Een groot deel van de Nederlandse gemeentewebsites deelt persoonsgegevens met externe partijen nog voordat bezoekers daarvoor toestemming hebben gegeven. Dat blijkt uit een grootschalig onderzoek van Nixon Digital. Dan analyseerde alle 342 gemeentelijke websites in Nederland op naleving van privacyregels.
Van de 339 succesvol gescande websites bleken 207 gemeenten, goed voor ruim 61 procent, al bij het openen van de site data te delen met externe technologiebedrijven. In vrijwel alle gevallen ging het om diensten van Google, zoals Google Fonts, YouTube en Google Analytics. Volgens de onderzoekers gebeurt dit zonder dat bezoekers expliciet toestemming hebben gegeven via een cookiebanner. Daarmee handelen veel gemeenten mogelijk in strijd met de Europese privacywetgeving.
Gemeentewebsites
Gemeentewebsites hebben een bijzondere positie: burgers zijn erop aangewezen voor essentiële dienstverlening, zoals het aanvragen van paspoorten, vergunningen of ondersteuning via de Wmo. Anders dan bij commerciële websites hebben gebruikers geen alternatief, wat de verantwoordelijkheid voor privacybescherming vergroot.
Toch blijkt uit het onderzoek dat deze verantwoordelijkheid vaak niet wordt nageleefd. Zo laden 97 gemeenten externe lettertypes via Google Fonts, waardoor bij elk bezoek automatisch gegevens worden gedeeld met Google. Daarnaast hebben 114 gemeenten YouTube-video’s ingebed die trackers activeren, en gebruiken 70 gemeenten Google Analytics zonder voorafgaande toestemming. Opvallend is dat slechts negen procent van de gemeenten gebruikmaakt van een professioneel cookiebannerplatform.
Wat er wordt gedeeld
Wanneer een website verbinding maakt met externe servers, worden automatisch gegevens doorgestuurd. Het gaat onder meer om het IP-adres van de bezoeker, informatie over het apparaat en de browser, de bezochte pagina en het tijdstip van het bezoek.
Samen vormen deze gegevens een digitale vingerafdruk waarmee gebruikers herkenbaar kunnen worden. Zeker wanneer deze data terechtkomt bij grote technologiebedrijven met uitgebreide gebruikersprofielen, kan informatie worden gekoppeld aan bestaande datasets.
Mogelijke in strijd met wetgeving
Volgens de Algemene Verordening Gegevensbescherming (AVG) mogen persoonsgegevens alleen worden verwerkt als daar een geldige rechtsgrond voor is. Voor tracking en het delen van data met derde partijen is in de meeste gevallen expliciete toestemming vereist.
Daarnaast speelt het zogenoemde Schrems II-arrest een rol. Dit Europese hofarrest stelt dat het doorgeven van persoonsgegevens aan Amerikaanse bedrijven problematisch kan zijn, omdat Amerikaanse wetgeving toegang tot die data kan afdwingen.
Gebrek aan bewustzijn
Volgens Nixon Digital lijken veel gemeenten zich niet bewust van de risico’s. De onderzoekers wijzen erop dat standaardfunctionaliteiten, zoals ingesloten video’s of externe lettertypes, vaak ongemerkt dataverkeer naar derden veroorzaken.
Het onderzoek laat zien dat privacycompliance bij overheidswebsites nog lang niet op orde is. Daarmee worden miljoenen Nederlanders die afhankelijk zijn van digitale gemeentelijke dienstverlening mogelijk blootgesteld aan ongewenste datadeling, zonder dat zij zich daarvan bewust zijn.