Privacybewuste consumenten zoeken een simpel alomvattend middel om hun webactiviteiten af te schermen en hun identiteit te beschermen. Er zijn een heleboel middelen die claimen dit te kunnen - VPN's, privacybeschermende browsers als Tor, privacyvriendelijke zoekmachines als DuckDuckGo, diverse diensten die volledige anonimiteit beloven - maar de praktische realiteit is dat deze claims overtrokken zijn.

Laat me eerst benadrukken dat deze diensten een goede zaak zijn en je identiteit beschermen voor de doorsnee, ongetrainde kijker, zoals een huisgenoot, partner, collega, baas, et cetera. Maar een consument die denkt dat een tool als deze werkt tegen overheden, gemotiveerde criminelen of identiteitsdieven, of ieder ander die graag wél wil zien wat er achter de schermen gebeurt, komt van een koude kermis thuis.

Gedrag maakt uniek

Dat blijkt ook uit recent onderzoek van wetenschappers van universiteiten Stanford en Princetonn (PDF). "Ieder mens heeft een specifiek sociaal netwerk en de combinatie van koppelingen die je aantreft in een feed is uniek. Ervan uitgaande dat gebruikers deze links in hun feed eerder bezoeken dan een willekeurig persoon, bevat elke browsergeschiedenis duidelijke signalen over iemands identiteit", meldt het rapport.

"Om dit effect te testen hebben we aan 400 mensen de webgeschiedenis gevraagd en meer dan 70 procent konden we correct identificeren. Deze theorie is van toepassing op elke soort transactionele data en is ruisbestendig, waardoor een brede reeks aam deanonimiserende aanvallen mogelijk is. Omdat we het correcte Twitter-profiel uit 300 miljoen kandidaten konden vinden denken we dat dit deze denanomiserende methode op de grootste schaal ooit uitvoerbaar is."

Met andere woorden, het punt van het onderzoek is dat mensen gewoontedieren zijn. Je kunt je gezicht, IP-adres, locatie en andere gegevens verhullen, maar dat is lastiger te doen met gedrag.

Koopgedrag moordenaar

Een paar jaar geleden was er een opsporingsproject om verdachten in beeld te krijgen door hun aankooppatronen in kaart te brengen. Stel dat een verdachte zich ergens schuilhoudt in haar stad. Ze gebruikte voorheen een pinpas, biebpas, en had kortingskaarten van diverse supermarkten. Daarna pleegde ze een aantal moorden en dook ze onder. Ze trok haar rekening leeg, zodat ze van contant geld kon leven, vernielde haar mobiele telefoon, kocht een vals paspoort en reed naar een stad ver weg. Ze probeerde volledig te verdwijnen.

Gewapend met historische informatie van koopgedrag, keken opsporingsbeambten naar terugkerende patronen. Welk fruit kocht ze? Welk broodbeleg, welke smaken, welk ontbijt? Wat las ze? Wat dronk ze? Ook als ze niet participeerde in een AH-bonusprogramma, kon je deze gegevens uit 'anonieme' verkoop halen. Winkels door het hele land zouden ook worden gevraagd om te letten op de vastgestelde patronen. Het bleek eng nauwkeurig te zijn om iemand op te sporen.

Zelfs als een verdachte in staat was om kooppatronen aan te passen, zou ze vernuftig genoeg zijn om al haar gedragingen aan te passen? Haas gezicht zou nog kunnen worden herkend door gezichtsherkennende software die beelden van bewakingscamera's analyseert. Haar nummerbord zou kunnen worden gedetecteerd door een commerciële scandienst of een kentekenhenningssysteem op de openbare weg.

Routine is moeilijk te veranderen

Dat is de fysieke wereld. Hetzelfde geldt voor online. Routinematig bezoeken we dezelfde sites, lezen we dezelfde soort verhalen en besteden we daar evenveel tijd aan, en klikken we op links die worden gepost door dezelfde mensen in onze sociale kring. Een IP-verhullende VPN brengt daar geen verandering in.

Je hoort vaak mensen zeggen dat privacy dood is. Zo erg is het hopelijk nog niet, maat het is wel belangrijk dat consumenten beseffen dat ze er niet op kunnen vertrouwen dat een tool ze anoniem maakt als hun gedrag - hun interesses, hun gewoontes, hun vrienden - gevolgd kan worden. Als iemand me vraagt of ze wanneer ze privacy-apparaat X gebruiken gevolgd kunnen worden, is het antwoord altijd: "Hangt ervan af. Over wie maak je je zorgen?" Deze middelen bieden goede low-level bescherming, waardoor het lastig wordt om je te volgen en dat blokkeert de meeste routinematige pogingen.

Anti-inbraak is goede zaak

Je moet deze middelen zien als het installeren van een stevige grendel op je voordeur. Dat houdt de gelegenheidsdief buiten, maar iemand die is betaald om specifiek bij jou huis in te breken? Nee. De inbreker heeft tal van andere opties, kan zelfs zich met brute kracht naar binnen werken, en heeft altijd nog de optie te wachten tot je de grendel zelf loszet om vervolgens met een pistool naar binnen te dringen. Neemt niet weg dat de vergrendeling een goede investering is om ervoor te zorgen dat de doorsnee dief jouw huis overslaat en er eentje zoekt zonder dit middel.

Ik gebruik zelf een VPN, maak gebruik van Tor en surf in Incognito-modus. Maar er zijn sites die niet werken met die configuratie maar ik wel nodig heb en daar ga je al. De bottom line is dat je je kunt afschermen van adverteerders en veel van het online gespuis met zulke tools en apparaten, maar als iemand je echt wil volgen, dan lukt dat wel.