in de mail zelf. Hoewel dat laatst eigenlijk wat laat is, de tracking pixel is dan al ingeladen. Ook moet er een opt-out (bezwaar) mogelijkheid zijn. Dat mensen zelf blockers kunnen installeren, is wat mager. Je zult mensen dat dan uit moeten leggen. Maar ik denk dat je dan een heel eind komt.

Oh ja, dan is er ook nog de Telecommunicatiewet die in tegenstelling tot wat de Volkskrant zegt wél geldt voor tracking pixels. Er wordt immers een pixel op je computer gezet. Dat “de registratie gebeurt op de server van de afzender” is niet relevant, de Telecomwet gaat niet over waar persoonsgegevens worden verwerkt maar of er data op randapparatuur wordt opgeslagen. Maar het gaat desondanks goed, omdat dergelijke simpele analytics vallen onder de Nederlandse uitzondering op de cookiewet. Dit schendt niet of nauwelijks de privacy en is bedoeld om de effectiviteit van een geleverde dienst te meten. Dan is er geen toestemming nodig.

Dus onder de streep kom ik uit bij een kopje in de privacyverklaring “nieuwsbrief en volgsysteem” waaronder je uitlegt dat je tracking toepast, welke gegevens je vastlegt daarvoor en hoe mensen dit tegen kunnen houden. Toestemming vragen is niet nodig.

Voor DUO ligt dat anders. Dat is een overheidsinstantie, dat die mails verstuurt in de uitoefening van haar publieke taak. In dat geval is zij niet bevoegd de grondslag van het eigen gerechtvaardigd belang in te roepen – zij moet een wettelijke grondslag hebben om dit te mogen doen. En die is er niet.

Arnoud

Te koop bij uw ISP: uw browsergeschiedenis

| AE 9355 | Privacy | 16 reacties

Amerikaanse internetproviders mogen binnenkort de internetgeschiedenis van hun klanten verkopen aan derden, meldde Ars Technica vorige week. Een besluit van die strekking is door zowel Congres als Huis van Afgevaardigden aangenomen. Het besluit verklaart een eerdere regel van de toezichthouder FCC ongeldig, waarin werd bepaald dat alleen met aparte opt-in dergelijke gegevens mochten worden verzameld en verkocht.

Het achterliggende argument lijkt te zijn dat de advertentiemarkt te veel in het voordeel van social media en zoekdiensten is. Die kunnen van alles en nog wat verzamelen en verkopen, en toestemming regelen ze met onleesbare gebruiksvoorwaarden die iedereen toch wel accepteert. Terwijl die arme zielige ISPs alle investeringen in infrastructuur mogen doen en dan niet eens een advertentietje hier of daar mogen doen om een centje bij te verdienen. Mogelijk zit er ook een stukje politiek achter, nu de huidige president de visie lijkt te hebben dat toezicht eigenlijk überhaupt een slecht idee is.

Elders wijst Bruce Schneier erop dat de belangrijkste pijn er hier in zit dat je gewoon niet van provider kunt wisselen. In theorie zou je kunnen stoppen bij Facebook (hoewel ik dan denk: moehaha yeah right) maar van provider wisselen is vaak gewoon onhaalbaar omdat er geen alternatief ís. Je onttrekken aan deze monitoring zou wellicht kunnen met een VPN, maar dat zijn weer forse extra kosten en vaak verminderde prestaties.

In Nederland zou dit nauwelijks te doen zijn. Privacy op internet is verankerd in Europese regels; ons parlement is niet eens bevoegd om zulke regels te maken waarbij opt-in zou worden afgeschaft. Weer zo’n juridisch verschil met de VS: privacy is daar beperkt tot wat je met de gordijnen dicht thuis doet, en dat gegevens over jou privacygevoelig zijn, wil er eigenlijk gewoon niet in bij ze.

Arnoud

Mag de politie zeggen “U twittert wel heel veel”?

| AE 8376 | Regulering, Uitingsvrijheid | 60 reacties

twitter-agent-politieTwitterende tegenstanders van azc’s moeten rekening houden met een bezoekje van de politie. Mag dat? Dat schreef NRC vorige week. „Wij hebben orders gekregen om u te vragen op uw toon te letten. Uw tweets kunnen opruiend overkomen”, kreeg een Sliedrechtenaar te horen nadat hij had getwitterd over een AZC-bijeenkomst. Iets strafbaars zei hij niet, dus dat roept dan de vraag op, waar bemoeit die agent zich mee? En hoezo gaan ze dan langs je huis om wat te zeggen van je tweet?

In principe heeft een agent het recht zich te bemoeien met wat je in de openbaarheid doet, als dat de openbare orde raakt. Dat staat zo in artikel 3 Politiewet:

De politie heeft tot taak in ondergeschiktheid aan het bevoegd gezag en in overeenstemming met de geldende rechtsregels te zorgen voor de daadwerkelijke handhaving van de rechtsorde en het verlenen van hulp aan hen die deze behoeven.

Als een agent je ziet terwijl je hard fietsend op een rood stoplicht afkomt, dan mag hij je manen af te remmen, ook al ben je nog niet door rood gefietst. Dit artikel geldt dus niet alleen bij daadwerkelijk gepleegde strafbare feiten. Ik zie het principiële verschil niet tussen mensen op straat waarschuwen niet door rood te rijden en mensen op straat waarschuwen geen strafbare dingen te gaan roepen.

Artikel 3 is overigens niet bedoeld voor activiteiten waarbij de politie inbreuk maakt (“een meer dan geringe”, althans) op grondrechten van burgers. Een huis doorzoeken of iemands mailbox lezen kan dus niet op grond van dit artikel, daar is een specifiek bevel voor nodig onder het Wetboek van Strafvordering.

Maar, zo weten we ondertussen, de politie mag kijken wat er in het openbare internet allemaal gebeurt. In de jihadzaak van december werd over rechercheren op internet gezegd:

Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig’. Daarbij wordt door de Minister opgemerkt dat deze bevoegdheid om rond te kijken op een openbaar netwerk niet de bevoegdheid impliceert om stelselmatig voor de uitoefening van de politietaak gegevens van internet te downloaden en in een politieregister op te slaan.

Op internet rondkijken is dus hetzelfde als op straat surveilleren. En als je op straat iemand hoort schreeuwen “Laat ze oprotten die teringleiers, we gaan met z’n allen naar het gemeentehuis”, dan mag je als agent even een praatje aanknopen. Ook als men slechts volstrekt legale bedoelingen heeft en niet meer wil dan oproepen tot een legale betoging bij het gemeentehuis om onvrede te brengen. (“Teringleiers” roepen in een politieke discussie lijkt me niet direct strafbare groepsbelediging.) Je zit in een grijs gebied met zo’n oproep, en deel van de taak van de politie is die grijze gebieden netjes houden.

Hetzelfde argument werd aangehaald bij het raadplegen van Google Earth in een belastingfraudezaak. Men citeert de minister:

Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op Internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig, mits dat optreden gerekend kan worden tot de uitvoering van de politietaak (zie artikel 2 [nu artikel 3, AE] Politiewet 1993).

Een keertje kijken op Google Earth viel hieronder, omdat het incidenteel was en een openbare bron. Twitter en Facebook zou ik in principe hier ook onder rekenen, in ieder geval zolang het openbaar is en je geen kunstgrepen met nepaccounts en bevrienden uit hoeft te halen. Immers, zelfs je volgen op Twitter is nog niet automatisch een “meer dan geringe” inbreuk.

Tegelijk lijkt het me zeker nogal heftig om een agent aan je deur te krijgen, heftiger dan op straat te horen “kan het even wat minder meneer”. Op straat is het direct gerelateerd aan je actie, en als men een week later thuis langskomt dan mis je die link. Maar ik zie dat als inherent aan het medium Twitter: men kan moeilijk direct er wat van zeggen, dus logisch dat het even duurt. Ik denk niet dat mensen onder de indruk zijn als de politie terug gaat twitteren “@jijdaarmetdiehashtag even dimmen meneertje”.

Arnoud

Amerikaanse politie mag nepaccounts op Instagram gebruiken, onze politie ook?

| AE 7259 | Regulering | 3 reacties

De Amerikaanse politie mag nepaccounts op Instagram aanmaken en hiermee vrienden worden met verdachten, las ik bij Nu.nl. Zo kon men foto’s verkrijgen die bewijs leverden van een wetsovertreding zonder dat een bevelschrift nodig was. Een Amerikaanse rechter achtte dat legaal. Hoe zou dat bij ons gaan? In Nederland mogen politieagenten minder dan gewone burgers…. Lees verder