Session-replay scripts | hoe softwarebedrijven meelezen met iedere computergebruiker

Een van de meest opzienbarende berichten over de praktijken van softwarebedrijven, is wel het artikel van Steven Englehardt, Gunes Acar en Arvind Narayanan, “No boundaries: Exfiltration of personal data by session-replay scripts“, dat deze maand is verschenen.

Zonder dat computergebruikers er weet van hebben worden door bepaalde softwarebedrijven de handelingen door computergebruikers geregistreerd, waarbij allerlei persoonsgegevens en andere vertrouwelijke gegevens worden geoogst via bepaalde scripts, de ‘session-replay scripts’. Het beschreven onderzoek had betrekking op session-replay script bedrijven Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale en SessionCam (‘SRS-bedrijven’). Waarschijnlijk zijn er nog meer van dergelijke bedrijven.

In de door de Englehardt c.s. bekend gemaakte lijst van bedrijven die SRS-bedrijven gebruiken, komen een groot aantal bekende namen voor, zoals Amerikaanse internetgiganten (Adobe, Microsoft, WordPress, HP, Logitech, Spotify) en andere grote bedrijven (Samsung). Op de lijst staat een securitybedrijf (Kaspersky). Via de zoekfunctie kwam ik geen .nl domeinen tegen, hoewel ik me herinner Clicktale wel eens bij Nederlandse sites te hebben gezien.

Het verzamelen en doorverkopen door SRS-bedrijven van de verkregen informatie is zeer riskant voor computergebruikers, zowel de privépersonen als bedrijven en organisaties. Bovendien is het in strijd met de Nederlandse en Europese privacy- en securitywetgeving.

Consequenties

Het bericht van Englehardt c.s. – het eerste van een serie – roept een groot aantal vragen op. Onder meer over de juridische consequenties voor de bedrijven die gebruik maken van de diensten van SRS-bedrijven. Technisch is de vraag of een computergebruiker iets tegen deze praktijken kan ondernemen, bijvoorbeeld door javascript (deels) uit te zetten, zoals dat kan met sommige browser-plugins. Ik heb nog geen artikelen gevonden waarin wordt beschreven of en hoe er technisch iets aan kan worden gedaan.

Al eerder signaleerde ik dat het tijd is voor regelgeving, die bedrijven verplicht om bekend te maken aan de computergebruiker dat zij of hun leveranciers gegevens verzamelen. De bedrijven dienen de gebruikers de mogelijkheid te geven de site te gebruiken en diensten af te nemen, zonder dat dit soort gegevensverzameling plaats vindt.

Verder is gewenst dat aanbieders van browsers (zoals Microsoft en Google) worden verplicht functies die dit soort gegevensverzameling mogelijk maken uit te zetten (privacy-by-design). Misschien moeten we maar eens af van de javascript-verslaving en moeten browsers volledig worden gestript.

Meer informatie:


Aanvulling 29 november 2017

Zie voor een uitvoerige Nederlandstalige uitleg dit artikel. Aanverwant is dat veel softwareleveranciers telemetriesoftware installeren, vaak – zoals printerleverancier HP – zonder toestemming van de gebruiker.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in ICT, privacy, e-commerce en getagged met , , , , , , , , , , , , , , , , . Maak dit favoriet permalink.

2 reacties op Session-replay scripts | hoe softwarebedrijven meelezen met iedere computergebruiker

  1. riepke zegt:

    Via de link(Webwereld) vond ik veel (tientallen) Nederlandse gebruikers van SRS in tegenstelling tot bovenstaande tekst.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s