Motherboard

9 van de 13 partijen in de Tweede Kamer hebben schijt aan hun eigen cookiewet

Uit ons onderzoek blijkt dat het merendeel van de politieke partijen zich niet houdt aan de cookiewet op hun sites.

door Alejandro Tauber
27 juli 2016, 7:30am

Het is op het lachwekkende af hypocriet hoe de meeste politieke partijen op hun sites omgaan met jouw data – vooral ten opzichte van de privacywetten die ze zelf hebben aangenomen. Ik heb zonder al te veel moeite op 9 van de 13 sites van politieke partijen in de Tweede Kamer overtredingen gevonden van de zogenaamde cookiewet. Nice, politieke partijen. Maar voordat we daar komen, wil ik een scenario voorleggen dat misschien iets duidelijk maakt over hoe naar cookies en trackers eigenlijk zijn.

Stel je voor dat er altijd als je een winkel inloopt, een paar groezelige mensen in lange jassen achter je aan lopen en stiekem over je schouder meekijken naar wat je koopt, hoe je loopt, hoe lang je ergens blijft staan, wat er op je boodschappenlijstje staat, hoe je twijfelt over die chocoladepudding, wat je in je mandje stopt, bij welke kassa je gaat staan, alles.

Al die info schrijven ze met knokige handjes op in een beduimeld boekje, om de informatie vervolgens door te sturen naar bedrijven over de hele wereld die vervolgens weer mannetjes op pad sturen die bijvoorbeeld op weg naar je werk langs het fietspad naar je roepen dat die chocoladepudding wel echt fucking lekker is.

Dat zou supervervelend zijn, nietwaar? Gelukkig hebben we een overheid die dit soort praktijken kan verbieden. Er wordt dus na een petitie tegen de vervelende chocoladepuddingmannetjes door de overheid een wet aangenomen waarin staat dat er expliciet toestemming gevraagd moet worden voordat de groezelige mensen je in de supermarkt mogen volgen. En niet alleen in de supermarkt, maar overal in Nederland. Goed nieuws!

De wet gaat in, en je zou verwachten dat de partijen die zo trots waren om iets aan de chocoladepuddingmannetjes te doen, de eersten zouden zijn om het goede voorbeeld te geven.

In werkelijkheid gebeurt er echter iets anders. In werkelijkheid zijn de winkels en gebouwen uit dit voorbeeld websites op het internet. De groezelige mannetjes die je volgen, zijn cookies en pixels en supercookies en trackers die jouw gedrag op internet registeren, volgen en verkopen. En de overheid is in deze metafoor gewoon de overheid, inclusief een volksvertegenwoordiging die – al jaren – de eigen regels aan de laars lapt.

Ik begon aan dit verhaal als geintje: 'Welke site van Nederlandse politieke partijen heeft de meeste schijt aan je privacy' was de werktitel. Lol. Maar naar mate ik dieper groef, werd steeds duidelijker dat de meeste partijen met grof geweld op hun eigen cookiewet schijten. Daar ging m'n geintje.

De sites van politieke partijen zijn bij uitstek een plek waar je niet getrackt wil en zou moeten worden. Het gaat hier tenslotte niet om chocoladepudding, maar om wie je vertegenwoordigt in de overheid van het land waar je woont. De informatie uit trackers kan namelijk – onder andere door politieke partijen zelf – gebruikt worden om je in campagnetijden extra te bestoken met advertenties voor de partij wiens website je bezocht hebt. Bovendien zouden partijen het goede voorbeeld moeten geven – vooral omdat deze wet aanvankelijk unaniem door alle partijen is aangenomen.

Het bleek uit mijn onderzoek al snel dat het merendeel van de sites van politieke partijen – nog voordat je wel of geen toestemming had gegeven dat ze dit mochten doen – al op onwetmatige wijze gegevens aan het doorspelen zijn aan derden. En dat was nog niet eens het ergste. Op een aantal sites van politieke partijen – ik noem even de SGP, al zijn ze niet de enige – wordt je gedrag zelfs als je weigert nog doorgespeeld aan derden. Derden die die info weer verpakken om door te verkopen of te gebruiken om chocoladepudding te verkopen. Of erger.

Omdat zo meteen iets saaiere informatie volgt voordat we dieper ingaan op welke partij de meeste schijt aan jou en de wet heeft, hier een tabel over de mate waarin onze politieke partijen schijt hebben aan de wet om je erbij te houden:

De cookiewet – officieel 'Wijziging van de Telecommunicatiewet ter implementatie van de herziene telecommunicatierichtlijnen ' – werd op 5 juni 2012 unaniem aangenomen door de Eerste Kamer en had als doel om internetgebruikers "controle te geven over de cookies die op zijn of haar computer worden geplaatst." In zowel de Tweede als de Eerste Kamer stemden alle politieke partijen voor.

Ondanks de naam, geldt de cookiewet niet alleen voor cookies. De huidige cookiewet uit 2015 is 'techniekneutraal', en gaat op voor het "via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker." Met andere woorden: alle manieren van een gebruiker op internet tracken zonder toestemming, zijn verboden, tenzij er expliciet toestemming is verleend door de gebruiker.

Waar komt dat op neer? Een gebruiker moet vooraf expliciet toestemming geven dat gegevens gedeeld mogen worden met derde partijen – met uitzondering van bepaalde tools om websites te verbeteren. En nu je dit allemaal weet, is het tijd om in oplopende volgorde te gaan kijken naar welke individuele partij de wet en jouw privacy op hun site aan de politieke laars lapt. Hoe langer je leest, hoe erger het wordt. Veel plezier!

*PvdA*

Op de site van de PvdA zit het eigenlijk al meteen mis. Bij het aankomen op de homepage worden er drie trackers gevonden, waarvan er twee – Google Analytics en Google Tag Manager – oké zijn volgens de cookiewet, omdat deze gebruikt worden om bezoekersgedrag op de site te checken. De derde is absoluut niet oké. Op de homepage van de PvdA wordt voordat je überhaupt toestemming of geen toestemming voor cookies hebt gegeven een tracker gedetecteerd van DoubleClick, een advertentiedienst van Google voor "bedrijven die online advertenties, kopen, maken of verkopen." De tracker is waarschijnlijk bedoeld om te checken of je als bezoeker via een PvdA-advertentie op een andere site komt, wat 100% onder "toegang verkrijgen tot informatie in de randapparatuur van een gebruiker" valt. Als de PvdA deze cookie weghaalt, zou de site namelijk nog prima functioneren.

*CDA*

CDA was even een twijfelgeval. De partij houdt zich op hun site aan de regels. Ze gebruiken enkel Google Analytics om het gedrag van mensen op hun site bij te houden, maar daarnaast ook Hotjar – een dienst die "klanten de 'big picture' geeft over hoe ze de ervaring en prestatie van hun site kunnen optimaliseren." De cookiewet staat cookies toe die gebruikt worden voor optimalisatie van hun site, dus je zou denken: geen probleem. Maar als je iets dieper graaft, geeft Hotjar aan dat zij op hun beurt weer diensten gebruiken van Optimizely en daar gaat het mis. Optimizely deelt namelijk volgens een analyse van Ghostery weer allerlei data – waaronder naam, telefoonnummer, emailadressen en IP-adressen – met derde partijen. Foei, CDA! Niet fatsoenlijk.

*GROENLINKS*

Op de privacypagina van GroenLinks staat te lezen: "GroenLinks maakt zich sterk voor het beschermen van je privacy. Daarom maken we op onze website geen gebruik van de zogenaamde third party cookies. Dat zijn cookies van externe partijen (bijvoorbeeld van Facebook of Google) die zo je surfgedrag bij ons kunnen volgen. Daarom hoeven we je ook niet lastig te vallen met zo'n vervelende cookiemelding." Supernobel en echt heel fijn om geen 'vervelende cookiemelding' te krijgen, maar ook niet helemaal waar.

Trackers liegen namelijk niet. Via de video's van YouTube op de site wordt er alsnog data doorgespeeld naar DoubleClick, de advertentiedienst van Google. Dit zou hele onschuldige en anonieme informatie kunnen zijn – wat ook niet oké is, maar goed – en GroenLinks kan er ook niet zoveel aan doen dat YouTube bij Google hoort, maar er zijn genoeg videoplayers beschikbaar die ze zouden kunnen gebruiken als ze écht zouden geven om de privacy van hun bezoekers. En minder hypocriet zouden willen zijn.

*VVD*

Bij de eerdergenoemde versoepeling van de cookiewet werd het toegestaan om ongevraagd cookies te gebruiken die bedoeld zijn om een site te optimaliseren. Mits "het gaat om informatie over de kwaliteit of effectiviteit van de geleverde dienst, zolang de gevolgen voor de privacy beperkt zijn." En daar gaat de VVD de mist in. De partij die de minister leverde die de wet heeft ondertekend zou toch beter moeten weten.

De VVD gebruikt op hun site een dienst die Visual Website Optimizer heet om de site te 'optimaliseren'. De dienst verzamelt ontzettend veel persoonlijke informatie – naam, adres, telefoonnummer, emailadressen, logins, IP-adressen, unieke apparaat-ID's en persoonlijke informatie over gebruikers van derde partijen – en zelfs gevoelige financiële informatie, die ze ook weer delen met derde partijen. Heel erg niet oké.

En dan hebben we het nog niet gehad over het feit dat er via twee wegen ook informatie wordt doorgegeven aan DoubleClick, maar dat valt een beetje in het niet in vergelijking met de voorgaande.

*SGP*

Er valt ondertussen een les te leren voor politieke partijen of andere publieke of politieke instellingen: als je geen informatie over je gebruikers wil doorspelen naar derden, dan moet je geen gebruik maken van producten van derden op je site. De site van de SGP doet dat drie keer fout. Nog voordat je iets hebt geaccepteerd of geweigerd gaat er al informatie naar Facebook en Twitter, wat niet mag.

Maar de ergste overtreder hier is YouTube. SGP heeft niet de privacybestendige no-cookie YouTube-player op hun homepage, waardoor YouTube bij aanvang meteen al cookies plaatst. Bovendien valt er op de trackermap te zien dat er ook weer data via YouTube naar DoubleClick gaat.

Dit klinkt misschien als gezeik, maar politieke partijen zouden het niet zó makkelijk moeten maken voor Amerikaanse bedrijven om je politieke voorkeur te achterhalen.

*BEWEGING DENK*

Alleen omdat ze klein zijn gaan we niet meten met dubbele maten. De tweekoppige Beweging DENK staat hoger in dit lijstje omdat ze op hun site niet eens de mogelijkheid geven om cookies wel of niet accepteren, maar ondertussen wel al een cookie plaatsen van de ons ondertussen welbekende DoubleClick. Ook maken ze gebruik van het totaal niet shady klinkende Lockerzshare, die het mogelijk maakt om pagina's te delen via verschillende sociale media. Lockerzshare deelt geaggregeerde data met derde partijen.

*50PLUS PARTIJ*

De site van 50PLUS laadt direct bij aankomst twee dingen: Google Analytics en ZEVEN COOKIES van een derde partij, AddThis. AddThis komen we zo nog tegen in een ergere vorm bij de PVV, dus ik wil er hier niet te veel woorden aan vuilmaken. Ik wil hier wel nog even zeggen dat er bij het WEIGEREN van cookies nog een stuk meer cookies worden geplaatst, maar daarover bij de PVV wederom meer.

*CHRISTENUNIE*

De site van de ChristenUnie leeft in een schijnwerkelijkheid waar de cookiebalk er voor de gein ingezet lijkt te zijn. Bij het aankomen op de site krijg je meteen zes trackers om je oren, waaronder drie van Facebook en Twitter en een van Google AdSense – volgens ons advertentieteam "het hersenloze afvoerputje van de online advertentiewereld."

Of je daarna op weigeren of accepteren van cookies klikt, maakt niet heel veel uit: dezelfde trackers blijven actief. Dit is zo diep cynisch dat ik ze de een na hoogste plek heb gegeven, omdat ik deze schijnoptie verwerpelijker vind dan gewoon botweg je gegevens delen met adverteerders, zoals 50PLUS dat doet. Ben je het daar niet mee eens? Pech gehad, het is mijn lijstje.

*PVV*

En dan komen we na deze waslijst van overtredingen aan bij de NUMMER EEN! Ik wilde echt graag dat jullie het niet zouden zijn, zodat jullie misschien toch nog iets een beetje oké doen, maar data liegt niet. Dus gefeliciteerd, PVV, jullie mogen je zonder een greintje trots de winnaars noemen van de wedstrijd schijt hebben aan de privacy van je bezoekers!

Bij het aankomen op de homepage worden er twaalf cookies van een derde partij geplaatst, zonder dat daar toestemming voor is verleend. Hieronder is natuurlijk ook oude bekende DoubleClick.

Maar de ergste overtreder hier is de dienst AddThis, die meteen zeven cookies plaatst. AddThis is "'s werelds grootste sociale infrastructuur en dataplatform," wat al redelijk verontrustend klinkt, maar erger is dat AddThis bij het weigeren van cookies op de site, TWAALF EXTRA COOKIES OP JE COMPUTER ZET. Cookies van advertentiebedrijven met namen als AppNexus, Lotame, Semasio en Tapad. Als je ervoor kiest om cookies te accepteren, dan gebeurt er precies hetzelfde.

De site van de PVV representeert hiermee wel echt de spirit van de PVV; of je iets nou wil of niet, Geert doet het lekker toch. No chill, PVV.

En nu?

Sinds 2013 ligt de verantwoordelijkheid voor het handhaven van de cookiewet bij de Autoriteit Consument en Markt. Zij kunnen bij overtreding boetes tot €450.000 opleggen. In 2014 legden ze bijvoorbeeld de NPO een dwangsom van €25.000 per week op, omdat hun site niet voldeed aan de cookiewet. In juni dit jaar waarschuwde de ACM 39 ziekenhuizen omdat bezoekers op hun sites werden getrackt door derde partijen. Binnenkort wordt er weer gekeken of de ziekenhuizen ondertussen voldoen aan de wet, en zo niet, waarschuwde de privacywaakhond dat ze maatregelen zouden nemen.

Of dat straks ook gaat gebeuren bij de politieke partijen die in overtreding zijn, hangt volgens Daphne van der Kroft, woordvoerder van privacyorganisatie Bits of Freedom, af of ACM de overtreding zwaar genoeg vindt. Van der Kroft gaf aan dat het team bij ACM relatief klein is, wat waarschijnlijk de reden is dat "ACM zich [richt] op de grofste overtredingen. Bijvoorbeeld websites die cookies plaatsen die een groot risico voor de privacy opleveren of lastig te verwijderen zijn," zoals te lezen is op hun site.

Maar met de campagnes voor de Tweede Kamerverkiezingen van 2017 in het vooruitzicht, kan ik me niet voorstellen dat ACM dit lichtjes zal opvatten. Bezoekers die zich willen informeren over de standpunten van verschillende partijen zouden dit moeten kunnen doen zonder dat hun data verzameld, verpakt en doorgegeven wordt aan bedrijven over de hele wereld. De sites vervullen in de aankomende tijd meer dan normaal een publieke functie, wat reden genoeg is om aandacht te vestigen op de overtredingen – in tegenstelling tot de ongetwijfeld duizenden andere sites die zich niet aan de cookiewet houden.

Omdat ik hier niet alleen maar azijn wil pissen, wil ik ook graag even een chapeautje geven aan de politieke partijen die het wél goed doen. Dat kan namelijk ook gewoon. Zo is er natuurlijk de Piratenpartij, die nul cookies of trackers gebruikt op de site. Maar ook de Partij voor de Dieren, die zich keurig aan alle reglementen houdt; niets plaatsen voor er expliciet toestemming is gegeven. Maar ook de SP en D66 verdienen een pluimpje. Zij gebruiken alleen een open source analysedienst die gebouwd is zodat (geanonimiseerde) data over bezoekers alleen opgeslagen wordt door de websitebeheerder zelf en dus niet naar derde partijen gaat. Goed werk, you guys!

Oh en weet je wat echt leuk is? Bij een vermoedelijke overtreding van de cookiewet geldt een omgekeerde bewijslast, oftewel schuldig tot het tegendeel is bewezen – ball is in your court dus, PvdA, CDA, GroenLinks, VVD, SGP, DENK, 50PLUS, ChristenUnie en PVV. Veel plezier ermee.

Update: Een oplettende lezer wees me erop dat de Piratenpartij (nog) helemaal niet in de Tweede Kamer zit. Dat moet dus 12 partijen zijn in de kop.

Update 28-7: Het CDA heeft na het lezen van dit stuk het gebruik van Hotjar op hun partijsite stopgezet, waardoor ze wel voldoen aan de regels. Goed werk, CDA!

Update 28-7, 15:51: PvdA heeft ook per mail laten weten dat ze de ongeoorloofde tracker van hun site hebben gehaald. Journalistiek doen heeft blijkbaar zin!

Voor dit artikel heb ik onderzoek gedaan met onder andere de browserextensie en de betaalde 'Trackermap' van Ghostery, de Firefox-extensie Lightbeam en heb ik gesproken met verschillende experts, onder andere van Ghostery, Bits of Freedom en ons eigen Ad-ops team.

Volg ons op Facebook voor meer politieke intriges: