LinkedIn beschuldigd van heimelijk scannen van browsers in 'Browsergate'-onderzoek
Een onderzoek dat inmiddels algemeen bekend staat als 'Browsergate' heeft ernstige beschuldigingen geuit aan het adres van LinkedIn, waarbij het professionele netwerkplatform wordt beschuldigd van het heimelijk scannen van geïnstalleerde browserextensies van gebruikers en het verzamelen van uitgebreide apparaatgegevens zonder toestemming van de gebruiker of zinvolle vermelding in het privacybeleid. Als de beweringen de toets der kritiek doorstaan, zou dit een van de meest significante controverses op het gebied van bedrijfsgegevensverzameling kunnen zijn waarbij een groot consumentenplatform betrokken is.
De beschuldigingen richten zich op twee specifieke gedragingen: het scannen op duizenden geïnstalleerde browserextensies en het verzamelen van 48 afzonderlijke apparaatkenmerken van de machines van gebruikers. Volgens het onderzoek worden deze gegevens vervolgens teruggestuurd naar de servers van LinkedIn en, naar verluidt, naar externe beveiligingsbedrijven. De omvang is opvallend. Sommige schattingen die worden aangehaald in de berichtgeving over het onderzoek suggereren dat wereldwijd tot 405 miljoen gebruikers getroffen zouden kunnen zijn.
Welke gegevens worden er naar verluidt verzameld en waarom dat ertoe doet
De bezorgdheid gaat verder dan eenvoudige apparaatfingerafdrukken. Browserextensies kunnen veel onthullen over iemands gewoonten, overtuigingen en persoonlijke omstandigheden. Iemand met extensies die betrekking hebben op religieuze inhoud, gezondheidsbeheer, politiek activisme of het zoeken naar werk, legt via zijn of haar browserprofiel feitelijk persoonlijke informatie bloot, vaak zonder dat diegene zich daarvan bewust is.
Wat de Browsergate-beschuldigingen bijzonder ernstig maakt, is de bewering dat de verzamelde gegevens niet afzonderlijk worden opgeslagen. Volgens het onderzoek worden de gegevens rechtstreeks gekoppeld aan de echte namen, werkgevers en functies van gebruikers. Die koppeling transformeert ogenschijnlijk anonieme technische gegevens in gedetailleerde individuele profielen met een professionele context.
Dit is van belang omdat LinkedIn een bijzondere positie inneemt onder sociale platforms. Gebruikers delen doorgaans hun echte identiteit, huidige werkgevers, loopbaangeschiedenissen en professionele netwerken. Het combineren van die geverifieerde identiteitsgegevens met heimelijk verzamelde browsereigenschappen en extensielijsten creëert een profieldiepte die ver voorbij gaat aan wat de meeste gebruikers acceptabel zouden vinden gezien het opgegeven doel van het platform.
Regelgevende implicaties onder de AVG en de Digital Markets Act
Het onderzoek roept dringende vragen op over de naleving van Europese privacyregelgeving. Onder de Algemene Verordening Gegevensbescherming is het verboden om persoonsgegevens te verzamelen zonder een rechtsgeldige grondslag en duidelijke informatieverstrekking aan de gebruiker. De Digital Markets Act voegt verdere verplichtingen toe voor grote platforms die actief zijn in de Europese Unie.
Als de vermeende gegevensverzamelingspraktijken niet werden vermeld in het privacybeleid van LinkedIn, zou die omissie op zichzelf al waarschijnlijk de aandacht van toezichthouders trekken. Europese gegevensbeschermingsautoriteiten hebben blijk gegeven van een bereidheid om grote technologiebedrijven te onderzoeken en te beboeten wegens overtredingen van de AVG, waarbij niet-bekendgemaakte gedragsregistratie een terugkerend aandachtspunt is geweest bij handhavingsmaatregelen.
LinkedIn heeft, op het moment van schrijven, geen gedetailleerde publieke reactie uitgebracht die ingaat op de specifieke technische beweringen uit het onderzoek. Die stilte kan op zichzelf een factor worden als toezichthouders besluiten de zaak verder te onderzoeken.
Wat dit voor u betekent
Voor de gemiddelde LinkedIn-gebruiker vormen de Browsergate-beschuldigingen een praktische herinnering dat de gegevensverzamelingspraktijken van een platform veel verder kunnen reiken dan wat zichtbaar is in de standaard instellingsmenu's of samengevat wordt in een privacybeleid.
Browserextensies vormen een bijzonder over het hoofd geziene zwakke plek. De meeste mensen installeren extensies voor het gemak en staan er nauwelijks bij stil welke informatie die extensies in samenhang over hen zouden kunnen onthullen. De bewering dat LinkedIn die extensies actief scant en catalogiseert, suggereert dat alledaagse browserinfrastructuur op manieren een gegevensbron kan worden waarvoor gebruikers geen toestemming hebben gegeven.
Apparaatfingerafdrukken, waarbij meerdere hardware- en softwarekenmerken worden gecombineerd om een unieke identificator te creëren, is een welgedocumenteerde techniek die op het hele web wordt toegepast. Deze kan blijven werken zelfs wanneer cookies zijn gewist of een VPN in gebruik is, omdat de techniek gebruik maakt van kenmerken van het apparaat zelf in plaats van opgeslagen identificatoren. Bewustzijn van deze techniek is de eerste stap naar inzicht in uw blootstelling.
Praktische stappen die het overwegen waard zijn:
- Controleer en beoor deel uw geïnstalleerde browserextensies regelmatig en verwijder extensies die u niet meer actief gebruikt
- Controleer de privacy-instellingen van uw browser en overweeg of uw huidige browser enige bescherming biedt tegen fingerafdrukken
- Lees het privacybeleid van platforms die u professioneel gebruikt, met name de secties over gegevensverzameling en het delen met derden
- Volg het regelgevingsnieuws rondom platforms waarop u vertrouwt, aangezien handhavingsmaatregelen vaak details aan het licht brengen die bedrijven niet vrijwillig bekendmaken
Het Browsergate-onderzoek is nog in ontwikkeling en het is de moeite waard om te volgen of LinkedIn inhoudelijk reageert of dat toezichthouders de beweringen oppakken. Ongeacht hoe deze specifieke zaak wordt beslecht, illustreert het dat begrijpen wat een platform verzamelt — en of dat overeenkomt met wat het bekendmaakt — een redelijk en noodzakelijk onderdeel is van het professioneel gebruik van elke online dienst.
