Universiteit Leiden

nl en
Christoph Scholz / Flickr / CC / by-sa 2.0

Promovendus Van Eijk maakt privacy meetbaar bij online advertenties

Op Facebook zie je een reclame van een vakantie-aanbieder. Toevallig, denk je, want eerder heb je online gezocht naar een vakantiebestemming. Maar dat is niet toevallig: tientallen partijen kijken digitaal over je schouder mee en zo wordt bepaald welke advertentie jij waar te zien krijgt. Promovendus Robbert van Eijk onderzocht dit proces en verdedigt op 29 januari zijn proefschrift.

De techniek die online reclame mogelijk maakt, wordt 'real-time bidding' (RTB) genoemd. Als jij een website bezoekt, wordt binnen een paar tienden van een seconde de advertentieruimte op die pagina 'geveild': op basis van gegevens die worden opgeslagen in cookies wordt bepaald welk type reclame voor jou het relevantst is. De hoogste bieder van de aanbieder van dit type reclame 'wint' en krijgt – uiteraard tegen betaling – van de adverteerder de ruimte om zijn product aan te prijzen. 'De aanleiding voor het schrijven van dit proefschrift vloeit voort uit de wens om real-time bidding te onderzoeken op het snijvlak van technologie en recht', vertelt Van Eijk. 'Ik wilde meer weten over wat er gebeurt als je als bezoeker van een website advertenties te zien krijgt die jou lijken te volgen. Het onderwerp is relevant in het licht van de toepassing van de Algemene verordening gegevensbescherming (AVG) en de huidige cookiewet waarvan de regels verankerd zijn in onder meer artikel 11.7a Telecommunicatiewet (TW).'

Robbert van Eijk

Van Eijk laat in zijn onderzoek zien dat deze privacycomponent meetbaar gemaakt kan worden. 'Ik combineer in mijn onderzoek rechtsgeleerdheid en data science door wiskundige algoritmen toe te passen op het netwerkverkeer dat is opgevangen tussen de browser en de bezochte websites. Het kijken vanuit een netwerk-scienceperspectief naar de privacycomponent van RTB is nieuw. Dat zit hem in het kunnen onderscheiden van de netwerken van partners die in een advertentiesysteem betrokken zijn bij het tonen van de advertentie op de website die een internetgebruiker bezoekt. Die advertentienetwerken overlappen elkaar ten dele. De nieuwe manier van kijken laat ook zien welke rol partners in een advertentienetwerk hebben in het verzamelen en delen van data van websitebezoekers.'

Dominante bedrijven

Van Eijk toont in het onderzoek aan dat twee soorten algoritmen de onderlinge samenwerkingsverbanden (de betweenness) inzichtelijk maken. 'Dat zijn cluster edge betweenness en node betweenness. De eerste is een maatstaf die is gebaseerd op de kortste paden tussen de partners in een advertentienetwerk. Het algoritme lost een belangrijk probleem op: welke RTB-partners klonteren samen in een RTB-systeem? De tweede lost een ander belangrijk probleem op: welke bedrijven zijn dominant binnen een netwerk van RTB-partners? Node betweenness helpt ons om onderscheid te maken tussen de bedrijven.'

Daarnaast maakt de onderzoeker ook diverse verschillen tussen Europese landen inzichtelijk. 'Ik laat zien dat een Graph-Based Methodological Approach (GBMA) de situatie van verschillen in toestemming aangeeft in 28 Europese landen. Bijvoorbeeld verschil in cookiewaarschuwingen en cookiemuren. In Europa zien we namelijk twee mechanismen voor toestemming. Een impliciete toestemming (waarbij tracking cookies al geplaatst worden voordat een eindgebruiker toestemming heeft gegeven) en een strikt toestemmingsmechanisme (waarbij de wettelijke vereisten zodanig worden geïmplementeerd dat er geen tracking cookies op het apparaat van de eindgebruiker (mogen) worden geplaatst of informatie mag worden gelezen van het apparaat wanneer hij een webpagina bezoekt). Zo kunnen landen met impliciete mechanismen worden vergeleken met landen waar strikte mechanismen de overhand hebben. Dat leidt tot ongelijke rechten.'

Met het onderzoek wil Van Eijk onder meer bijdragen aan de bescherming van de online privacy van de internetgebruiker. 'Het onderzoek draagt bijvoorbeeld bij aan het recent aangevangen Inria PrivaWEB-project over webtracking, de e-Privacy Verordening en de gebruikersbescherming. Het belangrijkste doel van het onderzoeksveld is het vergroten van de transparantie door privacymetingen.'

Promoveren is een eenzame bezigheid. Het groepsgevoel in het Dual PhD Centre helpt als het even tegenzit. 

Van Eijk werkt als senior inspecteur bij de Autoriteit Persoonsgegevens in Den Haag. 'Ik houd me daar bezig met het toezicht op de privacywet. De normen voor dit toezicht zijn bepaald in de AVG. In de praktijk betekent dit dat ik werk in het gebied waar recht en techniek elkaar overlappen. Het uitleggen hoe techniek werkt en de wettelijke norm toepassen op het gebruik van nieuwe technologie vormt een belangrijk onderdeel van mijn dagelijkse werkzaamheden. Ook werk ik mee aan onderzoeken waarbij we soms ter plaatse in de systemen gaan kijken om te zien of bedrijven de persoonsgegevens volgens de wettelijke vereisten verwerken.'

Naast zijn baan volgde Van Eijk een duaal promotieprogramma aan de Universiteit Leiden. 'Dat programma legt allereerst de noodzakelijke basis voor het draagvlak waarop het onderzoek rust. Het draagvlak bestaat uit drie pijlers: (1) werk, (2) universiteit en (3) privé. Het duaal promotieprogramma bevat een belangrijk pre-PhD-jaar. Daarin krijg je instrumenten en vaardigheden voor het doen van wetenschappelijk onderzoek aangereikt. Het programma biedt een prachtige omgeving die de wetenschap en sociale waarden cultiveert die bijdragen aan de voltooiing van een verdedigbaar proefschrift. Eén van de belangrijkste zaken waar het Dual PhD Centre in voorziet, is het zoeken naar een goede match tussen de promovendus en zijn begeleider. In mijn geval heb ik het erg getroffen met mijn promotor prof. dr. H. Jaap van den Herik en co-promotor dr. Mark Dechesne. Omdat promoveren veelal een eenzame bezigheid is, kan het groepsgevoel in het Dual PhD Centre helpen op momenten dat het tegenzit. Bijvoorbeeld tijdens de wekelijkse lunch, waar deelnemers in een veilige omgeving hun onderzoek presenteren en bespreken.'

Prof. dr. H.J. van den Herik over het onderzoek van Robbert van Eijk:

'Robbert van Eijk  heeft een prachtig proefschrift geschreven over online reclame (RTB). Het veilingproces achter RTB is heel mooi uiteengerafeld (een technologisch hoogstandje), maar vele malen interessanter is het kennisuitwisselingsproces achter de veiling. Wat doen cookies precies? En hoe komt het dat grote bedrijven, zoals Google en The Rubicon Project, alle kennis gemeenschappelijk (lijken te) hebben? Hoe staat het met de online privacy?

Van Eijk analyseert het netwerkverkeer minutieus. Hij laat zijn programma's kennis ontwikkelen over de netwerkstructuren en meet met behulp van een nieuwe Graph-Based Methodological Approach (GMBA) de verschillen in consent (toestemming voor gebruik van cookies). Op dit moment hebben de ongelijke uitkomsten (wel of geen toestemming voor plaatsen van cookies) in de 28 landen van de EU geen juridische gevolgen. Dat leidt tot ongelijke rechten.

De vraag is nu: wat zal de reactie van Brussel zijn op dit proefschrift? Het is de hoogste tijd dat men het eens wordt over de ePrivacy Verordening. In de oppositiecommissie zit professor Peter Swire, die acht jaar de personal privacy advisor voor Obama was.'

Tekst: Floris van den Driesche
Mail de redactie

 

Deze website maakt gebruik van cookies. Meer informatie