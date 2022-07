Veel websites van overheden wereldwijd houden zich niet aan de privacyregels en geven derden de kans hun bezoekers te volgen. Onder die derden zijn ook bedrijven die hun geld verdienen met het volgen van internetgebruikers, zoals de giganten Google en Facebook. Dat blijkt uit nieuw internationaal onderzoek, waarin vele duizenden overheidswebsites van de landen van de G20 werden bekeken.

Nederland behoort niet tot deze club van landen, maar een van de wetenschappers die dit onderzoek hebben gedaan is Georgios Smaragdakis, hoogleraar cybersecurity aan de TU Delft. En hij heeft met zijn studenten Ivo Kroskinski, Boris van Groeningen en Raymond d’Anjou in een apart project wel naar Nederlandse overheidssites gekeken. Die blijken redelijk netjes, tenminste waar het de rijksoverheid betreft, maar op de sites van provincies en gemeenten wordt de privacywetgeving met voeten getreden, zegt Smaragdakis.

Cookies van derden zijn zorgelijk

“Cookies heb je op alle commerciële websites. Dat is niks nieuws. Maar we hadden niet verwacht dat we ze ook op zo veel websites van overheden zouden vinden. Dat is zorgelijk. Overheden zouden hun eigen privacywetgeving moeten respecteren, maar dat gebeurt niet. Dat kan het vertrouwen schaden, zeker nu burgers steeds meer zijn aangewezen op online diensten van overheden.”

Een cookie is een plukje data dat aan de bezoeker van een website wordt geplakt en waarmee zijn gangen en gebruik van websites te volgen zijn. Sommige cookies leven maar even, maar er zijn er ook die maanden tot jaren bruikbaar blijven.

Uitgangspunt van de Europese privacywetgeving is dat cookies niet strikt noodzakelijk zijn voor het functioneren van een website, en dat er voor het gebruik van cookies instemming nodig is van degene die de site bezoekt. De Nederlandse wetgever denkt daar iets anders over; die maakt een uitzondering voor cookies die worden gebruikt om de website te verbeteren. Die cookies zouden minder privacygevoelig zijn. Dus als je naar rijksoverheid.nl gaat, bijvoorbeeld, wordt jou niet om toestemming gevraagd, terwijl er wel cookies worden gebruikt. Smaragdakis: “Dat zijn weliswaar uitsluitend cookies die door de overheid zelf worden beheerd, maar je bent voor die overheid daarmee wel te volgen.”

Veel tracking cookies van derden

Nog meer verontrustend dan de cookies van de overheid, zeggen de onderzoekers, zijn cookies van derden op overheidswebsites. Die kunnen daarop zijn gekomen doordat bij de ontwikkeling van de website gebruikt is gemaakt van software van derden, doordat gebruik wordt gemaakt van diensten van derden om het verkeer op de site te analyseren, of doordat er wordt gelinkt naar bijvoorbeeld Google, video’s op YouTube, sociale media et cetera.

Die cookies van derden hebben de onderzoekers in overvloed gevonden op de websites van G20-landen. En de studenten van Smaragdakis vonden er ook in Nederland talloze, op websites van provincies, gemeenten en aan de overheid gelieerde organisaties. En in veel gevallen zijn dat cookies van bedrijven die bekendstaan als ‘trackers’: bedrijven die geld verdienen door internetverkeer bij te houden, bijvoorbeeld voor adverteerders.

Onder de G20-landen spant Rusland de kroon: de overgrote meerderheid van websites van Russische overheden heeft cookies van trackers. “Een drama", zegt Smaragdakis. Duitsland is hier de uitzondering, maar ondanks zijn strenge privacywetgeving werden toch cookies van trackers gevonden op zo’n 4 procent van de webpagina's van Duitse overheden. “Nederland zit ongeveer op dat niveau”, schat Smaragdakis.

Bij de bouw van sites gaat het al mis

Volgens Smaragdakis en zijn collega's zou bij het ontwerp van websites voor overheden al gewaakt moeten worden voor toegang door trackers, sociale media, commerciële videodiensten en adverteerders. Nu gaat het bij de bouw van de sites vaak al mis.

Tweede aanbeveling: als je werkelijk een link nodig hebt naar bijvoorbeeld een Facebookpagina, gebruik dan een icoontje. Die leidt de gebruiker door naar zo’n sociaal medium, maar pas nadat die daarmee heeft ingestemd.

Een nog betere oplossing, zeggen de onderzoekers, is om de inhoud die overheden nodig hebben op hun websites niet te halen van commerciële sites en media, maar van eigen, publieke servers. Dat vergt een aanzienlijke investering, maar is voor de langere termijn de beste optie.

