Elke verbinding met een website genereert technische gegevens die via verschillende tussenpersonen reizen voordat ze uw scherm bereiken. Deze tussenpersonen, van de internetprovider tot de browser die op uw apparaat is geïnstalleerd, houden meer of minder gedetailleerde sporen van uw parcours bij. Het Europese regelgevingskader, met name de AVG, reguleert de verzameling en het gebruik van deze gegevens, maar de technische realiteit laat grijze gebieden bestaan die de meeste gebruikers negeren.
Surfgegevens en technische onderscheppingslagen
Wanneer u een adres in uw browser invoert, gaat de aanvraag eerst via een DNS-resolver, vaak die van uw internetprovider (ISP). Deze resolver vertaalt de domeinnaam naar een IP-adres en houdt een logboek bij van deze vertalingen. Zelfs als de bezochte site het HTTPS-protocol gebruikt, ziet de ISP de domeinnamen die u raadpleegt, niet de inhoud van de pagina’s.
Aanvullende lectuur : Hoe uw tuinieren te optimaliseren met economische en ecologische mulchtechnieken
De browser zelf slaat lokaal de geschiedenis, cookies en formuliergegevens op. Google Chrome synchroniseert bijvoorbeeld deze informatie met uw Google-account als de functie is ingeschakeld. Firefox biedt een vergelijkbare synchronisatie via een Mozilla-account. Deze gegevens blijven toegankelijk voor iedereen die fysieke of afstandelijke toegang heeft tot uw sessie.
Om precies te begrijpen wie uw online activiteit kan zien, moet men drie niveaus onderscheiden: het netwerk (ISP, Wi-Fi-beheerder), de software (browser, zoekmachine) en het apparaat (iedereen met directe toegang).
Verder lezen : Hoe u het beheer van uw administratieve documenten in uw bedrijf kunt optimaliseren
Toezicht op het werk: wat het Europese recht toestaat en beperkt
Het Europees Comité voor gegevensbescherming (EDPB) heeft op 18 mei 2024 een herziening van zijn Richtlijnen 3/2019 over de verwerking van persoonsgegevens in de professionele context afgerond. Deze tekst verduidelijkt dat systematische en grootschalige monitoring van de online activiteit van werknemers in principe onevenredig is in het licht van de AVG.
Werkgevers die DNS-filteringstools, proxies of oplossingen voor gegevenslekpreventie (DLP) implementeren, moeten werknemers op een duidelijke, volledige en begrijpelijke manier informeren. Deze verplichting geldt ook wanneer de monitoring via derden zoals Google Workspace of Microsoft 365 verloopt.
Recente Franse jurisprudentie
De Hoge Raad heeft in uitspraken van september 2022 en maart 2023 herinnerd dat de werkgever de bestanden of browsegeschiedenis die als persoonlijk zijn geïdentificeerd op een professioneel apparaat alleen kan raadplegen als strikt wordt voldaan aan het recht op privacy. In de praktijk geniet een map genaamd “persoonlijk” op een desktopcomputer juridische bescherming, zelfs als het apparaat eigendom is van het bedrijf.
De privé-browsingmodus beschermt niet tegen netwerkmonitoring door de werkgever. Deze modus voorkomt dat de browser lokaal de geschiedenis en cookies opslaat, maar de DNS-aanvragen en het netwerkverkeer blijven zichtbaar voor de netwerkbeheerder van het bedrijf.
Incognito-modus en VPN: twee tools met heel verschillende reikwijdtes
De verwarring tussen privé-browsing en online anonimiteit blijft vaak bestaan. De incognito-modus werkt alleen op het niveau van de browser:
- Het voorkomt dat de geschiedenis, cookies en formuliergegevens lokaal worden opgeslagen bij het sluiten van het tabblad
- Het verbergt uw IP-adres niet voor de bezochte sites, de ISP of de netwerkbeheerder
- Het versleutelt het verkeer tussen uw apparaat en de bestemmingsserver niet verder dan de standaard HTTPS
Een VPN (virtueel particulier netwerk) opereert op een ander niveau. Het creëert een versleutelde tunnel tussen uw apparaat en een tussenliggende server, waardoor uw echte IP-adres voor de bezochte sites wordt verborgen en de ISP de geraadpleegde domeinnamen niet kan zien. De ISP ziet alleen dat u verbonden bent met een VPN-server, zonder de bezochte sites te kunnen identificeren.
De VPN-provider zelf kan echter mogelijk uw verkeer observeren. De keuze voor een service die een strikt no-log beleid hanteert, wordt dan een bepalende factor. De beschikbare gegevens stellen niet in staat om onafhankelijk alle door de aanbieders aangekondigde no-log beleid te verifiëren.
Privacy-instellingen van de browser: de instellingen die echt het verschil maken
Naast de VPN zijn er verschillende instellingen die direct in uw browser toegankelijk zijn en die de blootstelling van uw gegevens verminderen. Niet allemaal zijn ze even effectief.
- Het inschakelen van automatische verwijdering van cookies bij het sluiten van de browser beperkt de advertentietracking tussen sessies, maar heeft geen invloed op fingerprinting (digitale vingerafdruk van uw apparaat)
- Het configureren van een versleutelde DNS-resolver (DNS over HTTPS) voorkomt dat uw ISP uw DNS-aanvragen in platte tekst kan lezen, mits de browser en de gekozen resolver dit ondersteunen
- Het deactiveren van de synchronisatie van de geschiedenis met een online account (Google, Microsoft, Mozilla) verwijdert een externe kopie van uw activiteit, maar u verliest ook de continuïteit tussen apparaten
- Het gebruik van extensies voor het blokkeren van trackers vermindert het aantal derden dat gegevens verzamelt tijdens uw browsen, maar garandeert niet een volledige bescherming
Geen enkele afzonderlijke instelling is voldoende om uw browsen onzichtbaar te maken. De combinatie van een versleutelde DNS, een betrouwbare VPN en een goed geconfigureerde browser dekt de meeste lekvectoren, zonder volledige anonimiteit te bereiken.
Verwijdering van Google-geschiedenis
Google stelt in staat om de automatische verwijdering van de zoekgeschiedenis en webactiviteit na drie, achttien of zesendertig maanden in te stellen. Deze instelling bevindt zich in de instellingen van het Google-account, sectie “Gegevens en privacy”. Verwijdering aan de gebruikerszijde verwijdert niet noodzakelijkerwijs alle sporen aan de serverzijde, aangezien Google bepaalde geaggregeerde gegevens behoudt voor het verbeteren van zijn diensten.
De CNIL raadt bovendien aan om regelmatig de toestemmingen die aan applicaties en browserextensies zijn verleend te controleren, die vaak een onderschat kanaal voor gegevensverzameling vormen. Elke geïnstalleerde extensie kan potentieel toegang krijgen tot uw volledige browsegeschiedenis als de permissies dit toelaten.
Online privacybescherming berust op een combinatie van technische maatregelen en keuzes van tools, niet op een enkele oplossing. Begrijpen op welk niveau elke tussenpersoon betrokken is, blijft de voorwaarde om te beslissen welke instellingen te activeren en welke diensten te adopteren.