Nog steeds bevatten websites trackers. Het is lastig te controleren of die website trackers inbreuk maken op de AVG-wetgeving. Omdat trackers vooral op technologiesites geplaatst worden, is het voor IT-dienstverleners goed te weten dat deze praktijk ook op politiek niveau tot discussie leidt.
Op Nederlandse websites staan gemiddeld 13 trackers. De trackers verzamelen gegevens van mensen die de sites bezoeken. Partijen als Google en Facebook gebruiken deze informatie om advertenties nauwkeurig op het zoek- en bezoekgedrag van internetgebruikers af te stemmen. Nederlandse shopping-, tech- en streamingwebsites hebben de meeste trackers, gemiddeld 19. Maar zelfs op overheidssites vinden we trackers (zie afbeelding). Dit feit leidde onlangs tot Kamervragen, waarin de VVD-fractie vroeg naar de impact van trackers op security en privacy en gebruikers.
Meeste website trackers van Google
De meeste trackers op Nederlandse websites zijn eigendom van derden. Ongeveer 30% van de trackers is van Google, 11% van Facebook en 7% van Adobe. Deze bedrijven gebruiken de gegevens die ze verzamelen voor marketingdoeleinden.
Onderzoekers van NordVPN analyseerden de 100 populairste websites in 25 landen over de hele wereld. Met behulp van drie verschillende trackerblockers zagen ze hoeveel trackers (zoals een cookie of een trackingpixel) de websites gebruikten. Dit om meer over hun gebruikers te weten te komen.
Vergeleken met andere landen bevatten sites in ons land minder website trackers dan elders. Het aantal webtrackers hangt vooral af van de wetgeving omtrent gegevensbescherming in een land. Daarom hebben websites in Midden- en Noord-Europa, waar men de AVG-regels toepast, minder trackers dan in de VS.
Website trackers verzamelen gegevens
Trackers bevinden zich meestal in de broncode van een website. Ze zijn voor gewone gebruikers moeilijk te detecteren. Het soort informatie dat trackers verzamelen kan bestaan uit het IP-adres en de locatie, de browsegeschiedenis, het aantal klikken van gebruikers op een website, de items die ze bekeken en voor hoe lang, plus gegevens over de browser en het apparaat dat wordt gebruikt.
Aan de ene kant kunnen trackers websitebeheerders helpen de ervaring van gebruikers te verbeteren door te analyseren hoe bezoekers de tijd op hun website doorbrengen. Aan de andere kant helpt deze informatie echter om een gebruikersprofiel op te stellen waarvan partijen als Google, Facebook en Adobe profiteren. Zij gebruiken deze profielen om meer gerichte en opdringerige advertenties aan te bieden die gebruikers van website naar website volgen.
Risico cybercriminelen
Het ergste scenario is als cybercriminelen deze gegevens in handen krijgen. Ze kunnen dan een gedetailleerd portfolio over iemand samenstellen en dit tegen hun slachtoffer gebruiken in een phishing-aanval door een gepersonaliseerd en geloofwaardig bericht op te stellen. Om die reden is het van groot belang dat websites van de overheid heel zorgvuldig omgaan met trackers.
TU Delft publiceerde echter in juli een onderzoek waaruit duidelijk werd dat websites van provincies en gemeenten de privacywet overtreden. Er worden trackingcookies geplaatst zonder toestemming van bezoekers. De VVD stelde er Kamervragen over aan staatssecretaris Van Huffelen (D66). De fractie wilde onder meer weten waarom overheden cookies gebruiken en aan welke eisen met betrekking tot cookies van derden een overheidswebsite moet voldoen.
Overheid wil goede voorbeeld geven
Van Huffelen geeft in haar antwoord aan dat ze het belangrijk vindt dat ‘burgers veilig gebruik kunnen maken van de websites van de overheid, en dat hun privacy daarbij wordt verzekerd.’ Ze is zich bewust van de gevaren die het gebruik van website trackers met zich mee kan brengen, blijkt uit haar antwoord: “Het plaatsen van trackingcookies door derden staat daarmee op gespannen voet. De overheid moet natuurlijk het goede voorbeeld geven. Het is daarom vanzelfsprekend en noodzakelijk dat overheidswebsites in ieder geval voldoen aan de huidige wetgeving.”
De staatssecretaris meldt dat met ‘medeoverheden een handreiking [wordt] opgesteld voor het goed implementeren van de relevante wetgeving bij overheidswebsites.’ Het is nog niet bekend wanneer de gesprekken gaan plaatsvinden.
Zorgen bij gebruikers
Overigens is het publiek zich er zeker van bewust dat grote tech-partijen trackers inzetten. Volgens de enquête van NordVPN maakt 42% van de Nederlanders zich zorgen dat ze gevolgd worden door social mediagiganten (zoals Facebook), 37% is bezorgd dat hun gegevens worden verzameld door informatie- en advertentie-aggregators (zoals Google), en 33% wil niet dat marketingbureaus hun gegevens in handen krijgen.
Adviezen die MPS’s hun klanten kunnen geven
Trackers maken geen onderscheidt tussen zakelijke laptops en privé-devices. De meeste gebruikers overigens ook niet. Voor wie de (zakelijke) identiteit beter wil afschermen, kan een IT-partner het volgende voorstellen en/of implementeren:
1. Laat de klantorganisatie VPN’s gebruiken. Een Virtual Private Network verbergt je echte IP-adres en locatie voor derden, waaronder je internetprovider, cybercriminelen, netwerkbeheerders en adverteerders.
2. Installeer bij de klant een trackerblokker. Die zorgt ervoor dat je browser geen informatie over je kan verzamelen en kan ook als adblockers werken. Sommige trackerblockers bieden ook andere cybersecurity-functies, zoals bescherming tegen malware.
3. Adviseer browsers die de privacy respecteren. Laat klanten een browser gebruiken die speciaal is ontworpen voor mensen die hun privacy willen behouden: zonder auto-synchronisatie, zonder spellingscontrole, zonder auto-fill en zonder plug-ins.
