De Werkgroep 29 (advies- en overlegorgaan van EU privacytoezichthouders) heeft recent een opinie gepubliceerd over device fingerprinten. In de markt werden namelijk signalen opgevangen dat deze techniek (of beter gezegd: verzameling technieken) gebruikt wordt om de wetgeving uit Richtlijn 2002/58/EC (“Cookie Richtlijn”) te omzeilen. Volgens de Werkgroep valt device fingerprinting ook onder de Cookie Richtlijn en is, tenzij de uitzondering van toepassing is, voorafgaande toestemming vereist voor het toepassen daarvan.
Allereerst komt de vraag aan de orde wat device fingerprinting nou eigenlijk is. De Werkgroep 29 definieert het als “a set of information elements that identifies a device or application instance”. Het gaat dus om eigenschappen van een apparaat (smart phone/tablet) waarmee het apparaat van andere apparaten onderscheiden kan worden. De bedoeling is om een ‘vingerafdruk’ van een apparaat te achterhalen. Het gaat daarbij bijvoorbeeld om JavaScript objecten (document, window, screen, navigator, datum, taal), http header informatie en het gebruik van externe API’s. Het uitlezen van deze gegevens gebeurt zonder gebruikmaking van cookies.
De vraag is of deze manier van verzamelen van gegevens onder de cookiewet valt. Het antwoord is eenvoudig: ja.Artikel 11.7a Telecommunicatiewet (implementatie van artikel 5.3 Cookie Richtlijn) bepaalt namelijk dat het artikel ziet op een ieder die:
(…)toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker.
De term cookies wordt daarin niet gebruikt. Cookiewet is daarmee misleidend en dekt de lading niet. In Nederland zou dit geen verrassing moeten zijn. Deze discussie is namelijk al 1,5 jaar geleden gevoerd. Zo stond in de eerste versie van de FAQ lijst van de ACM van juli 2013 al duidelijk over vergelijkbare technieken:
Zijn de regels ook van toepassing op vergelijkbare technieken?
De wetsbepaling gaat verder dan alleen het plaatsen van cookies. De bepaling ziet ook op andere technieken, waaronder het gebruik van Javascripts, Flash cookies, HTML5-local storage en andere technieken waarbij gegevens worden geplaatst en/of uitgelezen. Slechts indien er in het geheel geen sprake is van het opslaan van gegevens dan wel het uitlezen van gegevens op de randapparatuur van de gebruiker is artikel 11.7a Tw niet van toepassing. De informatie in dit document over cookies heeft daarom ook betrekking op vergelijkbare technieken.
Ook in een eerdere Opinie van de Werkgroep uit juni 2012 is al aangegeven dat de Cookie Richtlijn een breder bereik heeft dan louter ‘echte cookies’:
As such, this opinion explains how the revised Article 5.3 impacts on the usage of cookies but the term should not be regarded as excluding similar technologies.
Kennelijk wordt er desalniettemin veelvuldig van device fingerprinting gebruik gemaakt zonder dat de regels uit de cookiewet gevolgd worden.
De elementen die met device fingerprinting worden verzameld kunnen tezamen een set vormen die een unieke vingerafdruk oplevert voor een bepaald apparaat (zeker als er een combinatie is met een IP-adres). Apparaten kunnen zodoende van elkaar onderscheiden worden en device fingerprinting wordt dan als alternatief gebruikt voor cookies om het internetgedrag te volgen. Een individu kan zo geassocieerd worden met een bepaald apparaat en op die manier worden geïdentificeerd. Daarbij komt dat digital fingerprinting niet makkelijk te voorkomen is en er beperkte mogelijkheden zijn om dit te resetten of aan te passen.
Werkgroep 29 komt met 6 user cases waarin voorbeelden worden gegeven van het gebruik van device fingerprinting. Daarbij is aansluiting gezocht bij de cases die eerder zijn opgenomen in de Opinie 2012. Ik vermeld er hieronder vier:
1.First party website analytics
Werkgroep 29 vindt dat er eigenlijk geen toestemming vereist zou moeten zijn voor het gebruik van device fingerprinting voor louter first party website analytics doeleinden. De Werkgroep 29 merkt echter op dat de Cookie Richtlijn een dergelijke uitzondering nu niet biedt. Saillant detail is dat het wetsvoorstel tot aanpassing van de cookiewet in een dergelijke uitzondering wel kent. Device fingerprintingwordt in Nederland, als de wet wordt aangenomen, voor first party website analytics toegestaan zonder dat voorafgaande toestemming is vereist.
2.Tracking voor behavioral targeting doeleinden
De Werkgroep geeft aan dat eb-bugs, pixel tags and JavaScript code gebruikt worden voor het tonen van relevante advertenties en voor het volgen van gebruikers. Het op deze manier targeten van gebruikers kan dus ook als ze het gebruik van ‘echte’ cookies hebben geweigerd. Het is niet toegestaan om zonder toestemming op deze wijze device fingerprinting in te zetten.
3.Toegang en controle
Een partij die een abonnementsdienst voor muziek aanbiedt, kan de beperking opleggen dat gebruikers alleen via een beperkt aantal apparaten toegang krijgen tot de dienst. Als er via een apparaat eerder gebruik is gemaakt van de dienst, kan de aanbieder ervoor kiezen om device fingerprinting te gebruiken in plaats van andere manieren van verificatie.
Een dergelijk gebruik valt binnen artikel 5.3 Cookie Richtlijn (en dus artikel 11.7a TW). Een uitzondering is niet van toepassing omdat dit doel niet gezien kan worden als “strikt noodzakelijk’ om een functionaliteit te verlenen waar expliciet om is verzocht door de gebruiker. Het vragen van voorafgaande toestemming is daarom vereist.
4.Aanpassen user interface.
Wanneer device fingerprinting wordt gebruikt om content aan te passen aan het type apparaat dat wordt gebruikt, is het vragen van voorafgaande toestemming niet vereist.. Voor tijdelijke user interface customisation hoeft vooraf dus geen toestemming te worden gevraagd.
Lees hier de volledige Opinie