'Grove privacyschending' door tiental webwinkels als Bol, Zalando en Wehkamp: alles gevolgd zonder toestemming

In dit artikel:

Veel Nederlandse webwinkels en enkele banken maken zonder expliciete toestemming digitale vingerafdrukken van bezoekers, blijkt uit een onderzoek van De Telegraaf. Met de techniek ‘browser fingerprinting’ worden technische gegevens uit de browser en het apparaat — zoals browsertype, schermresolutie, lettertypen, besturingssysteem, taal en soms locatie — gecombineerd tot een vrijwel unieke identificatie waarmee iemand online gevolgd kan worden.

De vingerafdruk wordt officieel ingezet om een site goed en veilig te laten functioneren of om fraude (zoals geautomatiseerde bots) te detecteren. In de praktijk blijkt echter dat grote spelers als Bol.com, Zalando, Marktplaats, Wehkamp, H&M, Vinted, De Bijenkorf, Ikea, AliExpress, Amazon en zelfs banken als Rabobank en ABN AMRO deze technieken toepassen voordat bezoekers cookies hebben geaccepteerd — en soms ook wanneer cookies zijn geweigerd of bezoekers in incognitomodus surfen. Daarmee kan gedrag worden gevolgd en profielen worden opgebouwd die geschikt zijn voor gerichte advertenties of commercieel gebruik.

Juridisch is fingerprinting niet per se verboden, maar onder de AVG mag verwerking van gegevens die tot een persoon te herleiden zijn doorgaans alleen plaatsvinden met een geldige grondslag. Dat betekent dat organisaties bezoekers moeten informeren en vaak expliciete toestemming nodig hebben voor volgtechnieken op internet. Privacyorganisaties en juristen noemen ongeautoriseerde fingerprinting een privacyschending en vermoeden dat sommige bedrijven de regels overtreden als dit niet in privacyverklaringen staat of geen behoorlijke grondslag heeft.

Op vragen over het gebruik bevestigden meerdere bedrijven dat fingerprinting wordt toegepast; veel van hen benadrukken dat het hoofdzakelijk voor fraudepreventie wordt gebruikt en niet voor marketing. Sommige partijen reageerden niet inhoudelijk of zijn nog in onderzoek.

De Autoriteit Persoonsgegevens zegt dat de rechtmatigheid per geval beoordeeld moet worden: wie fingerprinting gebruikt om te tracken moet bezoekers informeren en meestal toestemming vragen. Cybersecurity-experts wijzen erop dat incognitomodus geen garantie voor anonimiteit biedt en dat bedrijven daardoor vaak uitgebreide profielen van gebruikers kunnen opbouwen zonder dat zij het weten.

Praktische tips voor gebruikers: installeer anti-fingerprintingextensies (bijv. Canvas Fingerprint Defender), gebruik privacygerichte browsers en maak geregeld gebruik van je AVG-recht op inzage om te vragen welke gegevens organisaties over jou verwerken.