Belgische en Amerikaanse onderzoekers hebben een nieuwe vorm van tracking ontdekt: canvas fingerprinting. Hiermee wordt een bezoeker van een website herkend doordat er een onzichtbare afbeelding wordt gerenderd op het browsercanvas. Renderfouten en afwijkingen daarbij zijn uniek voor in iedere browser, zodat een vingerafdruk ontstaat. Maar ook deze manier van mensen herkennen en tracken valt onder de cookiewet.
De cookiewet is eigenlijk een misleidende naam. Hij zou beter de Online Volgwet of de Opslag/uitleeswet kunnen heten, want het gaat er eigenlijk om dat je toestemming moet geven voor alle opslag of uitlezen op je computer via een netwerk. Cookies zijn weliswaar een bekende vorm van opslag/uitlezen maar ook offline content, apps, updates, toolbars en dergelijke vallen onder deze wet.
Komt er met een webpagina dus een script mee, dan moet daar toestemming voor gevraagd worden. En wel vooraf. En ja dat geldt in theorie ook voor de plaatjes op de webpagina – maar gelukkig is daar de uitzondering voor van de functionele data. Als data nodig is voor het leveren van een gevraagde dienst, dan hoeft voor deze data geen toestemming gevraagd te worden. Een winkelwagencookie mag worden uitgelezen en een Javascript dat de webmaildienst mogelijk maakt, mag worden opgeslagen.
Het javascript dat canvas fingerprinting doet, is niet functioneel te noemen. Dat is niet nodig voor de dienst die men vraagt. Zonder dat script komt die webpagina er nog steeds, en werkt de dienst net zo goed. En dat is uiteindelijk de vuistregel bij deze uitzondering.
De cookiewet is wat dit soort dingen betreft nog zo gek niet. Maar specifiek voor cookies zou hij misschien eens afgeschaft moeten worden.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.