Online privacy onder controle

Door Jacob Noordmans – Grain voor ICT magazine.

Na het zien van ‘The Social Dilemma’ was ik onder de indruk. Niet dat er écht iets nieuws verteld werd in deze documentaire. Maar hij laat wel weer heel treffend zien hoe techgiganten als Facebook en Google steeds meer onze levens beheersen en zelfs manipuleren. Hiervoor gebruiken ze geavanceerde algoritmes die voorspellen voor welke volgende schreeuw om aandacht wij het meest ontvankelijk zijn. Allemaal om hun advertentie-inkomsten nog verder op te stuwen. De brandstof waar deze aandachtsalgoritmes op draaien? Data. Heel veel data.

 

Die data verzamelen ze overal waar ze maar kunnen. Ook – en dat miste ik een beetje in de documentaire – op websites die ogenschijnlijk niets met Facebook of Google te maken hebben. Er is bijna geen website meer die tegenwoordig zonder Google Analytics draait. Overal zie je like-buttons van Facebook, Google Maps embeddings en Youtube video’s. Allemaal heel handige diensten die overal op het internet worden gebruikt. Ze zijn bovendien helemaal gratis! Hoewel? Ook hier geldt natuurlijk: als iets gratis is, dan ben jij waarschijnlijk het product.

 

Zonder al te dramatisch te worden, mag toch gezegd worden dat we het verzamelen van persoonsdata voor commerciële doeleinden in het geval van de techgiganten veel te ver hebben laten komen. Want dit is wat deze ‘gratis’ diensten en masse doen: het gedrag van hun gebruikers monitoren, dit opslaan en er heel veel geld mee verdienen. Tot het punt dat je je wel moet afvragen: worden we niet teveel in de gaten gehouden? En is er niet veel te veel informatie over ons in handen van slecht een paar bedrijven?

 

Hoewel je hier eigenlijk niemand echt de schuld van kan geven – omdat niemand alle gevolgen overzag (of zelfs overziet) – is het nu wel duidelijk dat we zo niet zouden moeten willen doorgaan. Zelfs de Amerikaanse senaat ziet dit in. Maar ook dichter bij huis geldt: elke website-eigenaar, iedereen die de ‘handige’ tools van Google, Facebook en andere bedrijven op zijn website gebruikt, heeft hier vandaag de dag een verantwoordelijkheid in.

 

Ook wettelijk gezien is dit sinds 28 mei 2018 beter geregeld. Op die dag trad de nieuwe Europese privacywetgeving in werking – de GDPR, of in het Nederlands: de AVG. Deze verordening heeft als doel om de privacy van Europese burgers te beschermen. Met name tegen de techgiganten. Maar ook kleinere bedrijven hebben dagelijks te maken met deze nieuwe regelgeving omtrent het verzamelen, opslaan en verwerken van persoonsgegevens.

 

Er vindt dus een verandering plaats. Met name online moet een nieuwe balans ontstaan tussen dataverzameling voor het voortbestaan van bedrijven enerzijds en privacy anderzijds. Een balans waarvan, in onze ervaring, veel bedrijven graag aan de ‘goede’ kant van de schaal willen zitten. Ook zonder dreiging van de AVG, de bijbehorende boetes, dwangbevelen om data te verwijderen en eventuele imagoschade. Het goed regelen hiervan is echter veel moeilijker dan het misschien lijkt.

Het is niet voldoende om een cookiemelding op je website te plaatsen. Je moet deze ook up-to-date houden. En je moet zorgen dat alle scripts, tracking pixels, Youtube-embeddings en Facebook buttons op de hoogte zijn van de gegeven toestemmingen én daar ook naar handelen. En dat terwijl veel tools die je plaatst, met hun standaardinstellingen, data naar allerlei plekken versturen zonder dit duidelijk te melden. Een simpele steekproef met een browser-extensie als Ghostery laat dan ook al snel zien dat dit nog maar op heel weinig websites in orde is.

 

Maar als website-eigenaar of als privacy officer is het gewoon onbegonnen werk om dit handmatig onder controle te houden. Je kunt niet elke dag met Ghostery naar je website(s) gaan om elke toestemmingscombinatie op iedere pagina te controleren. Zelfs het automatiseren van dergelijke controles is ingewikkeld en vaak onmogelijk. Bovendien zou dit ook nog eens onvolledig zijn, vanwege afgeschermde pagina’s en vooral omdat pagina’s dynamisch zijn: bij een volgend bezoek kunnen weer heel andere dingen ingeladen worden. Hierdoor sla je mogelijk toch gegevens op waarvoor je geen toestemming hebt of lekt er ongemerkt toch data naar derden.

 

Ondanks deze nachtmerrie eist de AVG dat je dit onder controle hebt. Sterker nog, je moet dit te allen tijde kunnen aantonen, zelfs als je nog geen enkel data-incident gehad hebt. Eerlijk gezegd zou een website-eigenaar dit ook onder controle moeten wíllen hebben. Het gaat immers om de privacy van zijn of haar klanten. Maar wat is dan de oplossing? Helemaal maar geen data verzamelen? Terwijl concurrenten nog wel data gebruiken om hun website te verbeteren en hun processen te optimaliseren?

Bij Grain erkennen wij dat dit een security issue is. Dus is ons advies: monitor die website! Zorg dat je te allen tijde op de hoogte bent van de cookies, browseropslag en netwerkverzoeken die aan je website verbonden zijn. Maak dit real-time inzichtelijk middels dashboards en koppel dit aan je cookiemelding en de toestemmingen die door gebruikers gegeven zijn. Zorg dat je eventuele incidenten inzichtelijk hebt en maak iemand verantwoordelijk om ze op te lossen. Documenteer welke incidenten er waren en wanneer ze opgelost zijn. Met real-time monitoring is het zelfs mogelijk alerts in te stellen zodat je meteen op de hoogte bent wanneer er een Youtube video of tracking pixel geplaatst is die niet aan je voorwaarden voldoet.

 

Is dit niet moeilijk, heel veel werk en kostbaar? Niet als je over de juiste tools beschikt. Wij gebruiken hier onze Consent Monitor voor. Natuurlijk stellen we het op prijs als je hierover contact met ons opneemt, maar nog belangrijker: ga er in ieder geval mee aan de slag. Laten we vooral ons best doen om privacy op het internet weer onder controle te krijgen!

 

Meer weten over de Consent Monitor van Grain? Kijk voor meer informatie op hun webpagina of neem contact op met ons!