Op de digitale tiplijn Meld Misdaad Anoniem waren zogeheten ‘trackers’ van Google en Twitter actief die websitebezoekers volgden. Was de anonimiteit van melders in gevaar?

Wie tot afgelopen dinsdag de website van Meld Misdaad Anoniem bezocht, kreeg, zonder dat hij daarvan op de hoogte was, zogenoemde tracking cookies in zijn browser geïnstalleerd. Met deze trackers kunnen advertentiebedrijven gebruikers volgen zodat ze hen onder meer gerichte reclame kunnen tonen.

Omdat surfgedrag van internetters wordt gezien als ‘gevoelige informatie’ moet hiervoor toestemming worden gevraagd aan bezoekers van de website. Dit deed Meldpunt Misdaad Anoniem niet en daarmee was het platform in overtreding. RTL Nieuws bracht de fout gisteren aan het licht na een tip. De Autoriteit Persoonsgegevens, dat toeziet op gebruik van persoonsgegevens door organisaties, nam contact op met het meldpunt dat de cookies onmiddellijk verwijderde.

Wat was er aan de hand?

Een website waar je anoniem een misdaad kunt melden die bezoekers laat tracken? Dat klinkt wat tegenstrijdig. Waarom deed de website dit? We besluiten om eerst verhaal te halen bij Titus Visser, die directeur is van NL Confidential, de onafhankelijke organisatie achter het platform.

Volgens Visser, die direct onderstreept dat de anonimiteit van melders nooit in gevaar is geweest, ging het om een ‘onbedoeld bij-effect’ van andere activiteiten op de site. ‘We waren zelf niet op de hoogte van die trackers. Daarom was er ook geen cookiemelding actief.’ Volgens Visser zijn de trackers vermoedelijk geactiveerd doordat YouTube en Twitter waren geïntegreerd op de website. ‘Dat was natuurlijk onhandig van ons,’ geeft hij toe.

Wat doen die trackers?

Een onhandige actie dus. Maar wat zijn die trackers eigenlijk en wat doen ze precies? Een tracker is niets meer dan een klein tekstbestandje dat wordt opgeslagen in de browser van een gebruiker waarin een unieke code staat waaraan de gebruiker door servers kan worden herkend. Zo’n zogeheten Cookie Id ziet er als volgt uit.

Algebra voor de meeste mensen. Maar afhankelijk van de informatie die in een cookie wordt opgeslagen, kunnen servers informatie over de gebruiker ‘aflezen’. Zo weet een webwinkel welke producten u aan een winkelwagen heeft toegevoegd of weet een site met een betaalmuur dat u een geregistreerde gebruiker bent of dat u al meer dan drie artikelen gelezen heeft.

In het geval van Meld Misdaad Anoniem ging het om drie trackers: Doubleclick (Google), Twitter en Piwik. Die laatste is een tracker die wordt gebruikt voor de site-analyse. Die andere twee worden voor ‘gerichte reclame’ gebruikt. Zo kan iemand die Meld Misdaad Anoniem bezoekt later op een andere site een reclamebanner krijgen van het meldpunt.

Wie ziet die gegevens?

Meld Misdaad Anoniem is niet de enige website die trackers gebruikt. Sterker nog. Vind maar eens een site die géén trackers gebruikt. Nadat u dit bericht heeft gelezen, zijn er zeker acht partijen die uw online gedragingen zullen volgen. Dat geldt net zo goed voor de site van RTL Nieuws en andere uitgevers. U merkt hier, op de cookiemelding na, niets van. Wel zult u steeds vaker reclame krijgen die gerelateerd is aan uw internetgedrag.

De vraag is dus hoe kwalijk deze trackers zijn en wie de informatie die de trackers verzamelen, kunnen zien. We vragen het aan Eduard Nandelall die met zijn bedrijf OptimusAd dagelijks gebruik maakt van informatie afkomstig uit dit soort cookies en trackers. Volgens Nandelall krijgt hij nooit persoonsgegevens te zien. ‘We werken met geanonimiseerde profielen. Je kunt dus banners tonen aan mannen van boven de 40 die geïnteresseerd zijn in voetbal. Maar er is niemand die de persoonsgegevens daadwerkelijk ziet. Dan zal je toch Google moeten hacken, ik wens je succes daarmee.’

Aangezien de gegevens in dit geval door Google worden verwerkt, vragen we aan het Amerikaanse techbedrijf wat ze precies kunnen zien. Volgens een woordvoerder registreren de automatische systemen van het bedrijf in sommige gevallen dat een bepaald ip-adres of Google-account (indien ingelogd) de website Meld Misdaad Anoniem heeft bezocht. ‘Maar het is niet zo dat Google kan zien wat je precies op die site kwam doen en wat voor gegevens je hebt achtergelaten. Adverteerders kunnen al die informatie sowieso niet zien.’

Is uw anonimiteit in gevaar

Systemen van Google weten dus soms welk ip-adres of Google-account het meldpunt heeft bezocht. Is de anonimiteit van de melder daarmee in gevaar? Directeur Visser van het meldpunt wijst dat resoluut van de hand. ‘Er komen zoveel mensen op onze site, dus dat zegt niets over wie een melding achterlaat. Die trackers waren alleen actief op de gewone website. Voor het melden van een misdaad hebben we een apart systeem. Daar was en is geen sprake van dit soort trackers.’

Toch zijn er wel zorgen. Security-expert Mark Loman wijst erop dat overheidsinstanties in theorie een verzoek kunnen indienen om deze data of een identiteit te achterhalen. Visser: ‘Binnen het Openbaar Ministerie geldt de instructie dat géén naspeuring mag worden gedaan naar de identiteit van melders bij Meld Misdaad Anoniem.’

Geef mensen een keuze

Volgens Daphne van der Kroft van internetprivacy-organisatie Bits of Freedom is het een principe-kwestie en moeten bezoekers van dergelijke sites ‘gewoon geen zorgen’ hebben over of ze überhaupt gevolgd worden. ‘Bezoekers moeten in ieder geval de keuze krijgen of ze het wel of niet willen.’ Haar organisatie pleit ervoor om op sommige sites, bijvoorbeeld op belangrijke overheidssites, trackers te verbieden.

Bits of Freedom denkt niet dat er in dit geval een gevaarlijke situatie is ontstaan. ‘Als je nu op de website van Meld Misdaad Anoniem een melding maakt van een inbreker, dan staat die heus niet de volgende dag op de stoep om verhaal te halen. Maar dat er ergens mensen zijn die bijhouden wie er op de site komt, staat vast.’

Niet zoveel aan de hand

De Autoriteit Persoonsgegevens kan niet zeggen of de anonimiteit van bezoekers in gevaar is geweest. ‘We hebben geconstateerd dat artikel 6 en 8 van de Wet Bescherming Persoonsgegevens is overtreden doordat de site onzorgvuldig is omgegaan met gevoelige gegevens en geen ondubbelzinnige toestemming heeft gevraagd om gegevens te verzamelen,’ zegt een woordvoerder. Omdat het meldpunt de trackers onmiddellijk heeft verwijderd, maakt de privacywaakhond er verder geen zaak van. ‘Het probleem was snel verholpen, maar we houden wel een vinger aan de pols.’

Directeur Visser gaat onderzoeken hoe gevaarlijk dit soort trackers precies zijn, en of de functionaliteit van de site kan worden verbeterd zonder trackers te gebruiken. Voor hem is het belangrijk dat mensen zich veilig en anoniem voelen op de website.

‘Ik betreur het dat mensen de suggestie wekken dat de anonimiteit van melders in gevaar is geweest. Dat is absoluut niet het geval. Als je er goed naar kijkt, is er natuurlijk niet zoveel aan de hand geweest.’