President Trump zet handtekening: Amerikaanse providers mogen surfgedrag klanten verkopen

Eveline Meijer

Het presidentschap van Trump raakt voor het eerst direct de privacy van Amerikaanse burgers.

President Donald Trump heeft een einde gemaakt aan de privacyregelgeving van voorganger Barack Obama. Gisteren zette hij zijn handtekening onder een stel nieuwe regels, die vorige week al goedgekeurd werden door een meerderheid van het Congres. De nieuwe regels zorgen ervoor dat providers in de Verenigde Staten het surfgedrag van klanten mogen doorverkopen.

Toch is het allemaal niet zo eenvoudig als het klinkt. De nieuwe regels vallen onder de Telecom Act, een regulering voor de telecomindustrie. De FCC houdt in de gaten of deze regels wel worden nageleefd, maar gebruikt exact dezelfde wet – uit 1934, met hier en daar wat aanpassingen – voor moderne technologieën als het internet.

In deze regelgeving staat hoe bedrijven moeten omgaan met data van klanten. Probleem is echter dat de wet geschreven werd met telefoonnetwerken in het achterhoofd. Daardoor is het lastig om te bepalen hoe die regels toegepast moeten worden op bijvoorbeeld je surfgedrag. De FCC bepaalt uiteindelijk welke soort data onder welk deel van de wet valt. Onder de oude regels, ingesteld door voormalig FCC-topman Tom Wheeler, werd data van klanten beschermd: ze moesten expliciet toestemming geven voor een provider iets door mocht verkopen.

Toestemming niet nodig

Maar nu verandert er dus veel. Amerikaanse providers mogen opeens data gaan doorverkopen, zonder dat je hier toestemming voor hoeft te geven. En ze hebben ontzettend veel van onze data. Zo is er al informatie nodig om je te verbinden met het internet, waaronder je naam en waar je woont. Ook moet een bedrijf je IP-adres hebben om de verbinding in stand te houden. Maar providers kunnen ook zien wat je nu echt uitvoert op het internet. Kijk je om drie uur ‘s nachts naar Netflix? Je provider weet het. Speel je 24 uur lang een spel op het internet? Ook dat weet je provider.

Nu moet ik wel zeggen dat providers in veel gevallen niet precies kunnen zien wat je allemaal uitvreet. Heeft een website encryptie, bijvoorbeeld HTTPS, dan is het niet mogelijk om te zien wat je precies doet als je verbonden bent met een server.

Simpel gezegd: iemand kan zien dat je bijvoorbeeld naar de website van The New York Times gaat, maar niet welke artikelen je leest en welke reacties je achterlaat. Een provider weet dus alleen dat je de krant leest en hoe lang je op de website zit. Alles wat je offline doet, bijvoorbeeld gedownloadde content van Netflix om 3 uur ‘s nachts kijken, kan je provider niet zien. Er is immers geen verbinding.

Nu kun je al flink wat bezwaren maken over wat providers allemaal over je weten, maar veel van die informatie hebben ze wel nodig om het netwerk in stand te houden. Willen ze bijvoorbeeld de kortste verbinding maken van een server van het spel ‘Overwatch’ naar jouw computer, dan moeten ze weten dat je ‘Overwatch’ speelt en waar je woont. En daarom zijn er dus regels over, om ervoor te zorgen dat al die data niet misbruikt wordt.

Wat gaan ze er mee doen?

Onder de nieuwe regels mogen de bedrijven echter veel meer met de data van hun klanten doen. De meest bekende en meest gebruikte mogelijkheid is het gebruiken van je data voor advertenties. Dit geven diverse providers dan ook eerlijk toe. Zo stelt AT&T dat ze zien welke pagina’s iemand bezoekt en die informatie gebruiken voor advertenties.

Verizon heeft zelfs een programma dat advertenties persoonlijk maakt op basis van jouw bezoeken aan verschillende websites die niet van Verizon zijn. Dat bedrijf heeft recentelijk ook nog eens Yahoo opgekocht, wat uiteindelijk vooral een advertentiebedrijf is. De kans is dus groot dat dit programma nog verder uitgebreid wordt.

De grote vraag in dit alles is hoe anoniem de data van een Amerikaanse internetgebruikers is, waar het uiteindelijk terecht komt en hoeveel controle je erover hebt. Dat is nu precies iets wat providers eigenlijk niet vertellen. Ze stellen vaak dat ze persoonlijke informatie combineren met de data van mensen met vergelijkbare interesses of een vergelijkbare locatie. Maar nu ze de data echt mogen gebruiken, zullen die advertenties waarschijnlijk steeds persoonlijker worden. Bedrijven willen namelijk zou persoonlijk mogelijke targeting, waardoor advertenties precies bij de juiste persoon uitkomen.

Nu kun je zeggen dat dit al enige tijd gebeurd, dankzij bedrijven als Facebook en Google, maar providers kunnen in principe als enige toegang hebben tot al het internetgedrag van mensen. En nu er voor hen geen specifieke regels zijn over hoe er met persoonlijke data moet worden omgegaan, is het hek van de dam. Providers mogen en kunnen nu meer, en de gemiddelde Amerikaan kan er eigenlijk vrij weinig aan doen. Conclusie? Zij hebben meer data tot hun beschikking en de consument hebt er minder over te zeggen. En ook de FCC heeft nu geen mogelijkheid meer om er iets van te zeggen.

Moet iedereen meedoen?

Het simpele antwoord op deze vraag is “ja”. Providers hoeven nu niet meer om toestemming te vragen voor ze iemands data gaan gebruiken voor advertenties. Omdat je als klant hun diensten afneemt, heb je toestemming gegeven, is het idee. Nu is het echter ook mogelijk om te zeggen dat je voor een groot deel weigert om hieraan mee te doen. Diverse providers in de VS bieden dit ook wel aan, al zitten deze instellingen redelijk verstopt.

Probleem is echter dat je dan alleen weigert om advertenties te zien. Gebruikersdata van iedere klant mag nog steeds verkocht en bewaard worden. En zoals gezegd heeft Verizon net een advertentiebedrijf in huis gehaald, waardoor de kans groot is dat ze die data wel om gaan zetten in winst voor zichzelf.

Een ander punt is dat veel Amerikaanse internetgebruikers niet kunnen kiezen bij welke provider ze een abonnement afsluiten. Dat hangt namelijk af van de plek waar je woont. De kans bestaat dus dat je gedwongen wordt diensten af te nemen van bedrijven die het niet zo nauw nemen met privacy. Overigens hebben een aantal van de grootste providers in de VS – Comcast, Verizon en AT&T – beloofd geen surfgedrag van specifieke individuen te verkopen.

Speelveld gelijk

Een van de redenen die gegeven wordt voor deze nieuwe regels, is dat er een gelijk speelveld zou komen voor providers en advertentienetwerken. Bedrijven als Facebook en Google verzamelen je data immers ook en gebruiken die ook voor persoonlijke advertenties. Providers krijgen op deze manier dezelfde mogelijkheid, en kunnen daardoor gaan concurreren, stellen voorstanders van de regels.

Als Nederlanders worden we niet direct geraakt door de versoepeling van de regels. Immers in Europese Unie gelden relatief strenge regels voor het gebruik van persoonlijke data. Echter kunnen lobbyisten de veranderingen in de VS weer gebruiken in hun voordeel bij het versoepelen van de regelgeving hier.