Eerst een geheugensteuntje: wat zijn digitale cookies ook alweer? ‘Het zijn kleine bestanden die op je computer worden geïnstalleerd om informatie te verzamelen’, zegt Zac. ‘Je locatie, IP-adres, eerder bezochte pagina's en je e-mailadres zijn voorbeelden van informatie die cookies bijhouden en verzamelen.’ Websites zijn wettelijk verplicht om toestemming te vragen voor het verzamelen van persoonlijke gegevens – vandaar die vervelende pop-ups. ‘Het doel van die wet was om de privacy van Europeanen online te beschermen’, legt Zac uit.

Opzettelijke privacyschendingen

Maar in hoeverre houden websites zich aan de toestemmingsvereisten? Dat is de vraag die Zac stelde in het onderzoek dat hij uitvoerde samen met Ahmed Bouhoula, Karel Kubicek, Carlos Cotrini en David Basin van de afdeling Computerwetenschappen aan de ETH Zürich. Ze creëerden een geautomatiseerde tool die werkt op basis van machine learning-methoden, waarmee ze 100.000 websites in Europa konden analyseren. De resultaten waren onthutsend: ongeveer 90 procent van de websites bleek niet te voldoen aan ten minste één vereiste. ‘Dat is een ongelooflijk hoog percentage. Als zoveel mensen zich niet aan de verkeersregels zouden houden, zouden ze hun huis niet uitkomen. De online wereld lijkt daarin anders te werken dan de offline wereld en ik wilde weten waarom,’ zegt Zac.

Het onderzoek maakt onderscheid tussen twee soorten overtredingen. ‘Naïeve overtredingen’, zoals Zac ze noemt, en opzettelijke overtredingen aan de back-end. Een voorbeeld van een naïeve overtreding is om helemaal geen toestemming te vragen voor het verzamelen van cookies. Uit het onderzoek van Zac bleek dat op 32 procent van de websites die door Europese gebruikers wordt bezocht helemaal niet om toestemming wordt gevraagd. ‘Deze overtredingen zijn heel zichtbaar en gemakkelijk op te sporen. Zo zichtbaar dat het Franse bureau voor gegevensbescherming, het CNIL, Google en anderen al heeft beboet voor het niet geven van de optie om cookies af te wijzen. We zagen dat in onze steekproef dat op 56% van de websites nog steeds een knop voor weigeren ontbreekt.’

‘Een back-end schending is geniepiger en gebeurt achter de sluier van compliance, waardoor deze veel moeilijker te detecteren is. Het betekent dat websites doen wat ze willen aan de achterkant, ongeacht je antwoord. Als je klikt op “weiger alle cookies”, gebruiken ze nog steeds tracking cookies, ook al heb je die expliciet geweigerd. Uit ons onderzoek blijkt dat 65% van de websites die we hebben getest de keuze om cookies af te wijzen negeert. Websites verzamelen ook vaak informatie voordat je antwoord hebt gegeven, of registreren het sluiten van het pop-upscherm als het geven van toestemming. De wet staat dat in de meeste gevallen niet toe. Er is expliciete toestemming nodig voor het verzamelen van persoonlijke gegevens.’

Manipulatie van bezoekers

Daarnaast gebruiken bedrijven zogenaamde ‘dark patterns’ om meer toestemming te krijgen. ‘Het klassieke voorbeeld is het gebruik van kleuren. De goed zichtbare en heldere kleuren worden gebruikt voor de acceptatieknop en de lichte en minder zichtbare kleuren worden gebruikt voor de knop die cookies afwijst. Een ander voorbeeld is het wegmoffelen van de optie om te weigeren door kleinere letters te gebruiken. Uit het onderzoek bleek dat op veel websites de ‘accepteren’ en ‘weigeren’ knoppen voor cookies er heel anders uitzien, wat zou kunnen duiden op manipulatie van de bezoeker.’

Met de machine learning-methode die de onderzoekers creëerden, konden ze ook onderscheid maken tussen schendingen door populaire websites en de kleinere websites. ‘We ontdekten dat de populairdere websites laag scoren als het gaat om de makkelijk detecteerbare overtredingen, zoals het ontbreken van een toestemmingsbanner. Maar deze websites scoren wel relatief hoog op de back-end overtredingen. De populaire websites schenden je rechten een beetje stiekem. Ze geven je het gevoel dat je beschermd bent door toestemming te vragen. Maar in werkelijkheid is het erger omdat ze je keuzes negeren. Het is een façade van compliance.’

Is het dan nog wel de moeite waard om cookies te weigeren als je een website bezoekt? 'Ik neem cookies nog steeds serieus. Ik zeg altijd “nee”. Je kunt een VPN gebruiken of een extensie op je browser installeren die pogingen om je gegevens te verzamelen blokkeren, ongeacht je cookie-antwoord. Hoewel ik denk dat de meeste gebruikers die moeite niet doen, misschien vanwege de illusie dat ze beschermd zijn als ze cookies weigeren.’

Volgende stap: nieuwe technologie

‘Op dit moment werkt het cookie-systeem niet,’ meent Zac. Dus hoe lossen we deze kloof tussen de wet en de werkelijkheid op? ‘Er zijn kleine bedrijven die niet over de technische en juridische kennis beschikken om aan de regelgeving te voldoen. We willen kleine en middelgrote spelers helpen om zich aan de regels te houden door ze nuttige technologie aan te bieden. Beleidsmakers moeten deze naïeve bedrijven ook helpen, want niet iedereen overtreedt de wet opzettelijk.’

Andere bedrijven doen dat wel en voor hen is volgens Zac een andere aanpak nodig. ‘Sommige websites werken in de veronderstelling dat ze niet betrapt worden. Op die manier wordt het internet het wilde westen. Gegevensbeschermingsinstanties kunnen de technologie en de verspreiding van dark patterns niet bijhouden. We hebben nieuwe technologie nodig om dit op een veel grotere schaal aan te pakken. Dat is de volgende stap. Ik wil de juiste mensen in Nederland benaderen en tegen ze zeggen: we hebben hier de methoden om de naleving van de wet te stimuleren.’