Middels device fingerprinting kan er informatie worden afgelezen over de hard- en software van een apparaat (bijvoorbeeld laptop of telefoon) van een websitebezoeker. Bij de informatie die wordt verzameld kun je denken aan bijvoorbeeld een IP-adres, MAC-adres, locatiegegevens, het gebruikte besturingssysteem of de taalinstellingen. Deze gegevens kunnen worden aangemerkt als persoonsgegevens. Maar welke regels zijn nu van toepassing op het gebruik van device fingerprinting?
Wat kun je met device fingerprinting?
Voor het gebruik van device fingerprinting zijn verschillende technieken beschikbaar. Zo kan er informatie worden afgelezen door het verzamelen van browserinformatie, maar er kan bijvoorbeeld ook gebruik worden gemaakt van API’s, Javascript-code of browser plug-ins. Afhankelijk van de gekozen techniek kan device fingerprinting verschillende doelen dienen. Zo kan het worden ingezet voor het verkrijgen van analytische inzichten over het gebruik van een website, het vereenvoudigen van toegangscontrole (doordat je apparaat wordt herkend, is bijvoorbeeld geen tweefactor-authenticatie nodig), beveiliging of het simpelweg aanpassen van de lay-out van een website aan de schermgrootte van je apparaat. Daarnaast kan device fingerprinting ook worden ingezet voor trackingdoeleinden, bijvoorbeeld in het kader van affiliate marketing.
Zijn de huidige cookieregels van toepassing?
In het verleden is er een hoop discussie geweest over welke regels gelden bij het gebruik van device fingerprinting. De cookieregels zoals wij ze op dit moment in Nederland kennen (artikel 11.7a Telecommunicatiewet (Tw)), zijn gebaseerd op artikel 5(3) van de Europese e-Privacyrichtlijn (EPR). De cookieregels uit zowel de EPR als de Tw zijn van toepassing op de opslag van informatie of toegang tot gegevens via een elektronisch communicatienetwerk. De twijfel over het toepassingsbereik van deze regels ontstond door de techniekneutraliteit van deze bepalingen, en het feit dat er wordt gesproken over de opslag of verlening van toegang tot informatie. Uit de wetgeving bleek dus niet of device fingerprinting onder de bedoelde technieken viel. Ook bleek uit de wetgeving niet of het enkel uitlezen van informatie zonder opslag hiervan (hetgeen één van de toepassingen kan zijn van device fingerprinting) voldoende was om onder deze regels te vallen.
Na standpunten hierover door de minister van Economische Zaken, de Autoriteit Consument & Markt, de Autoriteit Persoonsgegevens in haar Bluetrace-rapport en uiteindelijk ook de Artikel 29-werkgroep in haar opinies (Opinie 8/2014 en Opinie 9/2014) staat echter vast dat de huidige cookieregels van toepassing zijn op device fingerprinting. Deze regels komen erop neer dat voor het gebruik van device fingerprinting in beginsel toestemming nodig is van de websitebezoeker. Toestemming is echter niet nodig, wanneer device fingerprinting noodzakelijk is voor het maken van verbinding met een website of voor het leveren van een uitdrukkelijk door de bezoeker gevraagde dienst. Concreet komt dit erop neer, dat voor device fingerprinting voor trackingdoeleinden en analytische inzichten toestemming nodig is, en voor device fingerprinting voor beveiligingsdoeleinden, het leveren van een specifiek gevraagde dienst en het aanpassen van de lay-out voor de leesbaarheid, niet.
Nieuwe cookieregels op komst
Zoals ik al schreef in een eerdere blog zijn er nieuwe cookieregels op komst. De EPR, en de daarop gebaseerde cookieregels uit de Tw, zullen namelijk op termijn vervangen worden door de nieuwe cookieregels uit de ePrivacyverordening (ePV). Wanneer dit precies gaat gebeuren, is helaas nog niet bekend. De ePV is namelijk nog niet definitief. De laatste versie van de ePV stamt overigens uit september 2018.
Ondanks de eveneens techniekneutrale tekst uit het ‘cookieartikel’ van de ePV, lijkt er door de expliciete benoeming van device fingerprinting in de overwegingen van de ePV geen twijfel meer mogelijk over de toepasselijkheid van de cookieregels op het gebruik van device fingerprinting. Daarnaast zijn de cookieregels uit de ePV gelukkig een stuk explicieter en uitgebreider. Deze komen erop neer, dat het gebruik van device fingerprinting (en uiteraard cookies) is verboden, tenzij:
- dit noodzakelijk is voor het maken of behouden van een verbinding met een website of het verstrekken van een expliciet door de bezoeker gevraagde dienst;
- de websitebezoeker hiervoor toestemming heeft gegeven;
- dit noodzakelijk is voor het meten van de websitebezoeken, mits dit wordt gedaan door websiteaanbieder of een derde partij in zijn opdracht (dus in een rol als verwerker);
- dit noodzakelijk is voor de beveiliging van de website, om fraude te voorkomen of om technische fouten te herstellen;
- dit noodzakelijk is voor een beveiligingsupdate en hierbij geen privacy-instellingen van de bezoeker worden aangepast, de bezoeker hierover wordt geïnformeerd en de bezoeker de mogelijkheid heeft om automatische updates uit te zetten.
Dit is wel een grote verbetering voor gebruikers van cookies ten opzichte van de huidige cookieregels, omdat voor het gebruik van device fingerprinting voor analytische doeleinden dus niet langer toestemming nodig is. Hetzelfde geldt voor device fingerprinting voor beveiligingsdoeleinden (waarvoor zelfs updates mogen worden doorgevoerd), het aanpassen van de lay-out en het bieden van een specifiek verzochte dienst. Voor trackingdoeleinden blijft daarentegen wel nog steeds toestemming vereist.
Nieuwe regels zijn vollediger en explicieter
Het gebruik van device fingerprinting valt onder zowel de huidige als de toekomstige cookieregels. De nieuwe cookieregels zijn gelukkig een stuk vollediger en explicieter, en er wordt duidelijk benadrukt dat het gebruik van device fingerprinting ook hieronder valt. Dat scheelt weer een hoop discussie. Nog een laatste mooi voordeel, is het feit dat voor het gebruik van device fingerprinting voor analytische doeleinden niet langer toestemming is vereist. Of dit ook definitief zo blijft, is echter nog even afwachten.
