Nederlandse gemeentewebsites delen data met Amerikaanse techbedrijven zonder toestemming
Een groot deel van de Nederlandse gemeenten schendt mogelijk de privacy van bezoekers op hun websites. Uit onderzoek van Nixon Digital blijkt dat 61 procent van de gemeentelijke sites gegevens deelt met Amerikaanse techbedrijven zonder dat daar toestemming voor is gegeven. Het gaat om gevoelige informatie zoals ip-adressen, apparaatgegevens, bezochte pagina’s en tijdstippen. Door deze combinatie van gegevens kunnen bezoekers worden gevolgd. In totaal werden alle gemeentelijke websites onderzocht. Bij 207 gemeenten bleken al direct bij het laden van de site diensten van grote techbedrijven actief, vaak zonder dat bezoekers eerst akkoord gingen.
In bijna alle gevallen gaat het om diensten van Google. Zo hebben 114 gemeenten YouTube-video’s op hun website staan. Volgens de onderzoekers is dat niet zonder risico. “Dit lijkt onschuldig, maar bij het laden van een YouTube-embed maakt de browser van de bezoeker verbinding met meerdere Google-servers. Daarbij worden cookies geplaatst en tracking-scripts geladen, ook als de bezoeker de video niet afspeelt. Veel gemeentes zijn zich hier waarschijnlijk niet van bewust.”
Ook het gebruik van Google Fonts is wijdverbreid. In 97 gemeenten worden lettertypes geladen via servers van Google. Daarbij wordt bij elk bezoek automatisch een verzoek gestuurd, inclusief het ip-adres van de gebruiker. Volgens de onderzoekers zijn er eenvoudige alternatieven. Gemeenten kunnen deze bestanden lokaal hosten of kiezen voor Europese oplossingen, waardoor data binnen de EU blijft.
Een opvallend punt is het gebruik van Google Analytics. Zeventig gemeenten hebben deze tool actief zonder dat bezoekers eerst toestemming geven. Volgens Nixon Digital is dat problematisch. “Anders dan Google Fonts (dat vaak via een template meekomt) is Google Analytics doorgaans bewust geïnstalleerd. Dit maakt het des te opvallender dat het actief is voor toestemming: de cookiebanner zou het laden van Google Analytics moeten blokkeren totdat de bezoeker akkoord gaat.”
Daar komt bij dat veel gemeenten geen goede cookiebanner hebben. In totaal missen 220 gemeenten zo’n melding volledig. Van de overige gemeenten gebruiken er 88 een eigen of onduidelijke variant. Slechts 31 gemeenten maken gebruik van een professioneel systeem. Volgens de onderzoekers ligt de oorzaak niet per se bij kwade opzet. Het probleem zit vooral in gebrek aan kennis en technische controle binnen gemeenten. “De resultaten van dit onderzoek zijn helder: een meerderheid van de Nederlandse gemeentewebsites deelt bezoekersdata met Amerikaanse Big Tech-bedrijven zonder toestemming. Het probleem is niet dat gemeentes bewust kiezen voor privacy-schendende technologie. Het probleem is een gebrek aan bewustzijn en technische kennis.”
Toch zijn er ook positieve voorbeelden. Bij ruim zeventig gemeenten is het beter geregeld. Zij maken alleen gebruik van diensten die binnen Nederland of de Europese Unie worden gehost en delen geen data met Amerikaanse bedrijven.
