De aanleiding voor de ophef is een studie van onderzoekers van de Amerikaanse universiteiten van Berkeley en Stanford. In de media was speciale aandacht voor MSN, dat de technologie toepast zoals hier nader beschreven.
De studie was een opvolging van een eerdere analyse uit 2009 van dezelfde onderzoekers naar het gebruik van Flash cookies. Deze cookies waren, anders dan de gebruikelijke HTML cookies, al moeilijk te verwijderen. In de laatste studie is het onderzoek dus verder uitgebreid en er zijn nieuwe technieken aan het licht gekomen.
De supercookies zijn in staat om zichzelf opnieuw te installeren op een computer. Dit proces kan nog versterkt worden wanneer een partij verschillende webdomeinen in handen heeft en gebruik maakt van cookie synchronisatie. Dat houdt in dat op verschillende domeinen, bijvoorbeeld msn.com en microsoft.com, dezelfde cookies gebruikt worden.
Daarmee kan een groter gedeelte van het surfgedrag op individueel niveau gevolgd worden. Wanneer elk domein een eigen cookie heeft is dat lastiger, omdat de cookies niet op voorhand aan dezelfde gebruiker zijn gekoppeld.
Het grote probleem met de supercookies is dat het kleine beetje controle dat internetgebruikers nog hebben, wordt aangetast. Gebruikers kunnen cookies van hun computer verwijderen. Daarmee geven ze duidelijk aan dat ze deze niet wensen. Naar analogie zou deze actie uitgelegd kunnen worden als het niet geven van toestemming (consent) om de cookies te gebruiken voor tracking-doeleinden.
In de huidige discussie omtrent cookie-gebruik draait het namelijk veelal om de vraag of en hoe er toestemming verkregen moet worden van de internetgebruiker om een cookie te mogen plaatsen. Als een gebruiker dus duidelijk aangeeft geen cookies te willen is dat dan ook geen toestemming verlenen.
Voor degenen die willen betogen dat dit ook vooraf mogelijk is door cookies te blokkeren met de browser: het gros van de internetgebruikers weet niet hoe dat te doen, en ziet het verwijderen anders als het intrekken van de toestemming. Nog daargelaten of het niet ondernemen van actie op voorhand, door cookies te blokkeren, opgevat kan worden als toestemming geven voor het plaatsen.
Wanneer dat verwijderen van cookies teniet gedaan wordt door het gebruik van technologie die de cookies vanzelf terugplaatst, is de controle aangetast. De bewuste, autonome keuze van de individuele internetgebruiker wordt niet gerespecteerd en zelfs grofweg overruled door de partijen die op deze wijze cookies plaatsen. Deze praktijk gaat aan de gehele kwestie van toestemming voorbij en gaat daarmee dus over de grenzen van de Wet bescherming persoonsgegevens (Wbp).
Behalve bewustwording van privacyrisico's online dient deze discussie inmiddels weinig nut meer. De politiek heeft dit onderwerp gebruikt als ruilmiddel en profileringskans voor politici.
De kans dat dit wetsvoorstel bekrachtigd zal worden is nihil. Bij propedeuse recht leerde ik ooit dat een wetsvoorstel uitvoerbaar, handhaafbaar en controleerbaar moet zijn, en niet in strijd met hogere richtlijnen. Klaarblijkelijk hebben Martijn van Dam en Jhim van Bemmel een andere uitleg gekregen bij de introductie in de tweede kamer.
Daarnaast: ook al is de politiek nog zo snel, technologie achterhaalt haar wel. De zombie/respawning cookies werken met een Local Shared Object. Dat is onethisch, omdat je tegen de wil van de internetter informatie plaatst op een locatie die voor hem niet te controleren is. Daarmee valt deze discussie eerder in de virus en spam hoek ('computervrede breuk') dan in de privacy.
Immers, de local shares objecten kunnen ook heel andere doelen dienen dan data verzameling, zoals theoretisch - informatiediefstal of resource gebruik. Daarmee kun je dus bestaande wetgeving opnieuw inzetten om een afschrikkende werking te veroorzaken.
Het onderzoek van de universiteiten van Berkeley en Stanford laat zien dat er bedrijven zijn die volledig voorbij gaan aan de privacyvoorkeuren van internetgebruikers. Deze bedrijven gaan tot het uiterste om surfgedrag van internetgebruikers vast te leggen. Ze maken daarbij gebruik van steeds agressievere cookies.
Gevolg is dat internetgebruikers steeds meer controle verliezen over het gebruik van hun surfgegevens. Dit is een zorgelijke ontwikkeling; niet alleen voor internetgebruikers maar ook voor de online advertentiebranche. Berichten over zichzelf herstellende supercookies dragen bepaald niet bij aan het beeld dat de branche zorgvuldig omgaat met surfgegevens.
Dit alles komt op een moment dat de online advertentiebranche juist transparantie, openheid en keuzevrijheid van internetgebruikers wil benadrukken. Zo werd begin dit jaar de privacy tool Your Online Choices geïntroduceerd die gebruikers informeert over het plaatsen van third-party reclamecookies en hen de mogelijkheid biedt zich te registreren in een volg-me-niet register.
Met de naderende behandeling van het wetsvoorstel door de Eerste Kamer in het achterhoofd, bewijzen gebruikers van supercookies de online advertentiebranche dus een slechte dienst.
Het gebruik van respawning cookies is zeer twijfelachtig in het licht van deze nieuwe cookieregels die onlangs door de Tweede Kamer zijn aangenomen. Voor het plaatsen van een cookie zal straks in beginsel toestemming zijn vereist. Hoe die toestemming precies verkregen kan worden is nog steeds onderwerp van discussie.
Feit is echter dat wanneer iemand een cookie van zijn computer verwijdert, dat moeilijk anders kan worden uitgelegd dan het intrekken van deze toestemming. Bedrijven die toch gebruik blijven maken van respawning supercookies kunnen door de Opta worden beboet.
Bedrijven die bereid zijn om tot het uiterste te gaan om surfgedrag vast te leggen zullen altijd nieuwe manieren vinden om dat te doen. Zo kan er bijvoorbeeld al surfgedrag worden vastgelegd op basis van unieke kenmerken van een computer (device fingerprinting). Het is dan helemaal niet meer nodig om cookies op de computer van een internetgebruiker te plaatsen.
Strenge cookieregels worden daarmee buitenspel gezet. Dit toont ook meteen de zwakte aan van de nieuwe wetgeving. Deze richt teveel op de techniek (cookies) en te weinig op het fenomeen dat de Europese en Nederlandse wetgever mede heeft willen reguleren (het volgen van surfgedrag voor direct marketingdoeleinden).