Onlangs stuurde demissionair staatssecretaris Van Huffelen van Digitalisering een brief aan de Tweede Kamer waarin zij aankondigde dat er onderzoek gedaan gaat worden naar de aanwezigheid van third-party cookies en scripts op overheidssites. Daarbij zal ook worden gekeken of de eventueel aangetroffen third-party cookies of scripts vervangen kunnen worden door open source alternatieven.
Dit is een ontwikkeling waar ik volledig achter sta. Als dit onderzoek goed en volledig wordt gedaan, is het een geweldige stap die zal leiden tot een betere en privacyvriendelijkere gebruikerservaring voor mensen die overheidssites bezoeken. Het is een goede zaak dat de overheid ook zelf laat zien dat ze dit serieus aanpakken. Als je de regels opstelt, moet je ze ook zelf naleven. Practice what you preach!
Waarom third-party cookies op overheidswebsites?
Tegelijkertijd verbaas ik mij erover dat een dergelijk onderzoek überhaupt nog steeds nodig blijkt te zijn. In Nederland geldt allang de regel dat informatie op overheidswebsites nooit achter een cookiewall mag staan, omdat de informatie daarop voor iedereen toegankelijk moet zijn. Nog onbegrijpelijker is het dat sommige overheidsorganisaties nog steeds Google Analytics gebruiken. Waarom? Iedereen weet inmiddels wel dat Google een zeer slechte reputatie (en dit is een understatement…) heeft als het gaat om het gebruiken en uitwisselen van privacygevoelige informatie voor commerciële doeleinden.
De digitalisering van de publieke sector is versneld door de corona pandemie. Burgers verwachten inmiddels dat ze de informatie die zij nodig hebben – in ieder geval de basisprocedures – online kunnen vinden. Vanwege de aard van de publieke sector en de manier waarop met burgerinformatie omgegaan moet worden, moet een dergelijk digitaliseringsproces natuurlijk wel met de grootste zorg worden uitgevoerd. Het bouwen, uitbreiden en optimaliseren van digitale aanwezigheid werkt op dezelfde manier als in andere sectoren, maar niet alle benaderingen en technologieën die daar veel worden ingezet, zijn acceptabel voor de publieke sector.
Het cruciale onderscheid is dat de publieke sector een ander doel heeft dan commerciële organisaties. Het gaat niet om verkoop of om het genereren van omzet. Meestal gaat het om het beschikbaar stellen van essentiële informatie die burgers nodig hebben en die niet eenvoudig ergens anders te raadplegen is. Daarom moeten burgers op een goede manier gebruik kunnen maken van overheidssites om die informatie te verkrijgen. Dat moet een prettige, privacyvriendelijke ervaring zijn en mag zeker geen gelegenheid zijn om gegevens te verzamelen die gebruikt kunnen worden voor advertentiedoeleinden, waar third-party cookies vaak voor worden ingezet.
Veel marketing of digital analytics oplossingen zijn niet geschikt
Populaire zakelijke marketing- of digital analytics oplossingen worden vaak gebruikt door reguliere bedrijven om hun digitale aanwezigheid te beheren. Deze oplossingen zijn vaak out-of-the-box verbonden met bijvoorbeeld advertentiesystemen of andere technologieën die bekend staan om privacyproblemen en waarin de rolverdeling met betrekking tot de gegevens discutabel is. De marketingoplossing van Google deelt bijvoorbeeld gegevens met Google om digitale advertentiecampagnes te optimaliseren.
De publieke sector heeft echter te maken met veel gevoelige gegevens. Informatie over wie bijvoorbeeld een site over sociale uitkeringen bezoekt, kan worden gebruikt om deze – soms kwetsbare – mensen advertenties over leningen of andere aanbiedingen voor te schotelen die juist inspelen op hun omstandigheden. Dit is niet de taak van deze overheidspartijen en ook niet het doel waarvoor de informatie digitaal beschikbaar wordt gemaakt. En daarmee is dit simpelweg onacceptabel.
Een grondige herziening van technologieën en third-party cookies is een prima manier om in kaart te brengen hoe gegevens binnen en buiten een organisatie circuleren en wat de eventuele privacyrisico’s zijn. Zo kunnen ongewenste technologieën van derden ontdekt en verwijderd worden. Dergelijke controles vinden nu overal plaats, gestimuleerd door de Schrems II-uitspraak en de problemen met de uitwisseling van gegevens tussen de EU en de VS. Er is weliswaar een nieuw adequaatheidsbesluit over deze gegevensuitwisseling, maar de kans is wat mij betreft erg groot dat dit besluit niet lang stand zal houden.
EU-alternatieven
Met deze context in gedachten is de beste aanpak voor de publieke sector (of elke andere organisatie) om, waar mogelijk, over te stappen op een EU-aanbieder die ook de data opslaat binnen de EU. Dit biedt de beste garantie dat er goed om wordt gegaan met de privacy en dat de Europese wet- en regelgeving op dit gebied wordt opgevolgd. Ook worden zo de problemen rond de overdracht van gegevensoverdracht naar de VS (of naar andere landen) volledig uitgesloten.
Als overstappen geen optie is, werk dan samen met je juridische en technische team om extra waarborgen in te voeren waarmee je potentiële privacyrisico’s in de toekomst kan beperken.
Lisette Meij, Data Protection Officer, Piwik PRO
