Websites van politieke partijen geven bezoekersgegevens nog steeds vooral door aan Google

Bijna drie jaar geleden schreef ik dat de websites van politieke partijen bezoekersgegevens vooral doorgeven aan Google. Waar ministeries het nu goed doen, is er bij de politieke partijen weinig veranderd. Dertien van de achttien gemeten politieke partijen leggen nog steeds contact met Google, vaak al voordat je iets hebt aangeklikt. Zelfs als ze, zoals BB, hierover al eens door de Autoriteit Persoonsgegevens benaderd zijn. En partijen die het best goed doen, zoals de VVD, laten hun verkeer alsnog onversleuteld via een Amerikaans bedrijf lopen.

In november 2023 schreef ik dat websites van politieke partijen bezoekersgegevens vooral doorgeven aan Google. Dat onderzoek was gebaseerd op ruwe meetgegevens van Floor Terra. In diezelfde periode kondigde de overheid aan de eigen websites onder de loep te nemen en third-party tracking te vervangen door alternatieven, zodat er geen informatie naar derden lekt.

Inmiddels meet ik dagelijks geautomatiseerd zelf, waar de Autoriteit Persoonsgegevens overigens aangeeft dat technisch onderzoek als dit tijdrovend zou zijn. Onder andere meet ik dagelijks de publieke websites van achttien landelijke politieke partijen en twaalf ministeries. Ik leg daarbij vast welke cookies geplaatst worden en welke bedrijven als externe dienst worden aangesproken. Daarbij worden drie standen apart gemeten— vóór toestemming, na accepteren en na weigeren. De conclusies in deze blog zijn opnieuw geheel voor mijn rekening.

Eerst het goede nieuws: de ministeries

De aankondiging uit 2023 is waargemaakt. Alle twaalf gemeten ministeries gebruiken uitsluitend de eigen voorziening van de Nederlandse Rijksoverheid (Dienst Publiek en Communicatie). Geen Google, geen Meta, geen advertentienetwerken, geen externe trackers — en dat geldt in elke toestemmingsstand. Of je nu accepteert of weigert: het maakt niet uit, want er valt niets te accepteren. Dit is precies hoe het zou moeten: zelf gehoste analytics, geen lek naar derden.

Geen third-party tracking betekent overigens niet automatisch dat alles binnen de EU blijft. Buitenlandse Zaken draait op Microsoft Azure (buiten de EU) en Defensie gebruikt Akamai als CDN (buiten de EU). Op die twee na hosten alle gemeten ministeries binnen de EU, vaak via SSC-ICT Haaglanden. De tracking is wel opgeruimd, de hosting en CDN nog niet helemaal.

Maar het belangrijkste is: het kán dus. Een website kan haar bezoekers onbespied laten langskomen.

En dan de politieke partijen

Hier is weinig veranderd. Google is nog altijd veruit de favoriet. Dertien van de achttien gemeten partijen leggen contact met Google: GroenLinks-PvdA (progressiefnederland.nl), 50PLUS, BBB, CDA, ChristenUnie, D66, FvD, GroenLinks, JA21, OPNL, PvdA, SGP en SP. Vijf doen dat niet: DENK, de Partij voor de Dieren, PVV, Volt en de VVD.

Het lekken begint vaak al vóórdat je een keuze hebt gemaakt voor wel of geen cookies. Twaalf partijen leggen al vóór eventuele toestemming contact met Google of een andere niet Europees bedrijf. Een paar voorbeelden:

• GroenLinks en OPNL plaatsen al vóór toestemming een cookie van Google.
• PvdA vuurt Google Analytics af nog voordat je iets hebt aangeklikt.
• JA21 legt vóór toestemming contact met Meta (Facebook).

De toestemmingsvraag die je daarna in beeld krijgt, is in die gevallen niet meer dan een formaliteit: het verzoek aan Google of Meta is dan al verstuurd.

Na accepteren wordt het op sommige sites pas echt druk. FvD springt eruit: van zes externe bedrijven vóór toestemming naar tien na accepteren, waaronder Google (inclusief advertenties), Meta, Microsoft, Hotjar en X (Twitter) — met wie FvD zelfs een tracking-cookie deelt. Ook PvdA, SGP en SP zetten na accepteren een tracking-cookie die met Google wordt gedeeld.

Veertien van de achttien partijsites staan achter Cloudflare (buiten de EU, daarover verderop meer), en de diensten die worden aangesproken — Google, Meta, Microsoft, Amazon, Adobe, Amerikaanse lettertypen — zitten grotendeels buiten de EU. Wie een partijwebsite bezoekt, stuurt dat bezoek dus meestal de Atlantische Oceaan over.

Zestien van de achttien partijen spreken minstens één dienst buiten de EU aan; alleen DENK en de PVV blijven volledig binnen Europa. Wat opvalt, is waarvoor het gebeurt. Het vaakst is het voor iets echt onnodigs: lettertypen. Twaalf partijen halen hun fonts bij Google, Adobe of Fonticons en laten zo bij elk bezoek je adres naar de Verenigde Staten lekken — voor een lettertype dat je net zo goed zelf kunt hosten. Daarna volgen analytics en Google Tag Manager (elk tien partijen) en Google's captcha (negen). Pas verderop komen advertenties en social (Meta, X). Veel van het lekken dient dus geen zwaarwegend doel; het is gemak, en het kan anders.

Per partij ziet dat er zo uit. Elk icoon staat voor een soort dienst, de kleur voor de jurisdictie — rood buiten de EU, groen erbinnen. Alle rood spreekt voor zich; alleen onderaan duikt wat groen op bij de partijen die voor privacyvriendelijke, in de EU gehoste analytics kozen.

In de figuur hieronder staan politieke partijen links en elke aangesproken dienst rechts. De lijnen ertussen geven aan waarvan gebruik gemaakt wordt. De favorietenrol van Google is meteen zichtbaar: dertien lijnen komen samen in één bol. De PVV staat onderaan zonder enkele lijn.

Politieke partijen die het wél goed doen

Een aantal partijen verdient een compliment. De PVV spreekt geen enkele externe partij aan; alleen een eigen cookie. Volt en de VVD gebruiken privacyvriendelijke, in de EU gehoste analytics (Plausible respectievelijk Piwik PRO) en raken Google niet aan. De Partij voor de Dieren komt ook zonder Google uit. Het kan dus ook bij politieke partijen — en zonder dat je daar een team van privacyjuristen voor nodig hebt.

De norm is niet veranderd

De Autoriteit Persoonsgegevens was in 2023 al glashelder: in het kader van verkiezingscampagnes mag er helemaal geen gebruik worden gemaakt van trackingsoftware zoals tracking cookies en tracking pixels — ook niet mét toestemming. Die waarschuwing aan de politieke partijen staat nog steeds. Eén van de partijen (BBB) die nog steeds lekt is er zelfs al door de Autoriteit Persoonsgegevens voor gewaarschuwd. En beloofde toen dat het verbeterd was:

BBB geeft aan dat haar cookiebanner destijds niet naar behoren zou functioneren, maar de banner zou op dezelfde dag na ontdekking hiervan zijn aangepast. BBB geeft aan dat er in 2021 gebruik werd gemaakt van Google Analytics

De real time bidding-markt kan de politieke interesse van mensen in een profiel opnemen en die gevoelige gegevens verhandelen. Of dat met deze bezoekgegevens gebeurt, is door de ondoorzichtigheid van die markt niet met zekerheid te zeggen — maar de mogelijkheid is reëel, en dat is precies de reden dat het niet zou moeten.

Gebruik van Content Delivery Networks

Veertien van de 18 politieke partijen gebruiken Cloudflare, een zogenaamd Content Delivery Network of CDN. Een CDN is een wereldwijd netwerk van servers dat zich tussen de bezoeker en een website plaatst. In plaats van dat iedere bezoeker rechtstreeks contact maakt met de werkelijke server, komt het verzoek eerst binnen bij een Cloudflare-server dichtbij die bezoeker. Dat gebeurt vaak vanwege snelheid en veiligheid (zoals bescherming tegen DDoS-aanvallen en kwaadaardig verkeer).

Klinkt logisch toch? Maar Cloudflare beëindigt wel de versleutelde verbinding op zijn eigen servers. Het verkeer wordt daar dus in leesbare vorm ontsleuteld, geïnspecteerd — denk aan de firewall, caching en filterregels — en pas daarna opnieuw versleuteld doorgestuurd naar de server waar je echt naar toe wilde gaan. Geen "end-to-end encryptie" dus. Zelfs in de strengste modus, Full (strict), wordt het verkeer eerst ontsleuteld voordat het opnieuw wordt ingepakt. En dus kan het, door een bedrijf van buiten de EU, worden meegelezen.

Cloudflare is hier zelf open over in zijn documentatie (zie bijvoorbeeld hier en hier). Hierdoor gaat al het verkeer naar de website van de VVD, bijvoorbeeld, alsnog de EU uit. Terwijl ook daarvoor prima Europese en zelfs Nederlandse alternatieven bestaan.

Tot slot

De vergelijking met de ministeries laat zien dat opschonen geen utopie is. Het kan, met in Europa hosten, geen Google en niets dat herleidbaar naar derden lekt. Politieke partijen die om je stem vragen (en dat is gevoeliger dan bezoek aan een website van een ministerie) geven je websitebezoek ondanks dat nog steeds door aan Google en soms aan Meta of X. Zelfs voordat je iets hebt kunnen kiezen.

Wie als politieke partij daarmee wil stoppen, kan nog steeds terecht bij het Stappenplan van Floor Terra, inclusief voorbeeldbericht aan de tech-onderneming wiens cookie is geplaatst. Belangrijk daarbij: het weghalen van de pixel of de like-button is niet genoeg. Als websitehouder ben je medeverantwoordelijk, en persoonsgegevens die onrechtmatig verzameld zijn moeten ook worden verwijderd.

Mijn oproep aan de partijen is dezelfde als bijna drie jaar geleden: meet het, het kost een paar minuten. En aan de partijen die het al goed doen: dank, en houd vol. Ik blijf meten.

Meer informatie

• Van elke partij zien wat ze gebruiken? Bekijk het totaaloverzicht. Soms is achter een CDN de oorspronkelijke server niet te vinden anders dan door op basis van mailserver of vergelijkbaar te gokken. Dat heb ik bewust niet gedaan. Dan staat er "onbekend".
• Ik maakte ook een browser-extensie om inzichtelijk te maken wat er gebeurt. ▶ Bekijk JA21 als voorbeeld. Rechtsonder zie je de externe diensten waarmee contact wordt gelegd.