Overheidssites scheppen verwarring met cookies van Google Analytics

| AE 11206 | Privacy | 19 reacties

Maar liefst 20 procent van alle sites van de rijksoverheid maakt gebruik van de analysesoftware van Google, las ik in de Volkskrant. Alex Bik van zakelijke internetprovider BIT onderzocht de bijna 1.200 websites van de Rijksoverheid op het gebruik van Google Analytics, de software van Google waarmee sitebeheerders het bezoek aan hun sites kunnen analyseren, en vond dat 236 sites deze dienst inzet. Dat is opmerkelijk, omdat er genoeg privacyvriendelijke alternatieven zijn die zelfs door de overheid worden gepromoot. Maar is het verboden?

In de kern komt de zorg van Bik erop neer dat er áltijd data naar Google gaat als je hun Analytics-dienst inzet, en dat is raar als het gaat om overheidswebsites. Als ik als burger de Nederlandse overheid bezoek, hoort niets van mijn bezoek bij een commerciële Amerikaanse partij terecht te komen, zou je zeggen.

Natuurlijk mag de overheid best meten hoe hun sites worden gebruikt, zodat ze deze kunnen verbeteren of leren waar mensen tegenaan lopen. Maar daarvoor is het hele geweld van Google Analytics niet nodig, er zijn genoeg alternatieven. Er is zelfs een standaard platform gebouwd dat met het vriendelijker, first-party analytics systeem Piwik werkt. Maar dat wordt slechts zeer beperkt ingezet, mede vanwege de wildgroei aan webbouwers die voor de overheid aan de slag is gegaan.

In theorie kan het best legaal zijn, ook wanneer de website geen toestemming vraagt voor de Analytics-cookies. Wanneer je als dienstverlener Analytics privacyvriendelijk configureert, voldoe je aan de richtlijnen van de Autoriteit Persoonsgegevens (en de uitzondering uit de cookiewet) en wordt je Analytics als “geen of geringe inbreuk op de privacy” aangemerkt. In dat geval is geen toestemming nodig – en is, althans op papier, Google niet toegestaan om die gegevens verder te gebruiken.

Het is precies dat “althans op papier” waar Bik terecht bezwaar tegen maakt. Want hoe zien wij dat? Er is bijvoorbeeld een vinkje in het Google Analytics dashboard nodig dat bepaalt dat data niet met andere Google diensten mag worden gedeeld. Van buitenaf is het onmogelijk om na te gaan of dat vinkje is gezet. Je moet de opsteller van de privacyverklaring maar geloven dat dit werkelijk zo doorgevoerd is. Ik vind dat best wel een grote stap, zeker bij een overheidsdienst.

Arnoud

Wat mag er nu de cookiewet wordt versoepeld?

| AE 7414 | Privacy | 20 reacties

cookie-bril.jpgHet voelt een tikje als verplicht nummer, deze blog, maar goed. De versoepelde cookiewet is aangenomen in de Eerste Kamer. Nu is het alleen nog even wachten op inwerkingtreding, maar dan zal het toegestaan zijn om niet-functionele cookies te plaatsen zonder toestemming te vragen zolang het gaat om cookies die “geen of slechts geringe” inbreuk op de privacy maken. Dus ook analytics, en tot mijn verrassing zélfs Google Analytics.

Al sinds de invoering heeft iedereen een hekel aan de cookiewet. Jammer ergens, want het was een goed idee, ze hadden alleen cookies uit moeten zonderen. Het principe is namelijk best sympathiek: geen data zetten op mijn apparatuur zonder mijn toestemming, en geen data uitlezen ook niet. Maar toen kreeg iemand het in zijn hoofd dat cookies ook ‘data’ zijn en toen zei iemand, dat is handig want cookies zijn privacyschendend en spyware en tracking en OMGWTFWBP daar moeten we wat mee. Vandaar.

Het idee was daarbij ook nog eens dat iedereen door de cookiewet zou denken “oei, toestemming vragen is moeilijk, laten we maar zonder tracking en zonder Analytics gaan werken”. Niet dus: dat werd de bekende domme oplossing van het de gebruiker vragen terwijl die geen idee heeft waar het over gaat. Binnen een mum van tijd stond het web vol met popups waar je een door een jurist opgestelde tekst (“Deze website wenst ‘cookies’ te plaatsen, conform artikel 11.7a Telecommunicatiewet is daarvoor specifieke, vrije en geïnformeerde toestemming nodig”) moest lezen en dan “ja” of “nee” kon kiezen. Hoewel vaker je alleen “ja” of je Back-button kon kiezen – de cookiemuur.

Na veel ophef, met name over cookiemuren bij de publieke omroep, is er dan toch gekozen voor een wettelijk compromis: je mag nu zonder toestemming cookies plaatsen die de privacy niet of slechts een klein beetje schenden én je dat doet voor het doel “informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij.” Analytics dus.

Ook die van Google? Nee, dacht ik altijd: Google is eng-Amerikaans en doet niet aan privacy, dus dat is meer dan “geringe gevolgen” voor de privacy. Bij dit wetsvoorstel is daar verder niet op ingegaan, maar recent publiceerde het Cbp een handreiking over hoe je je aan de privacywet kunt houden en toch Google Analytics kunt inzetten. Je moet vier stappen nemen:

  1. Accepteer het “Amendement gegevensverwerking” in je Analytics-account (‘Beheer’ > ‘Account instellingen’ en dan helemaal onderaan);
  2. Blokkeer het meezenden van volledige IP-adressen (ga('set', 'anonymizeIp', true);) en forceer als je toch bezig bent even SSL (ga('set', 'forceSSL', true););
  3. Zet het delen van gegevens met Google uit (‘Beheer’ > ‘Account instellingen’ en dan vier instellingen uitvinken);
  4. Informeer je bezoekers in een cookieverklaring of privacyverklaring over je gebruik van Google Analytics.

Hiermee is je gebruik van Google Analytics zo privacyvriendelijk mogelijk, en onder de Wbp is het dan oké via de “eigen dringende noodzaak”-uitzondering. En kennelijk vinden we het in die situatie dan ook oké om te spreken van een “geringe inbreuk op de privacy”, zodat je je popup weg kunt laten als je daarmee werkt.

Ga je mensen over meerdere sites heen tracken dan blijft de cookiewet van kracht: dat valt buiten het doel “informatie over kwaliteit of effectiviteit” en bovendien is dat écht wel een meer dan geringe inbreuk op de privacy. Hetzelfde geldt voor andere analytics-achtige tools waarbij je wél IP-adresgebonden informatie logt en analyseert.

Oh, en als je een instelling bent die op grond van de wet is opgericht dan mag je geen toestemming eisen voordat mensen op je site mogen. De Publieke Omroep werd hier een tijdje terug nog voor beboet, maar nu geldt het dus formeel voor álle openbare instellingen. Private bedrijven en organisaties mogen wel cookiemuren hanteren, omdat daar concurrentie voor bestaat.

Afijn. Ik ben benieuwd hoe dit in de praktijk gaat uitpakken.

Arnoud

Mag mijn werkgever Google Analytics op het intranet zetten?

| AE 7370 | Ondernemingsvrijheid, Privacy | 10 reacties

google-analyticsEen lezer vroeg me:

Onlangs viel me op dat ons intranet cookies van Google Analytics zet. Mijn manager zei dat dat gewoon mag omdat het om werkgerelateerde gegevens gaat en niet om privégerelateerde gegevens. Maar klopt dat wel?

Nou nee, niet helemaal. Met Google Analytics verzamel je gegevens over bezoekers van je website of intranet. Die gegevens zijn te herleiden tot specifieke individuen en dús zijn het persoonsgegevens waarop de Wet bescherming persoonsgegevens van toepassing is.

Hoofdregel is toestemming, maar voor werknemers is het best lastig om toestemming te geven aangezien de wet eist dat dit op vrijwillige basis gebeurt. En in principe kun je als werknemer geen vrijwillige toestemming geven als je werkgever iets vraagt, omdat er op de achtergrond áltijd de vage angst zal heersen “als ik dit niet doe, dan ontslaat hij me/krijg ik geen verhoging/promotie volgend jaar”.

Als werkgever kom je dan al snel uit bij de grond van noodzaak voor de (arbeids-)overeenkomst. Oftewel, ik moet deze gegevens wel verzamelen anders gaat het mis met het werk en/of kun jij je werk niet doen. Een rittenadministratie bijhouden of mensen laten in- en uitklokken valt hieronder. Maar is het echt net zo nodig om te monitoren hoe je intranet wordt gebruikt?

De trend is om social intranets in te zetten voor kennisdelen en contact houden tussen collega’s. Binnen die trend zou ik het verdedigbaar vinden om ook te willen monitoren hoe het intranet wordt gebruikt. Je moet immers kunnen inspelen op gebruikersgedrag.

Is er geen noodzaak voor het werk, dan is de enige redding nog de eigen dringende noodzaak die zwaarder weegt dan de privacy. Je moet dan als werkgever aantonen dat je eigenlijk niet anders kunt. Bij bijvoorbeeld een camera op het werk is dit de rechtvaardiging: ik móet het magazijn filmen want er wordt anders te veel gestolen. Ik móet wel met Analytics werken anders gaat er iets stúk, namelijk.. eh, nee die zie ik ook niet direct.

Beroep je je op zo’n dringende noodzaak dan moet je ook alles hebben gedaan om de privacy zo veel mogelijk beschermen. Er zal dus een privacyreglement moeten zijn dat uitlegt wat je doet en waarom, je moet de IP-adressen zo veel mogelijk verbergen en Google vertellen dat ze écht niets anders mogen doen met jouw Analyticsdata. En rapportages mogen niet op individueel niveau gedaan worden.

Oh ja. Er is een Vrijstelling Intranetten binnen de wet, maar die vrijstelling houdt alleen in dat je niet aan het Cbp hoeft te melden dat je gebruikersgegevens verwerkt via je intranet. Het wil niet zeggen dat als je het zo doet, je legáál handelt. Bovendien dekt die vrijstelling niet het monitoren met Google Analytics (of Piwik of wat dan ook).

Verder is hoe dan ook instemming van de Ondernemingsraad nodig (art. 27 Wet OR). Immers, het gaat om

k. een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen;

dan wel

l. een regeling inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen;

En bij al dergelijke regelingen is voorafgaande instemming verplicht. Ik gok zomaar dat de OR van de vraagsteller niet gevraagd is of Google Analytics op het intranet mag worden ingezet. Want dit is Hip en Leuk en gaan we doen. En ik snap dat ook wel, het ís ook gewoon handig en leuk zo’n tool. Maar ja. Die Wbp hè.

Arnoud