Overheidssites sturen gegevens door naar derden

AMSTERDAM - Een groot deel van de overheidssites maakt gebruik van cookies of volgtechnologie van niet-overheidspartijen. In veel gevallen is dit in strijd met de cookiewet en lopen bezoekers privacy- en beveiligingsrisico’s.

Foto:  Thinkstock

Dat stellen verschillende onderzoekers.

Bijvoorbeeld ING biedt cookies van Omniture en Unica op het moment dat gebruikers ingelogd zijn om te internetbankieren. Deze bedrijven houden nauwgezet bij wat gebruikers doen.

De website van de kinderbescherming plaatst een cookie op de computer van de bezoeker. Hierdoor loopt een kind het risico dat ouders sporen van het bezoek op de pc vinden.

Honderden sites

In totaal gebruiken honderden overheidssites cookies van derde partijen. Probleem daarbij is dat spelers als Google Analytics een gedetailleerd beeld krijgen van bezoeken aan Nederlandse overheidssites.

Lonneke van der Velden, die iedere maand oversheidswebsites scant op het gebruik van cookies, concludeerde dat in oktober 588 van de 925 gecontroleerde overheidssites gebruikmaken van technologieën die informatie over bezoekers doorsturen naar derde partijen. Populair is het gebruik van Google Analytics dat gedetailleerde inzage in bezoek geeft. Veel ambassades blijken dat te gebruiken.

Sinds begin juni geldt in Nederland een verbod op het ongevraagd plaatsen van bepaalde cookies. Toezichthouders OPTA riep overheidsinstellingen eerder al op het goede voorbeeld te geven en zo snel mogelijk aan de cookiewet te voldoen.

Beveiligingsrisico’s

Uit onderzoek van beveiligingsexpert Matthijs Koot, onderzoeker bij beveiligingsbedrijf Madison Gurkha, op basis van cijfers over september komt een vergelijkbaar beeld naar voren.

Hij benadrukt in een paper dat het gebruik van dit soort observatietechnologieën de bezoekers van websites kwetsbaar maakt. Zo kunnen sessie overgenomen worden en is er een mogelijkheid tot het verspreiden van malware.

Met enige regelmaat komt voor dat een website zelf geen malware heeft, maar dat advertenties, cookies of andere volgtechnologie dat wel heeft en website bezoekers infecteert.

Onduidelijk

Voor het gebruik van cookies moet gebruikers om toestemming worden gevraagd. Daarop houdt de OPTA toezicht, maar als buitenlandse bedrijven profielen van bezoekers maken is het College bescherming persoonsgegevens (CBP) weer verantwoordelijk. Overheden mogen niet zomaar profielen over burgers aan buitenlandse bedrijven verstrekken.