AnalyseCookiebeleid overheid
Overheidssites scheppen verwarring met cookies van Google Analytics
Maar liefst 20 procent van alle sites van de rijksoverheid maakt gebruik van de analysesoftware van Google. ‘De overheid zoekt hiermee de randen van de wet op.’
Privacybewuste consumenten die overheidssites als CBS.nl of CvdM.nl (de site van het Commissariaat voor de Media) bezoeken, kunnen schrikken: help, privacyschending! Speciale programma’s als Ghostery houden in de gaten wat voor cookies er worden geplaatst en slaan alarm bij zogenoemde trackingcookies. Rood kruis: u wordt gevolgd! Zijn dit soort waarschuwingen terecht?
Alex Bik van zakelijke internetprovider BIT – die dikwijls op de bres staat voor online privacy – windt zich erover op: de overheid zou voorop moeten lopen bij correct gebruik van cookies, maar gaat hier vaak laks mee om. Hij onderzocht de bijna 1.200 websites van de Rijksoverheid op het gebruik van Google Analytics, de software van Google waarmee sitebeheerders het bezoek aan hun sites kunnen analyseren. Een vijfde daarvan (236 sites) gebruikt Google Analytics.
Een opmerkelijk hoog percentage, vindt Bik, want juist de overheid zou volgens hem het goede voorbeeld moeten geven door geen informatie over zijn sitebezoekers met Google te delen. Maar liefst 72 procent van die sites plaatst bovendien cookies van Google Analytics, zonder de bezoeker daarvan expliciet op de hoogte te stellen. Van de 102 handmatig onderzochte sites bieden er slechts 14 een opt-outmogelijkheid: een knop waarmee bezoekers kunnen aangeven dat ze niet gediend zijn van dit soort cookies. Maar ook dan kan het voorkomen dat sites tóch die cookies plaatsen voordat bezoekers op ‘nee’ hebben geklikt.
De Autoriteit Persoonsgegevens kwam onlangs nog in actie tegen het plaatsen van zogenaamde cookiemuren die het plaatsen van trackingcookies afdwingen. Het is de vraag of de cookies die Google Analytics op de computer van bezoekers aan de overheidssites plaatst trackingcookies zijn of niet. Ja, zegt Bik. Nee, zegt de Autoriteit Persoonsgegevens. Of liever: niet per definitie.
Cookie: Een klein bestandje met informatie dat op het apparaat van een bezoeker aan een site wordt geplaatst. Bij een volgend bezoek kan dit weer worden uitgelezen.
Functionele cookie: cookies die technisch noodzakelijk zijn om een website goed te laten functioneren. Hiervoor is geen toestemming nodig van de bezoeker. Hieronder vallen ook cookies die voor analysedoeleinden worden gebruikt en geen of ‘geringe gevolgen’ voor de privacy hebben.
Volg- of trackingcookie: cookies die internetters volgen gedurende hun surftochten over verschillende sites. Commerciële partijen kunnen gericht adverteren op basis van de profielen die op deze manier van internetters worden opgebouwd.
De waakhond heeft richtlijnen opgesteld voor het correcte gebruik van Google Analytics. Het programma kan zo worden ingesteld dat bepaalde gegevens worden afgeschermd, zodat Google deze niet kan gebruiken voor advertentiedoeleinden. Gevraagd naar het gebruik van Google Analytics zeggen diverse onderzochte sites zich hier inderdaad aan te houden. Gevolg daarvan is dat er dan ook geen expliciete toestemming nodig is van de bezoeker.
Een voorbeeld van een dergelijk gebruik is de site van het Centraal Bureau voor Statistiek (CBS.nl). ‘CBS heeft de Google Analytics-cookies zo privacy-vriendelijk mogelijk ingesteld’, zo zegt een woordvoerder. Hierdoor gelden de Google Analytics-cookies niet als tracking-cookies, maar als zuivere analytische cookies. Toestemming is dan ook niet nodig.
Randen van de wet
Het is een heel formele benadering, vindt Bik. ‘Inderdaad is het ergste leed dan geleden, maar zeker niet alles. Er wordt nog steeds informatie doorgegeven aan Google.’ Een ander probleem is volgens hem dat bezoekers van die sites geen mogelijkheid hebben om te controleren of de beheerder van de website die aanpassingen daadwerkelijk heeft gedaan. ‘De Rijksoverheid zou, waar het om de privacy van burgers gaat, niet de randen van de wet moeten opzoeken. Er bestaan fatsoenlijke en privacyvriendelijker alternatieven voor Google, waarbij de gegevens binnenshuis gehouden worden. Waarom zou je die niet gebruiken? Dit leidt alleen maar tot verwarring.’ Een voorbeeld van zo’n onomstreden alternatief is Piwik (tegenwoordig aan de man gebracht onder de naam Matomo).
Opmerkelijk genoeg wordt ditzelfde Piwik aanbevolen door de Dienst Publiek en Communicatie, die de Rijksoverheid adviseert bij het bouwen van websites en het gebruik van analyseprogramma’s. De dienst heeft ook een centraal platform voor het snel en gestandaardiseerd bouwen van overheidssites. Hier zit Piwik standaard in. Probleem is echter dat de dienst slechts een adviserende rol heeft, met als gevolg dat lang niet alle sites van dit platform gebruik maken. Er zijn veel verschillende bouwers van sites in het spel, waardoor er een wildgroei aan standaarden is ontstaan. En zo kan het dus ook voorkomen dat veel sites gewoon Google Analytics gebruiken, tegen het advies van de dienst in.
Ook Nico van Eijk, hoogleraar Informatierecht aan de Universiteit van Amsterdam, heeft zo zijn twijfels over het strikte onderscheid tussen verschillende soorten cookies: ‘Er is niet altijd een duidelijke grens te trekken tussen bijvoorbeeld trackingcookies en functionele cookies.’
Over die eerste groep is de Autoriteit Persoonsgegevens veel strenger: sites moeten hiervoor expliciete toestemming krijgen van hun bezoekers. De waakhond zegt later dit jaar specifiek onderzoek te gaan doen naar trackingcookies. De praktijk van sommige sites om gewoon trackingcookies te plaatsen zónder dat bezoekers op een groene toestemmingsknop hebben gedrukt, zal dan onder meer tegen het licht worden gehouden.
Reacties van drie onderzochte sites:
Het CBS voldoet naar eigen zeggen aan alle richtlijnen, maar zegt wel naar aanleiding van het onderzoek ‘op zeer korte termijn’ te gaan bekijken of het publiek duidelijker geïnformeerd kan worden over het gebruik van de Google Analytics-cookies.
Een zegsman van het Commissariaat voor de Media zegt dat de huidige site verouderd is en dat er over pakweg anderhalve maand een nieuwe komt. Deze zal geen gebruik meer maken van Google Analytics.
Halt.nl heeft jaren geleden voor Google Analytics gekozen omdat het ‘een van de grootste en bekendste diensten is om statistieken bij te houden’. Een woordvoerder benadrukt dat er geen gegevens van zijn bezoekers aan Google worden doorgegeven. Wel gaat de site de mist in met zijn informatievoorziening: er is geen cookiestatement, iets wat wel verplicht is. Halt.nl is hierover in gesprek met de leverancier van de website.
