blog placeholder

P3P ( platform for privacy preferences project) is een protocol dat websites in staat stelt om informatie op te vragen over bezoekers van de website. Het protocol is ontworpen om gebruikers meer controle te geven over hun persoonlijke informatie en P3P ( dat is ontwikkeld door Word Wide Web Consortium (W3C) ) is op 16 april 2002 officieel aangeraden voor gebruik.

 

Het doel van P3P

Terwijl het Internet een steeds veiliger medium is geworden om producten en diensten te verkopen hebben websites op diverse manieren getracht om handige informatie op te slaan over bezoekers. Sommige bedrijven hebben controverse manieren toegepast zoals het gebruik van cookies om het zoekgedrag en koopgedrag van bezoekers in kaart te brengen en zo advertenties doelgerichter te specificeren. Veel gebruikers zagen dit als een regelrechte inbreuk op hun privacy en leidde ertoe dat veel gebruikers cookies uitschakelden en proxy servers gebruikten om websites te bezoeken en dat leidde tot veel frustratie bij website eigenaren. Volgens W3C is het doel van P3P om bezoekers en gebruikers de mogelijkheid te geven om zelf te bepalen welke informatie zij vrijgeven om zo het algemeen vertrouwen in de veiligheid van het Internet door technische ontwikkelingen te bevorderen.

P3P helpt een website om de informatie die wordt verzameld in kaart te brengen. P3P gaat met informatie om door het gebruik van privacy policies. Wanneer een website P3P gebruikt dan kiest de website voor een aantal policies (regels, voorwaarden) waarin wordt aangegeven met welke intensie bepaalde informatie verzameld wordt. Wanneer een gebruiker P3P gebruikt kan de gebruiker aangeven welke informatie de gebruiker wel en niet door wil geven aan de websites die de gebruiker bezoekt. Wanneer de bezoeker een website bezoekt vergelijkt P3P de gegevens die de bezoeker wil vrijgeven met de informatie die de server probeert op te vragen. Wanneer deze waarden niet met elkaar overeenkomen wordt de gebruiker gevraagd om het beleid te accepteren waardoor de gebruiker het risico loopt dat er gegevens worden vrijgegeven die de gebruiker liever geheim houdt en dat is wat de gebruiker niet bedoeld had. Een gebruiker kan bijvoorbeeld in een browser aangeven dat informatie over hun zoekgedrag niet mag worden verzameld. Als de website aangeeft dat een cookie wordt gebruikt om dit te doen wordt de cookie automatisch geweigerd. De voornaamste inhoud van een privacy policy (privacy beleid) is als volgt:

Welke informatie de server onthoudt:

  • Wat voor soort informatie wordt er verzameld, persoonlijke gegevens of niet?
  • Welke gegevens worden er opgeslagen? (ip adres, browsertype, resolutie, etc)
Het gebruik van de verzamelde informatie
  • Hoe wordt deze informatie gebruikt? Bijvoorbeeld voor het verbeteren van zoekresultaten of het specificeren van advertenties
  • Wie krijgt toegang tot deze informatie? Sommige websites verstrekken deze gegevens aan derden.
Het privacybeleid kan worden ontvangen als een XML bestand of kan in de verkleinde vorm worden vermeld in de HTTP header van de website. De locatie van het XML bestand met het privacybeleid kan op drie manieren worden gegeven.
  • In de HTTP header van het document
  • In de HTML head van het document
  • In geen geval van beiden wordt vaak /w3x/p3p.xml gebruikt net als dat favicon.ico een vaste plaats heeft gekregen.
P3P kent een zogenaamde max-age, de maximale periode waarin uw gegevens bewaard mogen worden gebleven en mogen worden gebruikt. In een p3p.xml privacybeleid zou dat er bijvoorbeeld als volgt uitzien:

P3P User Agents

Microsoft Internet Explorer biedt de mogelijkheid om P3P policies weer te geven, P3P policies met uw eigen regels te vergelijken en cookies te weigeren waar dat nodig is. Het nadeel is dat Internet Explorer alleen probeert cookies te blokkeren en een website die het volledige privacybeleid overtreed helemaal niet te melden aan de nietsvermoedende gebruiker.

Het is uiterst belangrijk voor gebruikers om in welke browser dan ook duidelijk aan te geven welke informatie er mag worden verzonden naar de server waarop de website draait. Ook is het zeker geen slecht idee om te zoeken naar hulpmiddelen die uw privacy beschermen. AT&T Privacy Bird  is een voorbeeld van een volledig P3P user agent.

The privacy finder is een publiek toegankelijke zoekmachine die zoekt naar websites die hetzelfde beleid hanteren als dat u in uw browser heeft aangegeven. Dit wordt gedaan door een P3P cache geheugen te maken van elke site die in de zoekresultaten verschijnt. In de toekomst zal het filteren van websites die geen beleid hebben dat aan uw voorkeuren voldoet de gebruiker veiliger maken op het internet en dat zal misschien leiden tot het volledig standariseren van een dergelijk protocol. Daarbij komt dat u op deze manier ook het privacybeleid van een website kunt weten voordat u de website bezoekt, en dat bevordert een veiliger en anoniemer internet.

Voordelen

P3P helpt gebruikers om een privacybeleid van een website te begrijpen zonder dat zij de hele website door hoeven te zoeken in de hoop een privacybeleid te vinden dat duidelijk is geformuleerd. Doordat gebruikers zelf een beveiligings niveau kunnen instellen kunnen cookies die gebruikers niet willen hebben worden geblokkeerd.

In een tijd met veel verschillende browsers wordt het steeds moeilijker om privacy te behouden. P3P is ontwikkeld om de automatische communicatie tussen systemen te bevorderen en gebruikers in staat te stellen om hun eigen privacy voorkeuren in te stellen wanneer zij het internet gebruiken.

Critici over P3P

Het Electronic Privacy Information Center (EPIC) kijkt kritisch naar P3P en vindt dat het voor gebruikers te moeilijk wordt om hun privacy te beschermen. Ookal is EPIC een voorstander van privacy, EPIC vindt P3P nog een arme ontwikkeling met een arm beleid. Volgens EPIC is het gebruik van P3P voor veel bezoekers veel te complex en veel internet gebruikers weten niet hoe zij aanvullende P3P software zouden moeten installeren. Een andere zorg is dat zowel websites als gebruikers niet verplicht zijn om P3P te gebruiken en er met P3P veel informatie verstuurd kan worden dat zelfs in het nadeel van de gebruiker kan werken.

Ook een probleem om rekening mee te houden is dat er geen verlooptijd zit op alle gegevens die je aan een website doorgeeft. Van gebruikers die een product kopen op het internet worden gegevens tot wel 10 of 20 jaar langer kunnen worden bewaard en dat is iets waar veel internet gebruikers niet op zitten te wachten.

Daarbij komt dat op een website in het privacybeleid dat automatisch wordt gelezen door de browser kan staan dat er geen persoonlijke informatie wordt opgeslagen. Of de website zich aan zijn eigen voorwaarden houdt wordt totaal niet op gecontroleerd.

Het grootste bezwaar is dat P3P kan zorgen voor een gigantische monopoly van persoonlijke informatie. Zoals het lijkt zijn alleen grote bedrijven bezig met het implementeren van dit protocol en zijn dus alleen de grote bedrijven bezig met het verzamelen van persoonlijke gegevens. Op deze manier kan een bedrijf het privacybeleid gebruiken om na te gaan welke privacy voorkeuren een internet gebruiker heeft en is P3P niet langer een manier om privacy te beschermen, maar om de monopoly positie van U.S datamarketeers alleen maar te versterken.

Critici over critici

Veel mensen zijn onzeker over of de mogelijkheid van het verzamelen van persoonlijke gegevens een nuttige ontwikkeling is geweest op het internet en een deel van die mensen doet er alles aan om alle persoonlijke informatie die die een website vraagt te blokkeren. Anderen stellen dat het internet inmiddels honderden miljarden pagina’s telt en die persoonlijke informatie wel moet kunnen worden verzameld, enkel om de juiste informatie te tonen aan de bezoeker en niet om er een hele zooi advertenties op los te laten.

Inmiddels hebben diverse bedrijven overwogen om P3P niet te gebruiken en niet te ondersteunen in een browser.

Alternatieven

Er zijn natuurlijk alternatieve manieren de privacy van iemand te beschermen op het internet. Eerder in dit artikel is het gebruik van een anonieme proxy server genoemd, ook is het zeker geen slecht idee om regelmatig tijdelijke internetbestanden te verwijderen. Dat kan ertoe leiden dat een bezoeker niet langer is ingelogd op een vertrouwde site en daarom is het uiterst handig om bepaalde cookies niet te verwijderen.

Helaas voor de een en zeer gelukkig voor de ander zijn er ook alternatieve manieren om gegevens van u op te vragen zonder het gebruik van cookies. Er zijn diverse bedrijven die software op de markt hebben gebracht die probeert dat te voorkomen.