Module 3A - Uitdagingen voor online privacy

Question 1

Wat zijn metadata?

Answer 1

• Metadata zijn “gegevens over gegevens”. In de context van communicatie gaat het niet over de inhoud van wat wordt gezegd, maar over de omstandigheden waarin informatie wordt gedeeld: wie communiceert met wie, wanneer, hoe, waar,…?
• → non-verbale communicatie maar dan online: IP-adressen, URL’s, apparaat-identifiers, vingerafdrukken, tijdstip van communicatie, duur, aantal uitgewisselde bytes, locatie, maar ook fijnmazige kenmerken van gegevensstromen, van communicatiegrafieken, logs van iemands digitale activiteiten op lange termijn

Question 2

Wat kunnen we met metadata?

Answer 2

• Metadata zijn machineleesbaar, gemakkelijk te exploiteren aan de hand verkeersanalyses en big data-analyses. Het is van belang te weten dat metadata standaard worden blootgesteld in alle internetprotocollen.

Question 3

Wettelijke bescherming metadata

Answer 3

• Lager dan inhoudelijke gegevens. Verplichtingen voor telecommunicatieoperatoren tot gegevensbewaring in het kader van dataretentiewetgeving slaan bijvoorbeeld steeds op identificatie-, verkeers- en locatiegegevens, zijnde metadata, maar nooit op de inhoud van de gecommuniceerde informatie.
• Afluisteren van communicatie kan slechts zeer uitzonderlijk en vergt een strikte procedure maar veel minder voor opvragen van identificatie- of verkeers- en locatiegegevens bij elektronische communicatie-operatoren

Question 4

Waarom is metadata belangrijk?

Answer 4

• Lijkt minder gevoelig te zijn dan inhoudelijke gegevens, maar kan wel heel gedetailleerde en gevoelige informatie opleveren → patronen ontdekken en informatie extraheren.
  *

Question 5

Wat kan verkeersanalyse aan het licht brengen?

Answer 5

Zelfs gecodeerde informatie:

• onthullen welke subpagina of bron binnen een site wordt benaderd (via een techniek die SSL fingerprinting wordt genoemd);
• onthullen welke woorden worden opgezocht (door het gebruik van de auto-complete functie);
• onthullen welke informatie wordt ingevoerd in medische of financiële formulieren;
• gesprekken onthullen in gecodeerde telefoongesprekken, enzoverder.

Question 6

Wat onthult metadata?

Answer 6

• De analyse van metadata-grafieken onthult kenmerken van iemands persoonlijke identiteit, de dynamiek van relaties tussen personen, binnen een gemeenschap of organisatie. Indien metadata over langere tijd worden geanalyseerd, wordt het mogelijk om individuen te traceren, gedragspatronen te onthullen en gedragsveranderingen te identificeren.

Question 7

Wat zegt het Unierecht over metadata?

Answer 7

• Unierecht verzet zich tegen verplichting om over te gaan tot preventieve, algemene en ongedifferentieerde bewaring van ‘metadata’ zoals verkeers- en locatiegegevens (met het oog op het verlenen van toegang daartoe ten behoeve van wetshandhaving of nationale veiligheid).
• Ook in België vernietigd geweest door het Grondwettelijk Hof.

Question 8

Door wie worden we getrackt?

Answer 8

1. Advertentiebedrijven
2. Data brokers: databedrijven of datahandelaren
3. Elke websitebeheerder: Kan je volgen op eigen website: bv. webwinkels → kan ook worden doorverkocht aan datahandelaar.

Question 9

Data brokers: databedrijven of datahandelaren

Answer 9

• Deze bedrijven verzamelen op allerlei manieren zo veel mogelijk gegevens over zo veel mogelijk mensen. Tracking is één van die manieren.
• Daarnaast kopen databedrijven persoonlijke gegevens die door andere bedrijven verzameld zijn – dat kunnen ook identificerende gegevens zoals naam, adres of telefoonnummer zijn. Door de gegevens uit al die bronnen samen te voegen in één profiel, ontstaat een zeer gedetailleerd beeld van individuele personen.

Question 10

Welke gegevens worden er zoal verzameld?

Answer 10

• Welke websites je bezoekt
  
  • Heel veel info: geslacht, politieke overtuiging, financiële situatie,…
• Hoeveel tijd op een webpagina, welke zoekopdrachten, welke producten je koopt,…
• Technische gegevens:
  
  • Type apparaat, IP-adres, besturingssysteem, browser, adblocker,…
    • Vooral belangrijk om je te kunnen identificeren = onderscheiden van andere internetgebruikers.
    • Welke gegevens er precies door middel van tracking verzameld worden, verschilt per trackingbedrijf. De meeste trackingbedrijven willen er niet veel over zeggen.

Question 11

Waarom worden al deze gegevens verzameld?

Answer 11

• Profiel op te stellen → handeling verricht: bv. aankoop product en om dit profiel door te verkopen.
• Ook mensen onderverdelen in categorieën om zo in zijn geheel te analyseren: bv. kredietgegevens voor risicoanalyse.

Question 12

Technische uitwerking van online tracking?

Answer 12

• Webadres inttypen: Deze naar de DNS server, om het echte adres van de server te vinden waarop de website staat.
  
  • Dan een HTTP-verzoekbericht naar de server, met het verzoek een kopie van de website naar de klant te sturen: via TCP/IP → zo worden je berichten gestuurd tussen client en server.
  • Als de server het verzoek goedkeurt → bestanden van de website naar de browser te sturen als datapakketjes. De browser voegt deze samen tot een volledige webpagina.
• Vaak: externe onderdelen op een website → Als je een website in je browser opent, maakt je browser verbinding met de webserver waarop de website wordt gehost → ook verbinding met de webserver van de leverancier van dat externe onderdeel: Die leverancier kan dit registreren en weet zo dat jij de oorspronkelijke website bekeek.

Question 13

Trackers

Answer 13

• Externe onderdelen die ervoor zorgen dat alle bezoekers van die website verbinding maken met de webserver van dat trackingbedrijf.
  
  • Bv. als advertentie → Om advertenties zo goed mogelijk af te stemmen op een websitebezoeker, moeten advertentiebedrijven iedere bezoeker kunnen herkennen en analyseren. Dat doen ze door je te tracken.
  • Bv. widget: like-knop van Facebook → Facebook is zo in staat om buiten hun eigen website je te blijven volgen.
  • Google analytics: webmasters meer inzicht in hun bezoekers, ook Google Maps API of captcha’s en lettertypen.
• Trackers zijn dus meestal diensten, advertenties of widgets die webmasters aan hun website kunnen toevoegen. Deze diensten zijn meestal gratis, gemakkelijk te gebruiken en erg nuttig.
  
  • Webmasters een extern onderdeel = functioneert als tracker.
  • meestgebruikte

Question 14

Wat zijn cookies?

Answer 14

Cookies zijn gegevensbestandjes die websites op je computer of mobiel apparaat opslaan en later weer opvragen; deze bestandjes bevatten meestal informatie over de acties die je op die website ondernomen hebt (welke voorkeuren heb je ingesteld, welke pagina’s heb je bezocht, …)

Question 15

Hoe werken cookies?

Answer 15

Je browser maakt verbinding met de webserver waarop de website wordt gehost → webserver stuurt website naar je browser maar kan een cookie meesturen: Je browser bewaart die cookie vervolgens op je computer of telefoon. De volgende keer dat je de website bezoekt, stuurt je browser de cookie weer terug naar de webserver bij het opvragen van de website.

Question 16

Waarom kunnen cookies nuttig zijn?

Answer 16

• Websites gebruiken cookies om bepaalde informatie over je te onthouden. In veel gevallen is dat noodzakelijk voor het goed functioneren van de website, alsook voor beveiligingsdoeleinden.
  
  • Bv. onthouden welke taal je hebt geselecteerd, winkelwagentje onthouden, inloggegevens,…

Question 17

Third party cookies

Answer 17

Website plaatst vaak cookies van derden:

• Bv. Google Analytics
• Adverentienetwerken
• Invoegtoepassingen van externe bedrijven: bv. extra functionaliteit door bv. chatfunctie,…

Question 18

Waarom cookies slechte naam?

Answer 18

• Sommige van de third party cookies laten zeer verregaande monitoring van ons internetgebruik toe:
  
  • Trackers gebruiken cookies om je een unieke ID-code toe te wijzen die jou onderscheidt van alle andere internetters.
  • Je browser stuurt braaf de trackingcookie met de unieke ID terug naar de tracker bij elke website die deze tracker bevat.
  • → Zo kan de tracker je eenvoudig volgen.
• De hele adtech-industrie steunt voor een heel groot gedeelte op cookie-technologie: Google & Facebook.

Question 19

Hoe staan technologiebedrijven nu tegenover cookies?

Answer 19

• Sommige technologiebedrijven profileren zich als meer privacy vriendelijk door third party cookies te beperken op hun systemen: bv. Apple.
• Google: plan om tegen eind 2021 third party cookies standaard te blokkeren in Google Chrome en te vervangen door FLoC.
  
  • Federated learning of Cohorts: Een systeem waarbij Google je op basis van je surfgedrag gaat indelen in een ‘zwerm’ van mensen met gelijkaardige interesses; websites en adverteerders zouden dan nog enkel zien tot welke zwerm je behoort
  • Kritiek:
    
    • Macht meer verschuift naar grote tech bedrijven en ook omdat het meer stiekeme techniek is om consumenten op het internet te volgen.

Question 20

CNAME cloaking

Answer 20

Hierbij gaat een third party cookie zich voordoet als een legitieme first party cookie.

Question 21

Wat is same origin beleid?

Answer 21

• Omdat cookies gevoelige informatie kunnen bevatten, zorgen browsers ervoor dat iedere website alleen zijn eigen cookies kan uitlezen → cookie is gekoppeld aan een domeinnaam.
  
  • Same origin beleid: domein kuleuven.be heeft geen toegang tot domein facebook.
• Voor tracking, waar meerdere partijen bij betrokken zijn, is dit beleid erg beperkend.
• Effectiviteit van cookies is afgenomen: veel mensen tegenmaatregelen genomen: bv. sommige cookies blokkeren of privacyplugins te gebruiken.

Question 22

Wat is cookie syncing?

Answer 22

= piggybacking: hierbij kunnen 2 verschillende trackers hun cookies synchroniseren: 2 gebruikers aan elkaar koppelen!

Question 23

Waar wordt cookie synching vooral gebruikt?

Answer 23

• Bv. advertentieveilingen: real time bidding: Hierbij kunnen adverteerders bieden op een advertentieplek op een website voordat die aan een bezoeker getoond wordt.
• Cookie syncing wordt ook gebruikt om bezoekers die hun cookies hebben verwijderd, te kunnen blijven volgen.

Question 24

Supercookies

Answer 24

• De gewone cookies = HTTP-cookies.
• Supercookies: nieuwe soorten cookies die minder bekend zijn en vaak geniepiger.
  
  1. Flashcookies
  2. ETags
  3. Evercookies of zombiecookies

Question 25

Flashcookies

Answer 25

• Flash is een browserplugin die websites meer multimediamogelijkheden biedt, zoals het afspelen van filmpjes → minder in gebruik door veiligheidslekken.
• Iedere website die Flash gebruikt, kan zo’n Flash cookie op je computer zetten: als je de Flash plugin geïnstalleerd hebt.
  
  • Bv. geluidsvolume voor filmpjes te onthouden.

Question 26

Redenen waarom Flash-cookies zich goed leenden voor tracking?

Answer 26

1. Meeste mensen wisten niet van het bestaan van Flash cookies
2. Moeilijk te verwijderen: kon ze niet uit je browser wissen → bleven heel lang staan

Question 27

Ophef 2009 over cookies?

Answer 27

• Trackingbedrijven gebruikten Flash-cookies om om verwijderde HTTP-cookies weer terug te zetten = cookie respawning.
• Beide cookies werden bijgehouden: via het Flash cookie werd uw verwijderde HTTP-cookie teruggezet om je te tracken.
  
  • Quantcast: schikking voor 2,4 miljoen.
• Adobe: Wijzigingen gedaan → nu ook verwijderen via uw browser.

Question 28

ETags

Answer 28

• Een ETag is een soort ID-code die gebruikt wordt om een specifieke versie van een webpagina (of een onderdeel van een webpagina, zoals afbeeldingen) te identificeren. Doel: web sneller maken en dataverkeer verminderen.
  
  • Door webserver meegestuurd (als HTTP-header) met de opgevraagde webpagina.
• ls je browser een eerdere versie van een webpagina in zijn cache heeft, checkt hij eerst of de ETag van die webpagina is veranderd voordat hij ’m opnieuw opvraagt. Als de ETag niet is veranderd, hoeft de browser de webpagina niet opnieuw te downloaden.

Question 29

ETags als tracker?

Answer 29

• Iedere bezoeker krijgt een unieke ETag toegestuurd: Als je de website dan later weer bezoekt, stuurt je browser die ETag weer terug om te checken of de website ondertussen veranderd is. Hierdoor kan de website jou identificeren. Op deze manier lijken ETags dus erg op de bekende HTTP-cookies
  
  • Microsoft om bezoekers-ID’s uit te wisselent ussen zijn site: bing en msn.

Question 30

Wat kan je doen tegen tracking door ETags?

Answer 30

• Tegen tracking met ETags kun je je niet eenvoudig beschermen. Het beste wat je kunt doen, is regelmatig de cache van je browser legen bijvoorbeeld iedere keer dat je je browser afsluit.

Question 31

Evercookies

Answer 31

• Zombiecookies: Deze cookies combineren verschillende soorten cookies om informatie op te slaan. Als je je cookies op één plek hebt verwijderd, kunnen de overgebleven cookies worden gebruikt om die cookie weer terug te zetten → 10 verschillende cookies.
  
  • Zeer lastig om een evercookie helemaal te verwijderen.
• Momenteel nog geen website gevonden dat dit gebruikt, maar niet ondenkbaar dat het eens gaat gebeuren.
  
  • Snowden: NSA overwoog evercookies te gebruiken om Tor-gebruikers te volgen.

Question 32

Device fingerprint

Answer 32

• Een apparaat- of machinevingerafdruk is informatie die wordt verzameld over de software en hardware van een computer op afstand met het oog op identificatie.
• De informatie wordt gewoonlijk met behulp van een algoritme voor vingerafdrukken verwerkt tot een korte identificatiecode.

Question 33

Browser fingerprinting

Answer 33

Een browser-vingerafdruk is informatie die specifiek wordt verzameld door interactie met de webbrowser van het toestel.

Question 34

Gebruik browser en device fingerprinting,

Answer 34

• Kunnen gebruikt worden om individuele apparaten geheel of gedeeltelijk te identificeren, zelfs wanneer cookies zijn uitgeschakeld, persistente cookies (en zombie-cookies) niet in de browser kunnen worden gelezen of opgeslagen, het IP-adres van de client verborgen is, of men op hetzelfde apparaat naar een andere browser overschakelt.

Question 35

Gebruik browser fingerprinting

Answer 35

• Veel informatie over je over je browsertype en -versie, evenals je besturingssysteem, actieve plug-ins, tijdzone, taal, schermresolutie en verschillende andere actieve instellingen.
• Nee, er is echter een aanzienlijk kleine kans voor een andere gebruiker om 100% overeenkomende browserinformatie te hebben. Panopticlick ontdekte dat slechts 1 op 286.777 andere browsers dezelfde vingerafdruk zullen delen als een andere gebruiker.

Question 36

Hoe werken browser-vingerafdrukken?

Answer 36

• Browser fingerprinting als tracking tool.
• Browservingerafdrukken worden ook gebruikt om de kenmerken van botnets te identificeren, omdat de verbindingen van botnets telkens door een ander apparaat worden opgezet.
• Ook identificatie van fraudeurs en verdachte activiteiten: bv. als een hacker inlogt met een nieuw apparaat.

Question 37

Canvas fingerprinting

Answer 37

• = één bepaalde methode om browserinformatie te verkrijgen.
• Websites zijn geschreven in HTML5-code en in die code zit een stukje code dat de vingerafdruk van uw browser neemt. HTML5 is de codeertaal die wordt gebruikt om websites te bouwen. Het is de kern van elke website. Binnen de HTML5-codeertaal is er een element dat “canvas” wordt genoemd (om afbeeldingen op een webpagina te tekenen).
  
  • Het HTML5 canvas-element genereert op een website bepaalde gegevens, zoals de lettergrootte en de actieve achtergrondkleurinstellingen van de browser van de bezoeker. Deze informatie dient als de unieke vingerafdruk van elke bezoeker.
• Dit laadt niets achter op uw computer → je kan geen gegevens verwijderen!

Question 38

Waarom is tracking problematisch?

Answer 38

1. Gebrek aan transparantie
2. Manipulatie
3. Filterbubbels
4. Computer says no
5. Hacks

Question 39

Gebrek aan transparantie bij tracking?

Answer 39

Geen openheid en transparantie in de trackingbrange: onduidelijk hoelang, hoeveel gegevens worden bewaard.

Question 40

Manipulatie bij tracking

Answer 40

• Gepersonaliseerde advertenties = vorm van manipulaties: ongemerkt in een richting duwen om een bepaalde keuze te maken. Tracking is heel persoonlijk maar ook heel massaal (voor miljoenen websitebezoekers).

Question 41

Filterbubbels bij tracking?

Answer 41

• De filterbubbel is het fenomeen dat de informatie op websites (zoals zoekmachines, sociale media en nieuwssites) zoveel mogelijk aan jou en je interesses wordt aangepast → tracking kan een versterkend effect hebben op de filterbubbel.
• Tracking geeft websites meer inzicht in je voorkeuren en overtuigingen, en daardoor kunnen websites zich meer aanpassen.
• Voordeel: Op het eerste gezicht is die filterbubbel een verrijking: je krijgt meer artikelen, nieuws, boeken, muziek en video’s te zien die bij je passen.
• Nadeel: Je raakt verstrikt in een web van eentonigheid dat steeds minder afwijkende, vernieuwende en verbredende ideeën, meningen en ervaringen bevat.

Question 42

‘Computer says no’

Answer 42

• Trackinggegevens worden in toenemende mate gebruikt om beslissingen over ons te maken → bv. kredietwaardigheid.
• Bovendien is het niet onmogelijk dat die gegevens over ons onjuist of onvolledig zijn, of verkeerd geïnterpreteerd worden – met alle gevolgen van dien.

Question 43

Hacks als risico tracking?

Answer 43

• Trackingbedrijven kunnen gehackt worden = interessant doelwit: heel waardevol voor identiteitsdiefstal, fraude of afpersing.

Question 44

Wat kan je doen tegen tracking?

Answer 44

1. Prive-browsermethoden
2. Plug-ins
3. DNT
4. VPN
5. Tor Browser

Question 45

Privé-browsermethoden

Answer 45

• Incognitomodus: De incognitomodus maakt browsen privé door uw “profiel” in te stellen op bepaalde standaardgegevenspunten.
• Deze gegevenspunten maken deel uit van uw vingerafdruk, dus omdat veel mensen dezelfde “profiel” -instellingen gebruiken, lijken de vingerafdrukken op elkaar. Dit verkleint de kans op een unieke vingerafdruk aanzienlijk.

Question 46

Plug-ins tegen tracking?

Answer 46

• Door het installeren van bepaalde plug-ins kan je ervoor zorgen dat trackers, die door bepaalde websites worden gebruikt, niet langer in je browser worden uitgevoerd.
  
  • Bv. Adblock Plus, Ghostery, Privacy Badger,…
• Ze zijn ontwikkeld om scripts te blokkeren waarmee mogelijk spionage-advertenties en onzichtbare trackers in uw browser kunnen worden uitgevoerd.
  
  • Kan de gebruikerservaring minder aangenaam maken.
• Maar het is ook mogelijk om de plug-ins uit te schakelen voor websites die je vertrouwt door ze op de witte lijst te zetten. Privacy Badger is een browserextensie van EFF die adverteerders en andere trackingsoftware van derden blokkeert om uw online activiteiten te volgen.

Question 47

DNT

Answer 47

• Do Not track: was een techniek, een HTTP-headerveld, aangeboden in browsers en mobiele toestellen, waarmee internetgebruikers zich konden afmelden voor tracking door websites, waaronder het verzamelen van gegevens over de activiteiten van een gebruiker in verschillende contexten, en het bewaren, gebruiken of delen van gegevens die zijn afgeleid van die activiteiten buiten de context waarin ze plaatsvonden.
  
  • Je browser stuurde dan een verzoek aan de website(s) die je bezoekt om niet gevolgd te worden.
  • Techniek wordt niet algemeen toegepast door industrie.

Question 48

VPN

Answer 48

• Virtual Private Network: een van de meest populaire methoden om een IP-adres te verbergen → middelman:
• In plaats van rechtstreeks verbinding te maken met een webserver, maak je eerst verbinding met de server van de VPN en verbindt de VPN je vervolgens met de website die je wil bezoeken. Hierdoor blijft je IP-adres onbekend voor de webserver.
• Het gebruik van een VPN is een zeer effectieve methode om je IP-adres te verbergen, omdat de webserver alleen het IP-adres van de VPN kan zien

Question 49

Wat blokkeert een VPN niet?

Answer 49

• VPN blokkeert uw IP-adres maar dat is maar 1 aspect van je online identiteit → je browserinstellingen, browserversie, enzovoort, die unieke vingerafdrukgegevens van je browser genereren, kunnen niet worden geblokkeerd door een VPN.

Question 50

Kan je nog steeds geïdentificeerd worden met VPN?

Answer 50

• Ja, nog steeds als unieke bezoeker op basis van de gegevens van je browser en de webserver.
• Een VPN is dus geweldig in het verbergen van je echte IP-adres, maar het is niet de meest effectieve methode om je te beschermen tegen browservingerafdrukken, omdat veel andere kenmerken ook deel uitmaken van die vingerafdruk. In combinatie met andere methoden kan een VPN echter een grote troef zijn.

Question 51

Tor Browser

Answer 51

• The Onion Router → best te gebruiker met een goede VPN.
• Vermits Tor bepaalde standaardinstellingen gebruikt, die identiek zijn voor elke gebruiker, is het moeilijker om unieke browser-vingerafdrukken te identificeren. Bovendien blokkeert de Tor Browser agressief JavaScript-code op websites.
• Nadeel
  
  • Trage browsersnelheid en het feit dat alleen het internetverkeer beschermt dat via de Tor Browser wordt verzonden en niet anderen, zoals Firefox of Chrome.

Question 52

Wat is Tor?

Answer 52

• Afkorting van The Onion Router: wereldwijd netwerk van servers dat aanvankelijk werd ontwikkeld in samenwerking met de Amerikaanse marine en DARPA (Defense Avanced Research Projects Agency).
• Momenteel onderhouden door Tor Project: een non-profit organisatie die zich vooral richt op het onderzoeken en ontwikkelen van online privacytools.

Question 53

Doel Tor ?

Answer 53

• Netwerk bedoeld om anonieme communicatie op het internet gemakkelijker te maken.
• Anoniem te surfen omdat het je identiteit verbergt door je internetverkeer om te leiden langs verschillende Tor-servers (of nodes). Je data wordt versleuteld en dan over de verschillende nodes gestuurd, waar de verschillende encryptie-lagen stuk voor stuk ontsleuteld worden, tot de data uiteindelijk ‘kaal’ op zijn bestemming is.
  
  • Zo kan het niet naar jou worden herleid.
  • Dit is ook waarom Tor een ui als logo heeft: Tor werkt met verschillende lagen bescherming, net zoals een ui verschillende lagen heeft. Iedereen die de data toch probeert te volgen, ziet alleen verkeer afkomstig van willekeurige knooppunten op het Tor-netwerk.

Question 54

Voor wie is het Tor netwerk interessant?

Answer 54

• Journalisten, klokkenluiders, advocaten,… Ook populair in landen waar websites worden geblokkeerd: Rusland, China en Syrië. Door het gebruik van Tor kunnen zij de firewall van hun overheid omzeilen en anoniem verschillende diensten gebruiken.

Question 55

Illegale diensten op het Tornetwerkv

Answer 55

• Tor ook eigen netwerk met .onion als webadres. Deze websites, die niet door zoekmachines worden geïndexeerd en ook niet via een normale browser te bereiken zijn, worden het dark web genoemd.
  
  • Bv. Silk Road

Question 56

Wat is het deep web?

Answer 56

• Onderdeel van het wereldwijde web dat niet toegankelijk is via reguliere zoekmachines: maar 10% is toegankelijk van alle websites.
  
  • bv. databases die alleen maar na authenticatie: bv. KU Leuven.
• Tegenover het surface web = penbaar geïndexeerde internetpagina’s = reguliere web. Deep web is wel toegankelijk via normale browser, zolang je de juiste URL weet.

Question 57

Dark web

Answer 57

• Het dark web is het ‘onzichtbare’ of verborgen deel van het wereldwijde web dat niet toegankelijk is met normale browsers zoals Microsoft Edge, Mozilla Firefox of Google Chrome, maar enkel met een speciale browser, zoals de Tor-browser.
  
  • Ook niet-geïndexeerd
• Illegale sites maar een klein onderdeel van het dark web.

Question 58

2 regels op cookies en tracing

Answer 58

1. Algemene regels inzake de verwerking van persoonsgegevens: GDPR
2. Specifieke regels inzake gegevensverwerking in de elektronische communicatiesector: Wet van 13 juni 2005 betreffende de elektronische communicatie
   
   • Art. 129 vormt de omzetting van de ePrivacy richtlijn (cookierichtlijn) = lex specialis ten aanzien van AVG en legt bijzondere regels op voor de bescherming van de persoonlijke levenssfeer van gebruikers van elektronische communicatiediensten (zoals telefonie, tekstberichten of internettoegang).

Question 59

ePrivacy richtlijn

Answer 59

• Uitgangspunt: art. 5 = Het algemene uitgangspunt is dat het vertrouwelijke karakter van communicatie moet worden bewaard.
• Verbod op:
  
  • Afluisteren, aftappen, opslaan of onderscheppen of controleren van communicatie en daarmee verband houdende verkeersgegevens, tenzij dat uitdrukkelijk bij wet is toegestaan (bijvoorbeeld in het kader van het opsporen van ernstige misdrijven).
• Vertrouwelijkheidsbeginsel:
  
  • ​Operatoren zijn verplicht om metadata te wissen of te anonimiseren zodra ze niet meer nodig zijn voor de dienst (tenzij een wettelijke verplichting → wordt onderuit gehaald door Hof van Justitie).
  • Cookiebepaling: art. 5, al.3: vertrouwelijkheid en communicatie vrijwaren.

Question 60

Principe van cookiebepaling

Answer 60

• = toestemming → plaatsen van cookies is in principe verboden zonder voorafgaande toestemming van de betrokkene.

Question 61

Wat zijn uitzonderingen op vereiste toestemming?

Answer 61

1. Essentiële cookies: cookies die noodzakelijk zijn voor de werking van de website (bv. om de verbinding tot stand te brengen
2. Functionele cookies: cookies die noodzakelijk zijn om een uitdrukkelijk door de bezoeker gevraagde functionaliteit te leveren (bv. bv. het onthouden van een login, de geselecteerde items in een winkelmandje, taalvoorkeuren)

• Voor essentiële en functionele cookies kunnen ondernemingen zich dus ook beroepen op een (te sluiten) overeenkomst met de betrokkene of een gerechtvaardigd belang van de onderneming.

Question 62

Waarvoor geldt de toestemmingsvereiste in het bijzonder?

Answer 62

1. Analytische cookies: cookies die toelaten het surftraject van de bezoeker naar en op de website te volgen. Dergelijke cookies laten toe de doeltreffendheid van de hits van de zoekmachine te meten en ook de werking van de website zelf te verbeteren
2. Advertentiecookies: cookies die toelaten het surfgedrag van internetgebruikers te volgen en op die basis de reclame die getoond wordt in advertentieruimtes op websites te personaliseren
3. Sociale-mediaplug-ins: bv. Facebook like-knop. Indien de functionaliteit van een dergelijke plug-in beperkt is tot het delen van inhoud, kan deze gekwalificeerd worden als een functionele cookie.

• In de praktijk worden deze plug-ins evenwel gebruikt om zowel leden als niet-leden van het netwerk te traceren voor onder andere het tonen van gepersonaliseerde reclame, zelfs wanneer zij niet op de plug-in hebben geklikt.

Question 63

Vereisten voor een geldige toestemming

Answer 63

Vereisten in GDPR (Algemene Verordening Gegevensbescherming): goed zichtbare banner of pop-up op startpagina:

• Toestemming via een ok-knop of een vinkje of selectievak (mag niet standaard zijn aangevinkt)
• Of verduidelijken dat de betrokkene zijn/haar toestemming geeft door actief verder te surfen op de website

Het louter voortzetten van het surfen kan niet worden beschouwd als een geldige toestemming. De banner moet zichtbaar blijven en de cookies mogen niet geplaatst worden vooraleer de toestemming werd gegeven.

Question 64

Cookiewall

Answer 64

• Ondernemingen en organisaties mogen de toegang tot hun website niet weigeren wanneer een betrokkene niet instemt met het plaatsen van niet-essentiële of niet-functionele cookies (een zogenaamde cookiewall).
  
  • Zo mag het instemmen met advertentiecookies geen voorwaarde vormen voor de toegang tot een webshop of de verkoop van een product

Question 65

Cookieverklaring

Answer 65

• Het plaatsen van cookies is slechts toegestaan wanneer de betrokkene hierover duidelijke en precieze informatie heeft gekregen. Ondernemingen en organisaties moeten dus een specifieke cookieverklaring voorzien.
• Onderscheid privacyverklaring
  
  • Hier wordt uitgelegd welke persoonsgegevens worden bijgehouden, hoe lang en voor welke doeleinden, maar de beide kunnen wel in een gezamenlijke “privacy- en cookieverklaring” worden opgenomen

Question 66

Inhoud cookieverklaring?

Answer 66

• Overzicht van alle cookies die gebruikt worden op de website, met inbegrip van hun naam, doeleinde, bewaartermijn (tijdelijk of permanent) en de eventuele doorgifte aan of toegang door derde partijen (in het geval van third party cookies).
  
  • Verduidelijkt ook hoe je cookie-instellingen kan wijzigen.
  • Doorgaans moet hiervoor verwezen worden naar de browserinstellingen die de betrokkene toelaten om (bepaalde) cookies te aanvaarden of te weigeren, en om specifieke cookies te wissen van zijn/haar toestel (computer of tablet of smartphone).

Question 67

Wie is verantwoordelijk voor elk gebruik van cookies?

Answer 67

• Eigenaar van de website → verwerkingsverantwoordelijke en moet toestemming krijgen en een cookieverklaring voorzien.
  
  • Ook wanneer hij beroep doet op diensten van derden of sociale media.
• Advertentienetwerkaanbieder en sociale netwerk
  
  • Voor het plaatsen van en/of de toegang tot advertentiecookies en sociale-mediaplug-ins moet de advertentienetwerkaanbieder, respectievelijk het sociale netwerk wel als een gezamenlijke verwerkingsverantwoordelijke worden beschouwd → taakverdeling dienstenovereenkomst.
• Ontwikkeling uitbesteden aan derde partij?
  
  • Ja, nog steeds blijft eigenaar van de website verantwoordelijk wanneer hij de ontwikkeling en het beheer van zijn website uitbesteedt aan een derde partij. In dat geval dient deze derde partij als een verwerker te worden beschouwd en moet een verwerkersovereenkomst worden afgesloten.

Question 68

Hervorming ePrivacyregels

Answer 68

• Sinds 2017: voorstel tot hervorming.

1. Toestemmingsvereiste uitbreiden: Naast de essentiële en functionele cookies zouden voortaan ook analytische cookies toegestaan zijn zonder de voorafgaande toestemming van de gebruiker.
2. Toestemming centraliseren: Gebruikers zouden ook de mogelijkheid krijgen om hun toestemming voor het gebruik van cookies te centraliseren via internetbrowsers. De EU wetgever beoogt met deze aanpassingen komaf te maken met de cookiebanners, waarover veel gebruikers zich frustreren (dit noemen we het fenomeen van de ‘jaklikmoeheid’ of consent fatigue).
3. Individuele verzoeken nog wel mogelijk: gebruiker toelaten om bepaalde cookies van hun website alsnog te aanvaarden. Voor online adverteerders kan het daarentegen moeilijker worden om toestemming te verkrijgen wanneer gebruikers kiezen voor de algemene instelling “cookies van derden afwijzen”.