Facebook volgt nog steeds surfgedrag na uitloggen

Facebook maakt opnieuw gebruik van cookies die het surfgedrag van uitgelogde gebruikers bijhoudt. Expert Arnold Roosendaal zet vraagtekens bij de integriteit van het grote sociale netwerk.

De afgelopen weken ontving Facebook veel kritiek toen naar buiten kwam dat ze cookies gebruikten die het surfgedrag van uitgelogde gebruikers bijhielden.

Facebook ontkende, stotterde toen dat het een bug betrof en modificeerde vervolgens een aantal cookies. Dat blijkt uit een analyse van hacker Nic Cubrilovic. Maar één cookie blijft gewoon ongemoeid en daarmee valt ook te traceren.

Foutje, bedankt
Een bekende tactiek volgens Facebook-expert Arnold Roosendaal. Roosendaal, onderzoeker Universiteit van Tilburg, publiceerde vorig jaar een paper waaruit bleek dat Facebook zowel het surfgedrag van leden als niet-leden volgde.

Naar aanleiding van zijn rapport, met de beeldende kop: Facebook Tracks and Traces Everyone: Like This! stelde de Duitse autoriteiten een onderzoek in. "Ook toen meldde Facebook dat het om een foutje in de software ging. En ze lijken er keer op keer mee weg te komen", vertelt Roosendaal tegen Webwereld.

Datr-cookie
Wanneer een gebruiker een Facebook-profiel aanmaakt, of als een niet-lid Facebook.com bezoekt, wordt een datr-cookie geplaatst dat vervolgens registreert welke sites worden bezocht die bijvoorbeeld een ' Like' button hebben.

Het datr-cookie dat dus nog steeds actief is, herbergt in de code geen koppeling met de user-id, maar heeft wel een unieke identifier, waardoor het volgens Roosendaal theoretisch mogelijk blijft om de Facebookers te volgen. "Achter de schermen kan Facebook met deze cookie de gebruikers volgen. Het datr-cookie blijft twee jaar geldig. Bij elke actie op Facebook of Facebook Connect wordt deze duur weer ververst met een nieuwe periode van twee jaar."

Octrooi aangevraagd
Roosendaal wijst Webwereld daarnaast op een octrooi dat is aangevraagd door Facebook. Het octrooi behandelt een methode om ´activiteiten van gebruikers op andere domeinen te volgen´. Tijdens het bezoek worden een logbestand aangemaakt van de acties die de gebruikers ondernemen. De bijgehouden acties kunnen gecorreleerd worden met een of meerdere advertenties op sites van derden. Roosendaal vertelt dat Facebook dit octrooi heeft aangevraagd een aantal weken voordat ze het volgen van uitgelogde gebruikers ontkende.

"Facebook geeft telkens aan dat ze te vertrouwen zijn en dat ze niets met de gelogde gegevens doen. Maar ze zijn op geen enkele wijze transparant. Ze reageren ook niet officieel op de aantijgingen. Ze hebben de tracking of dus gewoon niet in de gaten of ze zijn achter de schermen gewoon hard bezig met het volgen van gebruikers", aldus Roosendaal.

Doordenderende Facebooktrein
De Nederlandse overheid zou volgens Roosendaal moeten ingrijpen. De PvdA stelde vorige week al kamervragen aan minister Opstelten (Veiligheid en Justitie) over het synchroniseren van contactgegevens van smartphones naar Facebook.

Roosendaal: "Die synchronisatie past in het stappenplan van Facebook om een soort online identiteitenprovider te worden. Ik snap dat de minister niet in kan gaan op een individueel geval en dat het Cbp daarvoor is. Zij wachten waarschijnlijk op invoering van cookie-wetgeving in Nederland of op Europese richtlijnen. Zolang die beide niet helder zijn, geeft dat Facebook ruimte om dergelijke traceercookies te blijven gebruiken." Roosendaal hoopt dan ook dat Europa paal en perk stelt aan het ongevraagd volgen van gebruikers.

Het draait volgens Roosendaal in ieder geval om bewustwording en kritisch kijken naar dataprotectie en privacyschending. Door het uitblijven van regelgeving wordt het volgens Roosendaal wel steeds lastiger om de doordenderende Facebooktrein te stoppen.