dinsdag 18 augustus 2015

RHC's letten onvoldoende op privacy van hun website bezoekers

Bij de workshop Gebruik Google Analytics komen vragen aan bod als "wat willen we meten?" en "wat kunnen we met al die cijfers?", maar ook "hoe zit het met privacy?" en "hoe zit het met de cookie wet?". Een digitale rondgang langs de websites van de 12 voormalige Rijksarchieven, nu Regionale Historische Centra (RHC's), leert dat ze allemaal gebruik maken van Google Analytics om websitestatistieken te verzamelen. Maar hebben zij Google Analytics zo geïmplementeerd dat de privacy van bezoekers niet geschaad wordt?


Anonimiseren van het IP adres

Als een bezoeker een webpagina (of Javascript bestand, afbeelding, ...) opvraagt dan krijgt de website de beschikking over het IP-adres van (de computer/het netwerk van) de bezoeker. Een IP-adres kan herleidbaar zijn tot een persoon en is daarmee een persoonsgegeven, de Wet Bescherming Persoonsgegevens (WBP) is dus van toepassing. Google Analytics biedt de mogelijkheid om het IP-adres van de websitebezoeker te 'anonimiseren', door een deel van het IP adres (het laatste octet) niet te verwerken. Sommige rapportage functionaliteit van Google Analytics wordt hierdoor beperkt, maar het komt de privacy van de website bezoekers ten goede.

Onderstaande tabel laat zien dat maar 4 van de 12 RHC's deze privacy maatregel hebben geïmplementeerd.

Ja Brabants Historische Informatie Centrum, Groninger Archieven, Historisch Centrum Overijssel, Nationaal Archief (GaHetNa)
NeeDrents Archief, Gelders Archief, Het Utrechts Archief, Nieuw Land Erfgoedcentrum, Noord-Hollands Archief, Tresoar, Regionaal Historisch Centrum Limburg, Zeeuws Archief
Tabel 1: wordt het IP adres geanonimiseerd?
Let op: Het College bescherming persoonsgegevens (CBP) acht het resterende deel van het IP-adres nog steeds een persoonsgegeven. Desalniettemin wordt het 'anonimiseren' door het CPB voorgeschreven.

Netwerkverkeer versleutelen

Internetverkeer dat niet wordt versleuteld kan worden afgeluisterd en worden gemanipuleerd. Versleuteling van internetverkeer via HTTPS komt de privacy ten goede. Als een website Google Analytics gebruikt is er verkeer tussen de browser van de bezoeker en Google. Bij een website die HTTPS gebruikt wordt het verkeer naar Google Analytics automatisch ook over HTTPS geleid. Als een website echter HTTP gebruikt, dus niet versleuteld is, kun je Google Analytics opdracht geven om over HTTPS te communiceren zodat dat deel van het netwerkverkeer alsnog versleuteld is.

Onderstaande tabel toont aan dat maar één RHC de eigen website geheel via HTTPS aanbiedt, de andere RHC's bieden hun website alleen onversleuteld via HTTP aan. Van deze laatste groep zorgen 2 RHC's ervoor dat verkeer naar Google Analytics vanaf hun HTTP website alsnog wordt versleuteld. Bij de overige 9 RHC's wordt het verkeer naar Google Analytics niet versleuteld.

Ja Historisch Centrum Overijssel (gehele website via HTTPS),
Brabants Historische Informatie Centrum, Groninger Archieven
NeeDrents Archief, Gelders Archief, Het Utrechts Archief, Nationaal Archief (GaHetNa), Nieuw Land Erfgoedcentrum, Noord-Hollands Archief, Tresoar, Regionaal Historisch Centrum Limburg, Zeeuws Archief
Tabel 2: is het netwerkverkeer naar Google Analytics versleuteld?
Zie ook: Onderzoek: Geen veilig versleuteld webverkeer mogelijk met meeste websites van archieforganisaties

Informeren over gebruik

Google Analytics gebruikt voor het volgen van bezoekers cookies. Op 3 februari 2015 is de Telecommunicatiewet (in de volksmond ook wel cookie-wet genoemd) aangenomen door de Eerste Kamer. De belangrijkste wijziging die in de wet is doorgevoerd nadat de wet in 2013 door de Tweede Kamer werd aangenomen is dat het plaatsen van cookies om een website te verbeteren nu wel toegestaan worden, zonder dat een expliciete melding en/of toestemming nodig is bij binnenkomst op de website. Gelukkig valt ook Google Analytics onder deze uitzondering! Een website hoeft dus niet vooraf expliciet om toestemming te vragen voor de cookies van Google Analytics mits de privacy maatregelen zijn geïmplementeerd. Het is echter nog wel verplicht om de bezoekers te informeren over het gebruik van Google Analytics in bijvoorbeeld een separate cookie pagina of disclaimer pagina.

Van de 12 RHC's maken maar 2 RHC's melding van het gebruik van Google Analytics.

Ja Brabants Historische Informatie Centrum, Gelders Archief
NeeDrents Archief, Groninger Archieven, Het Utrechts Archief, Historisch Centrum Overijssel, Nationaal Archief (GaHetNa), Nieuw Land Erfgoedcentrum, Noord-Hollands Archief, Regionaal Historisch Centrum Limburg, Tresoar, Zeeuws Archief
Tabel 3: wordt de bezoeker geïnformeerd over gebruik Google Analytics?

Let op: als er geen privacy maatregelen genomen worden, worden de Google Analytics cookies als tracking cookies gezien waar de bezoeker vooraf toestemming voor dient te geven. De Autoriteit Consument & Markt (ACM) handhaaft de cookie-wet en kan boetes tot maximaal EUR 450.000,- uitdelen.

Bewerkersovereenkomst met Google afsluiten

Omdat het gedrag van bezoekers wordt vastgelegd, tezamen met een IP adres, worden er persoonsgegevens verwerkt. Bij gebruik van Google Analytics wordt de verwerking door de website eigenaar uitbesteed aan een derde partij zijnde Google. Dit betekent dat er conform de WBP een bewerkersovereenkomst tussen website eigenaar en Google afgesloten moet worden!
In een bewerkersovereenkomst worden de afspraken vastgelegd die de verantwoordelijke (=website eigenaar) met de bewerker (= Google) maakt over de bescherming en de beveiliging van persoonsgegevens. Dit klikt lastiger dan het is, Google voorziet in de mogelijkheid om deze overeenkomst af te sluiten door het zetten van een enkel vinkje. Als bezoeker kun je niet controleren of er een bewerkersovereenkomst is, een website eigenaar moet dit echter wel kunnen aantonen aan bijvoorbeeld het CBP. Melding maken van de afgesloten bewerkersovereenkomst bij de paragraaf over het gebruik van Google Analytics wordt aangeraden, zie als voorbeeld de disclaimer van Open Archieven.

Van de 2 RHC's die melding maken van het gebruik van Google Analytics maakt er geen één melding van een bewerkersovereenkomst. Waarschijnlijk hebben dus ook geen van de RHC's de wettelijk verplichte  bewerkersovereenkomst met Google afgesloten.

Ja-
NeeBrabants Historische Informatie Centrum, Drents Archief, Gelders Archief, Groninger Archieven, Het Utrechts Archief, Historisch Centrum Overijssel, Nationaal Archief (GaHetNa), Nieuw Land Erfgoedcentrum, Noord-Hollands Archief, Regionaal Historisch Centrum Limburg, Tresoar, Zeeuws Archief
Tabel 4: wordt de bezoeker geïnformeerd over de bewerkersovereenkomst?

Delen van gegevens verhinderen

Het verzamelen van (persoons)gegevens voor een bepaald doel mag, zo ook de webstatistieken via Google Analytics. Echter de gegevens mogen niet gedeeld worden en dus voor een ander doel gebruikt worden. Standaard doet Google Analytics dit, maar ook dit is eenvoudig aan te passen. Deze verplichte privacy maatregel kun je als bezoeker, net als bij de bewerkersovereenkomst, niet controleren. Een website-eigenaar kan er wel melding van maken op de cookie of disclaimer pagina, dit zorgt voor transparantie.

Geen van de RHC's maakt melding van het feit dat ze Google hebben opgedragen geen gegevens te delen. Waarschijnlijk heeft dan ook geen van de RHC's deze privacy maatregel getroffen.

Ja-
NeeBrabants Historische Informatie Centrum, Drents Archief, Gelders Archief, Groninger Archieven, Het Utrechts Archief, Historisch Centrum Overijssel, Nationaal Archief (GaHetNa), Nieuw Land Erfgoedcentrum, Noord-Hollands Archief, Regionaal Historisch Centrum Limburg, Tresoar, Zeeuws Archief
Tabel 5: wordt er gemeld dat is ingesteld dat Google de (persoons)gegevens niet deelt?

Conclusie: RHC's letten onvoldoende op privacy van hun website bezoekers

Geen van de 12 RHC websites voldoet volledig aan privacy eisen die door het CBP gesteld worden aan het gebruik van Google Analytics. De RHC's gaan dus niet goed om met de privacy van hun websitebezoekers!

De websites van de RHC's vormen een 'steekproef' van de websites in de hele archiefsector. Omdat het geen aselecte steekproef is kan de conclusie niet zo maar doorgetrokken worden naar de gehele archiefsector. Maar het onderbuik gevoel zegt dat de implementatie van Google Analytics op de meeste websites van archiefinstellingen niet voldoet aan de Nederlandse wetgeving. Een risico voor archiefinstellingen (qua boetes en imago) en hun website bezoekers (qua privacyschending).


Wilt u meer informatie over de workshop Gebruik Google Analytics of implementatie-check en -ondersteuning neem dan contact op met Bob Coret.

4 opmerkingen:

  1. Nuttig onderzoek! Gelukkig is privacy een onderwerp dat steeds meer leeft, en als informatiebeveiliger word ik altijd blij wanneer mensen onderzoek doen om te kijken wat er al goed is, en wat er verbeterd kan worden. Ik voel een paar 'change-requests' in me opborrelen :)

    Wel heb ik nog twee opmerkingen:
    - Ten aanzien van de website gahetNA is er wel een pagina 'Privacy' (gelinkt in de footer) waarop gemeld wordt dat er o.a. analytische cookies gebruikt worden. Het specifieke merk wordt daarbij niet genoemd. Is dat jouw inziens onvoldoende?

    - Ten aanzien van het gebruik van HTTPS in het algemeen: puur het feit dat de verbinding via HTTPS loopt is helaas niet voldoende om veilig te zijn. De slimheid van hackers en de rekenkracht van computers neemt elk jaar toe, waardoor versleuteltechnieken die vijf jaar geleden nog 'state-of-the-art' waren, dit jaar alweer onbruikbaar zijn om veilig te internetten. Dan lijkt het voor je bezoekers wel alsof ze veilig zijn, omdat ze het slotje zien, maar de veiligheid is dan schijn.

    Of de gebruikte technieken en algoritmen goed zijn of niet, kun je controleren met o.a. de SSLTest van SSLLabs. Als voorbeeld: https://www.ssllabs.com/ssltest/analyze.html?d=archief2020.nl&latest voor de implementatie bij Archief2020, die we inmiddels zo ver hebben dat hij het Amerikaanse schoolcijfer 'A' krijgt. Scoor je lager dan een 'A', dan melden ze erbij waarom, en hoe je dat op kunt lossen.

    BeantwoordenVerwijderen
  2. Jeroen,

    Bedankt voor je feedback.

    1) Het advies van het CBP in deze is "transparantie". Of melding maken van analytische cookies genoeg is weet ik niet. Naar mijn smaak (ben geen jurist ;-) is melden dat Google persoonsgegevens van bezoekers verwerkt en daarvoor cookies x, y,z plaatst pas echt transparant.

    2) In Ranking the archief websites (maart 2015) bekeek ik ook het aspect veiligheid waarbij SSLLabs de scores aangaf, zie Ik heb enkele sites opnieuw gecontroleerd en daar zelfs een achteruitgang geconstateerd...

    BeantwoordenVerwijderen
    Reacties
    1. Bij internetveiligheid is stilstand letterlijk achteruitgang.

      Overigens kun je door de veiligheid van de website op te schroeven ook klanten uitsluiten. Hele oude browsers snappen vaak de nieuwe versleuteltechnieken niet, en wanneer je dan de oude technieken hebt uitgezet kunnen die bezoekers niet meer bij je website. In het geval van de NA websites bleek het aantal bezoekers met een dergelijke oude browser gelukkig ontzettend laag (weten we dankzij Google Analytics :) )

      Verwijderen
  3. Bob, een verlate reactie vanwege vakantie: dat is een helder overzicht, maar in de conclusie iets te kort door de bocht. Het BHIC heeft bijvoorbeeld wel degelijk een bewerkersovereenkomst met Google afgesloten en alle vinkjes uitgezet voor wat betreft het delen van de verzamelde gegevens. Als ik het me goed herinner zijn al deze acties in maart uitgevoerd, ook voor onze themawebsites als www.deautovanmnopa.nl. Ik heb dit zojuist ook vermeld op onze website, want daar stond dit inderdaad niet bij.

    BeantwoordenVerwijderen