Pixels, cookies en andere monsters

Gemeenten geven volop data door aan Facebook en Google

Dat gegevens van tienduizenden Nederlanders via Facebook in handen zijn gekomen van onderzoeksbureau Cambridge Analytica deed misschien al wat alarmbellen rinkelen bij overheden. Luider nog klonken die toen bekend werd dat zorgverzekeraars de Facebook pixel plug-in op hun site plaatsten, zodat surfgedrag van bezoekers naar Facebook-servers werd doorgestuurd. Facebook kon die mooi gebruiken om gepersonaliseerde advertenties aan hen te laten zien. Genoeg waarschuwingen voor gemeenten en andere overheden om zich achter de oren te krabben.

De Arnhemse wethouder Martijn Leisink (D66) – altijd behoorlijk spits op privacy – wilde met een relatief eenvoudige check wel eens onderzoeken hoe gemeenten met Facebook en Google Analytics omgingen. ‘Ik las over het gebruik van de pixel door zorgverzekeraars en besloot alle .nl-namen van Nederlandse gemeenten in te vullen. Vooral het vele gebruik van Google Analytics viel me op. Handige tools, maar gemeenten realiseren zich niet altijd wat er onder water aan derden wordt verstrekt.’

De speurtocht stelde hem niet bepaald gerust. Via zijn Twitter-account meldde Leisink op 13 april dat gemeenten toch echt eens hun website moesten checken op in hoeverre zij hun bezoekers registreren. Hij toonde het voorbeeld van de gemeente Bergen op Zoom. Door het invullen van de url van de gemeentelijke site op HTML Source Code Viewer werd duidelijk dat die gemeente een Facebook pixel plug-in op de site had staan. Een week later bedankte de gemeente Bergen op Zoom – ook via Twitter – hem en meldde dat de pixel meteen maar was verwijderd. Eind goed, al goed?

Nou nee. Leisink stelde vast dat Bergen op Zoom een extern javascript van AGConsult gebruikt. ‘Daarmee is de veiligheid van jullie website helemaal afhankelijk van hun veiligheidsbeleid. Beter is lokaal hosten of SRI gebruiken.’ Opnieuw werd hij vriendelijk bedankt voor het meedenken. De gemeente zou ernaar gaan kijken.

‘Bergen op Zoom was eigenlijk de enige gemeente waar ik de pixel aantrof’, vertelt Leisink. Volgens hem maken zeker honderd gemeenten gebruik van Google Analytics, dertig gemeenten verzuimen om IP-adressen te anonimiseren. ‘Dat hoeft ook niet, maar ik vind dat je als bezoeker ervan uit moet gaan dat je IP-adres niet met derden wordt gedeeld.’ Geef je bij Google Analytics de anonimiseeroptie aan, dan gaan de gegevens niet anoniem naar Google, maar vraag je hen vriendelijk het te anonimiseren. ‘De Autoriteit Persoonsgegevens (AP) vindt dat goed, maar ik zou het als overheidsorganisatie schonen. Dat is een kwestie van smaak, al is het bijzonder als overheden die het niet geanonimiseerd doen die kennis niet delen met de bezoekers van de site.’

Politieke keuzes
De Vereniging van Nederlandse Gemeenten (VNG) besteedt aandacht aan gegevensdeling door gemeenten. ‘Er is al een nieuw bewustzijn over impact van digitalisering van dienstverleningsprocessen en een belangrijk onderdeel daarvan is transparantie over wat we met die gegevens doen. We moeten goed nadenken over data-eigenaarschap en impact van algoritmes. Daarin politieke keuzes maken is een tweede, maar het vraagstuk moet eerst inzichtelijk zijn’, zegt directeur Informatiesamenleving Nathan Ducastel. Volgens hem staan we aan het begin van een golf van vragen over wat dit met zich meebrengt. ‘Wat is het bestuurlijk handelingsperspectief? Welke overwegingen zijn er over privacy en informatieveiligheid?

Wat doet het met de bouwstenen van onze maatschappij? Wil je aanpassingen?’ Hij noemt het programma van Binnenlandse Zaken – waar ook gemeenten bij zijn betrokken – over regie hebben op gegevens. ‘Wees er bewust van welke gegevens je in dienstverleningstransacties weggeeft, maar ook tussen inwoner, bedrijf en overheid. Heb zicht op wie jouw gegevens gebruikt. Dat programma is heel nuttig.’ Ducastel wijst erop dat een bestuurlijke visitatiecommissie 120 gemeenten heeft bezocht om hen bewust te maken van privacy en informatieveiligheid. ‘Dat ging op zowel ambtelijk als bestuurlijk niveau. Bij digitale dienstverlening waar NAW-gegevens in het spel zijn, zie je wel dat andere kanalen dan Facebook worden gebruikt. De verborgen gegevensdeling is niet meegenomen’, aldus Ducastel. ‘Daar hebben we geen zicht op.’

Veel gemeenten maken gebruik van Facebook om in contact te komen met hun burgers. Toch was er sinds de onthullingen rond Facebook geen sprake van een toename aan vragen bij de gemeentelijke informatiebeveiligingsdienst, IBD, aldus Ducastel. Hij weet dat gemeenten bezig zijn met de impact van datagebruik in het kader van smart cities en het eigenaar blijven van de data. ‘Maar overkoepelend beleid is er nog niet op.’

SOA-test
Als je als gemeente Google Analytics gebruikt en niet hebt ingesteld dat Google geen gegevens van websitebezoekers mag gebruiken, moet je dat laten zien. Dat vindt Berent Daan, chief data scientist en directeur Onderzoek, Informatie en Statistiek (OIS) van de gemeente Amsterdam. ‘Dat vind ik veel belangrijker dan toestemming voor cookies’, zegt hij. Het gebruik van Facebook pixels vindt Daan sowieso niet wenselijk. ‘Als je dan op de gemeentelijke website zoekt naar waar je een SOA-test kan doen, zou dat bekend zijn bij Facebook.’

Berent Daan pleitte er half november tijdens de Atriumlezing ‘Privacy als kans?’ bij VNG al voor het onderliggende doel van gegevensgebruik centraal te stellen: kijk welke risico’s je loopt, welke schade dat oplevert en welke verantwoordelijkheid daarbij past. Geef degene die het besluit moet nemen de ruimte om met deze analyse een afweging te maken. ‘Je kunt niet altijd alles in een wettelijk hokje plaatsen van het mag wel of niet. Je kunt soms het risico nemen dat je de wet overtreedt, omdat je niet altijd vooraf ja of nee kunt zeggen. Spreek dus over dat risico en bepaal of je – stel dat je iets doet wat niet mag – dat risico en de schade die daardoor kan ontstaan accepteert. Dat is een bestuurlijke verantwoordelijkheid die je moet nemen.’

De tools zijn gemakkelijk voor websitebeheerders om snel overzicht te krijgen van gedrag van bezoekers van de website. ‘Dat is op veel plekken gebeurd, zonder daar verder bij stil te staan’, aldus Daan. ‘Maar dat is niet verstandig, want de gevolgen kunnen heel groot zijn. Het risico van Facebook pixels voelt als een beperkt risico, maar als het misgaat dan gaat het op zo’n schaal mis dat je er als samenleving op terugkomt.’

IP-nummers
De Amsterdamse dienst OIS gebruikt geen Facebook pixels. ‘Bij ons Datalab en in onze applicaties gebruiken we ook geen Google Analytics. We hebben open source tools voor statistieken en gebruikersgegevens.’ Bij de gemeentelijke website wordt wel Google Analytics toegepast. Maar de instelling is dat gegevens niet verder door Google mogen worden gebruikt. Daan: ‘We halen zelf de IP-nummers eruit. Heel zorgvuldig en volledig volgens de richtlijn van de Autoriteit Persoonsgegevens. We gaan er dus heel behoedzaam mee om en er zijn binnen de gemeente afspraken over gemaakt.’

Wel worden enquêtes voor OIS-onderzoek onder bewoners van de stad soms ook via Facebook verspreid. ‘Maar we zijn heel zorgvuldig in de communicatie. De mensen weten dat een site binnen Facebook wordt geopend. We zeggen: als je anoniem de enquête wilt doen, open je de link in een losse browser. Daar moet je wel zorgvuldig bij stilstaan en duidelijk over zijn in de uitleg.’

Niet alle gemeenten zijn zich voldoende bewust van gegevens over burgers die ze via Facebook delen, denkt de Leidse hoogleraar recht en informatiemaatschappij Gerrit-Jan Zwenne. Maar dat is volgens hem niet specifiek een probleem voor gemeenten. Ook andere publieke en semipublieke instellingen hebben dat niet altijd voldoende in beeld, zegt hij. De hoogleraar vindt het belangrijk dat gemeenten er beter op letten en inventariseren wat ze doen.

‘Het is nogal ongelukkig dat een website voor publieke dienstverlening niet bekend is met cookies en pixels die worden geplaatst. Natuurlijk zijn social media eigentijds en leuk, maar je kunt zomaar in zee gaan met een partij met andere opvattingen over privacy en gegevensbescherming. Zoiets dien je van tevoren uit te zoeken. Er zijn vaak oplossingen beschikbaar, zoals instellingen op privacy-vriendelijk zetten. Dan ben je redelijk veilig.’

Desondanks heeft Zwenne de indruk dat gemeenten veel aandacht hebben voor privacy. ‘Iedere gemeente moet een functionaris voor gegevensbescherming hebben die toeziet op naleving van de privacyregels. De burger kan de gemeente vragen aan wie gegevens zijn verstrekt en zo bewerkstelligen dat die dit gaat ophelderen, maar ook de toezichthouder verzoeken onderzoek te doen. Onder de nieuwe wetgeving [die 25 mei ingaat/red] kan die niet zo gemakkelijk daaraan voorbijgaan. In een aantal gerechtelijke uitspraken werd de toezichthouder vorig jaar opgedragen een zaak alsnog in behandeling te nemen. Daarbij heeft de toezichthouder inmiddels veel meer budget en mensen gekregen, dus is er minder sprake van capaciteitsproblemen.’

Uit statistieken van de meldplicht datalekken blijkt volgens hem dat gemeenten betrekkelijk veel meldingen doen. Zwenne: ‘Er gaat dus van alles mis. Maar het kan ook zijn dat gemeenten zich er juist erg bewust van zijn en wel melden waar anderen dat wellicht nalaten. Ik zie dat veel gemeenten zich heel wel bewust zijn van de nieuwe privacyregels.’ Het lijkt Berent Daan verstandig ervaringen in gemeentelijke samenwerkingsverbanden te delen. Gemeenten zouden hun software, beleid en afspraken meer als open source beschikbaar moeten stellen. Dat kan door actiever te communiceren en ervaringen te delen via kennisbanken.

Onder water
Terug naar de Arnhemse wethouder Martijn Leisink en zijn visie over wat gemeenten te doen staat. Hij vindt dat ze zelf moeten beoordelen of het verstandig is dat via hun website gegevens aan derden worden gegeven. ‘De overheid zou dat in beginsel niet moeten willen, maar die afweging moet in ieder geval bewust worden gemaakt en niet impliciet bij ict uit handigheidsoverwegingen.’ Hij wijst er voor alle duidelijkheid nog maar eens op dat meer bedrijven die gemeenten diensten aanbieden voor de site, heel gebruiksvriendelijk zijn, maar onder water wel contact hebben met de webserver van dat bedrijf. Browse Aloud of ReadSpeaker zijn bijvoorbeeld van die bedrijven. ‘De veiligheid van jouw site is dan net zo groot als die van die derde partij. Bij een inbraak bij BrowseAloud is ook jouw website meteen kwetsbaar.’

Dat is een relatief klein onderdeel van de bedrijfsvoering, vindt Leisink. ‘Maar de gemeentesecretaris en het gemeentelijk managementteam moeten zich er wel bewust van zijn dat dit onder water gebeurt.’ Een bezoeker denkt alleen op de gemeentesite te zijn, maar onder water is er contact met Google Analytics, wordt software gekopieerd en worden gegevens op niet-anonieme manier overgedragen. ‘Als je heel transparant op de site zet dat je gegevens aan Google doorgeeft, is het snel afgelopen, maar het zou erop moeten staan.’