De dreiging van Russische tanks, de risico’s van klimaatverandering, die begrijpt iedereen. Maar hoe zit het met de dreiging van dat venster dat iedere dag op onze schermen verschijnt, ‘Accepteer alle cookies’? Je klikt het achteloos aan, maar vervolgens betreden bedrijven massaal je privéleven. En dat is een stuk gevaarlijker dan gedacht. ,,We staan onder permanent toezicht.”
Hans Nijenhuis 26-03-23, 11:01 Laatste update: 11:22
Stel je voor dat we overal op straat worden gevolgd. Waar we heen gaan, met wie we spreken, wat we zeggen, wat we bekijken, wat we kopen, wat we leuk vinden... Alles wordt bijgehouden en opgeslagen. In zo’n land zouden we niet willen leven.
Maar vervang de woorden ‘op straat’ door ‘online’ en het is de praktijk van alledag. ,,Het heet tracking. En tracking is een mooi woord voor iets lelijks: permanent toezicht”, zegt Bob Hoffman. ,,Tegen de tijd dat een kind 13 jaar wordt, hebben techbedrijven gemiddeld 72 miljoen stukjes informatie over dat kind verzameld.”
Bob Hoffman is een vriendelijke zeventiger op gymschoenen. Hij leidde in Californië ooit twee reclamebureaus en onderhoudt nu een veelgelezen blog, schrijft boeken en spreekt congressen toe. Parlementen ook. Na het Britse Lagerhuis sprak hij vorige maand in het Europees Parlement. Op uitnodiging van Paul Tang (PvdA) die een hoorzitting met deskundigen had georganiseerd om beter zicht te krijgen op de gevaren die online onze democratie bedreigen.
Hoffman verzint niets zelf, hij put uit openbare bronnen. Zo is dat cijfer over ‘72 miljoen stukjes informatie’ afkomstig van SuperAwesome, een in Londen gevestigd bedrijf dat app-ontwikkelaars helpt zich aan de kinderrechten te houden. Het onderzoek wordt vaak geciteerd.
Wat hij vertelt is ook niet nieuw. Iedere marketeer weet wel ongeveer hoe het werkt. Iedere internetgebruiker denkt ongeveer te weten hoe het werkt. En in elk geval erváárt hij hoe het werkt. Praat je met je vrienden gezellig over je eerste marathon, verschijnen er advertenties voor geheel verzorgde loopreizen in je tijdlijn. Hoe kan dat toch?
Adverteerders hebben afluisteren helemaal niet nodig. Door je onlinegedrag 24 uur per dag te volgen weten ze genoeg
Nee, er is geen enkel bewijs dat stiekem de microfoon van je telefoon wordt ingeschakeld en je zo wordt afgeluisterd, zegt Hoffman. Inlichtingendiensten doen dat wel, maar dat is een ander verhaal. ,,Adverteerders hebben afluisteren helemaal niet nodig. Door je onlinegedrag 24 uur per dag te volgen weten ze genoeg.”
Type persoon
Wie wil snappen wat er gebeurt, kan het beste bij het begin beginnen: bij adverteren. Traditioneel werkte dat zo: een bedrijf koopt een pagina in de krant en vervolgens zien de lezers die advertentie staan. Bij online reclame koopt een adverteerder meestal geen plek meer maar een type persoon. Mensen die graag hardlopen, bijvoorbeeld. Of specifieker: mensen van 50 die hardlopen. Of liever nog: hardlopers van 50 die dure vakanties boeken en met hun vrienden appen over een marathon. Díe zijn interessant voor een aanbieder van geheel verzorgde loopvakanties.
Die mensen vinden, dat doet een adverteerder niet zelf, dat doen diensten als Google Adwords, Facebook Custom Audiences of Microsoft Bing Ads voor hem. Inderdaad, de grote techbedrijven zijn hier dominant. Een reisorganisatie koopt dan bijvoorbeeld 100.000 ‘impressies’ (keren dat de advertentie wordt bekeken), al dan niet in een specifieke doelgroep. En software zorgt dat die ruimte geautomatiseerd binnen microseconden wordt ingekocht op de website waar iemand uit die doelgroep zich op dat moment bevindt.
Zo zet je cookies uit (of aan)
Het is vaak even zoeken, maar als websitebezoeker heb je er wel degelijk een stem in welke cookies je op de harde schijf van je computer of smartphone toelaat. Hoe het werkt verschilt per site en app, maar het staat meestal onder privacy-instellingen. Op de website van deze krant: helemaal naar beneden scrollen en klikken op privacy-instellingen. Op de app: rechtsonder het ‘hamburgermenu’: die drie streepjes. Dan instellingen. Dan privacy. Onder ‘partners’ vind je de hele lijst ‘samenwerkende partijen’. Voor elk van die partijen kan je aangeven of zij wel of geen cookies mogen plaatsen. Het zijn er vaak meer dan honderd en ze staan waarschijnlijk nu allemaal op ‘wel’. Ook in populaire browsers als Chrome, Firefox, Internet Explorer, en Safari kun je in de instellingen bepalen welke cookies je wil toestaan.
Dat vinden en bundelen van doelgroepen, zoals hardlopende vijftigers met geld, dat kan dankzij cookies. Kleine tekstbestanden die een website op je computer of mobieltje plaatst op het moment dat je die site bezoekt. Dankzij cookies kan een website zien waar je op klikt, en waarvoor je dus kennelijk belangstelling hebt. En je herkennen bij een volgend bezoek. Handig: hoef je niet telkens opnieuw in te loggen.
Deze zogenoemde functionele en analytische cookies plaatst een website altijd, zonder toestemming te vragen. Maar er zijn ook andere cookies. (Zeiden we al dat dit onderwerp technisch en abstract is?) Zoals cookies die je niet alleen volgen op die ene website, maar op álle websites die je bekijkt, overal op internet. Ze rapporteren dat terug aan die eerste website, zodat die je een nog betere ‘gebruikservaring’ kan bieden.
Voor díe cookies moet je eerst toestemming geven: via dat schermpje dat oppopt als je voor het eerst op een website komt. De meeste mensen klikken het zo snel mogelijk weer weg: ‘accepteer alle’. En dan zijn er nog cookies van ‘samenwerkende partijen’: websites die jij helemaal niet bezoekt maar die toch graag bijhouden wat jij allemaal op internet doet om je toch ergens advertenties te kunnen voorschotelen. Daarom betalen ze die eerste website om daar hun cookies te mogen plaatsen. Ook daarvoor moet je toestemming geven. Maar dat heb je zojuist met dat ‘accepteer alle’ al gedaan.
Niets te verbergen?
Tot zover klinkt het ingewikkeld, maar niet per se schadelijk. Veel mensen vinden het best oké om advertenties te krijgen die bij hen passen. Al kan het raar voelen: advertenties voor babykleertjes als je nog niemand hebt laten weten dat je zwanger bent. Maar misschien heb je wel gezocht naar meisjesnamen. Nu ja, maakt het uit? De meeste mensen hebben toch niets te verbergen?
,,We hebben allemaal iets te verbergen”, zegt Hoffman. ,,We weten alleen nog niet wat het is.”
Kijk maar eens, zegt hij, naar het arrest van het Amerikaans Hooggerechtshof over abortus, afgelopen juni. Als gevolg daarvan werd zwangerschapsonderbreking in een aantal Amerikaanse staten strafbaar. Nog diezelfde maand verstrekte Facebook op verzoek van de politie in Nebraska chatberichten tussen een zwanger meisje van 17 en haar moeder die online zochten naar abortuspillen. Het meisje wordt nu vervolgd voor een illegale zwangerschapsonderbreking.
Uitzonderlijk? Alleen Google al kreeg volgens zijn eigen cijfers in de eerste helft van 2021 ruim 150.000 overheidsverzoeken om inzage in gegevens van gebruikers. Ook in Nederland: 771 keer. In driekwart van de gevallen verstrekt het techbedrijf ook.
Veel weten over burgers
Dat vinden we misschien normaal als het om gegevens van zware criminelen gaat. Maar wat is ‘zwaar’? ,,Regeringen veranderen, wetten veranderen”, zegt Hoffman. ,,Dingen die vandaag volkomen legaal zijn, kunnen na verloop van tijd illegaal zijn. Wat vandaag nog leuk is om te zeggen, kan volgend jaar ineens gevaarlijk zijn.”
Dat laatste kennen we al een beetje als er oude tweets van een bekend persoon opduiken, maar Hoffman bedoelt het nog wat serieuzer. ,,De vreselijkste regeringen in de wereldgeschiedenis waren regimes die het meest wisten over hun burgers. Die hen overal volgden, dossiers over hen aanlegden. Nou, de Gestapo, de Stasi en de KGB konden alleen maar dromen van de informatie waarover techbedrijven nu beschikken.”
We realiseren ons niet wat er gebeurt, het is voor de meeste mensen ook veel te ingewikkeld
Het gekke is: van een overheid zouden we zoiets nooit accepteren. Als een Chinees bedrijf informatie verzamelt, blijken we het ineens ook een veiligheidsrisico te vinden. Ambtenaren in de VS, Canada en bij de Europese Commissie moesten vorige maand de app TikTok van hun telefoons verwijderen. Nederlandse rijksambtenaren kregen afgelopen week het dringende advies hetzelfde te doen. Maar onze eigen westerse bedrijven? ,,We realiseren ons niet wat er gebeurt”, zegt Hoffman. ,,Het is voor de meeste mensen ook veel te ingewikkeld.” We hoeven ons door die laatste zin niet beledigd te voelen. ,,Bijna niemand weet hoe de techniek erachter werkt”, zei de Amsterdamse wetenschapper Tom Dobber tijdens de hoorzitting. Ook de adverterende bedrijven zelf niet. De Amerikaanse Bond van Adverteerders schat dat in 2022 er maar liefst 100 miljard dollar verloren is gegaan doordat de advertenties werden geplaatst op fake websites en nepprofielen. Gebouwd door oplichters om advertentiegelden binnen te halen.
Fraude dus. Hoe kan dát nou weer? Tsja, een pagina in de krant: die advertentie ziet iedereen staan. Maar die 100.000 impressies? Wie zegt dat dit echte personen zijn? Iedere beginnend programmeur kan een programmaatje schrijven – een robot, of kortweg een bot – dat automatisch taken uitvoert, legde Johnny Ryan, onderzoeker aan de Universiteit van Dublin, tijdens de hoorzitting uit.
Zo’n bot gaat eerst naar een goed aangeschreven nieuwssite en klikt daar berichten aan, zo bouwt hij een ‘kwaliteitsprofiel’ op. Daarna ‘bekijkt’ de bot berichten over auto’s. Nu hebben we een interessant kwaliteitsprofiel voor een adverteerder als BMW! Met als enige nadeel dat deze potentiële klant nooit een auto zal kopen.
Wat is nou het probleem?
Technisch en abstract, inderdaad. Maar ach, dit gaat nog steeds over advertenties. En behalve als je in Nebraska woont en je naar advertenties over abortuspillen zoekt, kun je nog steeds zeggen: wat is nou het probleem?
Bob Hoffman zucht niet. Hij is gewend aan dit soort vragen want echt: de meeste mensen, ook ceo’s, weten er weinig van, zegt hij. Maar dankzij tracking cookies krijgen we niet alleen advertenties te zien die bij ons passen. Nee, bij sociale media gaat het om álle informatie die we voorgezet krijgen.
Hoe dat zit? Eigenlijk zou je dit artikel even moeten wegleggen en naast een ander moeten gaan zitten en dan allebei Facebook openen. Wat je ziet, lijkt in niets op wat die ander ziet. Of probeer het met Google, want ook dat programma houdt rekening met wat we eerder hebben opgezocht, waar we ons bevinden en of een site betaalt om als eerste te worden gevonden. Als je allebei dezelfde zoekterm intikt, krijgt je toch elk andere resultaten. Google is superhandig, maar het is dus géén moderne versie van de encyclopedie.
,,En dat komt doordat Facebook en Google met behulp van de informatie die cookies hebben verzameld goed weten wat u waarschijnlijk interessant zal vinden”, zegt Hoffman. En dat is precies wat ze u proberen voor te schotelen, want ze willen u vasthouden. Hoe langer, hoe meer gelegenheid om advertenties te verkopen. Dat is hun verdienmodel.”
We worden verleid met steeds radicalere versies van onze eigen standpunten
We worden naar ‘echoputten’ geleid
Informatie die ons blijft boeien, hoe erg is dat? Een voetballiefhebber ziet graag voetbal, toch? Jawel, zegt Hoffman. Maar daardoor nooit meer hockey. En vertaal dat eens naar maatschappelijke kwesties. ,,We krijgen niet meer de hele wereld te zien, maar alleen onze blik op de wereld. We worden elk geleid naar ‘echoputten’ (rabbit holes is de Engelse term) waarin wij elk nog slechts horen wat elk van ons bevalt. En het is net als met drugs: je moet steeds een beetje verder gaan. Zo worden we verleid met steeds radicalere versies van onze eigen standpunten.”
En dat drijft wiggen in de samenleving. ,,Er was een tijd dat liberalen en conservatieven toch vrienden konden zijn. Nu is alles een wedstrijdje schreeuwen. Historici zullen zich later afvragen hoe het heeft kunnen gebeuren dat in onze tijd met behulp van tracking cookies zoveel verdeeldheid kon worden gezaaid.”
Maar wacht, waarom moet het altijd extremer in het negatieve? Mensen verlangen toch juist naar liefde, naar harmonie? ,,Ja, dat zeggen ze, maar helaas is wat mensen zeggen en wat mensen doen niet altijd hetzelfde”, aldus Hoffman. ,,Het is de menselijke natuur, vrees ik.” Uit verschillende onderzoeken blijkt dat negatieve of onware posts ongeveer zes keer zoveel aandacht trekken als vrolijke of juiste berichten.
De AVG is helaas vooral symptoombestrijding
Wat te doen? Internet houdt zich niet aan landsgrenzen en valt nationaal lastig te reguleren – tenzij je sites met een grote ‘firewall’ buitensluit en de rest aan de overheid laat rapporteren, zoals China doet. In de westerse wereld is de Europese Unie het verst met wetgeving. Zo geldt sinds 2018 in alle 27 EU-landen de Algemene Verordening Gegevensbescherming: bedrijven, overheden en andere organisaties moeten burgers informeren hoe hun gegevens worden verzameld en verwerkt. ,,Het is helaas vooral symptoombestrijding”, zegt Hoffman. ,,De regels over transparantie hebben geleid tot pop-upschermpjes waar je met één klik toestemming geeft voor gebruiksvoorwaarden die langer zijn dan de Amerikaanse grondwet.”
Privacyverklaring
Als je Bob Hoffman langzamerhand vervelend begint te vinden: neem de proef op de som en lees de servicevoorwaarden en privacyverklaring van Facebook zelf eens. Online makkelijk te vinden. Inderdaad zijn ze heel lang, maar het staat er allemaal wel:
‘We verzamelen en ontvangen informatie van en over de verschillende apparaten die je gebruikt en hoe je ze gebruikt. De informatie over het apparaat die we verzamelen en ontvangen omvat wat je op je apparaat doet. (...)
‘We verzamelen ook de gegevens van je contactpersonen, zoals hun naam en e-mailadres of telefoonnummer, als je ervoor kiest om deze te uploaden of te importeren vanaf een apparaat, bijvoorbeeld door een adresboek te synchroniseren. (...)
‘Wanneer je onze producten gebruikt, verzamelen we bepaalde gegevens over jou, zelfs als je geen account hebt.’
En daarmee voldoet Facebook dus keurig aan de wet.
Voor Bob Hoffman is er één uitweg: verbied tracking. En dan in elk geval de tracking door andere sites dan die je zelf bezoekt. ,,Prima dat mijn favoriete nieuwssite een directe relatie met mij heeft. Als ze daar mijn mailadres en postcode voor nodig hebben, oké, dat is klantcontact. Maar die gegevens hoeven niet heel het internet over.”
DPG Media en het gebruik van cookies
Ook de websites van DPG Media, zoals deze website, plaatsen cookies om gegevens van bezoekers te verzamelen. ,,Dat doen we om inzicht te krijgen in gebruik, zodat we de website en app kunnen verbeteren. Om te personaliseren, zodat iemand bijvoorbeeld informatie uit zijn eigen regio krijgt, en om de juiste advertenties te kunnen tonen”, zegt Stefan Havik, binnen de directie verantwoordelijk voor digitale inkomsten en data. DPG Media is sinds twee jaar bezig met het geleidelijk afschaffen van cookies van ‘samenwerkende partijen’. Sinds de overname van Sanoma in 2020 heeft DPG zo veel schaalgrootte dat ze genoeg heeft aan de gegevens die bezoekers achterlaten wanneer ze inloggen of toestemming geven om cookies te plaatsen. ,,Wij verkopen geen gegevens van onze abonnees en bezoekers.”
Waarom je niet zomaar altijd cookies moet accepteren: 'We realiseren ons niet wat er gebeurt’
Onderwerp van leeuwin70