Wie op een link klikt in de UM-nieuwsbrief of andere e-mails als de aankondiging van de Dies Natalis, gaat niet rechtstreeks naar de bewuste website, maar maakt eerst een tussenstop op een UM-server. Daar draait een programma dat, via een unieke code in elke afzonderlijk verstuurde mail, bijhoudt welke medewerker of student op welke link klikt, en dus wie welke informatie interessant vindt. Maar ook wanneer en vanaf welk IP-adres dat gebeurt en via welke provider.
Met deze tracking links verzamelt de UM informatie van studenten en medewerkers zonder dat ze daarvan op de hoogte zijn, zegt derdejaars econometriestudent Peter van Mill, handig met computers en gesteld op zijn privacy. “Van bedrijven verwacht ik deze marketingtrucs, maar niet van een universiteit. Vanuit privacy-oogpunt is dit niet in de haak. Ik wil de nieuwsbrieven kunnen lezen zonder dat de universiteit in de gaten houdt waar ik op doorklik.”
Vertrouwen
Woordvoerder Koen Augustijn laat weten dat de universiteit werkt met Tripolis, een programma dat inderdaad registreert wie waarop doorklikt. Het is de UM echter niet te doen om de individuele keuzes, zegt Augustijn, maar om “de aantallen clicks om te beoordelen of er ook daadwerkelijk gebruik wordt gemaakt van de aangeboden inhoud”.
Over de tracking links informeert de UM haar studenten en medewerkers in het privacy statement op de website, zegt de woordvoerder. Daarin staat: “Om de efficiëntie en relevantie van de bovengenoemde nieuwsbrieven te kunnen meten, worden er statistieken bijgehouden over de interactie door de ontvangers met de gestuurde informatie.”
Los van de onduidelijke formulering is het de vraag of deze verklaring voldoet. De Autoriteit Persoonsgegevens meldt desgevraagd: “Zodra tracking links gegevens opleveren die te herleiden zijn tot een IP- of e-mailadres, dan is expliciet toestemming nodig van de gebruiker.”
Waarom is er geen optie om niet gevolgd te worden, vraagt Van Mill zich af. “De UM beweert dat ze individuen niet in de gaten houdt, maar dat valt niet te controleren. Je moet er maar op vertrouwen dat de universiteit zich aan haar woord houdt. En stel, er wordt niet gekeken naar die individuele data, worden ze wel gegenereerd en opgeslagen? En wie kan er dan bij?”
Geanonimiseerd
Dan zijn er de cookies. Zoals op zoveel websites krijgen studenten en medewerkers er ook op de UM-website mee te maken. Bij het eerste bezoek verschijnt er een pop-upvenster waarin je kunt kiezen: allow all cookies, customize, use necessary cookies only. Maar wie kiest voor alleen de ‘noodzakelijke’, zegt Van Mill, krijgt er toch vijf analytische cookies bij, plus eentje van Google analytics, die onder meer vastleggen welke pagina’s je bezoekt, en hoe lang.
Hoe noodzakelijk is dat?
De UM laat weten dat ze geen andere analytische cookies gebruikt dan Google Analytics. Augustijn: “We hebben vorige week een extra check gedaan. Daaruit bleek dat op een aan de UM gelieerde website wél vijf analytische cookies werden geplaatst. Dit is inmiddels aangepast.”
Voor het gebruik van Google Analytics heeft de UM geen toestemming nodig, omdat ze de gegevens anonimiseert. Daarmee voldoet de universiteit aan de privacyregels, zegt Augustijn.
AutoDelete
Voor het plaatsen van analytische cookies, zegt de Autoriteit Persoonsgegevens in haar reactie, “hoeft doorgaans geen toestemming gevraagd te worden, mits de website die cookies alleen zelf gebruikt om bezoekers te tellen en daarmee geen persoonsgegevens (verder) verwerkt. Met analytische cookies krijg je beter inzicht in het functioneren van je website.”
Van Mill: “Je kunt deze cookies als nodig beschouwen, maar wat mij betreft niet als noodzakelijk. Ook hierbij geldt: waarom laat de universiteit mensen niet kiezen om de cookies al dan niet te accepteren.”
Wat ook kan: gratis bestandjes downloaden, oftewel browser-extensies, die de cookies steevast van je computer gooien. Van Mill raadt onder meer Cookie AutoDelete aan.