President Donald Trump heeft een einde gemaakt aan de privacyregelgeving van voorganger Barack Obama. Gisteren zette hij zijn handtekening onder een stel nieuwe regels, die vorige week al goedgekeurd werden door een meerderheid van het Congres. De nieuwe regels zorgen ervoor dat providers in de Verenigde Staten het surfgedrag van klanten mogen doorverkopen.
Toch is het allemaal niet zo eenvoudig als het klinkt. De nieuwe regels vallen onder de Telecom Act, een regulering voor de telecomindustrie. De FCC houdt in de gaten of deze regels wel worden nageleefd, maar gebruikt exact dezelfde wet – uit 1934, met hier en daar wat aanpassingen – voor moderne technologieën als het internet.
In deze regelgeving staat hoe bedrijven moeten omgaan met data van klanten. Probleem is echter dat de wet geschreven werd met telefoonnetwerken in het achterhoofd. Daardoor is het lastig om te bepalen hoe die regels toegepast moeten worden op bijvoorbeeld je surfgedrag. De FCC bepaalt uiteindelijk welke soort data onder welk deel van de wet valt. Onder de oude regels, ingesteld door voormalig FCC-topman Tom Wheeler, werd data van klanten beschermd: ze moesten expliciet toestemming geven voor een provider iets door mocht verkopen.
Toestemming niet nodig
Maar nu verandert er dus veel. Amerikaanse providers mogen opeens data gaan doorverkopen, zonder dat je hier toestemming voor hoeft te geven. En ze hebben ontzettend veel van onze data. Zo is er al informatie nodig om je te verbinden met het internet, waaronder je naam en waar je woont. Ook moet een bedrijf je IP-adres hebben om de verbinding in stand te houden. Maar providers kunnen ook zien wat je nu echt uitvoert op het internet. Kijk je om drie uur ‘s nachts naar Netflix? Je provider weet het. Speel je 24 uur lang een spel op het internet? Ook dat weet je provider.
Nu moet ik wel zeggen dat providers in veel gevallen niet precies kunnen zien wat je allemaal uitvreet. Heeft een website encryptie, bijvoorbeeld HTTPS, dan is het niet mogelijk om te zien wat je precies doet als je verbonden bent met een server.
Simpel gezegd: iemand kan zien dat je bijvoorbeeld naar de website van The New York Times gaat, maar niet welke artikelen je leest en welke reacties je achterlaat. Een provider weet dus alleen dat je de krant leest en hoe lang je op de website zit. Alles wat je offline doet, bijvoorbeeld gedownloadde content van Netflix om 3 uur ‘s nachts kijken, kan je provider niet zien. Er is immers geen verbinding.
Nu kun je al flink wat bezwaren maken over wat providers allemaal over je weten, maar veel van die informatie hebben ze wel nodig om het netwerk in stand te houden. Willen ze bijvoorbeeld de kortste verbinding maken van een server van het spel ‘Overwatch’ naar jouw computer, dan moeten ze weten dat je ‘Overwatch’ speelt en waar je woont. En daarom zijn er dus regels over, om ervoor te zorgen dat al die data niet misbruikt wordt.