De overheid, het onderwijs en de zorg zijn fervent gebruikers van Google-diensten. Daardoor kunnen Nederlandse burgers niet om vergevorderde tracking heen. Bits of Freedom-onderzoek constateert een “schandalig hoog” percentage aan Google-gebruik. We spraken hierover met onderzoeker Joran van Apeldoorn.
Bits of Freedom nam voor het onderzoek 32.843 websites onder de loep. Daaruit bleek dat Google bij eenderde van de overheidssites expliciet gebruikers kon tracken, terwijl dit voor meer dan de helft van de onderzochte websites in de zorg en in het onderwijs gold. De breder gedefinieerde Google-’tracker’ bestaat uit contact met Google-diensten, waaronder Maps, Forms, Docs en Drive. Ook Google Fonts, enkel bedoeld om lettertypes in te laden, telt als een tracker. Dit is omdat Google ook hierdoor informatie kan verzamelen van bezoekersgedrag.
Binnen het onderwijs maakt 90 procent van de organisaties gebruik van minimaal één van deze diensten en 88 procent binnen de zorg. Bij de overheid is dit 48 procent, hoewel aan de overheid verwante organisaties met 71 procent aanzienlijk meer gebruikmaken van Google dan bijvoorbeeld ministeries, gemeenten, provincies en rechtsinstellingen. Die tweede groep bestaat onder meer uit adviesorganen en commissies die niet altijd als “de overheid” worden gezien, maar dat officieel wel zijn.
De publieke sector is in feite slaapwandelend in deze situatie terechtgekomen. Google-diensten zijn keer op keer aantrekkelijke standaardkeuzes gebleken voor webdevelopers. Hierbij is er klaarblijkelijk niet al te veel rekening gehouden met de privacy-implicaties. Het gevolg is dat Google van alles te weten komt over Nederlandse burgers.
Bits of Freedom haalt als voorbeelden aan dat doktersafspraken, schoolrapporten en wijzigingen in woonsituatie allemaal online plaatsvinden. Google kan daarbij veelal meekijken en daardoor gericht adverteren. Tevens beïnvloedt dit bedrijf in grote mate wat gebruikers te zien krijgen. Denk hierbij aan nieuwsfeeds, videosuggesties en politieke reclame dat afgestemd kan worden op het individu. Deze invloed is niet op een eenvoudige manier meetbaar en, zoals Van Apeldoorn constateert, “moeilijk tastbaar” voor een enkel persoon. Echter concludeert het Bits of Freedom-onderzoek dat de reusachtige hoeveelheid data over Nederlanders voor Google een “goudmijn” is.
Tip: Dataprivacy krijgt in 2024 nog steeds niet de aandacht die het verdient
Publieke sector geeft niet het goede voorbeeld
Het kwalijke aan het feit dat de publieke sector deze vorm van tracking toestaat, is dat niemand eromheen kan. Elke burger dient nu eenmaal digitaal met de Belastingdienst en andere overheidsinstanties te communiceren. “Het is niet die ene huisarts of die ene gemeente [die Google laat tracken], maar het gaat om een significant maatschappelijk probleem.” Dat leidt tot een “enorme macht” die dit bedrijf over onze bevolking heeft, vooral wegens de grote invloed die het heeft op ons internetgedrag. Omdat de overheid, de zorg en het onderwijs veel persoonlijke informatie ontvangen, vindt Van Apeldoorn het extra problematisch dat deze gegevens (vermoedelijk nagenoeg altijd onbedoeld) ongevraagd elders belanden.
Google Analytics (GA) is één van de meest expliciete voorbeelden van tracking. Dit is waarmee Google de meest gedetailleerde website-informatie bemachtigt. Deze tool ligt onder vuur in verschillende Europese landen. Privacywaakhonden in onder andere Frankrijk, Italië, Oostenrijk en Noorwegen spraken zich uit tegen het gebruik van GA, hoewel een juridisch besluit nog niet heeft geleid tot een daadwerkelijk verbod.
Google heeft te voldoen aan wetten in de Verenigde Staten, zoals verplichte medewerking aan overheidsrecherche. Burgers van buiten de VS kunnen daardoor onderzocht worden door instanties in Amerika zonder inmenging van de EU of onze overheid, iets waar veel burgers zich niet bewust van zullen zijn. En dat terwijl Europese rechters via onder meer Schrems I en II hebben geconcludeerd dat gegevensuitwisseling met de VS niet zomaar is toegestaan. Helaas blijft het nog steeds onduidelijk wat nou wel en niet mag, constateert Van Apeldoorn.
Nu zouden huidige privacywetten al hulp moeten bieden; althans, dat suggereert de woordkeuze in deze wetten meermaals. De GDPR eist namelijk een helder geformuleerde informatieverschaffing van welke gegevens een website precies doorspeelt aan derden. Gebruikers moeten dat kunnen afwijzen en beschermd worden voor onnodig gedetailleerde surveillance. Wie ‘ja’ zegt, zou dus hooguit op vrij beperkte wijze getrackt moeten worden. Helaas is daar zelden stevig op gecontroleerd en geeft de publieke sector niet het goede voorbeeld. Twee weken geleden liet de Autoriteit Persoonsgegevens eindelijk weten dat het misleidende cookiebanners strenger zou aanpakken. Die belofte moet deze waakhond nog waarmaken de komende jaren. Vooralsnog is er sprake van “heel weinig handhaving” vanuit de AP en de overheid, stelt Van Apeldoorn.
Lees ook: Autoriteit Persoonsgegevens gaat strijd aan met misleidende cookiebanners
Verbetering op komst?
Los van de wetgeving is het volgens privacyorganisaties als Bits of Freedom simpelweg geen goed idee om zoveel data toe te vertrouwen aan grote techbedrijven. Cruciaal daarbij is dat men afstapt van tools als Google Analytics. Gelukkig heeft de Rijksoverheid zelf inmiddels een alternatief beschikbaar, maar deze optie is nog niet voor lokale overheden toegankelijk. Verandering lijkt dus op komst bij de overheid van bovenaf.
Het blijkt in de zorg en het onderwijs overigens niet het geval te zijn dat grotere spelers het beter doen dan kleinere. “Juist de grootste organisaties hebben in deze sector veel vaker tracking op hun website. Kleinere partijen hebben vaak simpelweg een WordPress-site die niet veel tracking bevat,” laat Van Apeldoorn weten. In de zorg verwerkt men veel belangrijke informatie, waarbij landelijk actieve praktijken veelal het beleid van tientallen of honderden locaties bepalen. “Een apotheekaanbieder kan 300 apotheken door het land hebben en deze systemen standaard van tracking voorzien. Het is jammer genoeg niet zo dat de grote partijen het altijd beter doen.”
Ondertussen proberen andere techbedrijven eveneens mee te kijken, maar die zijn niet zo wijdverspreid. De trackingtool van Meta (de zogeheten ‘Meta pixel’) is eigenlijk vooral bedoeld om op Facebook of Instagram te adverteren. De publieke sector maakt er spaarzaam gebruik van. “Iets meer dan 5 procent van de websites in de zorg en 7 procent van de websites in het onderwijs gebruikt deze tracker,” aldus het onderzoek. Van Apeldoorn geeft aan dat deze tool alleen ingezet wordt als er een expliciete wens is om gebruikers te profileren. Daartegenover staat het alomtegenwoordige Google, verstopt in alles van lettertypen tot analytics en formulieren tot videohosting.
Om die reden doet Bits of Freedom een oproep aan de regering om actie te ondernemen, “ook in andere sectoren waar steeds meer zaken digitaal worden geregeld.” Omdat de belangenorganisatie zich deze keer richtte op de publieke sector, tracht het met dit onderzoek te laten zien dat er een herevaluatie nodig is van de gebruikte tools en diensten binnen de overheid, de zorg en het onderwijs.
Lees ook: Belastingdienst toetste nog maar weinig bedrijfsprocessen aan GDPR