Dat Google een grote honger heeft naar informatie over haar gebruikers zal voor weinig mensen nog een verrassing zijn. De afgelopen maanden is er in aanloop naar (en na implementatie van) de wijzigingen in Googles privacy policy veel over geschreven.

De belangrijkste verandering in Googles privacy policy is dat de zoek / marketinggigant voor zichzelf de consolidatie van gebruikersgegevens mogelijk maakt. Google geeft aan dat het hiermee in lijn acteert met hoe de rest van de grote online bedrijven met persoonsgegevens omgaan.

Een veel gehoord argument in de bescherming van je online privacy is dat je als gebruiker zelf de controle hebt over wat een bedrijf van je weet of niet. Je hoeft immers geen GMail account aan te maken. Of Google Docs te gebruiken. En je kunt op elk moment besluiten om een eerder aangemaakt profiel weer te verwijderen. En als je je Google account netjes uitgelogd hebt en daarna van de zoekdienst gebruik maakt, dan weet Google niet dat JIJ op dat moment naar specifieke interesses aan het zoeken bent, toch?

Vergeet het maar! Het Google netwerk en de techniek is inmiddels zo omvangrijk en ver gevorderd dat ze inmiddels het merendeel van jouw online activiteit kunnen volgen. En met de wijzigingen in hun privacypolicy is ook de aggregatie van al die informatie over identiteiten een stap dichterbij gekomen.

In de discussie over Google en online privacy wordt het accent vaak gelegd op de diensten die wij als gebruiker zien. Docs, Mail, Search, Play, Youtube... Dit zijn de diensten die consumenten veel gebruiken en waar velen een persoonlijk profiel voor hebben aangemaakt. Dit zijn ook de diensten waarbij je als gebruiker zelf kunt kiezen om ze wel of niet te gebruiken. Om er wel of niet op in te loggen of om er veel of weinig gegevens op te plaatsen. Je kiest daar zelf wat je met Google deelt. En hetzelfde geldt natuurlijk voor je relatie met een partij als Facebook. Maar hoe zit het eigenlijk met de indirecte verrijkingsmogelijkheden?

Net zoals Facebook de Like knop heeft, heeft Google een aantal diensten (en dan laten we software als Chrome en Android voor het gemak even buiten beschouwing) die hier een hele grote rol in spelen: Google Ads, Google Code, Youtube, Google maps, Analytics en Google+. Via deze verschillende diensten biedt Google bedrijven gratis handige hulpmiddelen voor in hun website. Google Ads (advertenties), Youtube, Google maps en Google+ buttons kennen we allemaal. Veel bedrijven integreren ze in hun website om een film te tonen, de bedrijfslocatie bij een bezoek makkelijk te vinden of om de site te promoten binnen je Google+ Circles. Google Code en Analytics zijn voor velen minder bekend, maar bij webontwikkelaars en –beheerders des te meer.

Google code biedt één van de meest gebruikte Javascript biblioteken aan: jQuery. Veel websites gebruiken jQuery om websites slimmer te laten werken. Omdat het een relatief groot bestand is, verwijst de website vaak naar de servers van Google om dat bestand op te halen.

Google analytics biedt bedrijven gratis website statistieken. Hiervoor plaatsen ze in elke pagina een stukje Google programmatuur waarmee google voor het bedrijf bijhoudt hoeveel de verschillende pagina's worden gebruikt.

Hoewel al deze gratis hulpmiddelen handig en onschuldig lijken, zijn het de grootste privacyverslinders die er zijn. Elke keer als een website een filmpje, kaart of +1 knop opneemt, kijkt Google mee met de bezoekers van de site. En hetzelfde geldt voor elk geintegreerd Analytics of JQuery script.

Maar als ik uitgelogd ben weet Google toch niets?
Zo werkt de techniek helaas niet. In haar privacy policy legt Google uit dat het naast cookies ook met "unique device identifiers" werkt. Dit betekent dat ze zichzelf het recht hebben gegeven om naast jouw identiteit ook het websitegebruik op basis van de identiteit van jouw computer(s) te volgen. Dit kan middels zgn. super cookies. Een supercookie is een samenstelling van alle gegevens die jouw computer uniek maken. Je scherm resolutie, je browser, welke plugins je gebruikt, enzovoort. Deze supercookies zorgen ervoor dat jouw computer ondanks welke privacyinstelling dan ook toch gewoon herkenbaar is. Als jij regelmatig met een Google account op een computer inlogt, kan Google met een redelijke zekerheid vaststellen dat jij de primaire gebruiker van de computer bent. Het internetgebruik op die computer is daarmee ook als je niet ingelogd bent goed tot op een gebruiker of een gezin te herleiden. Nog los van het feit dat een gezin vaak langere tijd hetzelfde IP adres, of een IP adres uit dezelfde regio heeft, waarmee de betrouwbaarheid van het supercookie verder vergroot kan worden. Deze voorbeelden gelden uiteraard enkel voor privacybewuste gebruikers. Veel gebruikers nemen uberhaupt niet de moeite om uit te loggen en zijn daardoor per definitie eenvoudig onder de eigen identiteit te volgen.

Als we de mogelijkheden van device en user tracking koppelen aan het feit dat het merendeel van de websites één of meerdere Google diensten heeft geintegreerd, kunnen we vaststellen dat Google veel meer over ons (of onze computer, ook dat is gewoon een identeit met verkoopbare kenmerken) weet dan we het bedrijf zelf vertellen.

Zo weet Google na het schrijven van dit artikel dat ik contact heb gezocht met IGHD verslavingszorg en jellinekminnesota.nl. Dat ik vermoedelijk relatieproblemen heb en er graag aan wil werken met eroverpraten.nl. En dat ik op het gezondheidsplein en bij Consumed meer over antidepressiva te weten wilde komen om daarna bij sky dive Ameland 1m27s over de "eensprongs cursus" te lezen.

Zou een profiel als het mijne voor bijvoorbeeld een verzekeraar interessant zijn? Zou er interesse zijn voor de afname van op dit profiel gebaseerde advertenties? Niet zozeer om extra diensten te verkopen aan deze doelgroep, maar om vast te stellen dat als Google bij een bezoek een advertentiehit heeft op basis van de profilering, een premieopslag of extra medische keuring noodzakelijk is? Risicoreductie is en blijft natuurlijk de manier om een solvabel portfolio te ontwikkelen...

De mogelijkheden die bedrijven als Google en Facebook hebben om internetters te profileren zijn eindeloos en reiken veel verder dan wij in eerste instantie zien. Als privacybewuste consument zou ik graag niet alleen inzage hebben in de gegevens die Google in directe zin over mij verzamelt, maar ook in alles wat daar indirect aan te relateren is. De huidige oplossingen bieden mij alleen schijncontrole. Paradoxaal genoeg is de uitvoering van deze wens vanwege privacyconsequenties onmogelijk. Wat niet onmogelijk is, is dat Google gebruikers van een computer de mogelijkheid geeft om gegevens over het internetbezoek vanaf die computer niet te loggen. En om alles dat in het verleden is gelogd en/of geaggregeerd te verwijderen.

Als privacybeschermers gebruikers écht de controle over Googles verzameldrift willen geven, moet de aandacht verder gaan dan enkel de zaken die direct aan een gebruikersprofiel gerelateerd zijn. Het is voor Google immers kinderspel om gegevens die onder een ogenschijnlijk onherleidbaar computerprofiel zijn opgeslagen toch eenvoudig en met een zeer hoge mate van waarschijnlijkheid naar een individu te herleiden. De huidige uitdagingen waar het afspraken rondom privacybescherming betreft lijken groot, maar wil je de consument meer dan schijnprivacy bieden, dan is de werkelijke uitdaging nog veel groter.