Vorige week bracht Sargasso het verhaal over de Like Button van Facebook. Volgens onderzoeker Arnold Roosendaal, onderzoeker aan het Tilburg Institute for Law, Technology and Society, kan Facebook ook het surfgedrag van niet-leden hiermee volgen. Vandaag gaan we hierop door met een Q&A met de auteur.
We krijgen nog steeds vragen over hoe Facebook het gedrag van niet-leden monitort. Kun je dat nog eens uitleggen?
Niet-leden hebben geen cookie met gebruikers-ID van Facebook. Veel sites hebben echter Facebook Connect geïmplementeerd (en er komen er dagelijks 10.000 bij). Bij het laden van een website wordt de content voor Facebook Connect opgevraagd door middel van een http request. In de reply (het leveren van de content) wordt een cookie meegestuurd en geïnstalleerd op de computer van de gebruiker. Vanaf dat moment wordt deze cookie (met uniek nummer) meegestuurd naar de Facebook servers elke keer dat content daarvan gevraagd wordt, dus ook de Like Button.
Niet-leden krijgen dus via een omweg een unieke cookie die het volgen mogelijk maakt. Omdat de cookie steeds dezelfde is kunnen websitebezoeken gekoppeld worden als afkomstig van één computer. Dat is dus geen unieke gebruiker, maar gezien de personalisatie van devices met laptops, smartphones, etcetara, zijn steeds meer apparaten gekoppeld aan een unieke gebruiker.
Het laden van de content zorgt ervoor dat de cookie samen met bezochte website en tijdstip en dergelijke naar Facebook gestuurd wordt. Klikken op de button is dus niet nodig, evenals het geval is voor wel-leden. Het enige verschil is dat bij wel-leden cookies met een user-ID op de computer van de gebruiker staan die direct gekoppeld zijn aan het account.
In hoeverre doen andere sociale media dit ook?
Voor niet-leden is een systeem dat de cookie afgeeft vereist. Bij Facebook is dat dus Facebook Connect. Ik heb ook gekeken naar Twitter en die heeft een dergelijk systeem niet. Alleen Twitter-leden (of eigenlijk mensen die de Twitter-homepage eens hebben bezocht) hebben dus een cookie die wordt meegestuurd bij het laden van een Tweet-button. Ik denk dat hetzelfde geldt voor Hyves en dergelijke.
Ik heb zelf echter nog een open vraag hierbij: het laden van de Like-button kan zelf ook gekoppeld worden aan het afgeven van een cookie, maar dat is niet het geval. Ik weet niet waarom de indirecte weg is gekozen. Misschien inderdaad om het systeem minder transparant te maken en dus te laten lijken alsof de button niks doet.
Heb je Facebook geconfronteerd met je bevindingen? Of heb je nog een reactie gekregen? Zo ja, wat was die reactie en zo nee, wat zou die reactie volgens jou moeten zijn?
Nee, of nog niet. Dat is vooral te wijten aan drukte en eigenlijk al een overweldigende aandacht voor het paper. Ik refereer wel aan een reactie van Facebook op het verhaal bij de NHS in het Verenigd Koninkrijk waar een woordvoerster van Facebook aangaf geen user-ID te ontvangen als leden niet tegelijkertijd ingelogd zijn. Dat verhaal weerleg ik. Een goede reactie zou erkenning zijn van de praktijk. Vervolgens zou gekozen kunnen worden voor het beperken van cookies tot leden en niet alle cookies de user-ID laten bevatten om directe koppeling aan accounts uit te schakelen.
Hoe beoordeel je deze praktijk vanuit een privacyperspectief?
Ik vind het een kwalijke zaak. Wat me vooral zorgen baart is de slinkse wijze waarop het gebeurt. De zichtbaarheid van de button maakt dat internetgebruikers juist denken dat je erop moet klikken om daadwerkelijk een communicatie met Facebook tot stand te brengen. Daarnaast zullen niet-leden denken dat er niks naar Facebook gecommuniceerd wordt. Het is dus een averechts effect ten aanzien van de verwachtingen van internetgebruikers. Facebook ligt veel onder vuur vanwege privacyproblemen en ik kan me voorstellen dat mensen daardoor bewust geen lid worden van de site. Dat werkt dus niet.
Hoe beoordeel je deze praktijk vanuit een juridisch perspectief?
Zoals je aangeeft (zie verderop dt) is er momenteel veel te doen omtrent cookies en regulering. Het plaatsen van cookies is toegestaan. Lastis is echter de toepasbaarheid van privacywetgeving. Facebook-gebruikers stemmen in de algemene voorwaarden in met gegevensuitwisseling met derde partijen. Het is onduidelijk wat dat precies inhoudt. Niet-leden stemmen daar niet mee in. Omdat de gegevens niet aan een account gekoppeld zijn, kan Facebook betogen dat het geen persoonsgegevens zijn. De gegevens kunnen echter wel individueel gebruikt worden via de computer voor bijvoorbeeld targeted advertising. Juridisch is er dus een lastig punt in de definitie van ‘identificeerbaar’ zoals vereist voor kwalificatie als persoonsgegevens; gaat het om een naam, of is het voldoende als iemand uit een groep gepikt kan worden (individualiseerbaar is)?
Is er iets wat de computergebruiker hiertegen kan doen?
Cookies weigeren en verwijderen. Probleem is dat daarmee functionaliteit van websites in het gedrang kan komen. Verder moet de gebruiker in de eerste plaats weten dat er dingen als cookies zijn en wat die doen. Bovendien komen er steeds meer nieuwe technieken om computers te herkennen en gebruikers te volgen, ook zonder gebruik van cookies. Er lijkt dus weinig tegen te doen in technische zin. Ik denk dat een andere benadering van data sets in wetgeving een oplossingsrichting kan zijn.
Heb je inzicht in wat Facebook met die informatie doet?
In de eerste plaats targeted advertising en vergaand profileren van alle internetgebruikers. Mensen worden dus in hokjes gestopt om vervolgens te beslissen wat iemand wel of niet krijgt aangeboden.
De laatste tijd staan cookies in het middelpunt van de belanstelling. De Wall Street Journal heeft er een mooie serie over en zowel in de VS als de EU ligt er wetgeving klaar om het gebruik van cookies te reguleren. Daarbij is er telkens een afweging in hoeverre de gebruiker, dus wij, controle hebben over het al dan niet accepteren van cookies. Hoe kijk jij hier tegenaan? Welke problemen moet nieuwe wetgeving in ieder geval adresseren en hoe?
Er moet fundamenteler gekeken worden naar het probleem. Nu is de benadering relatief kortzichtig en gaat het sec om het verzamelen van gegevens. Ik denk echter dat het individu en hoe het individu geraakt wordt centraal moet staan. Uiteindelijk worden er beslissingen genomen die het individu raken. Daarmee komen identiteitsvorming en uiteindelijk individuele autonomie in het gedrang. Dat zijn fundamentele rechten waar het uiteindelijk om gaat en dat moet meegenomen worden in de aanpak van het probleem.
In hoeverre heb je vertrouwen in zelfregulering van de sector?
Niet. Het is al vaak genoeg gebleken dat dat niet werkt. Er is nu eenmaal veel geld te verdienen, dus voor commerciële partijen is er geen enkele reden om de praktijken te stoppen of beperken. Daarmee tasten ze hun eigen businessmodel aan.
Reacties (32)
Wat is hier nieuw aan? Google doet dit al jaren. En noem een website die geen third-party cookies levert.
Voor gemakkelijk cookies weigeren en toestaan, bijvoorbeeld CookieSafe, en BetterPrivacy voor Flash cookies.
Verontrustend. Houdt LittleSnitch dit dataverkeer tegen ?
Ik heb ook gekeken naar Twitter en die heeft een dergelijk systeem niet.
Well *g*. Hij heeft ook gekeken naar Twitter. Het halve Internet doet dit al ruim 10 jaar. Sargasso doet vrolijk mee. Een greep uit de cookies die ik bij deze pagina kreeg:
– google analytics,
– doubleclick (is ook google)
– iucnredlist.org
– statcounter
– cqcounter
– youtube (is ook google)
Die doen allemaal vrolijk mee. 90% van hun omzet is waarschijnlijk direct gerelateerd aan de informatie die ze met deze cookies opschrapen. U dacht toch niet dat dat Internet gratis was? Hoe denkt u eigenlijk dat Sargasso een klein beetje inkomen genereert? Door informatie over haar bezoekers te verkopen natuurlijk met hun Google ads. En daar weer op te targeten natuurlijk; u krijgt heus niet allemaal een webhosting google ad hiernaast. Die is speciaal voor mij.
Men weet bij Google precies wat u leest op Sargasso, Geenstijl en alle blogspot blogs. Precies welke videos u kijkt en als u gmail gebruikt weet men ook precies waar u zoal over mailt. Google weet alles. Facebook weet een beetje. En de eerstevolgende speler op deze markt zit kilometers achter Facebook.
Beetje hypocriet om over facebook te gaan zeuren omdat ze iets doen dat het hele Internet al sinds jaar en dag doet terwijl je zelf vuistdiep in de cookiebusiness van de grootste concurrent van Facebook zit, nietwaar?
Weten we wel zeker dat die Arnold ‘ik heb ook naar Twitter gekeken’ Roosendaal onderzoeker is aan een universiteit en niet gewoon een halfslachtige spreekbeurt voor groep 7 heeft gemaakt?!?!?! Zijn eigen site is ook een grote grap; die zet een cookie vanuit stats.wordpress.com em quantserve.com. Beiden met als enige doel mij te tracken.
Ik mis ten minste twee tags bij dit artikel: naief en hypocriet.
@zmoc: je hebt natuurlijk gelijk dat andere partijen hetzelfde doen, maar het blijft relevant dat Facebook het ontkent en blijkbaar moeite doet om het te verbergen.
@dla, #4 Waar doet Facebook dat dan? Of refereer je nou aan de door Roosendaal verdraaide uitleg van het NHS-geval in de UK?
@#5 lees het stuk
@S’z, #6 Zoals je aan mijn “de door Roosendaal verdraaide uitleg van het NHS-geval” kunt zien, heb ik zowel dit stuk gelezen als enige achtergrondinformatie over het NHS-debacle. Maar als het niet teveel moeite is kun je me wellicht aanwijzen waar in die stukken Facebook dingetjes ontkent?
Het bijbehorende plaatje is reuzesterk..maakte mijn dag goed. LOL zeggen ze at this point in time..ik zeg..leuk en een lach.
Ik kan qua browser-extensies om jezelf te beschermen de volgende 2 aanraden:
http://www.disconnectere.com/ (door een voormalig Google-medewerker)
http://www.ghostery.com/
done..tnx
Ghostery werkt als een speer. Een virtuele bos bloemen voor Bas :)
Deze prachtige infographic kwam langs in de zijdelinks:
http://blogs.wsj.com/wtk/
Voor mij een eye-opener. Ik zie nu als ik een site bezoek in een soort van klein popup-bubble ding rechtsboven wat die gasten lopen te scriptsource porren achter mijn virtuele rug..nou..nu niet meer..de bugs worden platgestampt !
ps: ik heb de url van dit blog op de whitelist gezet, vanwege de schoorsteenmoetroken stats.
bij die arrestatie deze week, was daar spraken van een tap, of ging dat via fb, gmail en co?
Uhh.welke topic doel je op DJ, of ben ik ziende blind..?
Het valt me op hoeveel ik in mijn Ghostery-bubble rechts facebook zie..bijna bij elke site man..tis vreselijk.
zedenzaak, amsterdam
ic. Waren dat niet dingen uit de USA?
De Sargasso bubble, zoals eerder gesteld. whitelisted.
gone?
voor 1 en 2 wel, de dader met foto’s en zijn partner, maar #3 zit voor rukken op de webcam met een 13 jarige
Als mijn fam zoiets ooit treft krijgt zo’n knakker een wing chun op zijn lumbaal 4. (dislocatie..verlamming beneden de navel) Dan ga ik daarna mijn tijd wel uitzitten in isolatiewing.
IRL en virtueel ik kan het maar niet ontwarren..tijd voor een bubble bad om mij te behoeden voor uitspraken waar ik later spijt van krijg.
groet platendraaier..stay tuned :)
er zijn geen woorden die beschrijven hoe belangrijk het is om die mensen apart te zetten … en dat de ‘genezing’ niet echt mogelijk is
goede nacht
Zomaar nog even een vraagje aan DJ.
DJ, was jij niet diegene die ooit virtuoos op z’n blaasbalgorgeltje speelde toevallig vroeger, Bach en dergelijke…?
@23, in een vorig leven misschien …
Dank je wel..ik heb een screen in muur bad maar niet een watervast toetsenbord..i’m off..cu next time here…ik leer van je.
Dat moet dan de 19 e eeuw geweest zijn…
yp..je leeft? Morgen 2 the job..ga slapen.
Maar het eind van 2010 is bijna..doe eens een post joh..je kunt het! Maar dan zoals je soms doe..swingende vingers no edit.
Alleen als ik carte blanche krijg een kanskaart stop U gaat niet naar de gevangenis…
ow, je hebt een kleurtje?
done YP..ik ben slechts een reaguurder..maar directie..”carte blanche” dat is toch Sargasso?
Prikkel die spannende prikkelmeneer..please?
Waiting…
ik wil mijn kleur kunnen verbergen …
vandaag zat ik op de fiets, komt google maps langs … just another day …