Abonneer je gratis op Techzine!

Facebook kwam vorige week al in het nieuws omdat het gebruikers blijft volgen ook nadat deze zijn uitgelogd op Facebook. Het bedrijf beloofde beterschap en verwijderde enkele cookies, maar één essentiële cookie is nog steeds aanwezig, waardoor het bedrijf nog steeds het surfgedrag van niet ingelogde gebruikers in kaart kan brengen.

Anderhalve week geleden kreeg Facebook er al flink van langs. Hacker Nik Cubrilovic ontdekte dat Facebook het surfgedrag van zijn gebruikers blijft volgen, zelfs nadat zij uitgelogd zijn. De cookies die Facebook gebruikt om het surfgedrag in kaart te brengen worden niet verwijderd nadat gebruikers zijn uitgelogd. Je gebruikers-ID waarmee je was ingelogd blijft in de cookies aanwezig. Hierdoor kan Facebook blijven nagaan welke websites je bezoekt en je als leuk bestempelt.

In eerste instantie ontkende Facebook dat er iets aan de hand was. Later krabbelde het online platform terug en stelde dat het niets meer dan een bug was. Facebook hoefde alleen maar een aantal cookies aan te passen. Hacker Nik Cubrilovic heeft vastgesteld dat Facebook daar daadwerkelijk mee aan de slag is gegaan, maar dat ze één cookie ongemoeid hebben gelaten. Dat is nu net de cookie waarmee Facebook internetters kan traceren en in kaart kan brengen.

Volgens onderzoeker aan de Universiteit van Tilburg en Facebook-expert Arnold Roosendaal is dit een bekende tactiek van Facebook. Hij publiceerde vorig jaar een onderzoeksrapport waaruit bleek dat Facebook het surfgedrag van zowel leden als niet-leden volgde. "Ook toen meldde Facebook dat het om een foutje in de software ging. En ze lijken er keer op keer mee weg te komen", aldus Roosendaal tegen Webwereld.

Dit alles is mogelijk door de zogeheten datr-cookie. Als internetters een profiel aanmaken of simpelweg de website van Facebook bezoeken, wordt deze cookie geplaatst en kan Facebook het surfgedrag van deze mensen in kaart brengen. Deze cookie heeft weliswaar geen koppeling met de user-ID, maar beschikt wel over een unieke identifier. "Achter de schermen kan Facebook met deze cookie de gebruikers volgen. De datr-cookie blijft twee jaar geldig. Bij elke actie op Facebook of Facebook Connect wordt deze duur weer ververst met een nieuwe periode van twee jaar", zegt Roosendaal.

Roosendaal vervolgt zijn verhaal: "Facebook geeft telkens aan dat ze te vertrouwen zijn en dat ze niets met de gelogde gegevens doen. Maar ze zijn op geen enkele wijze transparant. Ze reageren ook niet officieel op de aantijgingen. Ze hebben de tracking of dus gewoon niet in de gaten of ze zijn achter de schermen gewoon hard bezig met het volgen van gebruikers."

Volgens Roosendaal ondernemen de Nederlandse overheid en het College Bescherming Persoonsgegevens (CBP) geen actie tegen deze praktijken, omdat zij Nederlandse of Europese cookie-regelgeving afwachten. Zolang deze er niet is heeft Facebook alle ruimte om traceercookies te blijven gebruiken.