Op het forum van de website tweakers.net las ik een posting over een X-ASID-header die Vodafone in de HTTP-requests gedaan met of via je mobiel injecteert. ASID staat voor "Anonieme subscriber ID". In normale taal: je kunt die ASID-code zien als ware het dat Vodafone jouw webbrowser voorziet van een kentekenplaat. Een unieke code, gekoppeld aan jouw mobiel. Elke website die je dan met je mobiel bezoekt kan die kentekenplaat zien, en opslaan. Het is hiermee mogelijk dat websites jouw acties op de website, en hoevaak je de website bezoekt, exact kunnen volgen.

Waarom die ASID-code?

Voor aanbieders op internet is het handig. Omdat de code uniek is, en door de telco's aan jouw sim-kaart gekoppeld is, is deze betrekkelijk veilig. Dankzij deze ASID-code kun je online makkelijk muziek, ringtones, filmpjes etc aanschaffen, zonder dat je telkens een complexe en vervelende aanmeld- en betaalprocedure hoeft te doorlopen. Je maakt jezelf eenmaal kenbaar op de site in kwestie, geeft je betaalgegevens op, en vervolgens kun je met simpelweg een klik op "ok" elke aanschaf op de website bevestigen. De ASID-code is hiermee een soort van klantenkaart geworden.

Waarom wil ik het niet? 

Nou lijkt de ASID-code enigszins op de aloude "cookies" die webbrowsers ondersteunen. Het verschil is dat je in de browser de cookies kunt wissen, en zelfs geheel kunt uitschakelen. Dat kan met die ASID-header niet - althans niet direct. Een groter verschil is, is dat de ASID-header uniek is voor jouw SIM-kaart. Hiermee zouden de beheerders van website X en Y precies kunnen zien wie op zowel website X en Y zijn geweest. En stel, je bent ingelogd bij website X, dan is met "dankzij" de ASID-header ook voor website Y jouw identiteit te achterhalen.

Maar zo heet wordt de soep ook weer niet gegeten: net als met een kentekenplaat is het in principe voor websites niet mogelijk om met de ASID-header je identiteit te achterhalen. Als ik met Vodafone een website zou bezoeken, dan weet die website dat ik "persoon 55d2y7D2" ben, maar ze weten niet dat dat in feite "Randy Simons" is. Je blijft dus anoniem. Daarnaast is het zomaar koppelen van de gegevens van website X en Y, zoals ik hierboven schetste, is in principe verboden vanwege de privacywetgeving.

De "Memorandum of Understanding" bevat voorwaarden waar de gebruikers van X-ASID zich aan te houden hebben. Maar alle wetgeving, gedragscodes en convenanten ten spijt zie ik het liever niet. Naar mijn mening binden de telco's met de ASID-code de kat op het spek. De normale gebruiker heeft geen enkele zicht op wat er precies met "zijn" ASID-code gebeurt. Combineer dat met een "wat niet weet wat niet deert"-mentaliteit die sommige bedrijven erop na lijken te houden, en je online privacy gaat ongemerkt verder verloren.

Overigens, bij Vodafone wordt de ASID-code dus naar iedere bezochte website gestuurd. Met veruit de meeste van deze websites zal Vodafone geen overeenkomst zijn aangegaan m.b.t. ASID. Deze sites hoeven zich dus niet aan de "Memorandum of Understanding" te conformeren! Voor hen geldt "slechts" de wet.

Tenslotte is de ASID-code ongemerkt en ongevraagd geïntroduceerd. Althans, ik heb niks gezien. Dat vind ik op zijn best "niet netjes", aangezien online privacy toch al onder druk staat.

Hoe wijdverspreid is de ASID-code?

In de eerste alinea had ik het over Vodafone. Deze telecommaatschappij stuurt de ASID-code mee naar alle websites die je met je mobiel bezoekt, zo is bevestigd door Vodafone. Volgens het ASID Cookbook sturen de netwerken KPN, Hi en T-Mobile de ASID-code alleen naar websites die zich hebben aangemeld voor de dienst. Welke websites dat zijn is onbekend. Andere netwerken (Telfort en Orange worden genoemd) sturen de ASID-code niet naar websites.

De ASID-tester 

Om te controleren of jouw provider de ASID-code verzendt heb ik de ASID-tester gemaakt. Bekijk deze pagina met je mobiel, en je krijgt het resultaat direct te zien. De testpagina is ook te bereiken via http://randysimons.nl/147, dat is wat minder typewerk op je mobiel. Als je benieuwd bent wat je te zien kunt krijgen, dan zijn er wat screenshots van de ASID-tester beschikbaar.

Noot: vooralsnog stuurt alleen Vodafone deze header altijd mee. Andere telco's zullen de header als het "goed" is niet naar de testpagina zenden, omdat ik de testpagina uiteraard niet bij hen heb aangemeld.

Hoe kom je er vanaf?

Dat is de grote vraag! Ik heb mijn provider gemaild (zie hieronder), en bij T-Mobile blijkt er een opt-out mogelijk te zijn:

Voor T-Mobile: ASID uitschakelen kan door "ID Uit" te SMS'en naar 1310. Je krijgt dan de bevestiging "Vanaf nu wordt uw anonieme ID niet meer meegestuurd bij mobiel internet". Door "ID Aan" te SMS'en naar 1310 zet je het weer aan.

Voor Vodafone: ik heb vernomen dat bij Vodafone het meezenden van de ASID niet is uit te schakelen. Vodafone stuurt de ASID-header altijd mee, tenzij je met een bekende desktop-browser surft. De truc is dan ook om je mobiele webbrowser zich te laten identificeren als een normale desktop-browser, zoals Firefox. Helaas is dit lang niet bij alle mobiele webbrowsers mogelijk. Ook kan het alarmbellen laten rinkelen bij Vodafone: bij veel abonnementen is het niet toegestaan om te "tetheren", en dus met een PC te gaan surfen via het Vodafone-netwerk. Het gebruik van een desktop-user agent string impliceert normaal gesproken dat je wél met een PC surft.

Voor andere providers weet ik het niet! Neem contact op met de klantenservice, en maak je ongenoegen duidelijk.

Meer informatie

• T-Mobile ASID portal.
• Open Mobiel Internet, platform dat ASID ontwikkeld heeft.
• ASID Cookbook, technische details.

Omdat ik allerminst blij ben met de ASID-code heb ik op 6 november 2009 mijn huidige provider, T-Mobile, gemaild:

Hallo,

Onlangs werd ik erop gewezen dat enkele mobiele providers, waaronder T-Mobile, aan het experimenteren zijn met de ASID-header. Hierbij wordt ongevraagd bij elk HTTP-verzoek dat via het mobiele netwerkwerk wordt gedaan een extra header toegevoegd, met daarin een code die uniek is voor elke abonnee. Hoewel uit deze code niet direct de identiteit van de abonnee is te herleiden, is het wel mogelijk om deze abonnee uniek te volgen op internet dankzij deze code.

Zoals gezegd biedt ook T-Mobile deze dienst aan (zie http://www.t-mobile.nl/asid). Als klant van T-Mobile verontrust mij dit zeer. Ik let op mijn online privacy. Als ICT-werker weet ik wat de gevaren zijn, en waarop te letten. Maar deze ASID-header maakt veel van de maatregelen die ik heb genomen, en *kan* nemen, ongedaan.

In de documentatie "Anonymous Subscriber ID (ASID) - A Mobile Web Site Developers Cookbook" (zie
http://www.t-mobile.nl/corporate/media/pdf/asid-omi-cookbook.pdf) staat ook dat deze ASID-header in overeenstemming is met de Nederlandse privacy-wetgeving. Nou zou dat best kunnen, maar deze informatie maakt het voor de ontvangende websites wel zeer eenvoudig om hiermee de privacy wel te schenden. De kat wordt hiermee dus op het spek gebonden.

Nou is deze dienst bij T-Mobile "gelukkig" nog opt-in voor bedrijven. De ASID-header wordt alleen bij aangemelde websites verstuurd. Toch is dit voor mij beslist niet geruststellend.

Ik heb dan ook de volgende vragen:

• Waarom zijn abonnees niet gewezen op deze privacy-gevoelige maatregel?
  (ik krijg daarentegen wel SMS-spam van T-Mobile namens Pathe bioscopen...)
• Is er een overzicht van de websites die nu de ASID-header ontvangen?
• Kunnen abonnees een "opt-out" doen, zodat voor hen geen ASID-header meer wordt ingevoegd?
• Waarom is deze dienst niet sowieso enkel op "opt-in"-basis voor abonnees?
• Waar kan ik privacy-beleid lezen? De genoemde documentatie verwijst naar http://www.openmobielinternet.com/2008/06/24/download-memorandum-of-understanding/ maar die geeft enkel een "niet gevonden"-foutmelding.

Hopelijk kunt u tekst en uitleg geven, want ik neem dit hoog op.

Hoogachtend,

R.J.G. Simons
Enschede

Op 9 november 2009 kreeg ik het volgende antwoord van T-Mobile:

Beste heer Simons, 

Dank voor uw mail aan T-Mobile.

T-Mobile ondersteunt de ontwikkeling van open mobiel internet in Nederland. Ondersteuning van content providers door het mogelijk maken van bijvoorbeeld gebruikersherkenning ziet T-Mobile als noodzakelijk om de relevantie van mobiel internet voor de gebruiker te vergroten. Daarnaast verbetert gebruikersherkenning de ervaring van de klant, doordat het niet noodzakelijk is om altijd een gebruikersnaam en wachtwoord voor persoonlijke diensten in te hoeven vullen. T-Mobile heeft gekozen voor een opt-out model omdat iedereen dan de voordelen van ASID standaard kan ervaren. Klanten die bezwaar hebben over gebruik van ASID kunnen de opt-out functionaliteit gebruiken.

Deze ASID is een uniek nummer voor elke klant welk door content providers kan worden herkend in het internet verkeer,indien deze is geactiveerd voor de URL van de content provider. ASID is voor iedere website die gebruik wil maken van dit gegeven beschikbaar. Wel dient een partij die dit wenst te ontvangen zich eenmalig te registeren via de website van T-Mobile en akkoord gaan met de algemene gebruiksvoorwaarden. T-Mobile publiceert geen overzicht van de partijen die gebruik maken van ASID.

Klanten die geen gebruik willen maken van ASID kunnen er voor kiezen om opt-out te gebruiken. De ASID zal dan niet worden meegegeven in de header. Dit is eenvoudig te doen door een sms met de tekst 'ID uit' naar 1310 te sturen. Het document betreft het privacy beleid staat op http://www.openmobielinternet.com/downloads/.

Ik hoop dat ik u voldoende heb geinformeerd.

De uitleg is natuurlijk niets verrassends. Het belangrijkste is dat er een opt-out-mogelijkheid is.

Ik zou graag willen weten hoe andere providers hiermee omgaan. Maar ik heb daar geen klantrelatie mee. Als iemand meer daarover weet, en met name mogelijkheden voor opt-out, dan hoor ik dat graag.

Uit reacties die ik heb gekregen lijkt het erop dat de telco's met de X-ASID-header de grenzen van de wet bscherming persoonsgegevens wel erg dicht naderen, en mogelijk zelfs overschrijden. Op zijn minst verschaffen ze de klant te weinig informatie hierover, wat ze wel verplicht zijn. Ik ben geen jurist, ik kan op dat gebied de telco's niet overtuigen. Wel kreeg ik als tip een link naar de website www.mijnprivacy.nl. Daar kun je een "signaal" geven aan het CBP, dat er mogelijk iets op privacy-gebied niet aan de haak is. Wellicht dat CBP wel actie kan ondernemen.

Als je aanvulling hebt, of denkt dat ik hier dingen onterecht claim, ik sta open voor commentaar!

Wijzigingen op deze pagina:

• 2009-12-15: Screenshots van de ASID-tester toegevoegd.
• 2009-12-14: ASID-tester toegevoegd. Link naar "Memorandum of understanding" toegvoegd. Link naar www.mijnprivacy.nl en "geef een signaal" toegevoegd.
• 2009-11-14: Informatie toegevoegd dat ASID uitschakelen bij Vodafone niet mogelijk is.
• 2009-11-09: Pagina online.