dinsdag 18 augustus 2015

RHC's letten onvoldoende op privacy van hun website bezoekers

Bij de workshop Gebruik Google Analytics komen vragen aan bod als "wat willen we meten?" en "wat kunnen we met al die cijfers?", maar ook "hoe zit het met privacy?" en "hoe zit het met de cookie wet?". Een digitale rondgang langs de websites van de 12 voormalige Rijksarchieven, nu Regionale Historische Centra (RHC's), leert dat ze allemaal gebruik maken van Google Analytics om websitestatistieken te verzamelen. Maar hebben zij Google Analytics zo geïmplementeerd dat de privacy van bezoekers niet geschaad wordt?


Anonimiseren van het IP adres

Als een bezoeker een webpagina (of Javascript bestand, afbeelding, ...) opvraagt dan krijgt de website de beschikking over het IP-adres van (de computer/het netwerk van) de bezoeker. Een IP-adres kan herleidbaar zijn tot een persoon en is daarmee een persoonsgegeven, de Wet Bescherming Persoonsgegevens (WBP) is dus van toepassing. Google Analytics biedt de mogelijkheid om het IP-adres van de websitebezoeker te 'anonimiseren', door een deel van het IP adres (het laatste octet) niet te verwerken. Sommige rapportage functionaliteit van Google Analytics wordt hierdoor beperkt, maar het komt de privacy van de website bezoekers ten goede.

Onderstaande tabel laat zien dat maar 4 van de 12 RHC's deze privacy maatregel hebben geïmplementeerd.

Ja Brabants Historische Informatie Centrum, Groninger Archieven, Historisch Centrum Overijssel, Nationaal Archief (GaHetNa)
NeeDrents Archief, Gelders Archief, Het Utrechts Archief, Nieuw Land Erfgoedcentrum, Noord-Hollands Archief, Tresoar, Regionaal Historisch Centrum Limburg, Zeeuws Archief
Tabel 1: wordt het IP adres geanonimiseerd?
Let op: Het College bescherming persoonsgegevens (CBP) acht het resterende deel van het IP-adres nog steeds een persoonsgegeven. Desalniettemin wordt het 'anonimiseren' door het CPB voorgeschreven.

Netwerkverkeer versleutelen

Internetverkeer dat niet wordt versleuteld kan worden afgeluisterd en worden gemanipuleerd. Versleuteling van internetverkeer via HTTPS komt de privacy ten goede. Als een website Google Analytics gebruikt is er verkeer tussen de browser van de bezoeker en Google. Bij een website die HTTPS gebruikt wordt het verkeer naar Google Analytics automatisch ook over HTTPS geleid. Als een website echter HTTP gebruikt, dus niet versleuteld is, kun je Google Analytics opdracht geven om over HTTPS te communiceren zodat dat deel van het netwerkverkeer alsnog versleuteld is.

Onderstaande tabel toont aan dat maar één RHC de eigen website geheel via HTTPS aanbiedt, de andere RHC's bieden hun website alleen onversleuteld via HTTP aan. Van deze laatste groep zorgen 2 RHC's ervoor dat verkeer naar Google Analytics vanaf hun HTTP website alsnog wordt versleuteld. Bij de overige 9 RHC's wordt het verkeer naar Google Analytics niet versleuteld.

Ja Historisch Centrum Overijssel (gehele website via HTTPS),
Brabants Historische Informatie Centrum, Groninger Archieven
NeeDrents Archief, Gelders Archief, Het Utrechts Archief, Nationaal Archief (GaHetNa), Nieuw Land Erfgoedcentrum, Noord-Hollands Archief, Tresoar, Regionaal Historisch Centrum Limburg, Zeeuws Archief
Tabel 2: is het netwerkverkeer naar Google Analytics versleuteld?
Zie ook: Onderzoek: Geen veilig versleuteld webverkeer mogelijk met meeste websites van archieforganisaties

Informeren over gebruik

Google Analytics gebruikt voor het volgen van bezoekers cookies. Op 3 februari 2015 is de Telecommunicatiewet (in de volksmond ook wel cookie-wet genoemd) aangenomen door de Eerste Kamer. De belangrijkste wijziging die in de wet is doorgevoerd nadat de wet in 2013 door de Tweede Kamer werd aangenomen is dat het plaatsen van cookies om een website te verbeteren nu wel toegestaan worden, zonder dat een expliciete melding en/of toestemming nodig is bij binnenkomst op de website. Gelukkig valt ook Google Analytics onder deze uitzondering! Een website hoeft dus niet vooraf expliciet om toestemming te vragen voor de cookies van Google Analytics mits de privacy maatregelen zijn geïmplementeerd. Het is echter nog wel verplicht om de bezoekers te informeren over het gebruik van Google Analytics in bijvoorbeeld een separate cookie pagina of disclaimer pagina.

Van de 12 RHC's maken maar 2 RHC's melding van het gebruik van Google Analytics.

Ja Brabants Historische Informatie Centrum, Gelders Archief
NeeDrents Archief, Groninger Archieven, Het Utrechts Archief, Historisch Centrum Overijssel, Nationaal Archief (GaHetNa), Nieuw Land Erfgoedcentrum, Noord-Hollands Archief, Regionaal Historisch Centrum Limburg, Tresoar, Zeeuws Archief
Tabel 3: wordt de bezoeker geïnformeerd over gebruik Google Analytics?

Let op: als er geen privacy maatregelen genomen worden, worden de Google Analytics cookies als tracking cookies gezien waar de bezoeker vooraf toestemming voor dient te geven. De Autoriteit Consument & Markt (ACM) handhaaft de cookie-wet en kan boetes tot maximaal EUR 450.000,- uitdelen.

Bewerkersovereenkomst met Google afsluiten

Omdat het gedrag van bezoekers wordt vastgelegd, tezamen met een IP adres, worden er persoonsgegevens verwerkt. Bij gebruik van Google Analytics wordt de verwerking door de website eigenaar uitbesteed aan een derde partij zijnde Google. Dit betekent dat er conform de WBP een bewerkersovereenkomst tussen website eigenaar en Google afgesloten moet worden!
In een bewerkersovereenkomst worden de afspraken vastgelegd die de verantwoordelijke (=website eigenaar) met de bewerker (= Google) maakt over de bescherming en de beveiliging van persoonsgegevens. Dit klikt lastiger dan het is, Google voorziet in de mogelijkheid om deze overeenkomst af te sluiten door het zetten van een enkel vinkje. Als bezoeker kun je niet controleren of er een bewerkersovereenkomst is, een website eigenaar moet dit echter wel kunnen aantonen aan bijvoorbeeld het CBP. Melding maken van de afgesloten bewerkersovereenkomst bij de paragraaf over het gebruik van Google Analytics wordt aangeraden, zie als voorbeeld de disclaimer van Open Archieven.

Van de 2 RHC's die melding maken van het gebruik van Google Analytics maakt er geen één melding van een bewerkersovereenkomst. Waarschijnlijk hebben dus ook geen van de RHC's de wettelijk verplichte  bewerkersovereenkomst met Google afgesloten.

Ja-
NeeBrabants Historische Informatie Centrum, Drents Archief, Gelders Archief, Groninger Archieven, Het Utrechts Archief, Historisch Centrum Overijssel, Nationaal Archief (GaHetNa), Nieuw Land Erfgoedcentrum, Noord-Hollands Archief, Regionaal Historisch Centrum Limburg, Tresoar, Zeeuws Archief
Tabel 4: wordt de bezoeker geïnformeerd over de bewerkersovereenkomst?

Delen van gegevens verhinderen

Het verzamelen van (persoons)gegevens voor een bepaald doel mag, zo ook de webstatistieken via Google Analytics. Echter de gegevens mogen niet gedeeld worden en dus voor een ander doel gebruikt worden. Standaard doet Google Analytics dit, maar ook dit is eenvoudig aan te passen. Deze verplichte privacy maatregel kun je als bezoeker, net als bij de bewerkersovereenkomst, niet controleren. Een website-eigenaar kan er wel melding van maken op de cookie of disclaimer pagina, dit zorgt voor transparantie.

Geen van de RHC's maakt melding van het feit dat ze Google hebben opgedragen geen gegevens te delen. Waarschijnlijk heeft dan ook geen van de RHC's deze privacy maatregel getroffen.

Ja-
NeeBrabants Historische Informatie Centrum, Drents Archief, Gelders Archief, Groninger Archieven, Het Utrechts Archief, Historisch Centrum Overijssel, Nationaal Archief (GaHetNa), Nieuw Land Erfgoedcentrum, Noord-Hollands Archief, Regionaal Historisch Centrum Limburg, Tresoar, Zeeuws Archief
Tabel 5: wordt er gemeld dat is ingesteld dat Google de (persoons)gegevens niet deelt?

Conclusie: RHC's letten onvoldoende op privacy van hun website bezoekers

Geen van de 12 RHC websites voldoet volledig aan privacy eisen die door het CBP gesteld worden aan het gebruik van Google Analytics. De RHC's gaan dus niet goed om met de privacy van hun websitebezoekers!

De websites van de RHC's vormen een 'steekproef' van de websites in de hele archiefsector. Omdat het geen aselecte steekproef is kan de conclusie niet zo maar doorgetrokken worden naar de gehele archiefsector. Maar het onderbuik gevoel zegt dat de implementatie van Google Analytics op de meeste websites van archiefinstellingen niet voldoet aan de Nederlandse wetgeving. Een risico voor archiefinstellingen (qua boetes en imago) en hun website bezoekers (qua privacyschending).


Wilt u meer informatie over de workshop Gebruik Google Analytics of implementatie-check en -ondersteuning neem dan contact op met Bob Coret.