Ook gemeenten delen volop surfgegevens
direct contact met de burger via sociale media is heel handig. Maar zijn gemeenten zich er wel bewust van dat zij surfgedrag van hun sitebezoekers doorgeven aan derde partijen als Google en Facebook? ‘De gevolgen kunnen heel groot zijn.’
Sociale media zijn handig voor direct contact met de burger. Maar zijn gemeenten zich er wel bewust van dat zij surfgedrag van hun sitebezoekers doorgeven aan derde partijen als Google en Facebook? ‘De gevolgen kunnen heel groot zijn.’
Cambridge Analytica
Dat gegevens van tienduizenden Nederlanders via Facebook in handen zijn gekomen van onderzoeksbureau Cambridge Analytica deed misschien al wat alarmbellen rinkelen bij overheden. Die klonken nog luider toen bekend werd dat zorgverzekeraars de Facebook pixel plug-in op hun site plaatsten, zodat surfgedrag van bezoekers naar Facebook-servers werd doorgestuurd. Facebook kon die mooi gebruiken om gepersonaliseerde advertenties aan hen te laten zien. Genoeg waarschuwingen voor gemeenten en andere overheden om zich achter de oren te krabben.
Eenvoudige check
De Arnhemse wethouder Martijn Leisink (D66) – altijd behoorlijk spits op privacy – wilde met een relatief eenvoudige check wel eens onderzoeken hoe gemeenten met Facebook en Google Analytics omgingen. ‘Ik las over het gebruik van de pixel door zorgverzekeraars en besloot alle .nl-namen van Nederlandse gemeenten in te vullen. Vooral het vele gebruik van Google Analytics viel me op. Handige tools, maar gemeenten realiseren zich niet altijd wat er onder water aan derden wordt verstrekt.’
Bergen op Zoom
De speurtocht stelde hem niet bepaald gerust. Via zijn Twitter-account meldde Leisink op 13 april dat gemeenten toch echt eens hun website moesten checken op in hoeverre zij hun bezoekers registreren. Hij toonde het voorbeeld van de gemeente Bergen op Zoom. Door het invullen van de url van de gemeentelijke site op HTML Source Code Viewer werd duidelijk dat die gemeente een Facebook pixel plug-in op de site had staan. Een week later bedankte de gemeente Bergen op Zoom – ook via Twitter – hem en meldde dat de pixel meteen maar was verwijderd. Eind goed, al goed? Nou nee. Leisink stelde vast dat Bergen op Zoom een extern javascript van AGConsult gebruikt. ‘Daarmee is de veiligheid van jullie website helemaal afhankelijk van hun veiligheidsbeleid. Beter is lokaal hosten of SRI gebruiken.’ Opnieuw werd hij vriendelijk bedankt voor het meedenken. De gemeente zou ernaar gaan kijken.
Google Analytics
‘Bergen op Zoom was eigenlijk de enige gemeente waar ik de pixel aantrof’, vertelt Leisink. Volgens hem maken zeker honderd gemeenten gebruik van Google Analytics, dertig gemeenten verzuimen om IP-adressen te anonimiseren. ‘Dat hoeft ook niet, maar ik vind dat je als bezoeker ervan uit moet gaan dat je IP-adres niet met derden wordt gedeeld.’ Geef je bij Google Analytics de anonimiseeroptie aan, dan gaan de gegevens niet anoniem naar Google, maar vraag je hen vriendelijk het te anonimiseren. ‘De Autoriteit Persoonsgegevens (AP) vindt dat goed, maar ik zou het als overheidsorganisatie schonen. Dat is een kwestie van smaak, al is het bijzonder als overheden die het niet geanonimiseerd doen die kennis niet delen met de bezoekers van de site.’
Nieuw bewustzijn
De Vereniging van Nederlandse Gemeenten (VNG) besteedt aandacht aan gegevensdeling door gemeenten. ‘Er is al een nieuw bewustzijn over impact van digitalisering van dienstverleningsprocessen en een belangrijk onderdeel daarvan is transparantie over wat we met die gegevens doen. We moeten goed nadenken over data-eigenaarschap en impact van algoritmes. Daarin politieke keuzes maken is een tweede, maar het vraagstuk moet eerst inzichtelijk zijn’, zegt directeur Informatiesamenleving Nathan Ducastel.
Regie op gegevens
Volgens hem staan we aan het begin van een golf van vragen over wat dit met zich meebrengt. ‘Wat is het bestuurlijk handelingsperspectief? Welke overwegingen zijn er over privacy en informatieveiligheid? Wat doet het met de bouwstenen van onze maatschappij? Wil je aanpassingen?’ Hij noemt het programma van Binnenlandse Zaken – waar ook gemeenten bij zijn betrokken – over regie hebben op gegevens. ‘Wees er bewust van welke gegevens je in dienstverleningstransacties weggeeft, maar ook tussen inwoner, bedrijf en overheid. Heb zicht op wie jouw gegevens gebruikt. Dat programma is heel nuttig.’
Verborgen gegevensdeling
Ducastel wijst erop dat een bestuurlijke visitatiecommissie 120 gemeenten heeft bezocht om hen bewust te maken van privacy en informatieveiligheid. ‘Dat ging op zowel ambtelijk als bestuurlijk niveau. Bij digitale dienstverlening waar NAW-gegevens in het spel zijn, zie je wel dat andere kanalen dan Facebook worden gebruikt. De verborgen gegevensdeling is niet meegenomen’, aldus Ducastel. ‘Daar hebben we geen zicht op.’
Geen overkoepelend beleid
Veel gemeenten maken gebruik van Facebook om in contact te komen met hun burgers. Toch was er sinds de onthullingen rond Facebook geen sprake van een toename aan vragen bij de gemeentelijke informatiebeveiligingsdienst, IBD, aldus Ducastel. Hij weet dat gemeenten bezig zijn met de impact van datagebruik in het kader van smart cities en het eigenaar blijven van de data. ‘Maar overkoepelend beleid is er nog niet op.’
Lees het hele artikel in Binnenlands Bestuur nr. 9 van deze week (inlog)
Al 30 jaar wordt aan 'bewustzijn' gewerkt. Niet dat het veel opschiet overigens.