Tech by VICE

Dit is hoeveel Pornhub van je weet

Ik deed me voor als adverteerder om te kijken welke gegevens sites als Pornhub nou precies van je opslaan.

door Sebastian Meineck
06 september 2019, 2:31pm

Foto: Nutzer: Pixabay | CC0  || Auge: Maxpixel.net | CC0 | Collage: VICE

Mensen houden van porno. Websites als Pornhub en xHamster behoren tot de meest bezochte websites ter wereld, en in sommige landen worden ze vaker bezocht dan nieuwssites, Twitter of Netflix.

In een tijd waarin we ons continu afvragen wat bedrijven als Google en Facebook met onze persoonlijke gegevens uitspoken, zou je wat dat betreft ook best vraagtekens kunnen zetten bij de manier waarop pornosites hiermee omgaan. Achter elke pornosite zit een groot techbedrijf waar miljoenen gebruikers nogal intieme informatie vrijgeven.

Om beter te begrijpen wat deze sites over ons weten, en wat ze met dit soort informatie doen, nam ik Pornhub en xHamster eens onder de loep. Ik deed me voor als adverteerder en keek hoe ver ik kon gaan met het targeten van advertenties, en hoeveel persoonlijke informatie van gebruikers ik daarbij kon gebruiken. Ik ontdekte dat de sites de informatie over onze seksuele verlangens verkopen, en automatisch gegevens verzamelen die potentieel gebruikt zou kunnen worden om individuele gebruikers te tracken.

“We respecteren je privacy,” zegt Pornhub in zijn privacyverklaring. Dat komt niet helemaal overeen met wat het bedrijf aan adverteerders probeert te verkopen.

Screenshot von MindGeek.com

Er zijn ontelbaar veel websites waar je video’s van neukende mensen kunt kijken, maar de populairste worden door slechts een handjevol bedrijven beheerd. De grootste daarvan is MindGeek, waar onder andere Pornhub, YouPorn, RedTube en MyDirtyHobby onder vallen. xHamster is eigendom van Hammy Media. Hammy Media heeft geen eigen website. En hoewel MindGeek dat wel heeft, is het op het eerste gezicht nauwelijks te zien dat het ook maar iets met porno te maken heeft. Het lijkt er zelfs op dat ze ontzettend hun best doen om het woord ‘porno’ te vermijden. Wel laat MindGeek gelijk een hoop cijfers zien: 115 miljoen hits en 15 terabytes aan content per dag, meer dan duizend werknemers op zes locaties, van Luxemburg tot Canada. Toch kunnen we vaststellen wat voor gegevens pornosites van ons verzamelen, op basis van de advertenties die ze verkopen.

Screenshot von TrafficJunky

Wanneer je je doelgroep specifieker maakt, geeft TrafficJunky suggesties: waarom zou je alleen de categorie ‘milfs’ selecteren als je daar ook ‘de hete moeder van mijn vriend’ aan toe kunt voegen? Screenshot van TrafficJunky.com

TrafficJunky, het advertentieplatform van MindGeek, is explicieter over hoe het samenwerkt met Pornhub en soortgelijke sites – logisch, dit is de plek is waar potentiële klanten moeten worden aangetrokken. “Elke aankoop kan zo specifiek worden gemaakt en geplaatst dat de advertenties bij de juiste klant terecht zullen komen.”

Als je dat zo leest, is het best moeilijk te geloven dat Pornhub ondertussen ook nog daadwerkelijk je privacy respecteert.

Ik meldde me aan als klant bij TrafficJunky, logde in bij de webwinkel waar je elk soort advertentie kunt kopen dat je maar wil, en koos een banner uit die bovenaan het beeldscherm zou verschijnen. Van daaruit stelde ik een advertentie samen op basis van verschillende doelgroepen.

Je kunt je doelgroep bijvoorbeeld beperken tot mensen die zoeken naar specifieke dingen als milf, BDSM of anaal. Ik kon ook bepalen of ze gay, hetero, trans of ‘vrouwvriendelijk’ waren en waar ze vandaan kwamen: ik kon filteren op land, regio of stad.

Wil je dat de advertentie alleen ‘s nachts zichtbaar is? Geen probleem, stel gewoon een tijdslimiet in. Je kunt ook filteren op technische dingen, zoals het besturingssysteem dat bezoekers gebruiken of de taal waarin ze browsen. Al met al zou je dus een advertentie kunnen maken die alleen gezien wordt door mensen die tussen zes en zeven uur ‘s ochtends in Zeeuws-Vlaanderen gayporno kijken en in het Spaans zoeken met de zoektermen ‘trio’ en ‘buitenlucht’.

Bij xHamster werkt het op een soortgelijke manier, alleen gebruiken zij TrafficStars in plaats van TrafficJunky. Ook hier kun je advertenties samenstellen op basis van individuele persoonlijke kenmerken en seksuele voorkeuren. In tegenstelling tot Facebook en andere soortgelijke platformen, wordt bij TrafficStars echter alleen gebruik gemaakt van gegevens die tijdens één pageview worden verzameld; eerdere bezoekjes aan de website worden dus buiten beschouwing gelaten.

PornHub Insights DeutschlandPornhub-gegevens van 2016, die laten zien vanuit welke deelstaten in Duitsland mensen de meeste tijd op de site hebben doorgebracht per sessie. Mensen uit Berlijn hebben het langst op de site gezeten, terwijl inwoners van Thüringen het snelst weer weg waren. Via Pornhub Insights

Pornhub-gegevens van 2016, die laten zien vanuit welke deelstaten in Duitsland mensen de meeste tijd op de site hebben doorgebracht per sessie. Mensen uit Berlijn hebben het langst op de site gezeten, terwijl inwoners van Thüringen het snelst weer weg waren. Via Pornhub Insights

Wel is het mogelijk om het online gedrag van bezoekers over een langere periode vast te leggen, zelfs wanneer ze hun cookies verwijderen en in incognitomodus op de website komen. Als je op een pagina komt, worden er automatisch datasets van de browser naar de website gestuurd: daar zit bijvoorbeeld je IP-adres in, hoe vol je batterij is en welke browserversie je gebruikt, maar ook je tijdzone, schermresolutie en de plugins die je hebt geïnstalleerd.

Als er genoeg gegevens zijn verzameld, kan een website vrij makkelijk een uniek profiel creëren. Uit een onderzoek uit 2010 van de Electronic Frontier Foundation (EFF), een ngo die zich inzet voor burgerlijke vrijheden en online privacy, bleek dat 83,6 procent van de browsers in het onderzoek een unieke vingerafdruk had. Deze digitale vingerafdruk kan vervolgens gebruikt worden om bezoekers over een langere tijd en meerdere websites te volgen, en een gepersonaliseerd advertentieprofiel te maken.

In een mailwisseling met VICE ontkende zowel Pornhub als xHamster individuele gebruikers te tracken met dit soort methodes. Een woordvoerder van MindGeek schreef: “We analyseren geen kijkgedrag van individuele gebruikers.” De woordvoerder van xHamster: “We kijken wel naar brede patronen, maar we voorkomen dat we gegevens aan individuele gebruikers koppelen.”

In zijn privacyverklaring zegt Pornhub dat het de IP-adressen van gebruikers anonimiseert. Om een gebruiker te tracken is het echter niet nodig om z’n IP-adres te weten, aangezien je een digitale vingerafdruk dus ook op basis van andere informatie kunt samenstellen. Wel is het alleen mogelijk om bezoekers op basis van hun gewoontes te selecteren als er genoeg informatie is verzameld, of gecombineerd kan worden met andere datasets.

Dus wat wordt er precies verzameld door Pornhub en xHamster als je hun websites bezoekt? Ik gebruikte de browser-extensie Don’t Fingerprint Me om te kijken welke trackingmethoden worden toegepast door de websites, en kwam erachter dat ze beide gegevens verzamelen die in een digitale vingerafdruk kan worden verwerkt, maar niet meer dan gebruikelijk. De meeste websites verzamelen dezelfde, zo niet meer informatie.

Volgens Dominik Hermann, universitair docent Privacy en veiligheid in informatiesystemen aan de Universiteit van Bamberg in Duitsland, zouden de gegevens in principe genoeg kunnen zijn om een digitale vingerafdruk mee te maken, maar kun je dat alleen per geval met zekerheid zeggen. Wat we wel weten, is dat een profiel op basis van iemands gedrag niet per se gekoppeld hoeft te zijn aan diens naam. Aangezien mensen vaak hun naam prijsgeven door bijvoorbeeld ergens hun creditcardgegevens in te vullen of “groetjes, Sebastiaan” in een e-mail te schrijven, zou het technisch gezien kunnen dat je naam aan zo’n vingerafdruk wordt gekoppeld, maar we hebben geen bewijs dat dit ook daadwerkelijk gebeurt.

Hoe je informatie gebruikt wordt hangt ook af van waar vandaan je op de sites komt. Landen in de EU vallen momenteel onder de Algemene Verordening Gegevensbescherming (AVG), die bepaalt hoe persoonlijke gegevens van Europese burgers worden verwerkt, gebruikt, opgeslagen en uitgewisseld. Onder persoonlijke gegevens valt in dit geval: alle informatie die in verband kan worden gebracht met een identificeerbaar individu, zoals je naam, adres en inkomen, maar ook je gezondheidsgegevens, politieke opvatting, afkomst en seksuele voorkeur.

Volgens deze regels hebben inwoners van de EU het recht om te weten hoe, waar en voor welke doeleinden hun persoonlijke gegevens worden verwerkt, en daarnaast ook het “recht om vergeten te worden” – wat betekent dat al je gegevens verwijderd mogen worden. En ook bedrijven die gepersonaliseerde advertenties maken moeten zich hier natuurlijk aan houden.

De AVG vereist dat alle bedrijven die persoonlijke gegevens van inwoners van de EU gebruiken bewijzen dat ze daar een legitieme reden voor hebben. Omdat toestemming geven iets is wat je altijd geïnformeerd en vanuit jezelf moet kunnen doen, zouden bedrijven ook open moeten zijn over hun methodes om gegevens te verzamelen, en te wachten totdat gebruikers daar toestemming voor hebben gegeven. Bedrijven kunnen echter ook weer zeggen dat het verzamelen van gegevens onder hun “legitieme belangen” valt.

Helaas voor onze collectieve pornoliefde is “legitieme belangen” een juridisch concept dat net zo vaag en ambigu is als het klinkt.

Dit artikel verscheen oorspronkelijk bij VICE Duitsland