Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/6.5.1
6.5.1. De metazoekmachine Ixquick
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS577622:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
www.ixquick.nl/.
Conform de mededelingen op de webpage van Ixquick na geklikt te hebben op Ixquick info.
Andriessen, 2008 p. 10.
Van Vliet, 2008, p. 5: 'J.J. Borking performed the legai part of this evaluation, specifically the section 'Compliance with data protection and data security regulations' and 'Set 2: Legitimacy of Data Processing. The technical part is performed by F. van Vliet'.
Dijkman &.Borking, 2008, p. 13.
Dijkman & Borking, 2008, p. 13.
In de film The Net (regie: Irwin Winkler), uitgebracht in 1995,waarvan het scenario volledig op internet is gebaseerd, is goed te zien hoeveel informatie gebruikers van internet achterlaten en wat er kan gebeuren als de beveiliging en de privacy bescherming het laten afweten.
Weichert, 2007, p. 188.
Weichert, 2007, p. 196.
Weichert, 2007, p. 195.
Het project wordt gesubsidieerd door de Europese Commissie onder het eTEN Programma. Het EuroPrise project begon op 10 juni 2007 en is op 28 februari 2009 beëindigd. Zie: http://www.european-privacy-seal.eu/about-europrise/fact-sheet.
Aan de hand van versie 0.2 van het door EuroPrise in 2007 ontwikkelde Evaluation Manual.
De configuratie in Amsterdam (Telecity 2) en Fremont (Hurricane Electric) bestaat uit Ixquick Name servers, Ixquick Master Server en Ixquick Slave servers.
Het werkt als 'telefoonboek' voor internet. Het vertaalt de leesbare naam van de site (hostname), bijvoorbeeld www.Sgoa.org in een IP-adres, bijvoorbeeld 123.45.678.901. Het IP-adres is een unieke cijfercode waaraan kan worden herleid vanaf welke computer de zoekvraag is gekomen.
Van Ammelrooy, 2008, p.9: 'Dan Kaminsky (...) had een fundamentele weeffout ontdekt in de manier waarop computers elkaar vinden op internet.' Kaminsky ontdekte dat cache poisoning (manipuleren van het tijdelijk geheugen voor de opslag van IP-nummers van de DNS-servers) makkelijker was dan tot nu toe werd aangenomen, waardoor hackers in staat zijn het internet grondig te ontregelen. Tegenmaatregelen zijn genomen maar niet duidelijk is het of die afdoende zijn.
Http staat voor HyperText Transfer Protocol.
Andriessen, 2008, p. 10.
Collision houdt in dat twee sets van dezelfde tekens uit de hash van bijvoorbeeld een naam worden gegenereerd.
Ouwehand, 2002, p. 12-14.
Het wachtwoord is nodig omdat er te weinig IP-adressen (ongeveerd 4 miljard) zijn
Fleischer googleblog.blogspot.com 11.06.2007; vgl. www.heise.de, 12 juni 2007.
Van Vliet, 2008, p. 12.
Korft, 2008, p. 3: 'Primary data: data, which the IT-product primarily proceeds (data of the data subject, content data).'
Korft, 2008, p. 3:'Secondary data: data which additionally incurred dwing the processing of (primary) data.' 'These data might be personal data of data subjects, personal data of people operating the product or service, or privacy-relevant configuration data.'
Van Vliet, 2008, p. 22.
Scraping houdt hier in dat de resultaten die de zoekmachine levert weer gebruikt worden door anderen, bijvoorbeeld voor marketingdoeleinden. Daardoor wordt de zoekmachine door die verzoeken zwaar belast zonder dat daar revenuen tegenover staan.
Van Vliet, 2008, p. 3-4.
Artikel 2 a van Richtlijn 95/46/EG en Overweging 26; WP 136 Opinion #4 On the concept of personal data, Brussels 2007, p. 16-17: IP-adressen zijn persoonsgegevens. Zie http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_en.pdf.
Klaver, e.a., 2002, p. 52.
Clickfraude wordt veroorzaakt door dat iemand bewust elke keer dezelfde advertentiebanner aanklikt om het bedrijf dat daarmee adverteert te benadelen, doordat elke click inhoudt dat het bedrijf een bepaald bedrag verschuldigd is aan de advertentie-aanbieder.
De precieze informatie valt onder de non disclosure agreement.
Een van de mogelijke random number generators die hier gebruikt kan worden is de system default Perl (Practical Extraction and Report Language) distribution.
Hashen geschiedt met een algoritme (bijvoorbeeld MAC, MD5, SHA) dat de versleutelde persoonsgegevens omvormt tot een stuk tekst (de hash-waarde) op een zodanige manier dat het onmogelijk is het proces om te draaien (decrypten). Cannon, 2004, p. 260-262.
De sleutellengte is vertrouwelijk.
Van Vliet, 2008, p. 25.
Weichert, 2007, p. 194.
Weichert, 2007, p. 195.
VanVliet, 2008, p. 5.
Een voorbeeld van de toepassing van privacy verhogende technieken (PET) door middel van dataminimalisatie is Ixquick. Ixquick (www.ixquick.nl) is een 'metasearch engine', die door een in Nederland gevestigd bedrijf wordt geëxploiteerd en wereldwijd wordt aangeboden in zeventien talen.1 Een 'meta-search engine' is een zoekmachine, die de zoekopdracht van een gebruiker tegelijkertijd spreidt over twaalf zoekmachines zoals: All the web, Yahoo, Google, Mozilla, Wikipedia, Ask, etc. De metazoekmachine combineert de resultaten en destilleert daaruit de meest relevante resultaten. Ixquick gebruikt daarvoor een unieke methode. Uit de resultaten die gegenereerd zijn door andere zoekmachines, haalt Ixquick per zoekmachine de eerste tien van de resultaten. Ieder resultaat dat in de top tien voorkomt krijgt een ster. Als een resultaat in vijf zoekmachines in de top tien voorkomt, dan krijgt het gevonden resultaat vijf sterren. Daaruit kan de gebruiker van Ixquick de relevantie van de resultaten afleiden.2
Ixquick's businessmodel is dat zij geld verdient met het plaatsen van advertenties bij de zoekresultaten. De advertenties worden verzorgd door de advertentie-aanbieder en sluiten nauw aan bij de zoekvraag die een gebruiker heeft gesteld.3 In 2003 en 2004 nam het internetverkeer ten gevolge van minder zoekopdrachten voor Ixquick met meer dan 20% af, omdat de zoekmachine geen grotere toegevoegde waarde opleverde dan andere zoekmachines. In 2005 zakte het internetverkeer van Ixquick nog eens met 5% en stabiliseerde later dat jaar. De oorzaak voor de stabilisering lag in het feit dat Ixquick de web site, de manier van de presentatie en de dienstverlening totaal had vernieuwd. In 2006 en 2007 nam het internetverkeer weer toe, niet zozeer door de vernieuwde website, maar vooral omdat Ixquick de zoeker en de zoekresultaten sinds juni 2006 anonimiseerde. Ten gevolge van een reeks hieronder te behandelen technische maatregelen, waaronder gegevensminimalisatie en encryptie-(hashing)-technieken4 nam het internetverkeer in 2006 weer met 15% toe en in 2007 met 6%.5 In 2008 is het gebruik ten gevolge van aanvullende PET-maatregelen verder gestegen. In de eerste helft van dat jaar volgens het management met 18%. In het interview met Dijkman & Borking6 heeft het management van Ixquick verklaard dat er geen veranderingen in de bedrijfsvoering van Ixquick hadden plaatsgevonden. Het is aannemelijk te veronderstellen dat als Ixquick haar dienstverlening niet had voorzien van PET, dat dan het internetverkeer ten minste met 5% per jaar zou zijn blijven zakken. De reden voor Ixquick om deze privacybeschermende voorzieningen toe te passen, lag in het feit dat een geanonimiseerde zoekmachine die tevens de privacy van de bezoekers beschermt, een `unique selling point' (USP) oplevert. Ixquick is de eerste geanonimiseerde en privacybeschermende zoekmachine.
Hoe kan nu vastgesteld worden dat de door Ixquick gebruikte techniek van gegevensminimalisatie inderdaad een privacyveilig informatiesysteem oplevert? Het probleem met zoekmachines vanuit een privacyperspectief is dat zoekmachines zowel de IP-adressen (die aan een gebruiker kunnen worden gerelateerd) vastleggen, als ook het gebruikte computersysteem, het besturingssysteem, de browser, de zoektermen, de datum en het tijdstip waarop de zoekterm is ingevoerd.7 Weichert concludeert dat: "Werden viele solche Anfragen gemeinsam ausgewertet, lassen sich hieraus päizise Interessenprofile erstellen, also mit welchen Themen eine Person sich zu welcher Zeitbeschffligt hat. Werden diese Angaben einer konkreten Person zugeordnet, so Msst sich aus dem Anfrageprofil zumindest bei Personen, die regelmnig Suchmaschinen nutzen, ein langfristiges Interessenprofil erstellen."8 Weichert stelt voorts dat: "Die Analyse der Datenschutzprobleme bei Internet-Suchmaschinen zeigt, dass hier das Recht auf informationelle Selbstbestimmung derzeit nicht hinreichend gewahrt wird. Die gesetzlichen Regelungen sind vóllig unzureichend und teilweise auf die eingesetzte Technik nicht anwendbar; die Vollzugsdefizite sind grol3; die Aufsichtsbehörden haben keine praktischen Handhaben zur Durchsetzung des Datenschutzes."9
Daarom zijn privacybeschermende maatregelen in een zoekmachine belangrijk, want: "die Löschung bzw. Anonymisierung der Nutzungsdaten erfolgt, kann für die Betroffenen von eminenter Bedeutung sein, da Dritte an einer zweckentfremdenden Nutzung ein grol3es Interesse haben Urmen und die Internet-Nutzer beeintd.chtigt werden können. Selbst staatlicherseits kann an diesen Daten ein nicht immer legitimes — Interesse bestehen", aldus Weichert.10
Tussen 29 februari en 23 juni 2008 hebben Borking en Van Vliet in het kader van het door de EU gesubsidieerde researchproject EuroPrise11 een onderzoek gedaan12 naar de juistheid van de door Ixquick geclaimde privacyvriendelijkheid van het systeem. Daarbij is als norm gehanteerd de wettelijke vereisten van de Richtlijnen 95/46/EG en 2002/58/EG. Het onderzoek vond plaats in het kantoor van de directie die belast is met de dagelijkse gang van zaken van Ixquick, de plaats waar de servers van Ixquick waren geplaatst en door middel van directe analyse van de website en de processen. Alle systeemdocumentatie is bestudeerd, alsmede de contracten die ten behoeve van Ixquick waren gesloten, onder andere met betrekking tot het adverteren op de website. Er zijn verschillende interviews gehouden met het management, een system administrator en een programmeur zowel ter voorbereiding van het onderzoek als ten tijde van het onderzoek.
a. De architectuur
Uit de architectuur van Ixquick (zie in figuur 6.2 de twee gestippelde rechthoeken) valt op te maken, dat de servers13 zowel in Europa (Amsterdam) als in de Verenigde Staten (Fremont, California) staan. Zoals bij de juridische beoordeling in dit hoofdstuk zal blijken is dit juridisch een belangrijk feit.
Figuur 6.2: Architectuur Ixquick, Borldng & Van Vliet, 2008, p. 7.
Figuur 6.2 bevat in de linkerbovenhoek de representatie van de gebruiker met zijn zoekvraag, die via internet contact maakt met de server van Ixquick en toont voorts de mogelijke routering van zijn zoekvraag naar de verschillende servers.
b. Het zoekproces
Figuur 6.3 laat de stappen in het zoekproces bij het gebruik van Ixquick zien, beginnend bij de gebruiker van de zoekmachine, waarna de zoekvraag met het IPadres uitwaaiert over de verschillende servers, die onder meer een rol spelen bij de anonimisering van de zoeker (IP-adres) en de zoekvraag.
Figuur 6.3: Zoekproces binnen Ixquick, Borking & Van Vliet, 2008, p. 10.
Het zoekproces (zie de cijfers in figuur 6.3) verloopt als volgt:
1. De gebruiker achter zijn pc gebruikt een browser (een computerprogramma om webpagina's te kunnen bekijken, bijvoorbeeld Windows Internet Explorer, Mozilla Firefox, Safari of Opera) voor het zoeken naar bepaalde zoektermen.
1.1. DNS (`Domain Name System') is het systeem en het protocol dat op het internet voornamelijk gebruikt wordt om domeinnamen naar IP (Internet Protocol) -adressen te vertalen en omgekeerd.14 DNS vraagt het IP-adres van www.ixquick. com van de 'Local Name Server' (LNS) van de Internet Service provider (ISP).15 Het DNS verzoek aan de LNS server is buiten de beoordeling gebleven omdat het voor Ixquick onmogelijk is de communicatie tussen de desktop-pc en LNS te beveiligen.
1.1.1 De LNS zoekt het IP-adres van www.ixquick.com op van de Ixquick Name Server. Het IP-adres dat gevonden wordt is het adres van de dichtst bijzijnde 'master server'.
1.2. De pc van de gebruiker communiceert nu met de 'master server' via het protocol voor de communicatie tussen een webclient (meestal een webbrowser) en een webserver. Twee `cookies' worden door Ixquick aan de gebruiker gestuurd: de `Preferences Cookie' en de `Exclude Repetive Results Cookie' en geplaatst op de computer van de gebruiker. Cookies zijn kleine stukjes data die gebruikt worden in de communicatie tussen een website en de computer van een gebruiker. In de cookie worden verschillende gebruikersinstellingen opgeslagen (zoals bijvoorbeeld de taal of het computersysteem van de gebruiker). Zo kan een website een terugkerende gebruiker 'herkennen'.
1.2.1. De 'master server' stuurt alle http-communicaties16 met daarin de zoekvraag door naar een van de `slave servers' (om de communicaties gelijkelijk te verdelen over de `slave servers').
1.2.1.1. De `slave server' vraagt de gesponsorde verbinding voor deze zoektermen van de `Sponsored Links Server' van de advertentie-aanbieder. Alleen een `one way' (onomkeerbaar) `hashed' IP-adres en de zoekvraag gaan naar de advertentie-aanbieder en op basis van de vraag levert de advertentie-aanbieder een advertentie bij de zoekterm. Persoonlijke gegevens worden niet vrijgegeven.17 Hier wordt voor de eerste keer de 'Identity Protector' ingezet en wordt het IP-adres van de gebruiker omgezet in het IP-adres van Ixquick.
Voor alle duidelijkheid: hashen geschiedt met een algoritme (bijvoorbeeld MAC, MD5, SHA) dat de versleutelde persoonsgegevens omvormt tot een stuk tekst (de hashwaarde) op een zodanige manier dat het onmogelijk is het proces om te draaien (decrypten). Wanneer van grote aantallen personen de identificerende gegevens gehashed moeten worden, neemt de betrouwbaarheid af. Het kan voorkomen dat de hashfunctie tot 'botsingen' leidt. De kans neemt dan toe dat verschillende personen bij toeval dezelfde code krijgen. Bij de Stichting Informatie Voorziening Zorg (IVZ) die onder meer verantwoordelijk is voor de zorg aan verslaafden (LADIS) zijn van 1994 t/m 2000 140.200 hashcodes toegekend, terwijl er 145.579 feitelijke unieke personen in LADIS waren opgenomen. Daaruit valt te concluderen dat er 5.307 personen uit het registratiesysteem door 'collision'18 zijn 'verdwenen'. Dat kan voorkomen worden door in dat geval tweemaal te hashen, dat wil zeggen de eerste maal met bijvoorbeeld een 140 bits sleutel en het resultaat de tweede maal te versleutelen met een 128 bits sleutel.19
1.2.1.2. De slave server vraagt, zonder enige identificatie van de gebruiker, de zoekresultaten op voor de zoekterm van verschillende andere zoekmachineservers en de resultaten gaan naar de gebruiker. Hier wordt voor de tweede keer de Identity Protector ingezet en wordt het IP-adres van de gebruiker omgezet in het IP-adres van Ixquick.
2. Een reservekopie van de master server en het systeem wordt elke dag gemaakt.
Nadat het zoekproces is afgerond wordt het IP-adres van een gebruiker van de zoekmachine binnen 48 uur weer gewist uit de databases van Ixquick. De encryptiesleutel voor het `one way hashed' IP-adres met toevoeging van een wachtwoord,20 wordt na enige dagen vervangen door een andere. Cookies zonder persoonlijke informatie worden na veertien en negentig dagen gewist.
Andere zoekmachines slaan de persoonlijke gegevens van de gebruikers een langere tijd op. Zo bewaart Google deze zogenoemde 'server logs' maximaal achttien maanden.21 De gebruiker kan als hij twijfelt aan de betrouwbaarheid van de infrastructuur van waaruit hij de zoekmachine benadert (bijvoorbeeld een internetcafé) altijd een https- (de s staat voor 'secure') verbinding openen.22 Overigens als de gebruiker de computer niet vertrouwt, dan heeft het gebruik van https geen zin. De beveiliging van https werkt wel als de gebruiker zijn eigen (te vertrouwen) laptop gebruikt op een onbetrouwbaar netwerk. Bij een publiek 'access point' (`wireless' internet) werkt de beveiliging van https ook.
Tijdens het uitvoeren van de zoekopdracht worden twee typen data gegenereerd. Primaire data,23 direct gerelateerd aan de geboden dienst, in dit geval de zoektermen, en secundaire data,24 die ontstaan bij het verwerken van de primaire data. Het gaat hier om data in de 'web server log files', zoals bijvoorbeeld de IPadressen, tijden van bezoek, in de 'application log files', zoals de IP-adressen, de zoektermen, de tijd waarop de zoekopdracht plaatsvond, de gebruikte taal, cookies, waarin voorkeuren en cookies die bij een nieuwe opdracht de reeds eerder verschafte informatie wegfilteren.
Onderzoekers hebben gegevensstromen onderzocht en voor de Ixquick-zoekmachine kunnen er drie stromen onderscheiden worden:
Eerste gegevensstroom: wanneer een gebruiker onderzoekstermen op de website van Ixquick invoert, worden zij door de metazoekmachine van Ixquick overgenomen.
Tweede gegevensstroom: deze zoektermen worden vervolgens naar verschillende andere zoekmachines verspreid en het zoekresultaat wordt dan geaggregeerd voor de gebruiker/bezoeker van de website. Persoonsgegevens (IP-adressen) worden binnen 48 uur door Ixquick verwijderd. De werkelijke IP-adressen bijvoorbeeld 11.22.33.44 (zie hieronder), worden allemaal vervangen door 0.0.0.0.25#$
Figuur 6.4: Webserver log file: IP-adressen opgeslagen wanneer de zoekopdracht wordt geregistreerd.
Figuur 6.5: Webserver log file na 48 uur: IP-adressen gewist en vervangen door 0.0.0.0.
De IP-adressen worden maximaal 48 uur bewaard om de 'system administrators' in staat te stellen 'scraping'26 te detecteren en te blokkeren. Alle niet-identificerende informatie wordt na veertien dagen verwijderd. Behoudens Ixquick ontvangen de andere derde partijen slechts de gegevens die nodig zijn voor de te leveren zoekresultaten. Deze partijen zijn niet in staat om de gebruikers van de Ixquickservice te identificeren.
3. Derde gegevensstroom: aan de advertentiepartner worden de zoektermen getoond als gesponsorde zoektermen en deze worden samen met de landen-code en het `one way hashed' IP-adres verzonden.27
Willen gegevens beschouwd kunnen worden als persoonsgegevens dan dient er sprake te zijn van (in)direct tot een persoon herleidbare gegevens.28 IP-adressen worden aangemerkt als persoonsgegevens. De eerste gegevensstroom bevat persoonsgegevens. De gebruiker die een bepaalde zoekterm invoerde is identificeerbaar omdat zijn IP-adres bekend is. De tweede en derde gegevensstroom bevatten geen persoonsgegevens omdat het IP-adres van de gebruiker wordt omgezet in het IP-adres van Ixquick en het IP-adres van de gebruiker niet wordt verspreid naar andere zoekmachines. Ixquick handelt in feite als een 'anonymizer'. Een anonymizer is een softwareprogramma dat alle direct identificerende persoonsgegevens filtert uit de gegevens die nodig zijn voor het opbouwen van verbindingen via het netwerk.29
c. Clickfraude
Om clickfraude30 te voorkomen wordt bij iedere zoekterm aan de advertentieaanbieder (sponsored links server) de zoekterm, de landencode en het `one way hashed' IP-adres verzonden. Het `hashed' IP-adres wordt met het volgende algoritme berekend:
Het IP-adres is gekoppeld met de geheime sleutel, die na een overeengekomen periode van enkele dagen31 op een totaal willekeurige wijze32 wordt veranderd, bijvoorbeeld het IP-adres 11.22.33.44 en de geheime sleutel zabcdefgh, met als resultaat 11.22.33.44 zabcdefgh.
Een SHAl-hash33 wordt berekend over het resultaat (1), en leidt tot een hash van bijvoorbeeld vijftig tekens. In het voorbeeld, resulteert de SHAl-hash van 11.22.33.44 zabcdefgh in de code:
9w45bn%#ad3c533bf6 1 d 1 95 59f43 1 c6 1 e7de6c9 5 1 59b2dfdf2.
Slechts een beperkt aantal tekens van resultaat (2) worden voor patroonherkenning gezonden naar de Sponsored Links Server van de advertentie-aanbieden Bijvoorbeeld de laatste twintig tekens. In dit voorbeeld zou dat dan alleen 61e7de6c95159b2dfdf2 zijn.
De geheime sleutel (met een sleutellengte van 211)34 maakt het voor de advertentieaanbieder onmogelijk om de hash van ieder mogelijk IP-adres te berekenen en te vergelijken met de ontvangen IP-adressen. Omdat binnen een vaste periode van enige dagen de hashsleutel wijzigt, is het correleren van de hashes van iedere periode onmogelijk, terwijl de sleutellengte reverse engineering voorkomt.35 Omdat de hashed IP-adressen niet gekoppeld kunnen worden met een gebruiker, is er geen sprake van een persoonsgegeven. Naast de bescherming van persoonsgegevens heeft Ixquick nog een privacyveilige oplossing gevonden Bij click-fraude zou men verwachten dat bij ontdekking de fraudeur wordt aangepakt. In dit geval wordt niet de fraudeur zelf aangesproken, maar de fraude ongedaan gemaakt door de 'clicks' niet in rekening te brengen.
d. Cookies
Het laatste aspect dat met betrekking tot Ixquick privacyverhogende oplossing wordt besproken is het gebruik van `cookies'. Een `cookie' is een stukje informatie dat in de browser van de gebruiker wordt opgeslagen, waardoor voor de website het mogelijk wordt om haar gebruikers te volgen (zgn. tracking cookies). Weichert wijst erop dat cookies wel uitgeschakeld kunnen worden, maar "das allerdings dazu führen kónne, dass manche Elemente oder Dienste nicht richtig funktionieren".36 Volgens de Artikel 29 Werkgroep maakt een 'web cookie' een nauwkeurige identificatie van een persoon mogelijk, want gezien het (semi)permanente karakter van de cookie kunnen zoekresultaten met een persoon in verband worden gebracht.37
Volgens Weichert leidt dit tot een ontoelaatbare verpersoonlijking. "Werden nun fiber die IP-Adresse, fiber ein Cookie oder fiber sonstige Identifier die personenbezofenen Daten des Nutzenden mit denen des Suchdienst-Profiles kombiniert.38
De Ixquickservice gebruikt geen cookies die gebruikers in de gaten kunnen houden. Ixquick maakt wel gebruik van twee cookies voor servicedoeleinden:
Een van de cookies (de voorkeurencookie) wordt gebruikt om de zoekvoor-keuren te bewaren, die worden gebruikt voor het volgend bezoek. Het gaat hier om het voorkeursthema en de voorkeurstaal. De houdbaarheidstermijn van deze cookie is negentig dagen, waarna direct vernietiging plaatsvindt.
Het tweede cookie (de exclude repetitive results cookie) voorkomt dat dezelfde zoekresultaten worden getoond als de bezoeker/gebruiker weer opnieuw dezelfde zoekterm gebruikt. Dit cookie bevat voor elke zoeksessie een unieke waarde, maar kan niet worden gebruikt om gebruikers te volgen, omdat het direct na de zoeksessie expireert (hetgeen het moment is waarop de gebruiker zijn browser sluit of wanneer hij een nieuwe zoekterm invoert).39
Ixquick informeert overigens op de website de bezoekers en gebruikers van de zoekmachine duidelijk over het gebruik van deze cookies, zoals door de Article 29 Working Party is geadviseerd.40