Het was een pijnlijk moment. In Pakhuis de Zwijger vond op 11 februari een avond plaats over de macht van Big Tech, mede georganiseerd door Follow the Money. Er waren twee panelgesprekken, het eerste over de wettelijke en politieke mogelijkheden om de macht van Big Tech in te perken, het tweede over kleinschalige internetprojecten die laten zien dat het ook anders kan. Public Spaces, bijvoorbeeld, een alternatief platform voor sociale interactie zonder winstoogmerk, een samenwerking van diverse publieke omroepen, de Waag, Beeld & Geluid, Wikimedia en een reeks culturele festivals. Een ander voorbeeld was BijOns.amsterdam, bedoeld om Amsterdamse speciaalzaken beter vindbaar te maken op internet, waar zoekmachines de consument al gauw richting grote internationale webshops leiden. ‘Een sympathiek project,’ zei iemand vanuit de zaal, ‘maar ik heb daarstraks even gekeken en jullie hebben toch ook zeven third party trackers lopen.’

Een tracker is een soort sensor die je op afstand in een computer kunt plaatsen, zodat je kunt volgen wat de gebruiker van die computer op het internet doet. Trackers vallen onder de zogeheten ‘cookies’, bestandjes die een website die je bezoekt op jouw computer plaatst. 95 van alle websites werkt met cookies. Er zijn veel soorten cookies: sommige dienen uitsluitend om het gebruik van de website te vergemakkelijken, ze ‘onthouden’ formaliteiten die je anders telkens opnieuw moet afwikkelen, maar de meeste cookies zijn bedoeld om vast te leggen welke andere websites je bezoekt, waar je op klikt, etcetera. Dat zijn tracking cookies.

Beloften dat gebruiksdata slechts ‘geanonimiseerd’ worden vastgelegd, zijn een wassen neus

Bij een first party tracking cookie gebruikt de website-eigenaar de informatie als feedback om zijn service voor je te optimaliseren, bij een third party tracker verkoopt hij die informatie aan derden, zodat zij er hun voordeel mee kunnen doen, bijvoorbeeld door je op maat gemaakte advertenties te laten zien en aanbiedingen te doen.

Grote internetconcerns – Google, Facebook, Amazon – kunnen die informatie verbinden met andere first en thirdparty data die ze over je hebben, inclusief je naam. Beloften dat gebruiksdata slechts ‘geanonimiseerd’ worden vastgelegd, zijn een wassen neus: om het samenstellen van een volledig gepersonaliseerd profiel mogelijk te maken hoeft tussen alle datasets die over je circuleren er maar één te zitten die je personalia bevat. En tracking is een schimmige business: om gebruik te maken van lokale mazen in de wet zijn trackingbedrijven vaak verspreid over de hele wereld en wat er gebeurt met de datastromen die zij genereren, is totaal ondoorzichtig.

Vorige week onthulde The Wall Street Journal dat tal van populaire iPhone- en Android-apps zeer persoonlijke informatie van hun gebruikers – bijvoorbeeld hartslag, slaapritme, overgewicht, ovulatiecyclus, maar ook financiële gegevens – rechtstreeks doorgeven aan Facebook. In een reactie deed Facebook het voorkomen alsof die data het bedrijf worden opgedrongen door overijverige app-ontwerpers, die zij opnieuw dringend verzoeken daarmee op te houden. Dat klonk een beetje als de politieagent die na zijn ronde door een drugsbuurt tot zijn verbazing een briefje van honderd in zijn borstzak vindt.

Het is niet onmogelijk dat gebruikers van die apps hier ‘toestemming’ voor hebben gegeven, maar die zat dan verstopt in gebruikersvoorwaarden van vaak duizenden, soms tienduizenden woorden lang. Op YouTube staat een leuke voordracht van Lokke Moerel, privacy-advocaat en hoogleraar cybersecurity, die zij hield bij een jubileum van het blad Wendy. ‘De gebruiksvoorwaarden van YouTube zijn 18.000 woorden lang,’ meldt zij. ‘Dat is langer dan MacBeth van Shakespeare! Gaan uw kinderen MacBeth lezen voor zij op “ja” klikken? Ik denk het niet.’ Je kunt je inderdaad afvragen of een onleesbaar contract ter lengte van een avondvullend toneelstuk wel een reële overeenkomst is.

Die vragensteller in Pakhuis de Zwijger was kennelijk een ingewijde, iemand die weet hoe al die gluurdertjes heten en waar ze in je computer worden bewaard. Maar de modale internetgebruiker heeft geen idee door wie hij allemaal gevolgd wordt, wat trackers registreren en waar die informatie naartoe gaat. Er zit geen knop op je laptop of smartphone die je kunt omdraaien voor een waterdichte privacy. Het is een kat-en-muis-spel: nu tot het grotere publiek begint door te dringen dat third party cookies minder onschuldig zijn dan first party, stijgt gaandeweg het percentage third party trackers dat geweigerd wordt. Maar de volgende stap in de surveillancewedloop is al genomen: er worden first party cookies ontwikkeld met de functionaliteit van third party trackers. Door Opentracker.net, bijvoorbeeld: ‘Hello world, we love your data. We provide services that allow companies and websites to track their visitors with first-party cookies.’

Facebook is een populaire zondebok, en grotendeels terecht – maar de ‘oude’ media kunnen er zelf ook wat van

Wie internet wil gebruiken maar op geen enkele manier gevolgd wil worden, zal flink wat huiswerk moeten doen en een reeks speciale voorzieningen moeten treffen. En je zult voor lief moeten nemen dat het luxe-resort genaamd internet verandert in een jeugdherberg. Ik installeerde enige tijd geleden op al mijn computers DuckDuckGo, ‘de zoekmachine die je niet volgt’. Maar de zoekresultaten van DuckDuckGo vind ik erg onpraktisch, en soms dermate irrelevant dat ik me afvraagt of DuckDuckGo nu zo dom is, of Google zo slim. De praktijk is nu dat ik een zoekactie begin met DuckDuckGo en zonodig naar Google switch. Dat is, vrees ik, in de meerderheid van de gevallen. ‘Heb je je Google zoekgeschiedenis al verwijderd?’ vraagt DuckDuckGo haar gebruikers. Ik begrijp de suggestie, maar ik volg het advies nog maar even niet op. Ik heb Google Search nódig. Google Search begríjpt mij! Dankzij tracking.

De mainstream media zitten wat dit betreft in een lastige positie: zij berichten over de privacy-schendingen en manipulaties door Big Tech – met name Facebook is een populaire zondebok, en grotendeels terecht – maar de ‘oude’ media kunnen er zelf ook wat van. The Wall Street Journal scoorde flink met dat bericht over die gevoelige persoonlijke informatie die vanuit apps rechtstreeks naar Facebook gaat, maar wie hun website bezoekt, heeft, ruim honderd cookies en trackers te pakken, nog vóór hij akkoord is gegaan met hun cookiebeleid! Volgens de nieuwe Europese privacywetgeving, nu bijna een jaar van kracht, is dat volkomen illegaal.

Hoe zit dat eigenlijk met Nederlandse media?

De Telegraaf: voor je akkoord gaat met cookies: 10 cookies, daarna: 40 cookies. De Volkskrant: vóór 9 cookies, na 58. NRC Handelsblad: vóór 16, na 26. De Correspondent doet niet aan een cookie-consent, opmerkelijk genoeg, maar plaatst bij een eerste bezoek toch ook al 18 cookies.

Als De Telegraaf haar abonnees zou vragen of de krant in hun woning een klein cameraatje mag installeren om mee te kunnen kijken hoe zij het nieuws lezen, zouden mensen naar hun voorhoofd wijzen. Toch is dat ongeveer wat dagbladen nu doen. ‘De media zelf zijn net zo erg als Cambridge Analytica en Facebook,’ zegt Lokke Moerel in haar voordracht.’Misschien nog wel erger. Stel, je wilt kiezersgedrag manipuleren – wat heb je dan liever, likes en shares over poezenclipjes en kooktips, of over samenleving en politiek?’

Anderzijds: geef de media eens ongelijk. Het is als met BijOns.amsterdam: de oude media wankelen in het online geweld en grijpen alles aan om het verlies van advertentie- en abonnementsgelden te compenseren. Het is sink or swim. En als Big Tech dit op massieve schaal doet, mag de underdog dan misschien ook proberen een graantje mee te pikken?

Europa feliciteert zichzelf graag als strenge waakhond van de internet-industrie, we kregen de AVG, sinds kort is het online copyright aangescherpt, ja ja, Brussel is goed bezig. Nu de handhaving nog.

O ja, en Follow the Money? 7 cookies vóór en 7 cookies na, en alleen maar first party. (Oef!)