90 procent van websites lapt regels voor cookies aan laars, ontdekte Amsterdamse onderzoeker: ‘Onthutsend veel’

Bij bijna elk websitebezoek verschijnt een pop-up die de bezoeker om toestemming voor cookies vraagt. Irritant, maar websites in de Europese Unie zijn er wettelijk toe verplicht, omdat cookies persoonlijke gegevens van de bezoekers verzamelen.

Amit Zac, rechtsgeleerde en universitair docent aan de Universiteit van Amsterdam, onderzocht of websites zich echt aan de privacywetgeving houden. “De resultaten zijn onthutsend,” zegt hij. “Als zoveel mensen zich niet aan de verkeersregels zouden houden, zou je de straat niet opgaan.”

Wat zijn cookies precies?

“Cookies zijn stukjes computercode die websites gebruiken om informatie over je onlineactiviteiten te verzamelen en op te slaan. Ze worden geïnstalleerd in de browser die je gebruikt om over internet te struinen, zoals Chrome, Firefox, Edge of Safari. Met cookies verzamelen ze bijvoorbeeld informatie over de webpagina’s die je eerder hebt bezocht, het e-mailadres waarmee je inlogt en je IP-adres waaruit je locatie kan worden afgeleid.”

Waarom willen websites die informatie?

“Onder meer om het websitegebruik prettiger te maken. Door je inloggegevens te onthouden, hoef je niet telkens opnieuw in te loggen. En doordat de website weet hoe groot je scherm is, wordt de paginaweergave daarop aangepast. Verder kan een sportnieuwssite, als die weet dat je bijvoorbeeld Ajaxfan bent, artikelen over die club bovenaan zetten.”

“Maar de belangrijkste reden is online advertenties. Dat is op dit moment een van de geavanceerdste en lucratiefste industrieën. Voor onlinereclame worden cookies gebruikt zodat advertenties zo goed mogelijk op jou kunnen worden afgestemd. Persoonlijke informatie verzamelen is daardoor een verdienmodel geworden.”

Gepersonaliseerde websites en advertenties zijn best handig. Kunnen cookies ook kwaad?

“Er is een bekend verhaal uit Amerika van een jong meisje dat zwanger was geraakt. Een bedrijf wist dat af te leiden uit haar onlinesurfgedrag en toonde advertenties voor babyspullen. Haar ouders ontdekten zo de zwangerschap. Haar privacy was dus ernstig geschonden.”

“Dat is een uitzonderlijke situatie, waarvan ik eerlijk gezegd niet helemaal snap hoe die is ontstaan. Maar iedereen heeft wel iets dat ie graag voor zichzelf wil houden. Stel dat je vanaf je werkcomputer zoekt naar andere banen, dan wil je misschien niet dat je baas dat te weten komt. Je hebt online het gevoel dat niemand meekijkt, maar waarschijnlijk wordt je informatie in werkelijkheid gedeeld met tientallen of honderden bedrijven.”

U hebt onderzocht of websites zich aan deze wetgeving houden. Hoe deed u dat?

“Hiervoor werkte ik samen met informatici Ahmed Bouhoula, Carlos Cotrini, Karel Kubicek en David Basin van de Zwitserse universiteit ETH Zürich. We ontwikkelden een computerprogramma op basis van machinelearningmethoden waarmee we automatisch honderdduizend websites in Europa hebben geanalyseerd. De techniek werkt niet bij elke website even goed, maar geeft een algemeen beeld. Het programma analyseert de informatie en vormgeving in de pop-ups. Daarnaast kijkt het welke cookies daadwerkelijk worden geïnstalleerd en vergelijkt dat met hetgeen waarvoor je toestemming hebt gegeven. We kijken dus welke informatie websites zeggen dat ze verzamelen en vergelijken dat met wat ze feitelijk doen.”

Wat ontdekte u?

“Van de gecontroleerde websites bleek 90 procent niet volledig te voldoen aan de wetgeving. Soms was dat basaal. Dan was er bijvoorbeeld geen pop-up en vroeg de website dus helemaal niet om toestemming. Als er wel trackingcookies zijn – die ook je bezoeken aan andere websites volgen – is dat een overtreding. Dit kwam voor bij 32 procent van de websites waarbij we dit konden nagaan. Dat waren vooral kleinere websites.”

“Er waren ook meer geniepige overtredingen. Er was dan bijvoorbeeld een toestemmingspop-up, maar als je klikte op ‘alles weigeren’, gebruikten ze toch trackingcookies. Dat zagen we bij 65 procent van de websites. Onthutsend veel. Dit kwam het meest voor bij veelbezochte websites. Dit vind ik de ergste overtreding, omdat websites – misschien bewust – bezoekers een vals gevoel van veiligheid geven en hun keuze negeren.”

“Daarnaast keken we naar zogenoemde dark patterns, die ervoor moeten zorgen dat je sneller toestemming geeft. De toestemmingsknop is dan bijvoorbeeld gekleurd en duidelijk zichtbaar, terwijl de weigerknop grijzig is en weggestopt zit. Ruim 67 procent van de websites doet dit.”

Als cookies weigeren soms niets uithaalt, wat kun je dan zelf doen om je privacy online te beschermen?

“Je kunt een browser gebruiken die meer gericht is op privacy, zoals DuckDuckGo of Firefox Focus. En hoewel het volgens mijn onderzoek niet altijd zin heeft, kan het helpen cookies te weigeren. Je kunt ook een zogeheten browserextensie, zoals CookieBlock, downloaden die automatisch de gewenste cookies filtert.”

Kan de overheid iets doen?

“In Nederland handhaaft de Autoriteit Persoonsgegevens de online privacy. Ik hoop dat iemand van die organisatie dit artikel leest en contact opneemt. Onze technologie zouden zij namelijk kunnen gebruiken om websites verantwoordelijk te houden. De Autoriteit Persoonsgegevens kan dan jouw onlineprivacy beschermen op een manier waarop je dat zelf niet kan.”