Anoniem online

Foto: MaxPixel

Internetbedrijven als Google en Facebook willen maar één ding: zoveel mogelijk data over ons verzamelen. Maar wat nou als je daar geen trek in hebt? Is er een manier om die pottenkijkers buiten te sluiten?

De schrijver van dit artikel is man, tussen de 25 en 34 jaar oud, heeft een bovengemiddelde interesse in ruimtevaart, technologie, wetenschap en Amerikaans showworstelen en heeft een Mac met de naam Woody. Eind augustus speurde hij naar gratis illustraties van een spaarvarken en een foto van een banaan. Afgelopen zomer – toen het buiten 35 graden was – zocht hij uitgebreid naar een nieuwe ventilator en klikte op een advertentie van een Dyson AM07. Die heeft hij vermoedelijk gekocht, want zijn zoektocht hield daarna op terwijl het nog weken onhoudbaar warm bleef.

Op 19 juli kwam hij via een gesponsorde link op een veilingsite voor exclusieve whisky’s. Die site voegde hij toe aan zijn favorieten en bezoekt hij sindsdien bijna dagelijks. Hij bekeek onder andere filmpjes van The Gaming Historian en het kinderkanaal Little Baby Bum. Hij heet Nick, heeft zo te zien twee jonge kinderen, zocht laatst naar de snelste route van Haarlem naar een bedrijventerrein in Amsterdam en werkt vermoedelijk in de media.

Alle informatie hierboven klopt en is in de afgelopen maanden door Google over mij verzameld. Via Google Takeout (takeout.google.com) vroeg ik eind juli de gegevens op die de internetreus over me heeft opgeslagen. Dat internetbedrijven informatie over ons verzamelen en dat ze die informatie gebruiken om advertenties zo goed mogelijk toe te spitsen op de persoon is natuurlijk bekend. Maar wát ze allemaal precies weten, daar schrok ik van. Contacten, gezondheidsdata, bezochte locaties… en zo kan ik dit hele artikel volzetten met bijna oneindig veel voorbeelden.

Niet alleen Google heeft veel meer informatie over me dan ik dacht. Ook Facebook opereert als een virtuele spion die ieder spikkeltje informatie over me bijeen schraapt en op een grote hoop gooit. Door bij het grootste sociale netwerk ter wereld een kopie van mijn gegevens op te vragen leerde ik onder andere dat Facebook weet dat ik regelmatig op een locatie in Haarlem ben (mijn woonadres), onder andere interesse heb in De Speld en de Europese ruimtevaartorganisatie ESA, een volwassen man ben, soms eten bestel via Deliveroo en surf via Google Chrome. O, en wie mijn vrienden zijn natuurlijk.

Wat Facebook ook weet is dat ik afgelopen maart een grote schoonmaak heb gehouden onder die vrienden, dat ik sindsdien minder op het platform plaats en dat ik de app van het sociale netwerk ook niet meer op mijn telefoon heb. Na een groot informatieschandaal bij Facebook in diezelfde maand – waarbij bleek dat databedrijf Cambridge Analytica gegevens van 87 miljoen Facebookers had gebruikt om stemgedrag te beïnvloeden – wil ik mijn data beschermen en probeer ik digitaal onzichtbaar te worden. Niet in de laatste plaats omdat al die verzamelde data het risico op identiteitsfraude vergroot.

Data aan elkaar knopen

Identiteitsfraude is een groeiend probleem, blijkt uit cijfers van het CMI (Centraal Meldpunt Identiteitsfraude). In 2017 meldden 3000 Nederlanders zich daar omdat cybercriminelen hun persoonlijke data misbruikten om bijvoorbeeld spullen op naam van het slachtoffer te kopen. Een jaar eerder waren dat er nog 170. Zelf was ik een paar jaar terug ook de pineut: na een datalek bij LinkedIn in 2012 lag mijn wachtwoord (dat ik toen stom genoeg bij meerdere sites gebruikte) op straat. Cybercriminelen gebruikten het om bij mijn webhost binnen te lopen en van daaruit spam te versturen onder mijn naam.

Nog voordat ik goed en wel van start ga met het uitgummen van mijn online bestaan helpt Gerrit-Jan Zwenne, hoogleraar Recht en Informatiemaatschappij aan de Universiteit Leiden, me uit mijn droom. “Anoniem door het leven gaan is in onze moderne samenleving haast uitgesloten. Alles wat je online doet zegt iets over wie je bent”, zegt hij. Snippers informatie die online bedrijven over je verzamelen worden door slimme systemen aan elkaar gekoppeld. Google doet dat sinds 2012 openlijk: zoek je op Google Maps naar een hotel in Kopenhagen en bekijk je op YouTube een video van attractiepark Tivoli Gardens in die stad, dan krijg je in Google Search reclame voor goedkope vliegtickets naar de Deense hoofdstad.

Facebook legt minder rigoureus koppelingen tussen data van verschillende diensten, al kondigde diens dochter Whatsapp eerder dit jaar aan data met Facebook te delen. Hoewel dat voornemen later werd ingetrokken vanwege een nieuwe Europese privacywet, zijn de intenties van het sociale netwerk duidelijk. Maar hoe uitgebreid het koppelen van gegevens van verschillende diensten ook lijkt, volgens Zwenne staat het nog in de kinderschoenen. “Dankzij machine learning (het bouwen van algoritmes en technieken waarmee computers zelfstandig kunnen leren, red.) gaan computers in de toekomst waarschijnlijk veel meer verbanden ontdekken. We gaan op dat vlak dingen zien die je je nu nog niet kunt voorstellen.”

Virtuele zelfmoord

Toch laat ik me niet uit het veld slaan. Mijn sociale zelfmoord begint met het opschorten van mijn accounts bij sociale netwerken. Een oude Tumblr gaat eraan en ik trek de stekker uit een Pinterest waar ik nooit echt mee ben begonnen. Mijn Twitter bewaar ik omdat ik het gebruik om mijn werk te pluggen, maar ik verwijder wel alle tweets ouder dan één jaar met de webtool Cardigan. Ik deactiveer Facebook, al duurt het nog veertien dagen voordat mijn account écht weg is. In de tussentijd word ik bestookt met geautomatiseerde smeekbedes om toch nog even te kijken naar wat mijn vrienden posten. Als ik me daardoor laat verleiden beginnen de twee weken opnieuw.

Met de dienst Deseat.me breng ik in kaart welke sites nog meer persoonlijke gegevens van me hebben. Na een geautomatiseerde inventarisatie kan ik per dienst met één druk op de knop een verzoek indienen om mijn gegevens te verwijderen. Onder de nieuwe Europese privacywet AVG moeten bedrijven daar verplicht gehoor aan geven. In korte tijd kan ik mijn data bij tientallen sites verwijderen. Wanneer ik mijn naam zelfvoldaan door Google haal, zie ik dat mijn digitale ik nog steeds een rijk online leven leidt. Er zijn nog tientallen sites die met mijn gegevens schermen en die Deseat.me niet kent. Die allemaal aanschrijven, daar is geen beginnen aan.Ik richt mijn pijlen op Google, waar Europeanen sinds 2016 onder het zogenoemde ‘vergeetrecht’ een verzoek kunnen indienen om links naar sites die over hen gaan te laten verwijderen. Na weken wachten op reactie meldt Google de gevraagde links te laten staan.

Overtreedt Google zo niet de wet? “Nee”, verduidelijkt hoogleraar Zwenne. “Mensen interpreteren het vergeetrecht als een soort absoluut recht, maar dat is het niet. Google hoeft informatie alleen te verwijderen als die bijvoorbeeld verouderd of niet meer relevant is.” Zelf websites aanschrijven zoals ik heb gedaan is volgens Zwenne voor de meeste mensen geen optie, omdat het te veel tijd kost. “Wat je wel kunt proberen, is je data vanaf nu beter beschermen. Dat kun je bijvoorbeeld doen door accounts aan te maken onder verschillende nepnamen. Zo maak je het voor bedrijven lastiger om verbanden te leggen.”

Tot hier, en niet verder

Alleen pseudoniemen gebruiken blijkt echter niet genoeg. Want bij praktisch iedere website die ik bezoek, kijken er op de achtergrond tientallen andere partijen mee. Frederik Zuiderveen Borgesius weet daar alles van. In 2014 promoveerde hij aan de Universiteit van Amsterdam met een onderzoek naar privacy en gedragsgericht adverteren, het verzamelen van zoveel mogelijk informatie over iemand om op de persoon gerichte advertenties te kunnen tonen.

“Het zijn vooral marketingbedrijven, ook wel ad tech bedrijven, die meekijken”, aldus Zuiderveen Borgesius, die inmiddels als onderzoeker werkt bij de Vrije Universiteit Brussel. Die virtuele pottenkijkers plaatsen zogeheten tracking cookies op je computer – kleine bestanden die bedoeld zijn om je activiteit te volgen. “Het gebruik daarvan is volstrekt routine: bijna iedere website doet het. Maar niet al die cookies zijn nodig om een site goed te laten werken. Wanneer een site dat soort cookies op je computer wil plaatsen, moet hij daar toestemming voor vragen. Dat geldt ook voor third party cookies. Dat zijn cookies die afkomstig zijn van andere partijen dan de website die je bezoekt. Als je minder gevolgd wilt worden, moet je third party cookies niet accepteren. Gooi ook regelmatig de cookies die je wél accepteert weg. Het is laaghangend fruit, maar een goed begin.”

Een andere optie om bespieders buiten de deur te houden: software installeren die dat voor je doet. Een adblocker houdt bijvoorbeeld vaak advertenties én trackers tegen. Op advies van Zuiderveen Borgesius installeer ik de plugin Ghostery. Die brengt precies in kaart welke partijen meekijken bij een website. Ghostery beschermt me ook tegen de Facebook Pixel, een stukje programmacode waarmee sitebeheerders kunnen onderzoeken wat bezoekers doen op hun website. Facebook weet – zoals je aan het begin van dit stuk hebt kunnen lezen – al meer dan genoeg van me.

In Ghostery vink ik alles aan, zodat geen enkel trackingbedrijf nog toegang heeft tot mijn data. Bij mijn volgende surfsessie valt me op dat veel websites ineens stuk lijken. YouTube-video’s die op een website ingesloten zijn, zijn plots verdwenen en hetzelfde geldt in sommige gevallen voor de zoekfunctie op een website. “Het nadeel van álles blokkeren is dat sommige sites minder goed gaan werken”, bevestigt Zuiderveen Borgesius. “Blokkeer je socialmedia-knoppen, dan valt er soms een gat op een website. Sites gebruiken cookies ook om je voorkeur op te slaan. Blokkeer je alle cookies, dan moet je telkens opnieuw inloggen. Soms is het juist handig dat sites weten wie je bent: als ik op de anonieme zoekmachine DuckDuckGo.com naar ‘UvA’ zoek kom ik bij de University of Virginia uit, terwijl het gezien mijn locatie veel logischer is dat ik op zoek ben naar de Universiteit van Amsterdam.”

Door hoepels springen

Compleet uit de klauwen van internetbedrijven blijven is onmogelijk, zegt Zuiderveen Borgesius. Ik besluit op advies van hoogleraar Zwenne rigoureus te breken met alles waar de grote jongens bij betrokken zijn. Google Search ruil ik in voor het eerder genoemde DuckDuckGo.com, dat belooft geen data te verzamelen. Ik installeer Signal als vervanger van WhatsApp (dat van Facebook is). Jammer dat slechts een derde van mijn vrienden de app ook heeft.

Google Maps wissel ik in voor OpenStreetMap, al mis ik de optie een route in te plannen met het openbaar vervoer. Mails versturen doe ik voortaan met ProtonMail, dat mijn berichten versleutelt zodat eventuele onderscheppers ervan ze niet kunnen lezen. Tot slot ga ik alleen nog maar online via een virtual private network (VPN), een dienst die een virtuele tunnel om je internetverbinding bouwt om zo pottenkijkers buiten te houden.

Mijn kinderen kijken hun filmpjes voortaan op Vimeo, al is het aanbod daar aanzienlijk minder. Ik overweeg even alleen nog te surfen via Tor, een browser die veel van de maatregelen hierboven beschrijf ingebouwd heeft. Tor laat je ook plekken op internet bezoeken die met andere browsers off limits blijven, zoals marktplaatsen waar wapens en drugs worden verhandeld. Maar hoe goed Tor ook is in me anoniem houden, het surfen ermee gaat aanzienlijk trager. In plaats daarvan kies ik voor de anonieme browser Brave.

Door alle maatregelen ben ik een stuk anoniemer op het web. Maar na drie dagen begrijp ik al wat Zuiderveen Borgesius bedoelt wanneer hij zegt dat gevolgd worden ook voordelen heeft. Tijdens de afgelopen jaren hebben de reuzen der internet zó’n uitgebreid profiel van me opgebouwd dat ze niet alleen weten waar ik naar op zoek ben, maar ook hoé ik zoek. Ik mis de vooruitziende blik van Google wanneer ik achtergrondinformatie sprokkel voor een artikel en het gemak waarmee ik via WhatsApp contact onderhoud met vrienden. En na een tijdje zonder Facebook ga ik een groep waar ik regelmatig bronnen vind voor artikelen wel heel erg missen.

En dus breek ik mijn zorgvuldig opgebouwde anonimiteitsschutting weer af, al blijf ik diensten als Ghostery, ProtonMail en Signal wel gebruiken. Samen moeten ze ervoor zorgen dat ik wél alle voordelen van internet heb, maar dat het voor pottenkijkers minder makkelijk wordt om álles van me te verzamelen. Volgen mag dus, maar wel op enige afstand.

Lieg je safe
Wil je dat internetbedrijven zo min mogelijk over je te weten komen? Lieg dan over wie je bent. De Amerikaanse hoogleraar Informatietechnologie Helen Nissenbaum bouwt tools die daarmee helpen.
Een rookgordijn optrekken. Dat is wat Helen Nissenbaum, hoogleraar Informatietechnologie aan de Cornell University (VS). Het idee dat we in een tijdperk leven waarin mensen nou eenmaal minder privacy hebben en waarin grote bedrijven “nou eenmaal data verzamelen” accepteert ze niet. En dus besloot ze daar iets tegen te doen.
Met de hulp van informatici en hackers bouwt Nissenbaum tools die grote internetbedrijven zand in de ogen moeten strooien bij het verzamelen van data. De eerste van die tools was TrackMeNot, een plugin die bij elke zoekopdracht die je doet talloze nep-zoektermen meestuurt. Die zorgen er samen voor dat zoekmachines als Yahoo en Google Search niet goed kunnen registreren waar je écht naar op zoek bent. TrackMeNot is gelukkig wel zo slim je alleen het antwoord op je vraag terug te geven.
De tools van Nissenbaum zijn internetbedrijven een doorn in het oog. Vooral Ad Nauseum wist de toorn van Google over zich af te roepen. De plugin klikt álle advertenties die je tegenkomt aan, zodat advertentiebedrijven nooit te weten komen wat je écht interessant vindt. Google haalde de plugin begin 2017 uit zijn plugin-winkel omdat het internetbedrijf het zag als malware (software met slechte bedoelingen). Google kon ook haast niet anders: de plugin zet het verdienmodel van de internetreus onder druk. Wanneer alle internetters alle advertenties aanklikken en vervolgens niets kopen terwijl adverteerders wél voor iedere klik betalen, stoppen ze met adverteren. De plugin is overigens nog wel te downloaden via AdNauseum.io.

Dit artikel verscheen eerder in