Inspiratie, Verdieping

Form tracking & hardnekkige cookies: hoe ver ga je met klantgegevens?

0

Data worden alsmaar belangrijker. Wie geen data heeft, verzamelt, analyseert of koopt zal afhaken. Data zijn de reden dat bedrijven als Google en Facebook binnen tien jaar zijn gegroeid tot online giganten die niet meer weg te denken zijn. Maar hoe ver ga jij als bedrijf? Welke klantgegevens gebruik je wel en welke niet? En hoe ver wil je uiteindelijk gaan? Waar ligt de grens?

Facebook en Google leven van data

Vrijwel gelijk met de opkomst van websites als Google en Facebook rees de vraag in hoeverre dit soort sites te vertrouwen zijn. Vaak was niet duidelijk genoeg wat deze instanties deden met de privacy van de gebruiker. En met name de laatste jaren loopt het qua privacyzorgen de spuigaten uit nu deze bedrijven samen met onder andere Microsoft, Apple en Amazon zijn verwikkeld in een continue strijd om de beste diensten, de meeste gebruikers en de meest waardevolle data.

Google voerde hierin een soort ‘long con’ uit, waarbij het bedrijf geleidelijk aan, met elke nieuwe dienst die het opzette, stukjes van de puzzel die de gebruiker heet bij elkaar sprokkelde om zo tot een poel aan data te komen die het nu kan inzetten om de diensten verder te optimaliseren en zo meer voor advertenties te kunnen vragen. Facebook daarentegen draaide wat minder om de hete brij en bewees haast met iedere nieuwe feature weer dat ze bezig waren met het verzamelen van bruikbare en waardevolle gebruikersdata.

De consument bleef ondertussen niet stilzitten. Steeds vaker verschenen, eerst in de underground-media maar later ook in de reguliere online en offline media, berichten dat bedrijven als Google en Facebook (stilletjes) wijzigingen hadden doorgevoerd of updates hadden uitgebracht die in strijd waren met de heersende ongeschreven regels of de wettelijke restricties waar commerciële bedrijven aan gebonden zijn.

Niet alleen angst voor Google en Facebook

Nu zullen regeringen, waakhonden, consumentenverenigingen en alerte burgers dit soort bedrijven nauwlettend in de gaten blijven houden, maar misschien moeten we het gevaar wel in een andere hoek zoeken. Kleine, ambitieuze startups of slimme hackers die de huidige tools op zo’n manier inzetten dat er plots een rits aan gegevens openbaar wordt of kan worden gemaakt die niet openbaar hoort te zijn.

Sumit Suman van Mentii kreeg met zo’n website te maken. Hij bezocht de website uberVU en beek diens landings- en prijspagina. Hij meldde zich nergens voor aan, liet nergens op de site zijn e-mailadres achter en ging geen actieve verbinding aan met een van de sociale mediatools op de site. En tóch kreeg hij een dag later mail van uberVU. Hij vraagt zich dan ook terecht af of dit gebruikelijk is, of dit openlijk wordt gedaan en of het zelfs wettelijk wel mag.

uberVU

Reactie van uberVU op Sumit Saman

uberVU maakte gebruik van de diensten van een bedrijf dat LeadLander heet. Dit bedrijf identificeert gebruikers op hun bedrijfsnaam, door te kijken naar bijvoorbeeld het IP-adres en weet dan door middel van profielen op zakelijke netwerksites als LinkedIn en Jigsaw uiteindelijk die bezoeker per mail te bereiken (lees: spammen).

LeadLander doet echter ook aan ‘form tracking’, waarbij het bijhoudt wat mensen invullen op websiteformulieren. Het bedrijf levert “een diepgaande analyse van wat elke bezoeker aan het doen is, zowel voor als na het voltooien van het formulier, hoe ze er zijn beland en wanneer ze in de toekomst terugkomen”. In een mailconversatie met een potentiële klant legt LeadLander het als volgt uit: “bijvoorbeeld, als een bezoeker naar ABC.com is geweest en hij heeft daar een webformulier ingevuld en later bezoekt hij XYZ.com, dan kan XYZ.com de bezoeker identificeren op naam en e-mailadres en bedrijfsgegevens, ondanks dat de bezoeker nooit een formulier heeft ingevulgd op XYZ.com!”

Suman was alles behalve te spreken over de diensten die uberVU blijkbaar had ingeschakeld en nadat zijn beklag op diverse sociale netwerken en websites verscheen, kondigde uberVU aan niet langer meer gebruik te maken van de tools van LeadLander. Maar ja, denk nu maar niet dat Suman nog op wat voor manier dan ook zaken wil doen met uberVU. En daar zullen andere mensen net zo over denken nu ze weten met wat voor tools uberVU leads probeerde te scoren.

Er zijn meer creepy bedrijven en tools…

Maar LeadLander is niet de enige die discutabele tools tot z’n beschikking heeft. Evercookie is een javascript-API dat zeer hardnekkige cookies in een browser produceert. Het doel is om een gebruiker te identificeren, zelfs nadat hij standaard cookies, Flash-cookies (Local Shared Objects) en dergelijke heeft verwijderd. Door het opslaan van cookie-data in verschillende soorten opslagmechanismen die beschikbaar zijn in de browser kan Evercookie dit voor elkaar krijgen. En Relead doet nagenoeg hetzelfde als LeadLander: “we kunnen exact traceren wie jou websites bezoekt en hoe waardevol of geïnteresseerd ze zijn in jouw bedrijf. Zie complete bedrijfsprofielen van je bezoekers: bedrijfsnaam, industrie, grootte. En binnenkort voegen we ook kredietrisico toe.”

Relead

Relead

Dit zijn wellicht wat vergezochte voorbeelden, maar het is ook al mogelijk om heel wat over je bezoeker te komen dankzij de vele social mediaplugins die tegenwoordig menig website sieren. Wie ingelogd is met een Facebookaccount wordt gevolgd op sites die een ‘like’-button op de site hebben staan, zelfs als die bezoeker niet op de Facebook-button klikt. En zelfs uitgelogde Facebookgebruikers kunnen in theorie nog steeds gevolgd worden.

De vraag is hoe je met de mogelijke beschikking tot deze tools omgaat als bedrijf. Dus daarom: hoe ver ga jij als bedrijf? Welke klantgegevens gebruik je wel en welke niet? En hoe ver wil je uiteindelijk gaan? Waar ligt de grens?