TL;DR
Gegevens van sollicitanten bij de AIVD en MIVD worden wel degelijk gedeeld met Google. Maar we geloven Google dat ze daar echt niets mee doen. Daarom gebruiken we Google Analytics en geen veiliger alternatief (dat er wel is).
Vanochtend zat er in mijn mailbox weer een blog van Bert Hubert. Het is je wellicht wel eens opgevallen: ik verwijs in mijn blogs met regelmaat naar deze techblogger. Bijvoorbeeld schreef ik al eerder over zijn blogs over het broodrooster.
"Succesvol aanbesteden vraagt veel juridische kennis. Maar komen tot de juiste inhoud van de aanbesteding vraagt ook om veel ervaring met en kennis van de inhoud van het werk. De ontwikkelingen kennen, snappen welke digitale technologie nodig is. Succesvol aanbesteden, kortom, kan alleen als je ook nog zelf kennis hebt en die in de praktijk brengt. Als je dat niet meer voldoende doet, dan kun je ook niet meer de juiste dingen aan de markt vragen. En nog pijnlijker: je verliest ook je eigen innovatieve vermogen. Het mooist beschreven vind ik dat zelf in het verhaal over het broodrooster van Bert Hubert:"
‘Veel Europese bedrijven zijn alles wat hen ooit uniek maakte gaan inkopen’, vertelt hij. ‘Dan komt er een punt dat je als bedrijf slechts een voorportaal van je leveranciers bent geworden. Op een gegeven moment vraag je je dan af: wat doen we nog wel hier? Want de kern van je bedrijf is niet langer iets maken, maar iets verkopen. Als broodroosterfabrikant beheer je het logo en het merk, misschien schrijf je de gebruiksaanwijzing nog zelf – hoewel je dat tegenwoordig ook prima kunt uitbesteden. <..> Omdat je geen broodroosters maakt, weet je ook niet precies hoe ze werken. Je verliest de beste broodroosterwizards als personeel, want hen boeit het werk bij jou niet meer. ‘Je komt op een punt dat je niemand meer in dienst neemt die iets kan, waardoor je als bedrijf niets praktisch meer zelf kunt.’ Weg expertise, weg innovatie
Vanochtend dus weer een blog van Bert. Dit keer met als titel "Nee je kan niet meer je overheid en maatschappij verhuizen naar Amerikaanse servers". Een blog naar aanleiding van antwoorden op Kamervragen van het lid Boswijk over sollicitatiegegevens die met Google gedeeld worden.
Bij het antwoord op de eerste vraag viel ik van mijn stoel. Welke experts, ik moest weer even aan het broodrooster denken, zouden bij de beantwoording betrokken zijn geweest?
Die eerste vraag was een duidelijke:
Klopt het dat als men via de website werkenvoornederland.nl solliciteert bij de AIVD of MIVD hierover informatie gedeeld wordt met Google via het gebruik van Google Analytics? Zo ja, welke gegevens worden precies verzameld en verwerkt? Zo nee, kunt u een onderbouwing geven waarom dit volgens u niet het geval is?
Het antwoord is, enigszins ingekort:
Nee, er worden geen gegevens van sollicitanten bij de AIVD of MIVD gedeeld met Google via het gebruik van Google Analytics op werkenvoornederland.nl. Google Analytics 4 (GA4) is op werkenvoornederland.nl geconfigureerd met de strengste privacy-instellingen, waarbij alle identificerende gegevens zijn uitgeschakeld en het IP-adres is geanonimiseerd tot op het niveau van het land. Hierdoor is het niet mogelijk om individuele gebruikers te identificeren a.d.h.v. de verzamelde data.
Ook de tweede vraag ("In hoeverre zijn de gegevens over bezoekers en gebruikers van werkenvoornederland.nl die worden doorgegeven aan Google Analytics mogelijk herleidbaar tot individuen? Kunt u hierin ook het IP-adres betrekken, en hoeveel huishoudens jarenlang hetzelfde IP-adres houden, en daarmee herleidbaar zijn?") krijgt een soortgelijk antwoord:
De gegevens die via GA4 worden verzameld op werkenvoornederland.nl zijn niet herleidbaar tot individuele personen. Het IP-adres wordt geanonimiseerd tot op het niveau van het land, waardoor het onmogelijk is om specifieke bezoekers of huishoudens te identificeren.
En dat is gewoon niet waar. Tenminste is het niet zo dat Google geen IP-adressen krijgt. Dat liet Bert Hubert ook al zien in zijn blog.
Dat is ook niet zo gek. Want het is "by design" zo dat Google gewoon de IP-adressen krijgt. Alleen belooft Google daar niets mee te doen:
As soon as a request arrives, it is held in memory for truncation. If the &aip=1 parameter is found in the request URL , then the last octet of the user IP address is set to zero while still in memory. For example, an IP address of 12.214.31.144 would be changed to 12.214.31.0. (If the IP address is an IPv6 address, the last 80 of the 128 bits are set to zero.) Only after this truncation process is the request written to disk for processing. If the IP truncation method is used, then at no time is the full IP address written to disk as all truncation happens in memory nearly instantaneously after the request has been received.
Kortom: we vertrouwen op Google dat ze echt niets met onze gegevens doen. De IP-adressen van sollicitanten gaan gewoon naar Google. Of, zoals elders opgeschreven:
Please note that, regardless of whether the IP anonymization is enabled, the visitor's IP address is still initially sent to Google's servers. The IP anonymization occurs at Google servers before an IP address is saved to disk. To avoid sending any data to Google, the Google Analytics should be removed entirely.
Het echte antwoord op de vraag "Klopt het dat als men via de website werkenvoornederland.nl solliciteert bij de AIVD of MIVD hierover informatie gedeeld wordt met Google via het gebruik van Google Analytics?" is dus:
"Ja de IP-adressen van sollicitanten bij de AIVD of MIVD worden verzonden aan Google. Maar Google heeft ons beloofd dat ze daar niets mee doen en daar vertrouwen we op".
Gelukkig antwoordt het kabinet ook:
Daarnaast voert men met regelmaat controle uit inzake de data en applicatie om de effectiviteit van de privacymaatregelen te garanderen.
Ik ben daarom nieuwsgierig: zouden die Nederlandse controles bij Google dat ze er echt niets mee doen openbaar worden gemaakt?
Google Analytics staat al een tijdje ter discussie. Lees bijvoorbeeld deze blog van Floor Terra. Een goede reden om het niet te gebruiken op overheidswebsites. Zeker niet op die sites waar je solliciteert op functies bij veiligheidsdiensten. Dat hoeft ook niet. Er is bijvoorbeeld al een prima alternatief, in gebruik bij de overheid zelf.
Kortom: gegevens van sollicitanten bij de AIVD en MIVD worden gedeeld met Google. Maar we geloven Google dat ze daar echt niets mee doen. Daarom gebruiken we Google Analytics en geen veiliger alternatief (dat er wel is).
Misschien tijd voor de Autoriteit Persoonsgegevens om er eens in te duiken?