De Belgische bank BNP Paribas Fortis gaat het cookiebeleid aanpassen om het gebruik van de trackers Demdex en Omniture, waarmee het gedrag van klanten op de website wordt gevolgd, te vermelden. Dat laat woordvoerder Hans Mariën tegenover Security.NL weten.

Aanleiding voor de aanpassing is onderzoek van de Belgische beveiligingsanalist Koen van Impe. Onlangs lanceerde de bank een nieuwe pagina voor internetbankieren. Op de pagina worden scripts van Demdex en Omniture aangeroepen. Het gaat hier om producten van Adobe. Demdex verzamelt gedragsgegevens waarmee websites hun publiek beter kunnen onderverdelen en adverteerders gerichter kunnen adverteren. Omniture volgt gebruikers en staat tegenwoordig bekend als Adobe Marketing Cloud.

In het cookiebeleid maakt BNP Paribas Fortis echter nergens melding dat er bij het bezoek van de websites ook cookies voor Adobe Marketing Cloud worden geplaatst. Volgens Mariën gaat het om een omissie en zal de tekst deze week worden bijgewerkt om het gebruik van de trackers naar klanten toe te communiceren. Vorig jaar liet ABN Amro nog aan Security.NL weten dat de bank Omniture op haar website gebruikt om data op te halen die helpen de website te optimaliseren.

Ook Mariën stelt dat de trackers alleen worden gebruikt om geanonimiseerde geaggregeerde gegevens te verzamelen om de website te kunnen verbeteren. Iets dat volgens de woordvoerder alle banken doen. Een onderdeel van Omniture is de mogelijkheid om ook informatie van sociale netwerkprofielen te koppelen. BNP Parisbas Fortis maakt hier echter geen gebruik van, aldus de woordvoerder. Onderzoeker Van Impe zegt ook te begrijpen dat banken hun websites willen optimaliseren en het volgen van gebruikers een onderdeel van dit proces is.

"Ik vindt het echter onacceptabel dat een instelling die betrouwbaar zou moeten zijn stiekeme technieken gebruikt om gebruikers te volgen, niet voldoet aan het eigen cookie- en privacybeleid, gebruikers nergens over de werkelijke intenties informeert, gebruikers geen toestemming vraagt, een derde partij inschakelt en als allerbelangrijkste, een externe provider gebruikt om gebruikers tijdens één van de gevoeligste online zaken laat volgen: internetbankieren", zo stelt de onderzoeker.

Woordvoer Marien zegt te begrijpen dat mensen zich zorgen maken als een browserplug-in opeens voor een tracker waarschuwt. "Terecht dat ze bezorgd zijn als ze zoiets zien. Dan stel je vragen, dat zou ik ook doen." Er worden echter geen persoonlijke- of transactiegegevens verzameld of gedeeld met derde partijen, gaat de woordvoerder verder. "De bank zal nooit gegevens van klanten met derde partijen delen, bijvoorbeeld voor marketingdoeleinden, zonder de expliciete toestemming van de klant. Het gaat hier alleen om anoniem, geaggregeerde data van waar klanten op klikken en hoe lang ze op de website blijven. Dit is heel gewoon in de banksector."