Het gebruik van ASID’s of tracking headers valt niet onder de wetgeving voor cookies. Dat schrijft het ministerie van Economische Zaken in antwoord op schriftelijke vragen van Astrid Oosenbrug (PvdA). ASID staat voor Anonymous Subscriber ID. De Nederlandse mobiele operators gebruiken deze technologie om gebruikers (geanonimiseerd) te volgen. EZ legt geen beperkingen op.
Bij het gebruik van ASID-headers stuurt de aanbieder van de internettoegangsdienst een identificerende code mee met de data die een eindgebruiker verstuurt bij het bezoeken van een internetadres. De term ‘supercookies’ dekt de lading niet goed, want er worden geen bestandjes op de smartphone geplaatst of uitgelezen. Daarom geldt artikel 11.7a van de Telecommunicatiewet ook niet (de cookieregel), meldt EZ.
Als er via ASID’s of tracking header persoonsgegevens worden verwerkt, dan valt dat onder de Wet bescherming persoonsgegevens. Een bedrijf moet dan kunnen aantonen dat er een doelbinding is voor de verwerking van gegevens. Ook moet de gebruiker daarover worden geïnformeerd.
Een ASID-header kan bijvoorbeeld gebruikt worden om veilig internetbankieren via een mobiel netwerk mogelijk te maken, schrijft het ministerie. “Het is dan denkbaar dat het meesturen van een ASID-header noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is.”
Het ministerie van Economische Zaken zal niet tegen de technologie optreden of beperkingen opleggen. Het is primair de verantwoordelijkheid van de aanbieder te beoordelen of hij toestemming moet vragen of een beroep kan doen op een andere grondslag voor de verwerking van persoonsgegevens. Maakt hij daarbij een verkeerde beoordeling dan kan het CBP optreden.
Naar Amerikaans voorbeeld
Oosenbrug refereert in de Kamervragen aan een bericht van nrc.nl, over ‘supercookies’. NRC schreef op 18 augustus over een rapport van de Amerikaanse privacy-organisatie Access Now. De controversiële headers worden in de VS niet meer gebruikt, maar in andere landen wel en Vodafone Nederland wordt specifiek genoemd.
Vodafone meldde in reactie dat zij de technologie inzetten, maar alleen als die functioneel is. Als voorbeeld geldt als online betalingen verlopen via de telefoonrekening.
Vodafone heeft de technologie daarnaast ingezet voor “anonymous customer reference”. “In het verleden hebben we de techniek wel breder ingezet, maar dat doen we sinds mei (2015) niet meer, meldt een woordvoerder aan NRC.
Ontwikkeld door de operators
KPN/Hi, Vodafone en T-Mobile hebben de technologie in 2008 geïntroduceerd, blijkt uit documentatie die T-Mobile destijds heeft gepubliceerd. Die informatie is weliswaar verouderd, maar nog wel online beschikbaar. OMI2 en ECP.nl hebben de techniek mede ontwikkeld. ASID’s worden aangeprezen als tool voor developers van mobiele applicaties. Unieke gebruikers kunnen worden herkend over een periode die langer is dan één sessie.
De ASID gebruikt het MSISDN, vrij vertaald het telefoonnummer dat door de operator wordt toegekend aan een simkaart. In combinatie met de operatorcode is het nummer uniek. De code wordt meegestuurd met de http-header van een mobiele internetverbinding.
De keten wordt verbroken zodra een smartphone contact maakt met WiFi, daarom adviseren de makers om ook cookies te plaatsen. Of er persoonsgegevens worden verwerkt, is op voorhand niet te bepalen. Het kan, maar dat is afhankelijk van de gekozen toepassing.
T-Mobile meldt in een reactie dat er geen ASID's meer worden gebruikt. In het verleden is de dienst op beperkte schaal en op aanvraag aangeboden aan geselecteerde content providers. De headers zijn nooit standaard meegestuurd en de diensten zijn in november 2013 uitgefaseerd.
