Vimeo-video's zijn een theoretische Alternatief voor YouTube Video's, waar iedere webbeheerder aan denkt die een video wil inlassen. Rechtelijk gezien zijn Vimeo-video's geen Alternative, maar even data-gevoelig als YouTube Video's.
Voor YouTube-video's is toestemming vereist voordat het videoscript kan worden geladen. We hebben het hier niet over het afspelen van de video, maar over het laden van het script waarmee de video later kan worden afgespeeld.
Een Vimeo Video kan bijvoorbeeld met volgende code ingebed worden:
<iframe src="https://player.vimeo.com/video/471147124713?dnt=1&title=0&byline=0&portrait=0" width="760" height="428" frameborder="0" webkitallowfullscreen mozallowfullscreen allowfullscreen>
De vetgedrukte tekst is het videonummer, dat hier alleen als voorbeeld wordt gegeven.
De parameter dnt staat voor Do not track, dus voor de privacy-vriendelijke versie van Vimeo Videos. Wat gebeurt er nu na het invoegen van bovenstaande code? In ieder geval worden volgens mijn tests geen cookies gezet, maar wel ladenprocessen:
- Het videascript wordt geladen vanuit de domein player.vimeo.com.
- Dit script laadt een mini-vorvertoning van i.vimeocdn.com naar, thumbnail genaamd.
- Verder wordt er een (blijkbaar gelokaliseerde, d.w.z. taalafhankelijke) player geladen in de vorm van een script en een opmaakbestand (CSS). Het domein is hetzelfde als voorheen.
- Ten slotte wordt een groter voorbeeld van i.vimeocdn.com geladen.
Wanneer het video-bestand nu wordt afgespeeld, worden de videodata's in segmenten herladen. Dit gebeurt via een verbinding met de domeinnaam akamaized.net of een subdomein daarvan, dat verschillende namen heeft vanwege lastverdeling.
Volgens de website van Vimeo is de aanbieder Vimeo Inc. met hoofdzetel in Amerika. Vanwege de ongeldigheid van het Privacy Shield en het feit dat de VS een onveilig derde land zijn, wordt er een informatieplicht gegeven voordat het Vimeo Video Script geladen kan worden. Zie hiervoor ook Cloud Act, EO12333 en FISA
Behalve dat, lijkt het verdacht dat voor een video drie domeinen betrokken zijn: vimeo.com, vimeocdn.com en akamaized.net.
Een WHOIS-verzoek van akamaized.net laat zien dat de Registrant het bedrijf Akamai Technologies, INC. met hoofdzetel in de VS is. Bij afspelen van het video's zijn dus twee bedrijven betrokken. Zoals kan wordengelezen, lijkt Vimeo het bedrijf Akamai te gebruiken om een vloeiend afspelen van video's via een CDN mogelijk te maken.
Het is ook mogelijk om video's rechtstreeks op het videoplatform Vimeo te bekijken. Volgens mijn onderzoek brengt dit nog kritischer gegevensverzameling met zich mee dan het insluiten van Vimeo video's in je eigen website. Op het Vimeo videoplatform wordt bijvoorbeeld Google Analytics geladen met cookies, maar zonder toestemming. Dit is illegaal.
In plaats van Vimeo-videos in te binden, zouden videos lokaal ingebonden moeten worden. Wanneer de Vimeo-video platform wordt gebruikt, dan hoogstens zonder Branding, dus zonder dat de video weergave onder uw verantwoordelijkheid valt. Alternatief kan een geschikte afbeelding met link naar het videoplatform in plaats van een video ingebonden worden. Wie videos direct wil inbinden, moet zich op zoek moeten stellen naar een data-privacy-compatibele aanbieder. In plaats van de gegevens van de gebruiker wordt dan waarschijnlijk geld betaald.
In de tussentijd heb ik een privacy-vriendelijke optie voor videoplugins onderzocht die uitvoerbaar is en vrijwel geen kosten met zich meebrengt (afgezien van webhosting, die hoe dan ook beschikbaar moet zijn):
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
