Ruim 60 procent van de websites van Nederlandse gemeenten deelt data met Google, zoals IP-adressen van bezoekers, voordat gebruikers toestemming hebben gegeven. Dat meldde Tweakers onlangs. Het gaat onder meer om YouTube-embeds en Google Fonts.
Het bericht is gebaseerd op onderzoek van Nixon Digital. Zo wordt gemeld:
In meer dan de helft van de gevallen ging het om YouTube-embeds met trackingcookies. Die sturen data door, zelfs als bezoekers de video niet afspelen. Dat is te voorkomen door de embed vanaf een ‘nocookie’-domein te serveren. Ook Google Fonts en Google Analytics kwamen veel voor. Fonts kunnen sitebeheerders zelf hosten.En dit is precies de kern van het probleem. Nee, dit mag niet – er gaan dan persoonsgegevens naar de VS zonder duidelijke AVG-grondslag. Terwijl er een technisch prima alternatief is, zoals hier genoemd. Dit “illegaal” noemen is een groot woord, maar juridisch-technisch niet onjuist. Maar het is ook de bestaande praktijk.
Voor mij is dit een evident symptoom van hetzelfde probleem als waarom we niet naar soevereine, Europese dienstverlening gaan. Die is er niet, althans niet met het gemak en de bekendheid (en dus lage kosten) waarmee Big Tech nu beschikbaar is. Een oplossing op basis van Google rol je zo uit.
De alternatieven vereisen werk en dus tijd en geld, met een lastig verhaal waarom. En dan houdt het snel op. Zeker in kleinere organisaties zoals gemeentes, waar de technische kennis toch al schaars is en de prioriteiten (terecht hoor) niet liggen bij datasoevereiniteit en AVG-compliance van je Wmo-aanvraagformulier.
Ik vrees dat hier geen eenvoudige oplossing voor is. Van iedere individuele organisatie is niet te verwachten dat ze ‘gewoon’ over gaan, want die tijd en kosten zijn lastig te rechtvaardigen.
We moeten het collectief doen. En dat kan maar op één manier, namelijk door wetgeving die dit verplicht mét een mechanisme voor dwang. En dan bedoel ik niet “de AVG”, want die is er al en die helpt niet. Een inkoopverbod voor overheden bij niet-Europese leveranciers zou wel helpen. Maar eenvoudig zal het niet zijn.
Arnoud
Inkoopverbod voor niet-Europese overheden: easy peasy, Google Nederland BV zit aan de Claude Debussylaan. Ook geen niet-Europese toeleveranciers of onderaannemers: dat is schier onmogelijk – te beginnen met dat Apple, Linux foundation (c.q. de belangrijkste contributors) en Microsoft allemaal Amerikaans zijn.
Waar ‘niet’ geen serieuze optie is en er ook geen alternatief op de markt is met enigszins vergelijkbare kosten en functionaliteiten helpt een wet niet op termijn korter dan enkele regeerperioden. Wetgeving alleen gaat hier niet werken voor tegenhangers van Google als geheel, de komende 20 jaar Europa-breed investeren in over 10 jaar serieuze alternatieven misschien wel. En tot die tijd per puntoplossing nadenken of en wanneer naar alternatieven te kijken. En ook de SaaS-leveranciers die onder water ook de big tech gebruiken er op aanspreken.
Al hebben die momenteel meer aandacht voor de AI-hype (vaak o.b.v. Amerikaanse AI, natuurlijk).
Dat gezegd hebbende: waarom, los van de geopolitiek, focussen op Amerika? Het zou toch evenmin okay zijn als het een Canadees of ander niet-EER land betrof? Net zoals onder de AVG ook nocookie Youtube vast een potentieel issue is: een IP-adres is een persoonsgegeven.
Maar goed. We hebben het hier over analytics, lettertypes en filmpjes. Een overheidssite kan prima zonder alle drie. Daar is een hard verbod niet onoverkomelijk. Voor dit soort zaken is het volgens mij eerder zo dat er niet over is nagedacht. Niet bij de klant en niet bij de leverancier die de functionaliteit aanbiedt. De AVG of cookiewet is niet per se front-of-mind voor webredacties of sales.
Ik ben het er mees een dat dit allemaal eenvoudig zelf gehost kan worden. Maar niet dat het niet nodig is. Lettertypes heb je onder andere nodig om bijvoorbeeld dyslexie-ondersteuning te bieden, gemeente Zwolle bied dat bijvoorbeeld aan op hun bewonersportaal. Video’s voegen onder andere enorm veel waarde toe in kennisoverdracht voor laaggeletterden. En analytics om te kunnen analyseren of de informatie die je aan je bewoners verstrekt ook bekeken wordt en hoe je dit kunt verbeteren.
Een inkoopverbod voor overheden bij niet-Europese leveranciers slaat deze plank mis. Het probleem hier is niet dat een leverancier niet-Europees is, maar dat er zo maar zonder toestemming niet-functionele cookies geplaatst worden. Met gebruikmaking van wel-Europese leveranciers kan dit ook foutief geïmplementeerd worden. Zelfs als er een inkoopverbod voor niet EU-oplossingen zou zijn, wordt dit allemaal trouwens niet voorkomen. YouTube-video’s embedden is gratis, dus hebben overheden dan niet eens in de gaten dat het gebruikmaken van een handige embedfunctie ook een ‘verboden inkoop’ is.
De oplossing zit hier wel degelijk in handhaving van de AVG/Telecommunicatiewet. Het gaat hier om niet-functionele cookies (ze zijn niet per se nodig om de basisfuncties van de website te laten werken). En die mogen niet zonder toestemming geplaatst of uitgelezen worden. Het resultaat van een AVG/Tcw compliant implementatie zal zijn dat minder mensen de video’s (kunnen/zullen) kijken. Dit valt heel eenvoudig te voorkomen. Er is voor overheden immers geen enkele noodzaak om YouTube videos te embedden. Gemeentes kunnen video’s ook zelf hosten of hosten bij een externe partij die geen cookies zet als ze gebruikers niet willen lastig vallen met toestemmingsverzoeken.
En voor zover de kritiek ook deels ziet op het feit dat er naar de VS geëxporteerd wordt: als hierover bij het toestemmingsverzoek correct geïnformeerd wordt, gaat dit in principe goed. Het probleem op dit punt is echter dat bijna geen enkele website hier volledig AVG-correct over informeert. Het feit dat de data niet alleen in de VS terecht kan komen, maar ook in andere landen buiten de EU waar Google datacentra heeft (en wat daar dan de exportgrondslag conform AVG voor is), wordt al helemaal door bijna niemand correct medegedeeld bij het vragen van toestemming.
Overheden die af willen van al dit gedoe met toestemming voor cookies en gedoe rondom export van persoonsgegevens naar de V.S. (en andere landen), kunnen hun video’s dus gewoon zelf hosten of extern hosten op een Europees ‘cookie-and consent free’ platform, zoals deze https://ignite.video/en?utm_source=eurotoolkit.eu . Maar ja, dan moet je wel even een betaald abonnementje afsluiten voor je videohosting in plaats van alles gratis op YouTube zetten.
Dat is niet (altijd/volledig) waar. Dat domein zet nog steeds ‘cookies’ (of gebruikt local storage). Zeker als je daar vandaan de iframe JavaScript API gebruikt (nodig voor interactie met de video). Want dan worden ook gewoon weer cookies van het normale domein gebruikt.
Zie ook:
Het spijt me maar ik ben het deze keer echt volledig met je oneens. Waarom kunnen we niet juist van de overheid zelf verwachten dat die zich aan de eigen regels houdt? Waarom kunnen gemeenten niet via een van de vele samenwerkingsverbanden (bijv de VNG of Logius) een systeem aanschaffen of ontwikkelen waarmee het wel mogelijk is om filmpjes aan te bieden zonder de wet te overtreden? Voor burgers en bedrijven is “heeft geen prio” geen excuus. Mijn prioriteiten liggen bij snel op mijn bestemming aankomen; de politie heeft daar geen boodschap aan. De prioriteiten van mijn bedrijf liggen bij mijn klanten helpen, niet bij de het invullen van verplichte enquetes, maar het CBS heeft daar geen boodschap aan. Waarom moeten burgers, die voor hun levensonderhoud afhankelijk kunnen zijn van uitkeringen of toeslagen via de gemeente, maar accepteren dat hun WMO-aanvraag niet conform de wet wordt behandeld en beschermd terwijl ze er allemaal erg persoonlijke informatie in moeten opgeven over hun situatie en gezondheid? Als 40% procent van de gemeentes het wel kan, dan is het dus goed mogelijk om het wel netjes conform te doen, die 60% die het niet doet heeft dan gewoon geen valide excuus meer. Dan maar geen google analytics.
Handig is geen grondslag.
Alternatieven zat: https://switching.software/