Overheidssites scheppen verwarring met cookies van Google Analytics

Maar liefst 20 procent van alle sites van de rijksoverheid maakt gebruik van de analysesoftware van Google, las ik in de Volkskrant. Alex Bik van zakelijke internetprovider BIT onderzocht de bijna 1.200 websites van de Rijksoverheid op het gebruik van Google Analytics, de software van Google waarmee sitebeheerders het bezoek aan hun sites kunnen analyseren, en vond dat 236 sites deze dienst inzet. Dat is opmerkelijk, omdat er genoeg privacyvriendelijke alternatieven zijn die zelfs door de overheid worden gepromoot. Maar is het verboden?

In de kern komt de zorg van Bik erop neer dat er áltijd data naar Google gaat als je hun Analytics-dienst inzet, en dat is raar als het gaat om overheidswebsites. Als ik als burger de Nederlandse overheid bezoek, hoort niets van mijn bezoek bij een commerciële Amerikaanse partij terecht te komen, zou je zeggen.

Natuurlijk mag de overheid best meten hoe hun sites worden gebruikt, zodat ze deze kunnen verbeteren of leren waar mensen tegenaan lopen. Maar daarvoor is het hele geweld van Google Analytics niet nodig, er zijn genoeg alternatieven. Er is zelfs een standaard platform gebouwd dat met het vriendelijker, first-party analytics systeem Piwik werkt. Maar dat wordt slechts zeer beperkt ingezet, mede vanwege de wildgroei aan webbouwers die voor de overheid aan de slag is gegaan.

In theorie kan het best legaal zijn, ook wanneer de website geen toestemming vraagt voor de Analytics-cookies. Wanneer je als dienstverlener Analytics privacyvriendelijk configureert, voldoe je aan de richtlijnen van de Autoriteit Persoonsgegevens (en de uitzondering uit de cookiewet) en wordt je Analytics als “geen of geringe inbreuk op de privacy” aangemerkt. In dat geval is geen toestemming nodig – en is, althans op papier, Google niet toegestaan om die gegevens verder te gebruiken.

Het is precies dat “althans op papier” waar Bik terecht bezwaar tegen maakt. Want hoe zien wij dat? Er is bijvoorbeeld een vinkje in het Google Analytics dashboard nodig dat bepaalt dat data niet met andere Google diensten mag worden gedeeld. Van buitenaf is het onmogelijk om na te gaan of dat vinkje is gezet. Je moet de opsteller van de privacyverklaring maar geloven dat dit werkelijk zo doorgevoerd is. Ik vind dat best wel een grote stap, zeker bij een overheidsdienst.

Arnoud

19 reacties

  1. Het is precies dat “althans op papier” waar Bik terecht bezwaar tegen maakt. Want hoe zien wij dat? Er is bijvoorbeeld een vinkje in het Google Analytics dashboard nodig dat bepaalt dat data niet met andere Google diensten mag worden gedeeld. Van buitenaf is het onmogelijk om na te gaan of dat vinkje is gezet. Je moet de opsteller van de privacyverklaring maar geloven dat dit werkelijk zo doorgevoerd is. Ik vind dat best wel een grote stap, zeker bij een overheidsdienst.

    Dat probleem is er net zo goed bij alle andere websites, is het niet? En ook bij elke leveranciersrelatie. Vaak kan de verwerkingsverantwoordelijke nog wel (op eigen kosten) een audit uit (laten) voeren, maar ook dat is slechts een momentopname.

    Voor het de verwerking van het IP-adres betreft is het overigens in de broncode te zien (en dus in principe met een plugin te detecteren). Zie https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization.

    1. Ten eerste zijn andere websites niet van de overheid. Overheidswebsites zijn vrij bijzonder, omdat ze vaak de enige of belangrijkste manier zijn om bepaalde dingen te regelen of informatie te krijgen. Bovendien is het raar dat je bij een bezoek aan een website van de Nederlandse overheid wordt gevolgd door een Amerikaanse commerciële partij.

      Ten tweede hoef je niet met een Amerikaans bedrijf in zee. Ik weet niet welke opties er zijn, maar de voorkeur zou moeten gaan naar een bedrijf in de EU, het liefst Nederland zelf, zodat ze zo sterk mogelijk gebonden zijn aan de Nederlandse wet.

      1. Ten eerste zijn andere websites niet van de overheid.

        Klopt, maar is dezelfde wetgeving niet gewoon van toepassing?

        Ten tweede hoef je niet met een Amerikaans bedrijf in zee.
        Klopt, maar het is ook niet verboden, of wel?

        1. Opnieuw, het gaat erom dat we het hier hebben over overheidswebsites, waar je iets anders van mag verwachten dan andere websites. Het gaat er hier om dat het verbazingwekkend is dat de Nederlandse overheid in zee gaat met een commerciële partij die niet bekend staat om haar privacybescherming.

          Je mag ook niet door rood rijden of plastic in de oceaan dumpen, maar daar hebben we het gewoon niet over.

  2. Piwik heet tegenwoordig overigens Matomo, want het bedrijf wat erachter zit is en paar keer van eigenaar veranderd.

    Ik heb hier intern ook al over een Matomo als first party tracker gesproken. Het lijkt ons een goede manier om eenvoudig gebruik ik kaart te brengen, maar ook om hiermee beter de privacy van gebruikers te respecteren. Juist omdat die data dan niet verkocht wordt, is het een stuk makkelijker hierin een gerechtvaardigd belang te zoeken: Welke functies kunnen gebruikers niet vinden in het software pakket? waar treden het vaakst foutmeldingen op?

    Dat de overheid zijn eigen regels overtreedt, is natuurlijk schrijnend. Doet mij denken aan o.a. de publieke omroep die eerst een vette cookiewall had.

    1. Dat de overheid zijn eigen regels overtreedt, is natuurlijk schrijnend. Doet mij denken aan o.a. de publieke omroep die eerst een vette cookiewall had.
      Of de regels overtreden worden, is volgens mij op basis van voor bezoekers (waar ik i.c. de onderzoeker ook onder schaar) zichtbare gegevens niet te bepalen. Of mis ik iets?

      1. De aanname is dat de overheid waarschijnlijk de zaakjes niet nauwlettend op orde heeft en dus dat de ‘privacy-bewuste’ versie van Google Analytics (kuchBWAHAHAAproest) niet fatsoenlijk is aangezet. Dat is 100% zeker bij minimaal één overheidswebsite aan de gang. Niet omdat we daar bewijs voor hebben, maar omdat we na jarenlange ervaring snappen hoe en cynisch zijn over hoe de overheid werkt. Waar dat gebeurd is een overtreding van de regels aan de gang.

        Daar komt bij dat deze bedrijven keer op keer weer ‘foutjes’ maken in hoe ze hun data opslaan en gebruiken. Het is niet de eerste keer en zal zeker niet de laatste keer zijn dat Google ‘als niet verder te gebruiken’ data “per ongeluk” toch gebruikt voor gepersonaliseerde advertenties. Komt dat uit, dan is het ‘oh, oeps, sorry’. Weer een overtreding van de regels door de overheid. De overheid mag het weer gaan verhalen bij Google, maar daar heeft de burger niks aan.

        En als laatste, als het niet per ongeluk gebeurd, gebeurt het expres door Google. Plotseling is er een wijziging van de algemene voorwaarden, of is er een nieuwe categorie data bijgekomen, die standaard aangevinkt is op ‘wel delen’ in plaats van niet. Tenzij een overheids-medewerker hier dagelijks voor op de hoede is, is na zo’n verandering de overheid weer de regels aan het overtreden. Uiteindelijk Google’s schuld, maar dat is niet ons probleem.

        De aanname blijft dus, waar Google Analytics door de overheid in gebruik is, is nu of in de toekomst een overtreding van de regels aan de gang. Ze kunnen beter investeren in een Matomo en hier regels over maken om dit te voorkomen.

    2. Piwik heet tegenwoordig overigens Matomo, want het bedrijf wat erachter zit is en paar keer van eigenaar veranderd.

      Heb je een bron? Volgens mij is het bedrijf nooit in andere handen gekomen? De reden achter de naamswijziging zou zijn:

      to ensure that Matomo does not/will not share its name with any other businesses unlike Piwik. We also want to protect the Matomo brand
      .

  3. Van buitenaf is het onmogelijk om na te gaan of dat vinkje is gezet.

    Dat argument kun je bij vrijwel iedere cookie met een hash ook noemen. Als deze de naam draagt “shopping_cart” of “session”, en hij is wel langer dan een week houdbaar, hoe kun jij dan weten of die niet wordt gebruikt om een sessie op te bouwen?

      1. Ja dat kun jij misschien zien. Maar ik als gemiddelde gebruiker kan dat helemaal niet zien en het zou ook niet nodig moeten zijn dat een gemiddelde, of zelfs een bovengemiddelde, gebruiker dat kan zien.

        1. Een gemiddelde gebruiker hoeft dat niet te kunnen zien natuurlijk. Wat wel moet kunnen is dat een geinteresseerde onafhankelijke expert een soortement van audit kan doen, op het behest van de gemiddelde gebruiker, en die kan dit allemaal wel bekijken. Maar due niet dat vinkje zien.

  4. Je moet de opsteller van de privacyverklaring maar geloven dat dit werkelijk zo doorgevoerd is. Ik vind dat best wel een grote stap, zeker bij een overheidsdienst.

    Valt of staat de hele samenleving niet bij het kunnen vertrouwen van de overheid?

    1. Valt of staat de hele samenleving niet bij het kunnen vertrouwen van de overheid?

      Het valt of staat bij het kunnen controleren van de overheid. Het vertrouwen vloeit voort uit deze controlemogelijkheid. Als er geen controle mogelijk is, kan er ook geen vertrouwen zijn.

  5. Natuurlijk mag de overheid best meten hoe hun sites worden gebruikt, zodat ze deze kunnen verbeteren of leren waar mensen tegenaan lopen.

    En zelfs dat is volgens mij gewoon onzin. Ik bekijk die info wel in eens mijn logfile, maar in feite kun je er niks mee.

    1. Analytics doet veel meer dan wat er in je logfiles staat.

      Google analytics kan (o.a. door javascripts en cookies) van bijna ieder systeem een unieke fingerprint maken, waardoor ze je alsnog direct kunnen tracken.

      Dingen die ze tracken zijn:

      Time of visit, pages visited, and time spent on each page of the webpages

      Referring site details (such as the URI a user came through to arrive at this site)

      Type of web browser

      Type of operating system (OS)

      Flash version, JavaScript support, screen resolution, and screen color processing ability

      Network location and IP address.

      Door de laatste 4 te combineren, is voor Google relatief eenvoudig een computer fingerprint te maken die, in combinatie met een cookie, herleidbaar kan (en zal) zijn naar een unieke PC en dus ook een persoon (namelijk de eigenaar van de PC).

  6. Wanneer je als dienstverlener Analytics privacyvriendelijk configureert, voldoe je aan de richtlijnen van de Autoriteit Persoonsgegevens

    Mijns inziens zit hier het probleem. Door wat de AP erover zegt is er een formele werkelijkheid geschapen waarin iedereen kan doen of er niets aan de hand is, terwijl zonneklaar is dat dat de feitelijkheid geen recht doet.

    Zonder die instructies zou iedere FG aan de hand van de feiten makkelijk kunnen oordelen dat gebruik van GA problematisch is en afgewezen moet worden. Maar tegen het argument ‘kijk, de toezichthouder zegt zelf dat het prima kan’ is natuurlijk niet op te boksen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.