De publieke sector draagt ​​op grote schaal persoonsgegevens over aan Google

Overheid, onderwijs en gezondheidszorg zijn fervente gebruikers van Google-services. Hierdoor kunnen Nederlandse burgers niet om geavanceerde tracking heen. Bits of Freedom bracht de situatie in de publieke sector in kaart. Naar eigen zeggen toonde dit een “schokkend hoog” percentage van het Google-gebruik aan. Wij spraken hierover met onderzoeker Joran van Apeldoorn.

Bits of Freedom onderzocht voor het onderzoek 32.843 websites. Daaruit bleek dat Google gebruikers op een derde van de overheidssites expliciet kon volgen, terwijl dit voor meer dan de helft van de onderzochte websites in de gezondheidszorg en het onderwijs gold. Google ‘tracker’, breder gedefinieerd, bestaat uit contact met Google-diensten, waaronder Maps, Forms, Docs en Drive. Google Fonts, uitsluitend bedoeld voor het uploaden van lettertypen, geldt ook als crawler. Dit komt omdat Google mogelijk ook informatie over bezoekersgedrag verzamelt.

Binnen het onderwijs maakt 90 procent van de organisaties gebruik van minimaal één van deze diensten en 88 procent binnen de gezondheidszorg. Bij de overheid is dit 48 procent, al gebruiken overheidsgerelateerde organisaties Google aanzienlijk meer (71 procent) dan bijvoorbeeld ministeries, gemeenten, provincies en juridische instellingen. Tot de tweede groep behoren adviesorganen en commissies die niet altijd als ‘de overheid’ worden gezien, maar dat officieel wel zijn.

Kortom, de publieke sector is slaapwandelend in deze situatie terechtgekomen. Google-services hebben keer op keer bewezen aantrekkelijke standaardopties te zijn voor webontwikkelaars. Blijkbaar is er niet veel aandacht besteed aan de privacy-implicaties. Het resultaat is dat Google allerlei dingen leert over Nederlandse burgers.

Bits of Freedom noemt als voorbeeld dat doktersafspraken, schoolrapporten en veranderingen in de levensomstandigheden allemaal online gebeuren. Google kan dit vaak zelf in de hand houden en daarom gericht adverteren. Dit bedrijf heeft ook grote invloed op wat gebruikers zien. Dit omvat nieuwsfeeds, videosuggesties en politieke advertenties die op het individu kunnen worden afgestemd. Deze invloed is niet eenvoudig te meten en, zoals Van Apeldoorn opmerkt, “moeilijk tastbaar” voor één persoon. Het onderzoek van Bits of Freedom concludeert echter dat de enorme hoeveelheid data over Nederlanders een ‘goudmijn’ is voor Google.

Advies: Dataprivacy zal in 2024 nog steeds niet de aandacht krijgen die het verdient

De publieke sector geeft geen goed voorbeeld

Het slechte aan de publieke sector die deze vorm van toezicht toestaat, is dat niemand het kan negeren. Iedere burger moet digitaal communiceren met de Belastingdienst en andere overheidsinstanties. “Het is niet die huisarts of die gemeente (die Google heeft bijgehouden), maar het is een belangrijk maatschappelijk probleem.” Dit leidt tot “enorme macht” die dit bedrijf heeft over onze bevolking, vooral vanwege de grote invloed die het heeft op ons gedrag op internet. Omdat overheid, gezondheidszorg en onderwijs veel persoonlijke informatie ontvangen, vindt Van Apeldoorn het nog problematischer dat deze gegevens (vermoedelijk vrijwel altijd onbedoeld) ongevraagd ergens anders terechtkomen.

Google Analytics (GA) is een van de meest expliciete voorbeelden van tracking. Zo haalt Google de meest gedetailleerde informatie uit de website. Deze tool staat in verschillende Europese landen in de schijnwerpers. Privacywaakhonden in onder meer Frankrijk, Italië, Oostenrijk en Noorwegen hebben zich uitgesproken tegen het gebruik van GA, hoewel een rechterlijke beslissing die tot een daadwerkelijk verbod leidt nog moet worden genomen.

Google moet voldoen aan de Amerikaanse wetten, zoals verplichte medewerking aan overheidsonderzoeken. Daarom kunnen burgers buiten de VS door de Amerikaanse autoriteiten worden onderzocht zonder inmenging van de EU of onze regering, iets waar veel burgers zich niet van bewust zullen zijn. En toch hebben Europese rechters via onder meer Schrems I en II geconcludeerd dat het delen van data met de Verenigde Staten simpelweg niet is toegestaan. Helaas is het nog onduidelijk wat wel en niet mag, constateert Van Apeldoorn.

De huidige privacywetgeving zou al hulp moeten bieden; Dat is tenminste wat de woordkeuze in deze wetten meerdere keren suggereert. De AVG vereist duidelijk geformuleerde informatie over welke gegevens een website precies aan derden doorgeeft. Gebruikers moeten zich hiervoor kunnen afmelden en beschermd worden tegen onnodig gedetailleerd toezicht. Daarom moet iedereen die ‘ja’ zegt, hooguit op een vrij beperkte basis worden gevolgd. Helaas wordt dit zelden adequaat gemonitord en geeft de publieke sector geen goed voorbeeld. Twee weken geleden maakte de Autoriteit Persoonsgegevens eindelijk bekend misleidende cookie-advertenties strenger aan te pakken. Deze waakhond moet die belofte de komende jaren nog waarmaken. Op dit moment is er “zeer weinig handhaving” door de AP en de overheid, zegt Van Apeldoorn.

Lees ook: Autoriteit Persoonsgegevens bestrijdt misleidende cookie-advertenties

Komt er verbetering?

Ongeacht de wetgeving is het volgens privacyorganisaties als Bits of Freedom simpelweg geen goed idee om zoveel data aan grote technologiebedrijven toe te vertrouwen. Het is essentieel dat mensen wegblijven van tools als Google Analytics. Gelukkig heeft de Rijksoverheid zelf inmiddels een alternatief beschikbaar, maar voor lokale overheden is deze optie nog niet toegankelijk. Daarom lijkt de verandering van bovenaf in de regering te komen.

Op het gebied van de gezondheidszorg en het onderwijs lijkt het er niet op dat grotere actoren betere resultaten behalen dan kleinere. “Grotere organisaties in deze sector hebben veel vaker tracking op hun website staan. Kleinere partijen hebben vaak simpelweg een WordPress-site waar weinig tracking in zit”, zegt Van Apeldoorn. In de zorg wordt veel belangrijke informatie verwerkt en bepalen actieve praktijken op landelijk niveau vaak het beleid voor tientallen tot honderden locaties. “Een apotheekaanbieder kan door het hele land 300 apotheken hebben en deze volgsystemen standaard aanbieden. Helaas is het niet zo dat de grote partijen het altijd beter doen.”

Ondertussen proberen ook andere technologiebedrijven mee te kijken, maar die zijn niet zo wijdverspreid. De Meta-trackingtool (de zogenaamde ‘Metapixel’) is vooral bedoeld voor het adverteren op Facebook of Instagram. De publieke sector maakt er spaarzaam gebruik van. “Iets meer dan 5 procent van de gezondheidszorgwebsites en 7 procent van de educatieve websites gebruikt deze tracker”, aldus het onderzoek. Van Apeldoorn geeft aan dat deze tool alleen wordt ingezet als er een expliciete wens is om gebruikers te profileren. Google is daarentegen alomtegenwoordig en verstopt zich in alles, van feeds tot analyses, van formulieren tot videohosting.

Om deze reden vraagt ​​Bits of Freedom de overheid om actie te ondernemen, “ook in andere sectoren waar steeds meer vraagstukken digitaal worden opgelost.” Omdat de belangenorganisatie zich dit keer richtte op de publieke sector, probeert zij met dit onderzoek aan te tonen dat er behoefte is aan een herwaardering van de instrumenten en diensten die worden gebruikt bij de overheid, de gezondheidszorg en het onderwijs.

Lees ook: De Belastingdienst heeft nog maar heel weinig bedrijfsprocessen getest onder de AVG