Juridische vraag: T-Mobile stuurt anonieme code mee
23-12-2009, 09:54 door Arnoud Engelfriet
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Ik las dit artikel dat telecomproviders zoals Vodafone en T-Mobile een anonieme code (X-Asid header) meesturen als je via hun mobiele netwerk op internet gaat met je telefoon. Dat lijkt me nogal een privacyschending, omdat website-eigenaren je dan aan de hand van die code kunnen volgen. Mag dat zomaar?

Antwoord: Inderdaad, enkele mobiele operators voegen een unieke code toe aan elke HTTP request die je via hun internetdiensten opstuurt. (Detecteer hem hier)

Deze code is een willekeurig gekozen getal, dat via de database van de provider te herleiden is tot de gebruiker. Vodafone zegt dat dit "uiteraard getoetst [is] aan de Nederlandse privacy-wetgeving", maar ik twijfel daar toch aan.

Er moet "ondubbelzinnige" toestemming worden gegeven voor elk gebruik van persoonsgegevens. Expliciet wordt hier niet naar gevraagd, maar het staat wel keurig in de privacystatement van Vodafone: Als u surft op het mobiele internet wordt door Vodafone tijdens de internetsessie de zogenaamd ASID (Anonymous Subscriber ID) meegegeven. Dit is een unieke alfanumerieke code, vergelijkbaar met het IP-adres van uw computer, die bevordert dat de mobiele content provider op een veilige manier u als bezoeker herkent en beter van dienst kan zijn. Hierdoor kunnen bijvoorbeeld uw voorkeuren worden vastgelegd zodat de internetpagina bij een volgend bezoek voor uw gemak automatisch deze voorkeuren weergeeft.

Je kunt dus zeggen, je wordt geacht zo'n verklaring te lezen als je abonnee wordt en in te stemmen met wat daarin gebeurt.

Alleen, de X-Asid header valt juridisch gezien onder een "nummer ter identificatie van personen". En daarvoor gelden strengere regels dan 'gewone' verwerkingen van persoonlijke gegevens. Zo'n verwerking moet worden aangemeld bij het CBP, en bovendien (artikel 31 Wbp) moet het CBP dan een voorafgaand onderzoek instellen.

Is zo'n onderzoek ingesteld? Geen idee. Het enige wat ik kan vinden, is dit zinnetje in Vodafone's privacyverklaring zoals gemeld bij het CBP: Het verstrekken van gegevens aan derden c.q. verwerken van gegevens van derden, voor commerciëlen charitatieve en ideële doelen

Ik denk niet dat dit het gebruik van de X-ASID header afdekt. Het lijkt me dan ook dat het CBP hiertegen zou moeten optreden. Alleen, die kunnen pas iets als er voldoende mensen een klacht hebben ingediend. Ga daarom naar Uw klacht en het CBP en doorloop het stappenplan. Belangrijkste is dat je geklaagd hebt bij de provider.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Gerelateerde artikelen
25-05-2010
 Mogen websites Firefox AdBlock