Overheidssites scheppen verwarring met cookies van Google Analytics

| AE 11206 | Privacy | 19 reacties

Maar liefst 20 procent van alle sites van de rijksoverheid maakt gebruik van de analysesoftware van Google, las ik in de Volkskrant. Alex Bik van zakelijke internetprovider BIT onderzocht de bijna 1.200 websites van de Rijksoverheid op het gebruik van Google Analytics, de software van Google waarmee sitebeheerders het bezoek aan hun sites kunnen analyseren, en vond dat 236 sites deze dienst inzet. Dat is opmerkelijk, omdat er genoeg privacyvriendelijke alternatieven zijn die zelfs door de overheid worden gepromoot. Maar is het verboden?

In de kern komt de zorg van Bik erop neer dat er áltijd data naar Google gaat als je hun Analytics-dienst inzet, en dat is raar als het gaat om overheidswebsites. Als ik als burger de Nederlandse overheid bezoek, hoort niets van mijn bezoek bij een commerciële Amerikaanse partij terecht te komen, zou je zeggen.

Natuurlijk mag de overheid best meten hoe hun sites worden gebruikt, zodat ze deze kunnen verbeteren of leren waar mensen tegenaan lopen. Maar daarvoor is het hele geweld van Google Analytics niet nodig, er zijn genoeg alternatieven. Er is zelfs een standaard platform gebouwd dat met het vriendelijker, first-party analytics systeem Piwik werkt. Maar dat wordt slechts zeer beperkt ingezet, mede vanwege de wildgroei aan webbouwers die voor de overheid aan de slag is gegaan.

In theorie kan het best legaal zijn, ook wanneer de website geen toestemming vraagt voor de Analytics-cookies. Wanneer je als dienstverlener Analytics privacyvriendelijk configureert, voldoe je aan de richtlijnen van de Autoriteit Persoonsgegevens (en de uitzondering uit de cookiewet) en wordt je Analytics als “geen of geringe inbreuk op de privacy” aangemerkt. In dat geval is geen toestemming nodig – en is, althans op papier, Google niet toegestaan om die gegevens verder te gebruiken.

Het is precies dat “althans op papier” waar Bik terecht bezwaar tegen maakt. Want hoe zien wij dat? Er is bijvoorbeeld een vinkje in het Google Analytics dashboard nodig dat bepaalt dat data niet met andere Google diensten mag worden gedeeld. Van buitenaf is het onmogelijk om na te gaan of dat vinkje is gezet. Je moet de opsteller van de privacyverklaring maar geloven dat dit werkelijk zo doorgevoerd is. Ik vind dat best wel een grote stap, zeker bij een overheidsdienst.

Arnoud

Deel dit artikel

  1. Het is precies dat “althans op papier” waar Bik terecht bezwaar tegen maakt. Want hoe zien wij dat? Er is bijvoorbeeld een vinkje in het Google Analytics dashboard nodig dat bepaalt dat data niet met andere Google diensten mag worden gedeeld. Van buitenaf is het onmogelijk om na te gaan of dat vinkje is gezet. Je moet de opsteller van de privacyverklaring maar geloven dat dit werkelijk zo doorgevoerd is. Ik vind dat best wel een grote stap, zeker bij een overheidsdienst.

    Dat probleem is er net zo goed bij alle andere websites, is het niet? En ook bij elke leveranciersrelatie. Vaak kan de verwerkingsverantwoordelijke nog wel (op eigen kosten) een audit uit (laten) voeren, maar ook dat is slechts een momentopname.

    Voor het de verwerking van het IP-adres betreft is het overigens in de broncode te zien (en dus in principe met een plugin te detecteren). Zie https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization.

    • Ten eerste zijn andere websites niet van de overheid. Overheidswebsites zijn vrij bijzonder, omdat ze vaak de enige of belangrijkste manier zijn om bepaalde dingen te regelen of informatie te krijgen. Bovendien is het raar dat je bij een bezoek aan een website van de Nederlandse overheid wordt gevolgd door een Amerikaanse commerciële partij.

      Ten tweede hoef je niet met een Amerikaans bedrijf in zee. Ik weet niet welke opties er zijn, maar de voorkeur zou moeten gaan naar een bedrijf in de EU, het liefst Nederland zelf, zodat ze zo sterk mogelijk gebonden zijn aan de Nederlandse wet.

  2. Piwik heet tegenwoordig overigens Matomo, want het bedrijf wat erachter zit is en paar keer van eigenaar veranderd.

    Ik heb hier intern ook al over een Matomo als first party tracker gesproken. Het lijkt ons een goede manier om eenvoudig gebruik ik kaart te brengen, maar ook om hiermee beter de privacy van gebruikers te respecteren. Juist omdat die data dan niet verkocht wordt, is het een stuk makkelijker hierin een gerechtvaardigd belang te zoeken: Welke functies kunnen gebruikers niet vinden in het software pakket? waar treden het vaakst foutmeldingen op?

    Dat de overheid zijn eigen regels overtreedt, is natuurlijk schrijnend. Doet mij denken aan o.a. de publieke omroep die eerst een vette cookiewall had.

    • Dat de overheid zijn eigen regels overtreedt, is natuurlijk schrijnend. Doet mij denken aan o.a. de publieke omroep die eerst een vette cookiewall had.
      Of de regels overtreden worden, is volgens mij op basis van voor bezoekers (waar ik i.c. de onderzoeker ook onder schaar) zichtbare gegevens niet te bepalen. Of mis ik iets?

      • De aanname is dat de overheid waarschijnlijk de zaakjes niet nauwlettend op orde heeft en dus dat de ‘privacy-bewuste’ versie van Google Analytics (kuchBWAHAHAAproest) niet fatsoenlijk is aangezet. Dat is 100% zeker bij minimaal één overheidswebsite aan de gang. Niet omdat we daar bewijs voor hebben, maar omdat we na jarenlange ervaring snappen hoe en cynisch zijn over hoe de overheid werkt. Waar dat gebeurd is een overtreding van de regels aan de gang.

        Daar komt bij dat deze bedrijven keer op keer weer ‘foutjes’ maken in hoe ze hun data opslaan en gebruiken. Het is niet de eerste keer en zal zeker niet de laatste keer zijn dat Google ‘als niet verder te gebruiken’ data “per ongeluk” toch gebruikt voor gepersonaliseerde advertenties. Komt dat uit, dan is het ‘oh, oeps, sorry’. Weer een overtreding van de regels door de overheid. De overheid mag het weer gaan verhalen bij Google, maar daar heeft de burger niks aan.

        En als laatste, als het niet per ongeluk gebeurd, gebeurt het expres door Google. Plotseling is er een wijziging van de algemene voorwaarden, of is er een nieuwe categorie data bijgekomen, die standaard aangevinkt is op ‘wel delen’ in plaats van niet. Tenzij een overheids-medewerker hier dagelijks voor op de hoede is, is na zo’n verandering de overheid weer de regels aan het overtreden. Uiteindelijk Google’s schuld, maar dat is niet ons probleem.

        De aanname blijft dus, waar Google Analytics door de overheid in gebruik is, is nu of in de toekomst een overtreding van de regels aan de gang. Ze kunnen beter investeren in een Matomo en hier regels over maken om dit te voorkomen.

  3. Van buitenaf is het onmogelijk om na te gaan of dat vinkje is gezet.

    Dat argument kun je bij vrijwel iedere cookie met een hash ook noemen. Als deze de naam draagt “shopping_cart” of “session”, en hij is wel langer dan een week houdbaar, hoe kun jij dan weten of die niet wordt gebruikt om een sessie op te bouwen?

    • Analytics doet veel meer dan wat er in je logfiles staat.

      Google analytics kan (o.a. door javascripts en cookies) van bijna ieder systeem een unieke fingerprint maken, waardoor ze je alsnog direct kunnen tracken.

      Dingen die ze tracken zijn:

      Time of visit, pages visited, and time spent on each page of the webpages

      Referring site details (such as the URI a user came through to arrive at this site)

      Type of web browser

      Type of operating system (OS)

      Flash version, JavaScript support, screen resolution, and screen color processing ability

      Network location and IP address.

      Door de laatste 4 te combineren, is voor Google relatief eenvoudig een computer fingerprint te maken die, in combinatie met een cookie, herleidbaar kan (en zal) zijn naar een unieke PC en dus ook een persoon (namelijk de eigenaar van de PC).

  4. Wanneer je als dienstverlener Analytics privacyvriendelijk configureert, voldoe je aan de richtlijnen van de Autoriteit Persoonsgegevens

    Mijns inziens zit hier het probleem. Door wat de AP erover zegt is er een formele werkelijkheid geschapen waarin iedereen kan doen of er niets aan de hand is, terwijl zonneklaar is dat dat de feitelijkheid geen recht doet.

    Zonder die instructies zou iedere FG aan de hand van de feiten makkelijk kunnen oordelen dat gebruik van GA problematisch is en afgewezen moet worden. Maar tegen het argument ‘kijk, de toezichthouder zegt zelf dat het prima kan’ is natuurlijk niet op te boksen.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS