Waarom mag je browser zoveel informatie doorgeven zonder jouw expliciete toestemming?

In dit artikel:

Ict-jurist Arnoud Engelfriet behandelt in zijn wekelijkse rubriek een vraag over het verschil tussen tracking via cookies (waarvoor vaak expliciete toestemming gevraagd wordt) en tracking via browser- of systeemeigenschappen (fingerprinting), die meestal zonder aparte toestemmingsvraag gebeurt. De kern van de juridische scheiding ligt in Europese en Nederlandse regels: het verbod op het uitlezen of plaatsen van gegevens op randapparatuur komt uit de ePrivacy-richtlijn en is in Nederland via de Telecommunicatiewet verankerd. Dat regime vereist in de regel toestemming, met uitzondering van technisch noodzakelijke cookies (zoals voor winkelmandjes) en een Nederlandse uitzondering voor bepaalde first‑party-analytics (denk aan Google Analytics‑achtige metingen met weinig privacyimpact).

De technische gegevens die browsers en besturingssystemen proactief meesturen (user agent, fonts, tijdzone, e.d.) worden niet “uitgelezen van” het randapparaat maar door de browser verzonden, waardoor ze buiten het ePrivacy‑uitleesverbod vallen. Deze fingerprints vallen wel onder de AVG (GDPR) als persoonsgegevens, maar de AVG biedt meerdere rechtsgronden naast toestemming — bijvoorbeeld het eigen gerechtvaardigd belang. Dat betekent dat organisaties onder voorwaarden zonder expliciete cookie‑toestemming kunnen tracken met fingerprints, mits ze de AVG‑vereisten (zoals belangenafweging en gegevensbescherming) naleven.

Engelfriet benadrukt hiermee het juridische onderscheid tussen technische plaatsing/uitlezing van gegevens en door de eindgebruikersoftware vrijwillig meegestuurde informatie, en dat dit de praktische praktijk van online tracking bepaalt.