Onlangs kwam er weer een bericht dat websites het surfgedrag van bezoekers bespioneren. Het gaat hier met name om kinderen. Populaire websites van Disney, Sodahead en Warner Bros zouden met behulp van een flash cookie het internetgedrag van de kinderen die de sites bezoeken vastleggen. Dit gebeurt met zogenaamde widget met de technologie van het Amerikaanse bedrijf Clearspring, het grootste online content sharing network en vooral bekend van de Addthis functionaliteit die je veel zit onderaan blogs (zo ook hieronder). Met deze functie kun je de content op een pagina makkelijk delen via online netwerken als Twitter, LinkedIn etc.
Persoonlijke informatie doorverkopen
Wat ernstig aan de zaak is, is dat deze bedrijven de persoonlijke informatie via de flash-cookie zouden doorverkopen aan derden. Zo wordt oa geslacht, leeftijd, afkomst, telefoonnummers, woonplaats, opleidingsniveau, favoriete video’s en boeken, informatie over de gezondheid en seksuele voorkeur vastgelegd. Disney en de anderen zeggen de informatie alleen voor zichzelf te gebruiken en die niet met derden te delen. De aanklagers, boze ouders, die zich ook beroepen op een onderzoek van de universiteit van Berkeley waarin duidelijk wordt dat sommige flash-cookies zichzelf blijven aanmaken, nemen geen genoegen met het antwoord, want zeggen ze: ook daarvoor is geen toestemming gegeven.
Al eerder schreven we het een en ander over cookies en de mogelijk nieuwe wetgeving, en over flash en de hardnekkigheid van flash-cookies is ook niet nieuw. Maar omdat bijna iedereen de Flash player geinstalleerd heeft, en deze cookie veel meer info opslaat en hardnekkig is om te verwijderen, is het interessant om er even bij stil te staan.
Berkeley’s onderzoek
- Geen privacy policy over flash cookies op websites
- zelfs (USA) overheids sites gebruiken flash cookies
- meer dan 50% van de voorbeelden in het onderzoek gebruikt flash cookies
- flash cookies worden gebruikt om verwijderde HTML cookies te herinstalleren!
Hoe werken flash cookies?
Flash cookies zijn zogenaamde Shared Objects in Flash en worden weggeschreven in de “flash player” directory. Deze informatie blijft op de harddisk staan, totdat je deze verwijderd (of met een commando in flash: code “clear();”).
Met deze Shared Objects kun je verschillende dingen doen, zoals een loginscherm maken, dat de gegevens onthoudt voor de volgende keren. Maar vaak worden de flash cookies gebruikt (of zijn bedoeld) om bijvoorbeeld het volumeniveau van een filmpje te onthouden. Het probleem van de cookies is dat ze bij het leegmaken van de browsercache (wat je redelijk makkelijk kunt doen via je browser) de http-cookies opnieuw aanmaken, of zelfs gewoon in hun originele staat terugzetten.
Wat is het verschil met ‘gewone’ cookies?
Flash-cookies hebben geen vervaldatum zoals http (gewone) cookies. Op je computer worden ze op een andere locatie opgeslagen.
Http cookies kunnen circa maximaal 4 kilobyte aan gegevens bevatten, terwijl Flash cookies maximaal 100 kilobyte aan informatie kunnen opslaan. Vornamelijk doordat je zoveel informatie kunt opslaan, maakt dit Flash cookies tot een onopvallende manier om data over gebruikers te verzamelen. Flash cookies kun je niet via de gebruikelijke manier via een optie in je browser verwijderen. Daarom willen advertentiebedrijven deze techniek graag gebruiken, de informatie van de cookie geeft namelijk aan hoe vaak dezelfde gebruiker op een website komt. En dat bepaalt weer het unieke aantal bezoekers (en de advertentiekosten).
Flash-cookies verwijderen
Flash-cookies kunnen door webbrowsers niet beheerd worden. Je kunt dus niet via het Preferences-menu deze cookies verwijderen. Adobe, eigenaar van Flash, heeft daarom een speciale applet opgezet waar gebruikers Flash-cookies kunnen verwijderen en voorkeuren kunnen instellen.
Adobe Flash is op circa 98% van de computers geinstalleerd en is zeer belangrijk geweest in de enorme expansie van het gebruik van online video zoals Youtube.
Flash cookies zijn interessant bij het gebruik van behavorial targeting, in het Nederlands gedragsgericht adverteren. Hierbij wordt het (klik)gedrag op de website vastgelegd (en dat kan heel goed in flash cookies door de hoeveelheid data die je kwijt kunt). Er wordt dan dus marketing gevoerd op basis van het getoonde gedrag, het individueel adverteren.
Op zich is individueel adverteren natuurlijk prettig, want je krijgt alleen voor jou relevante info te zien, maar wat als je kinderen allerlei reclame te zien krijgen omdat ze een Mickey Mouse kleurplaat zochten? Een ding lijkt me duidelijk. Informatie hierover moet helder en transparant zijn en je moet te allen tijde zelf kunnen bepalen wat er van je gemeten wordt en wat niet. En dat is nu niet het geval. We wachten op de uitspraak in de rechtzaak…