Vanaf 24 mei publiceert basisbeveiliging online veiligheidsmetingen van het basisonderwijs. Met meer dan 6000 vestigingen is dit de grootste kaart tot nu toe. De kaart is hier te bekijken.
De belangrijkste bevindingen:
De slechtst beveiligde onderwijslaag, maar plukjes groen geven hoop
2% is veilig (133), 13% komt in de buurt, 83% onveilig, 2% onbekend/todo
10% van de voorpagina’s van websites plaatst ongevraagd volgkoekjes
Risico’s zijn gelijk verdeeld over denominatie
Plukjes groen
Eerst het goede nieuws. Want tussen een zee van rood vallen plukjes groene instellingen op. Dit zijn samenwerkende basisscholen die het beheer van hun websites hebben gecentraliseerd. Zo scoren bijvoorbeeld de instellingen van Eenbes tussen Eindhoven en Helmond allemaal groen. Iedere school van deze samenwerking heeft een eigen website. We zien ook elders groene plukjes, zoals bij Iris in Kampen en PCBO in Apeldoorn.
Het leuke is dat Eenbes op haar eigen site ook een kaart heeft staan. Deze past precies op de positief beoordeelde instellingen in dezelfde regio. Zie de vergelijking hieronder. Basisbeveiliging staat links, Eenbes rechts.
Positief beoordeelde basisscholen in de regio Eindhoven/Helmond matchen exact de scholen van een samenwerking Eenbes.
10% ongevraagde volgkoekjes
We meten op 619 van de 6083 voorpagina’s ongevraagde volgkoekjes. Dat is iets meer dan op 10% van de sites van basisscholen.
Dit is uit te splitsen naar geloof (denominatie). Wanneer we dit doen ontstaat er een vrij gelijkmatige verdeling met één uitzondering. Dat zijn de gereformeerd vrijgemaakte basisscholen. Dit ontstaat omdat een enkele scholengroep (LEV-WN) hierin met 22 verschillende websites oververtegenwoordigd is.
Denominatie
Aantal hoofddomeinen
Met ongevraagde volgcookies
Percentage
Totaal
6083
619
10.18%
Openbaar
1913
198
10.35%
Rooms-Katholiek
1825
176
9.64%
Protestants-Christelijk
1484
152
10.24%
Algemeen bijzonder
315
26
8.25%
Reformatorisch
159
4
2.52%
Gereformeerd vrijgemaakt
108
34
31.48%
Antroposofisch
74
6
8.11%
Islamitisch
69
10
14.49%
Samenwerking PC, RK
51
4
7.84%
Interconfessioneel
25
2
8.00%
Bijzonder
23
3
13.04%
Samenwerking Opb., PC
8
1
12.50%
Evangelisch
7
2
28.57%
Hindoeïstisch
6
1
16.67%
Verdeling volgcookies op voorpagina’s per denominatie in het basisonderwijs.
De verdeling van de cookies schiet duidelijk één kant op: YouTube. Een quick-fix hiervoor is om youtube-noocookie.com te gebruiken, beter nog is om het filmpje te laden vanaf de website zelf of een leverancier die geen secundair belang heeft bij het aanbieden van video’s.
Leverancier
Ongevraagd volgkoekje
Aantal[1]
YouTube
VISITOR_INFO1_LIVE
634
Facebook
_fbp
91
LinkedIn
li_sugr
10
Google Ads
_gcl_au
4
LinkedIn
UserMatchHistory
3
Snowplow
_sp_id.<HASH_OR_ID>
2
[1]: Sommige instellingen gebruiken dezelfde site. Het aantal ontvangen cookies op het hoofddomein is absoluut. Daarom worden sommige cookies dubbel geteld.
Ondanks de plukjes groen en het kleine online oppervlak per instelling scoort het basisonderwijs het slechtst van de onderwijslagen. We zien dat terug in de locatie van de dienstverlening (buiten de EU), nihile adoptie van security.txt en DMARC en ondermaatse privacy op websites.
Het is echter niet hopeloos: door het kleine online oppervlak (weinig domeinnamen/online diensten) en korte lijnen zal het leveranciers niet al te lastig zijn om beveiligingsmaatregelen door te voeren. Dit is bijna een ‘walk in the park’ vergeleken met de nachtmerrie van grote organisaties om ook maar het kleinste beetje beweging voor elkaar te krijgen.
De onderwijslagen zijn te vergelijken op alle metingen in het klassement. Dat is hier te vinden. Hieronder staat een screenshot van de vergelijking op moment van publicatie.
Vergelijking veiligheid van vijf onderwijslagen in Nederland op alle meetpunten in Basisbeveiliging. Het aantal groene hartjes neemt af van Universiteit tot Basisschool.
Veel voeten in de aarde
Het maken van deze kaart heeft veel meer voeten in de aarde gehad dan alle voorgaande kaarten. Daarom zijn we ook een stuk later met de publicatie. Dat komt omdat er 6000 instellingen tegelijkertijd worden getoond: iets dat we nog niet eerder hebben gedaan. Maar laten we bij het begin beginnen.
De informatie over basisscholen komt uit open data van de Dienst Uitvoering Onderwijs. Instellingen kunnen deze informatie vrijwillig aanvullen en is hierdoor vaak niet up to date of onvolledig. Bij 900 instellingen is de website met de hand vervangen of aangevuld. Informatie uit andere sites zoals scholenopdekaart.nl is niet gebruikt ivm copyright. Wij werken met een vrije licentie.
Ook is van de meeste basisscholen contactinformatie (e-mail) verzameld. Veel hiervan is geautomatiseerd, aangevuld met de hand door vrijwilligers en een deel is gegokt op basis van meest voorkomende adressen. De reacties hierop waren vaak: haal ons uit het databestand. De mailing is gelukkig eenmalig.
Dan is er nog een probleem: naamgeving. Er zijn 92 basisscholen genaamd “de regenboog” 🌈 . Wij houden van regenbogen, maar het is wel handig dat het gaat over de juiste regenboog in de juiste plaats. Daarom staat er nu overal in welke plaats de instelling zit. Om de instellingen verder uniek te maken hebben we het identificatienummer van de instelling (BRIN) aan de naam toegevoegd. Je kan helaas niet zoeken op plaatsnaam, omdat dan bijvoorbeeld “Gemeente Amsterdam” niet meer is te vinden door teveel resultaten.
De site is ook op allerlei plekken sneller gemaakt. Ons motto daarbij is: meer data maakt een snellere site. Dat zie je meteen terug bij het laden van de pagina: alleen de getoonde kaarten worden geladen. De zoekmachine wordt afzonderlijk geladen en is door tuning vlotter geworden. De kaart zelf had lange laadtijden (en kan nog verder worden versneld), maar ook dit is versneld door animaties te beperken.
Voor mensen die een groter scherm hebben is goed nieuws: je kan nu rapporten direct vanaf de kaart openen. Hierdoor is het makkelijker om instellingen met elkaar te vergelijken. Op de kaart: klik met de rechtermuisknop op een organisatie en selecteer de “embedded” / “ingebed” optie. Hieronder een voorbeeld van hoe dat eruit ziet.
Achter de schermen zijn er nog veel meer uitdagingen geweest, maar hiervoor schrijven we een aparte blogpost.
Kaart van Zeeland met daarop 5 openstaande rapporten van onderwijsinstellingen.
Ter afsluiting: mooie kaarten
Omdat de gegevens van openstreetmap en basisscholen er tof uitzien hierbij een aantal mooie screenshots.
Alle basisscholen in heel Nederland, geclusterd. Hierin zijn circels te zien met een groene band: dit zijn de plukjes positief beoordeelde instellingen.Het Waddeneiland Texel telt 8 basisscholen, helaas is er hiervan nog geen volledig veilig.Dit zijn de basisscholen in Eindhoven en omstreken. Aan rechterkant zijn de groene stippen van Eenbes te zien.En nog een mooie grote afbeelding van Rotterdam en Den Haag.
Op 20% van de onderzochte overheidsdomeinen staat een cookiebanner (394 van de 1911). Er wordt op meer dan 100 verschillende manieren om toestemming gevraagd, daarna zijn we gestopt met tellen. Per banner zijn er ook nog eens variaties in positionering, teksten, instellingen en stijl.
30% van de banners lekken ongevraagde volgcookies. Bijna alle banners zijn grafisch misleidend. 23% van de banners vereist meer handelingen om te weigeren dan te accepteren, in enkele gevallen kost weigeren 3 handelingen.
De overheid wil van de cookiebanners op eigen sites af. In veel gevallen kan dat direct. Voor het merendeel van de gevallen moet de site een alternatieve dienst of instellingen gebruiken. Video’s en statistieken zijn de voornaamste bron van ongevraagde volgcookies.
Hoe moet het wel? Er zijn meer dan 300 grotere overheidssites zonder cookiebanner of externe scripts. Deze zijn van een groot aantal opdrachtgevers van de centrale overheid. Gemeenten, provincies en waterschappen lukt dit nog niet.
Ter lering en vermaak bevat dit artikel ruim 20 voorbeelden van slechte cookiebanners op overheidssites. Van 289 van deze banners is ook een bureaubladachtergrond gemaakt en een overzicht van alle verschillende manieren om te weigeren of accepteren.
Vanaf 1 maart 2024 worden ongevraagde tracking cookies rood beoordeeld op basisbeveiliging.nl. Dit sluit aan op aankondiging van de Autoriteit Persoonsgegevens om te gaan handhaven op misleidende banners.
Wat moet de overheid met al deze banners? Het ultieme antwoord daarop is eenvoudig: opruimen. In de kamerbrief over cookies en online tracking van staatssecretaris Van Huffelen (Koninkrijksrelaties en Digitalisering) en minister Adriaansens (EZK) staat:
“Wij vinden het daarom wenselijk dat er geen third-party cookies of andere tracking gebruikt wordt op overheidswebsites, ongeacht het verkrijgen van toestemming.”
Een van de kernwoorden in die brief is “onbespied”: een bezoeker moet dus een website van een overheid kunnen bezoeken zonder dat een derde meekijkt. Dat is een hoger doel, waarbij ook geen bronnen van derde partijen worden gebruikt. Dus geen externe opmaak en lettertypen bijvoorbeeld.
Sinds februari 2024 geeft de Autoriteit Persoonsgegevens aan hoe heldere cookiebanners eruit horen te zien. Ze geeft daarbij aan dat ze hierop gaat handhaven en kan zelfs een boete opleggen.
Waarom gebruikt de overheid deze banners?
Op overheidssites zijn er twee hoofdoorzaken voor het gebruik van cookiebanners.
De eerste groep banners is simpelweg overbodig. Op deze banners wordt aangegeven dat er gebruik wordt gemaakt van analytische en functionele cookies. Daarvoor is geen toestemming nodig. Deze banners kunnen per direct de prullenbak in.
Mogelijke oorzaken van deze banners zijn onbekendheid met de regels of juristen die een “slag om de arm” nemen. Vragen om toestemming geeft de indruk dat gegevens kunnen worden gedeeld: het belemmert de gebruiker en maakt de site minder betrouwbaar.
Soms is het verwarrend: het statistiekenpakket (voor analytische doeleinden) van LinkedIn plaatst óók een volgcookie voor marketingsdoeleinden. Dan is toestemming noodzakelijk.
De overige grote groep banners komt door het gemak waarmee opdrachtgevers en websitebureaus online diensten van derde partijen gebruiken. Het gaat dan om functionaliteit voor zaken als video’s, kaarten, captcha’s en statistieken. Dit werkt makkelijk en snel maar men heeft niet scherp wat de gevolgen zijn. Deze besparing in komt uiteindelijk voor rekening van de bezoeker.
Voor de meeste, zo niet alle, online diensten bestaan alternatieven. Maar toegegeven: deze zijn niet allemaal even gangbaar, bekend, goedkoop, makkelijk te vinden of eenvoudig te gebruiken. Het scherp krijgen van alle alternatieven is dan ook een van de uitdagingen bij de overheid. Daarover verderop meer.
De overheid verdient geen geld aan advertenties op haar websites. Hiervoor zijn geen cookiebanners gevonden.
Werken die banners eigenlijk wel?
Op ten minste 30% van de sites met banner werkt deze niet. Er zijn ten minste 41 soorten banners die volgcookies lekken.
Neem het populairste volgcookie is die van YouTube. Dit cookie heet VISITOR_INFO1_LIVE en is door Google als advertentiecookie gedocumenteerd.
Zonder toestemming wordt dit cookie wordt geplaatst op 228 domeinen, terwijl met toestemming het cookie op 262 domeinen wordt geplaatst. Op 34 sites is de cookiebanner effectief.
Maar van die 228 sites zonder toestemming hebben 84 een cookiebanner. Hier komt het VISITOR_INFO1_LIVE cookie dus doorheen.
Wanneer de bekende volgcookies van Facebook, Google en LinkedIn worden meegenomen stijgt het aantal sites met lekkende cookiebanners naar 94.
We hebben over langere termijn 310 overheidssites met cookiebanner gemeten. Dus op 30% van sites met een cookiebanner werkt de banner niet. Een van de populairste cookiebanners, ‘cookieSettingsOverlayToggle’ lekt op 25 sites cookies. In totaal zien we 41 soorten lekkende banners. Deze zijn te vinden in bijlage E.
Voorbeeld van de cookieSettingsOverlayToggle cookiebanner
De 1911 sites zijn tot 200 pagina’s bezocht en tot 3 lagen diep. In totaal gaat het om 310 sites waar deze meting herhaaldelijk succesvol is uitgevoerd over langere termijn. De lijst met sites en de verklaring waarom dit niet gemeten is over het totaal van 394 sites is staat in bijlage E. We zien bij het geven van toestemming op sites met banners geen enorme toename in een nieuw volgcookies, enkel een toename in bestaande volgcookies. We hebben alleen gekeken wat er in het wild gebeurt, er is geen test uitgevoerd van alle banners (met alle instellingen) op alle volgcookies.
Zijn deze banners eerlijk?
Nee. 23 van de 97 onderzochte banners vereisen meer stappen om te weigeren dan te accepteren (23%). Soms kost weigering zelfs drie handelingen, terwijl accepteren er maar één is. In 16 gevallen is weigeren onmogelijk, vaak omdat deze banners over analytische/functionele cookies gaan en dus overbodig zijn.
In de voorbeelden later in dit artikel is duidelijk te zien dat met grafisch ontwerp (dark patterns) een bezoeker makkelijker kan accepteren dan weigeren. Denk dan aan dat de acceptatieknop goed te zien is, een positieve kleur heeft en dergelijke. Nagenoeg alle banners passen dergelijke patronen toe. De autoriteit persoonsgegevens geeft aan dat dit niet mag en hoe het wel moet.
Ook op overheidssites zijn de cookiebanners dus misleidend.
# Banners
Weiger stappen
Accepteer stappen
3
3
1
2
2
2
20
2
1
1
1
3
2
1
2
53
1
1
1
onmogelijk
3
1
onmogelijk
2
12
onmogelijk
1
2
onmogelijk
onmogelijk
Stappen om te weigeren bij 97 technisch verschillende banners.
Gezocht: alternatieve diensten
Diensten van derden zijn bij de overheid de enige bron van volgcookies. In dit hoofdstuk duiken we in de stand van zaken rond de twee belangrijkste redenen voor ongevraagde volgcookies: video’s en statistieken.
De overheid is op dit moment druk op zoek naar alternatieven. Niet alleen voor diensten die volgcookies plaatsen maar voor alle diensten van derden zoals externe lettertypen.
Wij zullen daarom in kaart brengen waar third-party cookies en scripts gebruikt worden, en welke. Op basis daarvan willen we onderzoeken of we deze kunnen vervangen door (open source) alternatieven, die door de overheid zelf gehost worden, waardoor die informatie niet naar derden gaat. Dit sluit aan bij de ambities omtrent digital commons.
Er zijn twee grote videoplatforms in gebruik op sites van de rijksoverheid. Dit zijn YouTube en Rovid. Beiden worden op afstand gevolgd door Vimeo en Kaltura.
YouTube plaatst het meest gebruikte ongevraagde volgcookie, maar levert sinds 2009 het alternatief youtube-noocookie.com voor embedding op sites. 20% van de verzoeken naar YouTube gaat via dat domein. Voor beheerders was het dus altijd al eenvoudig om privacyvriendelijk te werken, maar 80% doet dat niet.
Het andere populaire platform is Rovid. Dit is van de Dienst Publiek en Communicatie van het Ministerie van Algemene Zaken. Dit platform plaatst geen volgcookies. Rovid wordt gebruikt op 268 sites, zoals dranquilo.nl of verbeterjehuis.nl. De speler van Rovid doet functioneel niet onder voor YouTube en heeft soms ook opties om videos te downloaden.
Maar Rovid heeft ook eigenaardigheden. De website waar de video’s vandaan komen, rovid.nl, is blanco. Er is niets te vinden over de dienst, zelfs geen rijksoverheidslogo. Er staat dus niet dat het van de overheid is, welk doel het heeft, wat het kost en wat het allemaal kan. Hierover is gemaild en dit artikel wordt nog aangevuld.
Rovid wordt alleen gebruikt voor de rijksoverheid. Andere overheden zullen dus andere alternatieven moeten zoeken. Een alternatief is dat websites zelf ook video’s kunnen aanbieden zonder gebruik te maken van een externe dienst of scripts. Voor iedere webtechnologie bestaat een groot aantal videospelers.
Alternatieven voor tracking op statistieken
Het statistiekenpakket van LinkedIn plaatst het vaakt ongewenst volgcookies. Google Analytics volgt bezoekers via externe verzoeken naar doubleclick.net wanneer het niet goed is ingericht.
De rijksoverheid kan via Dienst Publiek en Communicatie gebruik maken van een Piwik Pro installatie. Andere overheden zullen dit zelf moeten regelen, maar gelukkig is er een keur aan alternatieven. Matomo is zo’n populair alternatief. Op de website European Alternatives staan nog 30 alternatieven die voldoen aan de AVG.
Showcase slechte cookiebanners
De mensen die vroeger de interface van videorecorders ontwierpen maken tegenwoordig cookiebanners. Menig jurist, grafisch ontwerper en techneut heeft de bingokaart al snel vol met frustraties en irritaties.
Laten we kijken naar ruim 20 verschillende cookiebanners waar iets mis mee is. Deze metingen komen van november 2023. Er zijn wat sites opgeknapt of opgeruimd, maar de meeste staan er nog.
Tactisch onhandig
We beginnen bij politie.nl. Stel je wil een aangifte doen, dan is het fijn om te weten dat er nog een partij op die site zit die ogenschijnlijk geld verdient aan jouw bezoek.
Op het meldpunt integriteit van justitie en veiligheid staat het vinkje “sociale media” standaard aangevinkt. Dat is geen geruststellende gedachte wanneer je net een melding wil maken over de integriteit van een collega. Voor je het weet is je bezoek gekoppeld aan social media en krijg je hier reclames voor.
Ook een tactisch onhandige is die van investinholland.com. Waarom zou iemand investeerders willen afleiden met een vraag over cookies en tracking.
Er zijn meer sites waar vinkjes standaard aan staan. Zo ook op metropoolregioeindhoven.nl laat standaard marketing cookie aan staan.
Alles accepteren
Een kromme vorm van toestemming vragen is vinkjes tonen die uit staan. Daaronder staat dan de knop “alles accepteren”. Die knop aantikken zet dus alle vinkjes aan! De knop “Weigeren” is niet te vinden, waardoor een bezoeker moet nadenken over de andere optie.
Dat zien we bijvoorbeeld op buitenlevenvakanties.nl (ja, is rijksoverheid :))
Op geheugenvannederland.nl staat dit geheugenspelletje ook.
Ook GGD West Brabant doet dit. Met de knop “Ik stem met alles in” wordt toestemming gegeven voor de uitgevinkte opties.
De sites holland.com, nbtc.nl en zonmw.nl gebruiken dezelfde vraagstelling. Daarin wordt gesuggereerd dat “accepteren en doorgaan” de juiste keuze is. Daaronder staat in grijs een tekst waarvan een gebruiker niet kan zien dat het een link is.
Duister ontwerp
Bezoekers wordt door vormgeving verleid om in te stemmen met cookies. Dit is aan de orde van de dag en bijna alle cookiebanners maken zich hier schuldig aan.
Een voorbeeld is de site drenthe.nl. Daar kan men meteen accepteren, of men kan tijd besteden met priegelen in instellingen.
Ook groningen.nl maakt het bezoekers extra moeilijk om te weigeren. Om te weigeren moet je minstens twee stappen nemen. Namelijk eerst “voorkeuren wijzigen” en dan door het volgende doolhof de juiste vinkjes zetten.
Soms is het heel moeilijk om te vinden hoe je kan weigeren. Bijvoorbeeld op haaglandenveilig.nl is onderaan de paarse tekst een linkje te vinden om cookies in te stellen. We vinden het schrijven van het woord “Akkoord” op twee regels wel bijzonder grappig.
Contrast en kleur
Spelen met contrast kan ook zorgen voor meer gebruikers die toestemming geven. Hieronder staat het dialoog van drechtsteden.nl, waarbij de knoppen “Alle cookies weigeren” en “Voorkeuren” lijken uitgeschakeld. Mensen met verminderde visie zullen deze helemaal niet kunnen zien.
Op nidos.nl zie je geel op wit op geel. Dat is ongelofelijk lastig te lezen. Ook staat er bij toestaan een mooie groene knop en een vinkje. Dat zal dan wel de goede optie zijn.
Groen is goed. Dat zien we ook terug op de site nlw.nl.
Meertalig
Op de site van biodiversiteit worden verschillende talen door elkaar gebruikt: Accepteren als moeilijk leesbare link en een grijze knop met “No, thanks”.
Meertaligheid zien we vaker terug, zoals op hunzeenaas.nl. Daar kan je kiezen voor “alle cookies”, “Deny” en “voorkeuren”.
De site meldknop.nl, wat als doel heeft mensen te beschermen, heeft een uitvoerige en meertalige cookiebanner. Hier zijn de keuzes: “all cookies”, “weigeren” en “view preferences”.
Weigeren onmogelijk, an offer you can’t refuse
Diverse sites maken het onmogelijk om te weigeren, zelfs als het gaat om marketingscookies. Maar dat mag toch niet? Of wacht… er staat een link onderaan in de tekst die volledig wegvalt. We zien dit o.a. op de site van veva.nl.
Op risse.nl wordt aangegeven: kom je hier, dan stem je in met hun “cookie beleid” (sic). Er zijn meerdere van dit soort sites, zoals crimediggers.nl.
Nog wat aparte
Rotterdammers blijven Rotterdammers. Dat zie je ook in de vraagstelling en antwoorden op ggdrotterdamrijnmond.nl. Direct accepteren? Ja of Nee. Eigenlijk best duidelijk, en misschien wel de duidelijkste in deze reeks.
Maar gelukkig kan het ook onduidelijker, zoals op de site concernvoorwerk.nl. Hier is het mogelijk om te kiezen uit “Akkoord”, “x” en “x”. Wat doen die “x” knoppen precies?
Drie handelingen nodig om uit te schakelen
Tot slot nog een van onze favoriete sites: vng-international.nl. Dit is een favoriet van basisbeveiliging omdat dit domein zorgt dat de Vereniging van Nederlandse Gemeenten een van de slechtst beveiligde organisaties is op de gemeentekaart. De cookiebanner op deze site is dubbel gemeen: een bezoeker moet naar het slechter vormgegeven “settings” en daar moet het vinkje marketingscookies eerst worden uitgezet. Daarna moet alsnog op “Accept” worden geklikt wat natuurlijk verwaarend is.
Tot slot: hoe moet het dan wel?
Hier ligt een hele grote valkuil: aangeven hoe goede cookiebanners er uitzien. Dat zou betekenen dat het gebruik van deze banners en de tracking erachter wenselijk is. Wij lopen daarom met een grote boog om deze valkuil heen.
Ook het gebruik van scripts van derde partijen is niet wenselijk. De enige externe partij waar iets van mag worden opgevraagd is een andere site van dezelfde organisatie of de overheid.
Er zijn 335 overheidssites van maar dan 20 pagina’s die voldoen aan deze eisen. Het kan dus wel! Opvallend is dat het vele verschillende opdrachtgevers zijn die het is gelukt. Deze meting is uitgevoerd tot 200 pagina’s en maximaal 3 lagen diep per domein.
Helaas lukt het alleen de centrale overheid om aan deze eisen te voldoen. Gemeenten, provincies en waterschappen blijven achter door vaak dezelfde externe diensten.
Onderstaande afbeelding is op 4K te downloaden. Deze bevat 289 verschillende cookie vraagstellingen vanuit verschillende vormgevingen en technieken. Klik op de afbeelding om deze te downloaden.
Bijlage B: Collage smaakjes cookiebanners
Een van de meest toegepaste cookiebanners lekt op 25 sites volgcookies. Deze heet “cookieSettingsOverlayToggle”. Het leuke van deze banner is dat beheerders een eigen kleurtje kunnen instellen. Wij sparen ze allemaal!
Bijlage C: Toestemming of Weigeren
Bezoekers kunnen op 51 verschillende manieren accepteren: Aanvaarden, Accept, Accept All, Accept Cookies, Accepteer, Accepteer Al Onze Cookies, Accepteer Alle Cookies, Accepteer Alles, Accepteer Cookies, Accepteren, Accepteren En Doorgaan, Akkoord, Akkoord Met Cookies Van Derden, Akkoord Met Functionele Én Marketing Cookies, All Cookies, Alle Cookies, Alle Cookies Accepteren, Alle Cookies Toestaan, Alle Toestaan, Alles Aanvaarden, Alles Accepteren, Alles Toestaan, Allow All, Cookies Accepteren, Cookies Toestaan, Geen Probleem, I Agree, Ik Accepteer Alle Cookies, Ik Begrijp Het, Ik Ga Akkoord, Ik Snap Het, Ik Stem Met Alles In, Ja, “Ja, Dat Is Prima”, “Ja, Ik Accepteer”, “Ja, Ik Accepteer Cookies”, “Ja, Ik Accepteer Deze Cookies”, Keuze Opslaan, Ok, Opslaan, Prima, Prima, Ik Sta Dit Toe, Prima!, Sluit, Sluiten, Sta Cookies Toe, Toestaan, Verberg Deze Melding, Verbergen, Voorkeur Opslaan, Yes, I Accept Cookies From This Website
Ook kunnen ze op 50 manieren weigeren: Afwijzen, Akkoord Met Enkel Functionele Cookies, Alle Cookies Weigeren, Alle Weigeren, Alleen Anonieme Cookies, Alleen De Functionele Cookies, Alleen Functionele Cookies, Alleen Noodzakelijk, Alleen Noodzakelijke Cookies, Alleen Noodzakelijke En Analytische Cookies, Alles Afwijzen, Alles Weigeren, Cookie Instellingen Aanpassen, Cookies Niet Toestaan, Cookies Weigeren, Deny, Enkel Noodzakelijke, Enkel Noodzakelijke Cookies, Ik Ga Niet Akkoord, Ik Stem In Met Selectie, Liever Niet, Minimale Cookies, Nee, “Nee Bedankt”, “Nee, Bedankt”, “Nee, Bedankt.”, “Nee, Dank Je”, “Nee, Ik Accepteer Deze Cookies Niet”, “Nee, Ik Accepteer Geen Cookies”, “Nee, Ik Accepteer Niet”, “Nee, Liever Niet”, “Nee, Weiger Cookies”, Niet Accepteren, Niet Akkoord, Niet Nu, No, No, I Do Not Accept Cookies From This Website, No, Thanks, Ok, Opslaan, Opslaan En Sluiten, Reject All, Save, Weiger, Weiger Cookies, Weigeren, X, Zelf Instellen, Zet Cookies Uit
Bijlage D: Tabel met verschillende keuzes
De 154 combinaties met antwoorden kwamen we tegen tijdens het onderzoek.
Er is in totaal op 310 sites succesvol automatisch het cookiebanner gedetecteerd en geaccepteerd. In totaal zijn er 394 sites met een banner maar deze zijn niet allemaal succesvol geautomatiseerd (automatisch toestemming geven of weigeren).
Dit gebrek aan automatisering heeft een veelheid aan oorzaken, maar is vooral toe te schrijven aan broosheid en lastige detecteerbaarheid van de banner. Het is zeldzaam dat een cookiebanner eenvoudig geautomatiseerd kan worden. Enkele voorbeelden:
Sommige banners heten technisch hetzelfde, bijvoorbeeld: “consent_banner” maar hebben knoppen die anders zijn vertaald. Als de software dan zoekt naar “Accepteren” terwijl er “accepteren en doorgaan” staat, gaat toestemming geven niet lukken. Het is veel werk om per site en per banner te zien of de vertaling weer ander is.
Een andere reden is dat het detecteren van de banner kan afhangen van de layout. In sommige gevallen is de layout van de site niet stabiel. Deze krijgt per bezoek of per maand andere interne technische namen. Dan heet iets niet “consent_banner” maar “consent_banner_8eh1oi2ue” of zijn er helemaal geen namen waardoor een verschuiving al e.e.a. kan breken.
Voor het visitor_info1_live cookie wordt er dus op 310 domeinen van de 394 met banner gekeken.
Er zijn 41 banners die niet werken, maar het is niet bekend of deze in alle gevallen niet werken of dat er sprake is van een fout in de inrichting. We weten zeker dat op 30% van de sites sprake is van lekkende cookies terwijl er een cookiebanner aanwezig is.
Lekkende banner
Lekkende Sites
#btnAdjustCookieSettings
1
#cookie-law-info-bar
5
#cookie-outer
2
#cookie_tool_small
1
#cookiefloater
1
#cookieinfo-banner
1
#cookieInfoWindow:
1
#Cookies_question
2
#cookieSettingsOverlayToggle
25
#cookieWarningDiv
1
#CybotCookiebotDialog
5
#CybotCookiebotDialogBodyButtonAccept
2
#hs-eu-cookie-confirmation-button-group
2
#js-cookieTextContainer
1
#moove_gdpr_cookie_info_bar
1
#ppms_cm_popup_overlay
1
#tracking-cookies
1
#we-use-cookies
1
‘Alles accepteren’
1
cookieconsent
3
Sluit cookiemelding
2
.avia-cookie-consent
1
.cc-cookies__container
1
.ccc-banner__text
1
.cky-consent-bar
6
.cookie-banner-container
2
.cookie-consent
1
.cookie-message__outer-container
1
.cookie-notification-bar
1
.CookieBar_cookieBarContainer__U9O9H
2
.cookieconsent__cookiebar
1
.eu-cookie-compliance-banner
1
.eu-cookie-compliance-secondary-button
4
.js-accept-cookie
1
.js-cipix-cookiecontrol
1
.js-consent
1
.js-cookies-allow
2
.optanon-alert-box-wrapper
1
.osano-cm-dialog–type_bar:
1
.wpgdprc-consent-bar:
1
div.cmplz-cookiebanner
4
Bijlage F: Overheidssites zonder externe bronnen en zonder tracking
Eigenaar
Website
Pagina’s
Externe Bronnen
Academie voor Internationale Betrekkingen (AIB/BUZA)
Overzicht van grotere overheidssites zonder tracking en externe scripts
Disclaimer
De metingen komen van november 2023. Dat betekent dat sommige websites inmiddels zijn bijgewerkt / aangepast.
Na 100 verschillende cookiebanners zijn we gestopt met tellen en automatiseren. Het vermoeden is dat er in totaal rond de 150 technisch verschillende cookiebanners in gebruik zijn. Per ±20 sites is er een nieuwe cookiebanner.Begin december, na het onderzoek, vonden we nog bijna 750 nieuwe sites van de overheid.
Er zijn 1911 overheidssites gemeten. Er is begonnen met een lijst van 2600 domeinen, hieruit zijn alle redirects en niet bestaande domeinen gefilterd.
Domeinen zijn tot 3 lagen diep en tot 200 pagina’s gemeten.
Door de grote hoeveelheid overheidssites kan het zijn dat sommige sites niet (meer) van de overheid zijn. We gaan uit van een niet significante hoeveelheid sites: ze zijn allemaal door mensen bekeken en wat afwijkt lijkt in ieder geval op een overheidssite.
De kaart met security van cybersecuritybedrijven staat live. We vonden dat ze op 20 van de 23 metingen op dit moment slechter presteren dan de overheid. We hopen op beterschap de komende periode. Lees hier het hele artikel.
Dashboard volgcookies
De voorpagina van basisbeveiliging is aangepast. Een aantal menu-items zijn even weggehaald omdat ze wat onderhoud nodig hebben. In plaats daarvan hebben we een volgcookie dashboard toegevoegd. Hierop zie je per doelgroep hoeveel procent van de gemeten organisaties zonder toestemming volgcookies plaatst.
Eerste fase opruiming kaarten
Kaarten van veiligheidsregio’s en waterschappen bestaan nu uit vlakken, dat ziet er een stuk mooier uit. Ook zijn er enkele domeinen toegevoegd en was er een ontbrekende organisatie toegevoegd.
Onderdelen van rapporten zijn nu met een directe link te zien
Het is nu mogelijk om links te delen van tabbladen in de rapportages. Ook kan je daar filteren welk domein je wil zien. Zo kan je bijvoorbeeld de volgcookies van bepaalde politieke partijen direct bekijken.
Kaarten toegevoegd van de bijzondere gemeenten
De bijzondere gemeenten, of openbare lichamen, of BES eilanden hebben ieder een eigen kaart gekregen. Deze kaarten bevatten nu nog een enkele organisatie, er zullen er ongetwijfeld meer zijn, dus die voegen we toe in 2024.
Vertalingen van kaartlagen
Kaartlagen kunnen nu vertaald worden in meerdere talen zonder dat de broncode hoeft worden aangepast. Dit maakt het toevoegen van nieuwe kaarten een stuk makkelijker.
Andere kleine wijzigingen
De risicosamenvattingstabel is nu ook op volledig scherm te openen. De lijst wordt al snel te groot.
Er zijn kleine wijzigingen gemaakt voor betere weergave op mobiele telefoons.
Vanaf 9 november publiceert basisbeveiliging metingen over tracking cookies. Met deze technologie worden bezoekers van websites gevolgd door adverteerders. Om dat te mogen moet een bezoeker expliciet toestemming geven. Bij deze nieuwe meting wordt geen toestemming gegeven, waardoor het voor websites verboden is om toch tracking cookies te plaatsen.
In dit artikel lees je de context, getallen, welke cookies worden gemeten, hoe browsers hiermee omgaan en hoe lastig het is om cookies te kunnen meten. Alle actuele en historische metingen zijn in te zien op de site basisbeveiliging.nl.
De cookiemeting op basisbeveiliging is doorlopend: eventuele verbeteringen worden dus zichtbaar. Tracking cookies worden in eerste instantie als “Oranje” beoordeeld, dit is de hoogste beoordeling bij nieuwe metingen. Dit zal begin 2024 wijzigen naar “Rood”.
De meting voor overheidswebsites is ontwikkeld in samenwerking met het ministerie voor Binnenlandse Zaken en Koninkrijksrelaties. De bredere scope naast deze overheidswebsites is een keuze van de Internet Cleanup Foundation.Deze meting is aangekondigd in september 2023.
Context
Tracking cookies worden gebruikt om advertenties te verkopen. Dat gebeurt met een profiel dat wordt opgesteld aan de hand van bezochte sites. Hoe dat precies gebeurt is een geheim: een van de weinige dingen die een bezoeker hiervan meekrijgt is een cookie[1].
Het volgen van gebruikers heeft over het algemeen vreemde en ongewenste kenmerken: De vraag om toestemming is vaak doorspekt met misleiding en na het geven van toestemming is dit lastig in te trekken. Ook is het moeilijk of onmogelijk om eenmaal gedeelde gegevens te laten vernietigen.
De overheid geeft aan niet blij te zijn met tracking cookies op sites van zichzelf, ook als de gebruiker toestemming zou geven. In een kamerbrief over het onderwerp staat: “Wij vinden het daarom wenselijk dat er geen third-party cookies of andere tracking gebruikt wordt op overheidswebsites, ongeacht het verkrijgen van toestemming.“.
De belangrijkste internetpagina van iedere organisatie is de voorpagina: dit heeft vaak geen voorvoegsel of het voorvoegsel “www”. Hierop meten we 231 ongevraagde tracking cookies op 194 pagina’s over 6 verschillende doelgroepen.
We hebben deze keer ook een commerciële doelgroep meegenomen om zo te kunnen zien wat de verhoudingen zijn in onjuist cookiegebruik tussen de publieke en private sector.
In de tabel hieronder zie je dat politieke partijen ongeveer hetzelfde presteren als commerciële organisaties. Met afstand gevolgd door de centrale overheid en ziekenhuizen, die het een stuk beter doen. Gemeenten doen het op dit moment verhoudingsgewijs het beste.
Kaart
Voorpagina’s met Tracking
Totaal Voorpagina’s
% Tracking
Cyber security bedrijven (commercieel)
39
163
23.93%
Politieke Partijen
8
38
20%
Provincies
1
13
7.69%
Centrale Overheid
95
1996
4.76%
Gezondheidszorg (Ziekenhuizen + GGZ)
47
1113
4.22%
Gemeenten
4
434
0.92%
Totaal / Gemiddeld
194
3759
5.16%
Voorpagina’s met tracking cookies in perspectief, gesorteerd op percentage tracking.
Bij deze meting zijn er 4 verschillende tracking cookies onderzocht van verschillende leveranciers. De verdeling per doelgroep ziet er zo uit:
Kaart
Facebook
LinkedIn
YouTube
Google
Totaal
Politieke Partijen
2
3
4
9
Cyber security bedrijven (commercieel)
5
24
8
16
53
Provincies
1
1
2
Centrale Overheid
14
15
66
11
106
Gezondheidszorg (Ziekenhuizen + GGZ)
17
4
31
5
57
Gemeenten
1
3
4
Totaal
40
43
111
37
231
De vier verschillende onderzochte tracking cookies verdeeld per leverancier en doelgroep.
1700 tracking cookies op alles: inclusief onderliggende sites
Als we alle websites meten, inclusief subdomeinen, dan zien we dat het totaal aantal tracking cookies veel hoger ligt. We zien daar ook pieken omdat sommige organisaties op ieder subdomein hetzelfde cookie uitdeelt. Dit soort fouten tellen op en vertekenen het beeld natuurlijk een beetje.
Kaart
Facebook
LinkedIn
YouTube
Google
Totaal
Politieke Partijen
42
740
80
866
Centrale Overheid
54
45
224
35
358
Gezondheidszorg (Ziekenhuizen + GGZ)
63
18
88
17
186
Cyber security bedrijven (commercieel)
14
78
21
60
173
Gemeenten
14
13
86
7
120
Provincies
2
1
9
2
14
Totaal
189
155
1168
201
1713
Cookies op hoofdwebsites en onderliggende websites.
Deze cookies zijn verdeeld over de vele tienduizenden sites van allerlei organisaties. Hieronder kijken we hoeveel organisaties ten minste 1 tracking cookie uitgeven, tegenover het totaal aantal organisaties. Dan zien we nog steeds dezelfde cijfers: politieke partijen en commerciële bedrijven gebruiken de meeste tracking, op de voet gevolgd door de zorg en provincies. Gemeentes komen nog steeds het beste uit de bus.
Kaart
Aantal organisaties met tracking cookies
Totaal aantal organisaties
Percentage
Politieke Partijen
9
26
34%
Cyber security bedrijven (commercieel)
45
132
34%
Gezondheidszorg (Ziekenhuizen + GGZ)
39
119
33%
Provincies
4
12
33%
Centrale Overheid
84
611
14%
Gemeenten
30
343
9%
Percentage organisaties dat tracking cookies plaatst op een van hun sites, dus niet noodzakelijk de voorpagina maar bijvoorbeeld ook pagina’s voor een specifieke dienst of over een specifiek onderwerp.
Gemeten cookies
De meeste sites plaatsen cookies, we meten er zo snel 200.000. We scheiden het kaf van het koren door alleen te kijken naar de populairste 100 cookies. Deze hebben we onderzocht en gekoppeld aan een product en locatie.
Het bleek dat de locatie/afkomst van een cookie niet altijd juist of relevant is. Via externe scripts worden namelijk ook allerlei cookies geplaatst: dan lijkt het alsof ze horen bij de website die je bezoekt. Daarom kijken we in dit onderzoek alleen naar het product en een aantal karakteristieken van ieder cookie. Op basis daarvan wordt een beoordeling gegeven.
Uiteindelijk zijn er vier veelgebruikte advertentiecookies gevonden. Omdat deze cookies veel worden uitgegeven zijn ze ook gedocumenteerd door de makers. Zij geven zelf aan dat het gaat om cookies voor advertentiedoeleinden: dit maakt het beoordelen natuurlijk eenvoudig.
Hieronder staan de vier cookies, met link naar documentatie van de maker en een link naar een externe website (cookiedatabase.org) waar soms nog interessante documentatie is te vinden.
Er is naast deze cookies ook een twijfelgeval gevonden, het “_YSC” cookie van Google. Dit wordt gebruikt voor beveiliging, lees: fraude met hun systemen, van diensten van Google, waaronder Google Ads. We vragen ons af of een functioneel cookie dat een advertentieplatform ondersteunt ook onderdeel is van het probleem. Omdat we hier het antwoord niet op hebben laten we deze buiten beschouwing.
Bekijk de screenshots van bovenstaande documentatie
Omdat de pagina’s met documentatie weleens wisselen staan hieronder vier stukjes screenshot over de gemeten cookies.
UserMatchHistory, linkedin.com, LinkedIn Ads, 30 daysDepending on your ad settings, other Google Services like Youtube may also uyse these and other cookies and technologies, like the ‘VISITOR_INFO1_LIVE’ cookie, for advertising.The Conversions API is designed to create a connection between an advertiser’s marketing data (such as website events, app events, business messaging events and offline conversions) from an advertiser’s server, website platform, mobile app, or CRM to Meta systems that optimize ad targetting, decrease cost per result and measure outcomes.IDE, Advertising, Campagin Manager, Display & Video 360, Google Ad Manager, Google Analytics, Search Ads 360, 13 months EEA UK / 24 months elsewhere, doubleclick.net
Andere browser, andere privacy
Browsermakers zijn zich bewust van het privacyprobleem met cookies. Iedere browsermaker hanteert een eigen beleid en ziet dit als onderscheidend vermogen ten opzichte van andere browsers. Dit is natuurlijk verwarrend voor de eindgebruiker.
De technologie van cookies zelf kent allerlei beperkingen, waardoor het onderscheid tussen browsers blijft bestaan. Het is bijvoorbeeld niet mogelijk om in het cookie aan te geven wat de doelen ervan zijn, en zoiets is ook niet te verwachten. De standaarden achter deze technologie wijzigen langzaam. Het enige lichtpuntje op dit moment is dat er wordt gesproken over een maximale geldigheid 400 dagen voor een cookie, in plaats van oneindig.
Tegelijkertijd kunnen browsermakers niet simpelweg alle cookies afwijzen. Dat zou een wenselijke technologie als single sign-on, het automatisch inloggen op meerdere sites, onmogelijk maken. Nieuwe bedrijven die single sign-on diensten leveren moeten nu al met browsermakers in gesprek om hun cookies goedgekeurd te krijgen.
Hieronder staat een overzicht van het anti-tracking beleid bij de vijf populairste browsers in Nederland. Welke op dit moment het best omgaat met privacy is lastig te zeggen en zal met de dag wisselen.
Google Chrome is het minst privacyvriendelijk. Dat komt omdat Google probeert adverteerders in hun eigen advertentieproduct te krijgen, genaamd “Privacy Sandbox“. Deze browser heeft een marktaandeel van 54% en Google verdient veel geld aan advertenties. Minder privacy bieden is een is een commerciële beleidskeuze. Dat wordt onderstreept door een kloon van deze browser, genaamd Brave, die wel actief tracking blokkeert en zich profileert als privacybewust.
Apple Safari gebruikt sinds eind 2019 “Intelligent Tracking Prevention” dat een boel cookies blokkeert en adverteerders alternatieven aanbiedt.
Microsoft Edge heeft sinds eind 2022 Tracking Prevention dat standaard op “gebalanceerd” staat: hierdoor wordt tracking van een aantal platforms toegestaan.
Samsung Internet heeft sinds halverwege 2022 een filter om tracking tegen te gaan. Deze staat standaard aan.
Mozilla Firefox heeft sinds begin 2021 een feature genaamd “Total Cookie Protection” waardoor contexten van verschillende sites worden geïsoleerd. Een tracking cookie wordt dus niet zomaar meer gedeeld tussen verschillende sites. Dat wil niet zeggen dat andere smaken tracking cookies niet meer werken.
Verstoppertje spelen: Cookie editie
Iedere browser gaat anders om met dezelfde cookies. Daardoor is de impact van tracking-cookies per browser anders. Wat de browser toestaat hangt af van het beleid, de instellingen die de gebruiker heeft aangepast en eventuele netwerkfilters en plug-ins. Dit zorgt natuurlijk voor verwarring.
De verwarring die dit veroorzaakt heeft invloed op het beperken van ongewenste cookies. Een ontwikkelaar die de taak heeft om tracking-cookies te blokkeren kan zo op het verkeerde been worden gezet. Ook het handhaven op ongewenste cookies en het meten ervan worden hierdoor lastiger dan noodzakelijk.
Wij voeren metingen uit met een browser waarin geen enkele bescherming zit tegen tracking. Hierdoor krijgen we alle cookies, ook die door een browser als Safari meteen worden weggegooid. Zou je zelf een meting nalopen met een andere browser, dan is de kans groot dat het idee ontstaat dat onze metingen onjuist zijn.
Maar wacht! Er is meer complexiteit. Daarvoor gaan we naar twee verschillende cookies kijken die we in deze meting hebben meegenomen: het IDE cookie van Google en het UserMatchHistory cookie van LinkedIn.
Het “IDE” cookie van Google verschijnt weinig bij het eerste bezoek aan een site. Dan wordt namelijk vaak een “test_cookie” uitgegeven. Pas bij het opnieuw laden van de pagina wordt het “IDE” cookie geplaatst. Wij noemen dat een “ontwijkingstechniek”. Het is ons niet helder waarom dit een tweetrapsraket is, maar mogelijk dat de software van een cookie-banner het test_cookie zou moeten verwijderen. Maar hier stopt de complexiteit niet: bij het herladen van de pagina kan het IDE cookie ook weer zijn verdwenen.
Het UserMatchHistory cookie van LinkedIn is ook lastiger te vinden. Bij het gebruik van een gewone browser wordt dit cookie eigenlijk nooit geaccepteerd. Safari accepteert sowieso niets van LinkedIn, Chrome dan weer wel maar ook deze specifiek niet. Je kan dit cookie vinden door in Chrome private browsing te gebruiken en dan specfiek de instelling aan te zetten dat third party cookies mogen. Je ziet de verschillen in de screenshots hieronder, maar in beide gevallen zie je ook dat er geen toestemming is gegeven.
Dit soort complexiteiten maken het wat lastiger om in te schatten hoe effectief de tracking is van de gemeten cookies. Dat is voor een eindgebruiker natuurlijk helemaal niet relevant: de website/afzender had deze cookies nooit mogen plaatsen.
Cookies in private browsing in Chrome. In dit geval staat de bescherming van Third Party Cookies uit. De vraag over toestemming staat erboven. We verwachten in dit geval geen UserMatchHistory cookie maar ontvangen deze toch.Bezoeken we dezelfde site zonder private browsing, en herladen de pagina, dan zijn er veel minder LinkedIn cookies te vinden. Het UserMatchHistory is in dit geval niet te zien.
Speciale view voor cookies
Op basisbeveiliging.nl staat bij de rapportage een nieuw tabblad: Cookies. In dit tabblad staan alle cookies die door ons zijn gematched aan een product of dienst. Dit zijn zeker niet alle cookies, maar natuurlijk wel de tracking cookies die zijn besproken in dit artikel. Dit worden er in de toekomst waarschijnlijk meer. Deze informatie is ook te vinden in detailrapporten per domein.
Screenshot van de nieuwe cookie view. Hierin staat van welk bedrijf welk cookie wordt ontvangen. Ook staan er links naar informatie over dit cookie bij de cookie database.
In de toekomst: verder gaande metingen en voor de overheid minder externe partijen
In de eerder genoemde kamerbrief staat: “dat ook breder geen informatie door derde partijen verkregen kan worden die herleidbaar is tot een persoon bij het bezoeken van een overheidswebsite“, dat betekent ook dat bijvoorbeeld een ip-adres van een bezoeker niet mag worden gedeeld. Dit gebeurt vandaag de dag nog op nagenoeg alle overheidssites, omdat deze veelvuldig bronnen inladen van 3e partijen. Denk aan lettertypen, filmpjes, stijlen, kaarten, et cetera.
Er volgen ook nog twee aanvullende cookiemetingen die we de komende maand gaan presenteren. We verwachten hier begin december een update over te kunnen geven.
Voor de duidelijkheid, in deze eerste meting gaat het dus om de eerste pagina die we ontvangen op verschillende adressen. Dus het volgende:
Dat er iets moet gebeuren is duidelijk. Het is helaas nog niet altijd even duidelijk wat de beste volgende stap is. In de voorbeelden in dit artikel is op het eerste gezicht het antwoord simpel: zet dit achter een cookiemuur.
Voor de overheid wordt dat op langere termijn niet gezien als een oplossing: een bezoeker moet zonder persoonsgegevens te delen (zoals een ip-adres) een website van de overheid kunnen bezoeken.
Nu, per-direct, zijn er een paar oplossingen toe te passen. De eerste is nog steeds het gebruik maken van een cookiemuur, maar dan eentje die wel werkt en de bezoeker niet stimuleert om nadelige opties te kiezen. Het inrichten van deze cookiemuur kan wel een uitdaging zijn.
Een tweede oplossing is gebruik maken van alternatieve diensten. Voor YouTube, een van de meest voorkomende cookies, is dat door het gebruik van een alternatieve link: youtube-nocookie.com. De rest van de link blijft hetzelfde. Deze Google Support pagina legt uit hoe dat moet.
Voor de tracking diensten van LinkedIn, Facebook en Google zijn er niet direct alternatieven. We schatten in dat dit vooral wordt gebruikt door communicatieafdelingen die willen zien hoe effectief hun werk is. Als het gaat om inzicht in bezoekers zijn er voldoende alternatieven.
Over alternatieven gesproken: waar dienstverlening door externen nog is toegestaan is de website https://european-alternatives.eu/ erg interessant. Hierop staan tegenhangers van allerlei populaire diensten uit de rest van de wereld.
Tot slot is de maker van een site mogelijk niet bewust van de uitdagingen op dit gebied. Daarvoor heeft de privacy-organisatie EDRI een handleiding geschreven: “guide for ethical website development and maintenance“.
Voetnoten
[1] = Er zijn vele andere technische manieren om bezoekers te volgen, zoals de bekende tracking pixel. Browsers laten ook een vaak unieke vingerafdruk achter. In een bijzonder geval konden gebruikers worden gevolgd aan de hand van de batterijstatus van mobiele telefoons. Let op dat de advertentie-industrie draait om miljarden, dus er zijn zeker meer bekende en onbekende technieken.
Alle meetgegevens zijn beschikbaar als open data op de site basisbeveiliging.nl. De software achter basisbeveiliging.nl heet Web Security Map. De Internet Cleanup Foundation is de maker van deze software.
Deze website en gegevens op basisbeveiliging.nl vallen onder deze disclaimer.
De nieuwe meting over ongevraagde tracking cookies staat nu online. In het artikel hierover is te lezen dat we honderden van dergelijke cookies hebben gevonden bij de overheid, zorg, politieke partijen en cybersecuritybedrijven.
Certificaten expert overzicht
De rapportage bevat nu ook een handig tabblad met daarop alle certificaten. Hierdoor is het makkelijk terug te vinden waar problemen zitten.
Cookie expert overzicht
Bij de rapportage is ook het tabblad “cookies” toegevoegd. Hierop zijn allerlei cookies terug te vinden. Let op dat hier zeker niet alle cookies staan, omdat we nog niet alles aan een product hebben gekoppeld. Hier kan je wel alle ongevraagde tracking cookies vinden zoals omschreven in het artikel hierover.
Beter deelbare pagina’s op de site (deel 1)
We zijn de website beter deelbaar aan het maken. Onder andere door directe links naar rapporten en kaarten. Hier wordt e.e.a. gesloopt/aangepast zodat de complexiteit van de site wordt verlaagd.
In deel 2 verwachten we de komende weken ook directe links naar bovenstaande expert views of filters op domeinen en bevindingen.
Fix voor onterechte versienummer beoordelingen
Bij het meten van versienummers kijken we naar het IP adres van een server. Deze kan wisselen over tijd en vaak is er sprake van meerdere adressen waarvan er eentje wordt teruggegeven (waardoor dit adres lijkt te wisselen).
Door een vergissing keken we bij de beoordeling ook naar historische data bij het uitdelen van een beoordeling, hierdoor kregen sommige domeinen onterecht een melding van een versienummer mee omdat ze vroeger een ander IP adres hadden.
Ook is de monitoring op ip-adressen ook aangepast: als het bij ons bekende actuele IP adres valt onder de adressen die we terug krijgen van de DNS server verandert er niets. Partijen als Cloudflare zorgen ervoor dat deze strategie niet werkt, dus daar blijven we wat teveel ip-adressen opslaan. Toch scheelt dit een groot aantal adressen en overbodige data.
Tuning en optimalisaties
Met nieuwe lagen zoals politieke partijen lopen we tegen nieuwe bottlenecks aan. We vonden o.a. dat een simpele vraag aan de database als “hoeveel meetpunten hebben we” snel 20 seconden duurde. Dit soort uitdagingen horen erbij en hebben naast het maken van de nieuwe cookie meting het meeste tijd ingenomen. Er is onder andere getuned in:
90% minder data in het takengeheugen bij het maken van rapporten
Niet berekenen hoeveel regels er zijn bij sommige tabellen: dat is toch waardeloos bij deze aantallen: de beheerinterface is hierdoor weer snel
verwijderen en optimaliseren van duplicaat-resultaten
minder checks voor het inplannen van scans, waardoor dit veel sneller is geworden
Diverse tuning en optimilisaties in de backend om zo meer te kunnen meten. Binnenkort migreren we naar een nieuwe server met meer capaciteit.
In de komende maanden wordt een nieuwe meting toegevoegd aan basisbeveiliging: cookies.
Dit gebeurt in twee fases. De eerste staat gepland op halverwege oktober en de tweede staat op eind november. In dit overzicht staat wat er wordt gemeten en wat er gaat gebeuren.
Fase 1: voorpagina, geen toestemming
Fase 1 gaat over cookies op de voorpagina van de website. Er is bij dit bezoek geen toestemming gegeven voor het plaatsen van cookies. Dat betekent dat alleen analytische en functionele cookies mogen worden geplaatst.
In deze fase ontstaat een initieel zicht op gebruik van cookies: uit welke producten ze komen zijn en waar ze voor nodig zijn. Zo weten we straks het totaal aantal cookies is, van welke partijen ze komen en voor een aantal of het verder gaat dan functioneel en/of analytisch.
We verwachten in de week van 2 oktober al een eerste set conclusies te kunnen delen, maar de publicatie van metingen per organisatie volgt iets later. Een vooraankondiging gebeurt namelijk minimaal een maand voor publicatie. Dit geeft iedereen de ruimte om nog eventuele aanpassingen door te voeren.
Fase 2: hele site met en zonder toestemming
In deze fase wordt de site bezocht tot drie niveaus diep en worden alle mogelijke cookies verzameld over verschillende pagina’s. Er wordt expliciet toestemming gegeven voor het plaatsen van alle soorten cookies.
Hierdoor ontstaat een beeld van welke diensten van derde partijen worden gebruikt op de verschillende websites. Ook wordt het duidelijk of er verschil zit tussen het wel en geen toestemming geven.
Omdat deze meting wat intenser is dan de gebruikelijke metingen van basisbeveiliging zijn er twee belangrijke kenmerken:
De meting wordt minder vaak uitgevoerd. Eens in de zoveel weken.
De bezoeker van de site is duidelijk herkenbaar als basisbeveiliging met een link naar de achtergronden van de meting. Hierdoor kunnen eventuele uitzonderingen worden gemaakt in firewalls. De meting vindt plaats vanaf de gebruikelijke adressen.
Cookie Consent Speed Run: probeer zo snel mogelijk om alle trucs heen te werken die proberen jouw toestemming te krijgen. Je mag geen fouten maken. Ons record: 2 minuten.
Cookie Clicker: een ander spelletje in het thema, maar wat helemaal niets met deze meting te maken heeft.