Onlangs is me opgevallen dat algemene informatiepagina’s van ING Bank niet meer toegankelijk zijn met mijn firefox browser. De bank maakte niet via een mededeling op de site duidelijk waarom ik geen toegang kreeg, ik kreeg alleen dit te zien:
Toen ik via een andere browser keek, kreeg ik de melding dat de site mij om toestemming voor browser fingerprinting vroeg:
Op twitter stelde ik vragen aan ING over fingerprinting, maar de medewerker achter het twitter account bleek niet op de hoogte:
Hoi Ellen, kun je aangeven waar je ziet dat wij dit gebruiken; kun je hier een screenshot van sturen? ^Tjitske
— ING Nederland (@ingnl) February 10, 2023
Pas op 24 februari kwam ik toe aan een reactie en heb bovenstaande screenprints op twitter gezet. Ik heb de bank verzocht te stoppen:
dus beste @ingnl kunt u onmiddellijk met #fingerprinting stoppen? Uw toezichthouders @DNB_NL @toezicht_AP zijn er niet blij mee #cybersecurity #adtech #tracking
Ik hoor graag van u
— Ellen Timmer (@Ellen_Timmer) February 24, 2023
maar luisteren ze?
Browser fingerprinting is riskant en wordt door veel banken ingezet, zogenaamd om veiligheidsredenen
Browser fingerprinting is een voor de gebruiker van een browser riskante activiteit, lees het artikel op de Consumentenbond website. Anoniem surfen is niet alleen van belang als bescherming tegen datagraaiende advertentiebedrijven. Het is ook essentieel om jezelf tegen criminelen en trollen te beschermen.
De Consumentenbank heeft onderzoek gedaan naar browser fingerprinting en heeft geconstateerd en dat veel Nederlandse banken (ABN Amro, ING, Rabobank, Regiobank en SNS) zich hier schuldig aan maken. De bond schrijft dat banken fingerprinting gebruiken in verband met de veiligheid van financiële transacties. Maar dan hoeft de bank die fingerprinting niet toe te passen op de algemene pagina’s van de site en kan volstaan met extra maatregelen (die ook meegedeeld horen te worden) in de internetbankieren-omgeving. Aldus ook de bond:
Mogelijk hebben de banken een speciale status waardoor ze het zonder toestemming mogen. Ze zijn volgens antifraudewetgeving namelijk verplicht om hun site extra goed te beveiligen. Maar bij abnamro.nl, ing.nl en rabobank.nl zien wij de fingerprinting ook op de homepage. Niet alleen bij het inloggen. Daar is geen veiligheidsargument voor.
Essentiële diensten horen cyber veilig te zijn
Bedrijven die essentiële diensten leveren, zoals financiële instellingen, energiebedrijven en dergelijke, horen zich stipt aan de AVG te houden en geen onveilige praktijken er op na te houden.
Dus geen browser fingerprinting van alle bezoekers van de site maar alleen dan wanneer het nodig en nuttig is. En geen vertrouwelijke communicatie met cliënten door middel van diensten van advertentiebedrijven [*], zoals whatsapp, Facebook, twitter en dergelijke.
Zou er een tijd komen dat het grootbedrijf maatschappelijk betamelijk gaat handelen? Ik blijf hopen.
[*] Zie in dat verband de brief met samenvatting van de Data Protection Impact Assessment (DPIA) die de rijksoverheid deed naar het gebruik van Facebookpagina’s. De redenen om Facebook niet te gebruiken zijn ook van toepassing op financiële instellingen en andere leveranciers van voor burgers essentiële diensten.
Ellen Timmer - juridische artikelen en berichten 
👌
Mvg,
Kees Huizenga