Best raar dat data niet wordt beschermd op websites van privacyvoorvechters

Het is best raar als privacyschendende bedrijven gebruikersdata kunnen krijgen van organisaties die zich bezighouden met privacy- of mensenrechten. Toch gebeurt dit. Ethisch hacker Victor Gevers plaatste vanochtend screenshots van verschillende niet-commerciële websites die externe trackers, zoals Facebook en DoubleClick, toegang tot hun website gaven.

Zo confronteerde hij Human Rights Campaign, de grootste lgbt-community van Amerika, met de 22 trackers die op zijn beeldscherm verschijnen: “Als het uw missie is om gelijkheid voor de gemeenschap te bereiken, zodat zij verzekerd zijn van hun elementaire gelijke rechten en open, eerlijk en veilig op het werk, thuis en in de gemeenschap kunnen zijn, verwijdert u dan Facebook en andere trackers van uw website?”

Naast deze organisatie hebben ook Unicef, Amnesty International, Human Rights Watch, Artsen zonder Grenzen en het Rode Kruis privacyschendende trackers op hun websites. Het wrange is dat er organisaties bij zitten die zich expliciet en actief inzetten voor privacy, waardoor deze inbreuk juist een schending van de mensenrechten is. Zo voerde Amnesty bijvoorbeeld campagne tegen de sleepwet, waarbij ze zeiden: “Wij hebben grote zorgen over deze wet, omdat die onnodig onze privacy en vrije meningsuiting bedreigt. Ook kunnen onze gegevens in verkeerde handen terechtkomen.” Maar deze trackers kunnen zowel bij algemene websites als inlogpagina’s (inclusief persoonlijke data en betalingsgegevens) komen.

“Je moet je als bedrijf afvragen of je je gebruikersdata nog wilt doorsturen naar Facebook na het Cambridge Analytica-schandaal,” vertelt Gevers me via een privébericht op Twitter. Maar het probleem is dat veel bedrijven niet bewust zijn van de informatie die ze weggeven of verkopen. Maar deze actie vaak in strijd met het privacystatement dat ze op hun website hebben staan, legt hij me uit. Daarin staat vaak dat ze deze informatie niet weggeven.

Maar mag je wel trackers op je website plaatsen zonder dat je de gebruiker daarvan op de hoogte stelt?

Als ik dit per mail aan Pauline Gras, persvoorlichter van Autoriteit Persoonsgegevens, vraag, zegt ze dat gebruikers toestemming moeten geven voor het plaatsen van cookies. De gebruikers moeten hierbij goed geïnformeerd worden, bijvoorbeeld om welke cookies het gaat, en welke bewaartermijnen er gelden. Gras legt ook uit dat deze toestemming vaak in een simpele vraag wordt gevraagd als “Gaat u akkoord met de cookies?”

Nu klinkt deze cookiewet redelijk duidelijk: je geeft als gebruiker goedkeuring over het weggeven van je data. En als je de cookies weigert, kunnen trackers worden vermeden. Maar Gevers geeft aan dat deze goedkeuring, en daarmee de Europese cookiewet, compleet wordt overgeslagen.

“Probeer het zelf even. Installeer Ghostery Browser Plugin en open een nieuw privévenster in je webbrowser. De server denkt dan dat je een nieuwe bezoeker bent. Volgens de cookiewet zou er dan opnieuw aan jou gevraagd moeten worden of je hun cookies wilt toestaan,” vertelt hij.

Als ik het uitprobeer en naar de donatiepagina van het Rode Kruis ga, verschijnt de vraag over cookies nergens op m’n scherm. De trackers Facebook Connect, Google Analytics, Google Tag Manager en Weborama daarentegen wel. Hetzelfde gebeurt helaas op de sites van Amnesty en Unicef.

De tekst gaat verder onder de afbeeldingen

Persvoorlichter Emile Affolter vertelt me in een telefoongesprek dat ze bij Amnesty wel begrijpen dat dit deel van de website momenteel niet helemaal in orde is: “We realiseren ons dat dit goed geregeld moet zijn en daar zijn we druk mee bezig. Zeker van een organisatie die zich inzet voor mensenrechten.” Als ik vraag hoe het komt dat de trackers sowieso op hun site actief waren, reageert Affolter dat hij dit meteen gaat navragen bij iemand die hier verstand van heeft.

Op Twitter heeft Amnesty ondertussen gereageerd op Gevers:

We hebben Artsen Zonder Grenzen, en Human Rights Watch gevraagd om een reactie, maar nog geen reacties ontvangen. We zullen het artikel updaten zodra wij een reactie hebben.

Update 23 maart: We hebben een aanvullende reactie ontvangen van Amnesty via de mail. Hieronder een deel van het bericht:

"Het bleek dat er op onze site een aantal niet-functionele cookies wordt geplaatst. Dat had niet mogen gebeuren en we zijn druk bezig om dit zo snel mogelijk op te lossen. Uit die analyse bleek ook dat we onze site op het gebied van privacy verder grotendeels goed op orde hebben. Uiteraard zorgen wij er vanmiddag al voor dat op onze site geen niet-functionele cookies meer worden geplaatst. Daarnaast gaan we op basis van de recent uitgevoerde analyse de hele site nogmaals volledige tegen het licht houden."

Update 24 maart: We hebben een aanvullende reactie ontvangen van Rode Kruis via de mail. Hieronder een deel van het bericht:

"Wij zijn ons er van bewust dat er op dit gebied verbeteringen mogelijk zijn en daar werken we op dit moment ook hard aan. Het blijkt dat enkele van deze trackers informatie delen met derden. Dat is niet de bedoeling en dat willen wij veranderen. Het Rode Kruis is daarnaast bezig om het cookies en trackerbeleid van de website te optimaliseren, ook gezien de Algemene Verordening Gegevensbescherming binnenkort ingaat. Daar willen wij als Rode Kruis uiteraard aan voldoen."

Update 27 maart: We hebben een aanvullende reactie ontvangen van Artsen Zonder Grenzen via de mail. Hieronder een deel van het bericht:

"We hechten veel waarde aan de privacy van onze websitebezoekers en (…) vinden het belangrijk om onze bezoekers goed en volledig te informeren. Daarnaast zijn we bezig met de technische functionaliteit om de bezoekers van onze website toestemming te vragen voor het plaatsen van cookies, en het intrekken of wijzigen van deze toestemming mogelijk te maken. Wij zullen hier extra prioriteit aan geven. We gaan ervoor zorgen dat er geen cookies geplaatst worden zonder toestemming van de bezoeker - enkel functionele cookies die zorgen voor een goede gebruikservaring van onze website."