Ron Roozendaal
Ron Roozendaal
Geplaatst op
Digitalisering

Ook websites van gemeenten geven bezoekersgegevens vooral door aan Google

Auteur
Ook websites van gemeenten geven bezoekersgegevens vooral door aan Google

In mijn vorige blog liet ik zien dat politieke partijen bezoekersgegevens nog steeds vooral aan Google doorgeven. Naast ministeries en politieke partijen meet ik ook 342 Nederlandse gemeenten. Bijna alle gemeenten spreken al vóór je toestemming een externe partij aan, ruim driekwart legt contact met een bedrijf buiten de EU en een derde met Google. Bij de meeste gemeenten verandert er na accepteren of weigeren helemaal niets. Vier gemeenten bewijzen dat het ook foutloos kan. Weten hoe jouw gemeente het doet? Onderaan deze blog vind je een link naar het totaaloverzicht.

Digitale autonomie is actueel en veel in het nieuws. Door niet Europese diensten te gebruiken, zeker als dat trackers zijn, kunnen bedrijven websitebezoekers volgen. Dat volgen gaat over het gebruik van een bepaalde website, maar volgt ook bezoek over verschillende websites heen. De profielen die daarmee worden opgebouwd leveren veel geld op in de ondoorzichtige markt van "real-time bidding".

In mijn vorige blog ging het over politieke partijen, met als goed-nieuwsvergelijking de twaalf ministeries: die gebruiken uitsluitend de eigen voorziening van de Rijksoverheid, zonder Google en zonder externe trackers. Dat liet zien dat een overheidswebsite haar bezoekers onbespied kan laten langskomen.

Naast politieke partijen en ministeries meet ik ook 342 Nederlandse gemeenten. Ook daarbij leg ik per website vast welke cookies geplaatst worden en welke bedrijven als externe dienst worden aangesproken. Dat doe ik in drie standen: vóór toestemming, na accepteren en na weigeren. De conclusies in deze blog zijn opnieuw geheel voor mijn rekening.

Los van de wettelijke eisen is het van belang dat inwoners websites van de overheid onbespied door derde partijen kunnen bezoeken. Dat het ministeries lukt, weten we. De vraag is: lukt het de gemeenten ook?

De gemeenten: het lekt bijna overal

Kort antwoord: nee. Van de 342 gemeenten spreken er 337 (99%) al vóórdat je iets met de cookiebanner hebt gedaan minstens één externe partij aan. Het lekken begint dus vrijwel overal voordat je een keuze hebt kunnen maken. 267 Gemeenten (78%) spreken minstens één partij buiten de EU aan. En 110 gemeenten (32%) leggen contact met Google — bij honderd van hen al vóór toestemming. Wie een gemeentewebsite bezoekt, stuurt dat bezoek dus vaak alsnog de Atlantische Oceaan over.

Gestapelde balk over 342 gemeenten: 100 leggen al vóór toestemming contact met Google (rood), 10 pas na accepteren (amber), 232 nooit (groen).

Ook de hosting blijft achter: 218 gemeenten hosten binnen de EU, maar 124 daarbuiten — meestal bij Amazon, Microsoft of via Cloudflare. Net als bij politieke partijen geldt: zelfs zonder zichtbare tracker betekent een Amerikaanse host of CDN dat het verkeer alsnog buiten Europa wordt verwerkt.

De cookiebanner is meestal puur decor

De toestemmingsvraag is er bij de meeste gemeenten slechts voor de vorm. Bij slechts 46 van de 342 gemeenten verandert er daadwerkelijk iets aan de aangesproken diensten nadat je accepteert. Bij de overige bijna driehonderd maakt het niet uit of je accepteert of weigert: dezelfde partijen worden hoe dan ook aangesproken. De banner is dan niet meer dan een formaliteit — het verzoek is al verstuurd voordat je iets hebt aangeklikt.

Gestapelde balk: bij 296 van de 342 gemeenten verandert er niets na je keuze (grijs), bij 46 maakt accepteren of weigeren wel verschil (groen).

Niet alles is tracking

Niet elke aangesproken partij is een trackingbedrijf. De twee meest voorkomende diensten zijn ReadSpeaker (de voorleesfunctie, in Nederland gehost) op 234 sites en Siteimprove (analytics uit Denemarken, dus binnen de EU) op 147 sites. Slechts 37 gemeenten zetten daadwerkelijk een third-party cookie. Het lek loopt bij gemeenten dus vooral via de partijen die de pagina aanspreekt — en daarmee je bezoek en je IP-adres meekrijgen — en minder via klassieke trackingcookies. Maar Google staat met 100 sites stevig in de lijst, en dat is geen voorleesfunctie.

Horizontale staafgrafiek van de tien meest aangesproken diensten over 342 gemeenten, gekleurd naar jurisdictie. ReadSpeaker (234, groen) en Siteimprove (168, groen) bovenaan, Google (110, rood) derde, daarna Gandi, SIMgroep, bunny.net, GoDaddy, Key-Systems, Fonticons en Visma Roxit.

Gemeenten die het wél goed doen

Een aantal gemeenten verdient een compliment. Vier spreken helemaal geen enkele externe partij aan: Het Hogeland, Boekel, Oude-IJsselstreek en Purmerend. Daarnaast blijven 71 gemeenten volledig binnen de EU. En waar gemeten wordt, kan het privacyvriendelijk: 78 gemeenten gebruiken Matomo, 18 Piwik PRO en 3 Plausible — allemaal alternatieven die je zonder Google en binnen de EU kunt draaien. Het kan dus wel.

Gemeenten die het meest lekken

Tegenover de koplopers staan de gemeenten die het meest lekken. Goeree-Overflakkee spant de kroon: nog vóór je iets hebt aangeklikt worden er elf externe partijen aangesproken, waarvan zes buiten de EU — onder meer Amazon, Google en GoDaddy, aangevuld met een handvol losse scripts als trackjs.com, talkjs.com en iframe.ly. De site draait bovendien op een Amerikaanse host. Etten-Leur komt op hetzelfde aantal van elf, met daarbij Google en Cloudflare. Laarbeek en Emmen volgen met negen en acht partijen vóór toestemming, in beide gevallen inclusief Google en op een server buiten de EU.

Niet elk van die partijen is een advertentietracker: trackjs.com verzamelt foutmeldingen, talkjs.com verzorgt een chatfunctie, en Cloudflare of Amazon zijn vaak niet meer dan de host of het CDN. Het gaat me dan ook niet om het etiket "tracking", maar om het simpele feit dat je bezoek al naar een rij bedrijven buiten de EU is gestuurd voordat je iets hebt kunnen kiezen. En één van die partijen is bij alle vier wél Google — geen foutmelding en geen chatvenster. De cookiebanner komt hier hoe dan ook hopeloos te laat.

De norm is niet veranderd

De norm is niet nieuw en niet vaag. De Autoriteit Persoonsgegevens schreef eerder over de onwenselijkheid van tracking op overheidswebsites:

Los van de wettelijke eisen, vinden wij het van belang dat burgers websites van de overheid onbespied door derde partijen kunnen bezoeken. Wij vinden het daarom wenselijk dat er geen third-party cookies of andere tracking gebruikt wordt op overheidswebsites, ongeacht het verkrijgen van toestemming.

De zorg achter die norm is reëel. De real time bidding-markt kan op basis van wat je bezoekt een profiel opbouwen en die gegevens verhandelen. Dat iemand een gemeentewebsite raadpleegt — voor schuldhulp, voor een uitkering of voor een omgevingsvergunning — is geen informatie die bij een advertentieveiling thuishoort. Of dat met deze bezoekgegevens gebeurt, is door de ondoorzichtigheid van die markt niet met zekerheid te zeggen, maar de mogelijkheid is reëel, en dat is precies de reden dat het niet zou moeten.

Tot slot

Vier gemeenten bewijzen dat een website zonder te lekken buiten de EU prima kan. Digitale autonomie is voor dit soort diensten niet zo moeilijk. Het valt eenvoudig te onderzoeken — ik meet het tenslotte dagelijks — en het is goed te repareren.

Wie als gemeente daarmee wil stoppen, kan nog steeds terecht bij het Stappenplan van Floor Terra, inclusief voorbeeldbericht aan de tech-onderneming wiens cookie is geplaatst. Belangrijk daarbij: het weghalen van de pixel of de like-button is niet genoeg. Als websitehouder ben je medeverantwoordelijk, en persoonsgegevens die onrechtmatig verzameld zijn moeten ook worden verwijderd.

Aan de gemeenten die het al goed doen — Het Hogeland, Boekel, Oude-IJsselstreek en Purmerend voorop — laat bijvoorbeeld via de VNG aan anderen zien hoe het kan.

Meer informatie

  • Van elke gemeente zien wat ze gebruiken? Bekijk het totaaloverzicht. Soms is achter een CDN de oorspronkelijke server niet te vinden anders dan door op basis van mailserver of vergelijkbaar te gokken. Dat heb ik bewust niet gedaan. Dan staat er "onbekend".
  • De websites van gemeenten zijn gebaseerd op deze lijst.