Close-up van een computerscherm met een web-analytics dashboard vol grafieken
Nieuws26 juni · 12:295 min leestijd

Belastingdienst schond privacywet met Adobe Analytics in betaalomgeving

De Belastingdienst volgde bezoekers van zijn website met Adobe Analytics zonder geldige grondslag of toestemming, bevestigt staatssecretaris Eerenberg. Een directe waarschuwing voor elke organisatie die web-analytics inzet op haar site.

De Belastingdienst heeft bezoekers van zijn website gevolgd met Adobe Analytics, en dat had niet gemogen. In antwoord op Kamervragen bevestigt staatssecretaris Eerenberg dat de dienst daarmee de privacywetgeving overtrad: het volgen gebeurde zonder geldige grondslag en zonder toestemming, terwijl gegevens uit de betaalomgeving naar het Amerikaanse Adobe gingen. Voor vrijwel elke organisatie die web-analytics inzet, van een webshop tot een gemeente, is dit een nuchtere waarschuwing dat een tracker aanzetten geen vrijblijvende keuze is.

Wat er precies misging

Adobe Analytics stond actief in de betaalomgeving van belastingdienst.nl, juist het deel waar mensen hun aanslagen en betalingen regelen. Daarbij werden identifiers en tracking-cookies met een bewaartermijn van twee jaar geplaatst, en gingen onder meer IP-adressen en navigatie- en gebruiksgegevens mee naar Adobe. De dienst kan bovendien niet uitsluiten dat er meer is gedeeld, bijvoorbeeld uit vrije tekst- en zoekvelden. Volgens de staatssecretaris was dit gebruik niet in lijn met de geldende ePrivacy-regels en de AVG: bij zo'n bewaartermijn en hoeveelheid data had vooraf om toestemming gevraagd moeten worden.

De kwestie kwam aan het licht na een melding van een beveiligingsonderzoeker. De Belastingdienst heeft Adobe Analytics daarop stopgezet en een datalek gemeld bij de Autoriteit Persoonsgegevens. Voordat er weer analytics aangaat, wil de dienst eerst de grondslag en proportionaliteit opnieuw beoordelen, een DPIA uitvoeren en een verwerkersovereenkomst sluiten. Met andere woorden: precies de stappen die vooraf hadden moeten gebeuren.

Het hoofdkantoor van de Belastingdienst in Apeldoorn, de dienst die zijn web-analytics uit voorzorg stopzette. Bron: Choinowski / Wikimedia Commons (CC BY-SA 4.0)
Het hoofdkantoor van de Belastingdienst in Apeldoorn, de dienst die zijn web-analytics uit voorzorg stopzette. Bron: Choinowski / Wikimedia Commons (CC BY-SA 4.0)

Waarom dit verder reikt dan de Belastingdienst

Dat juist de Belastingdienst hier de fout in gaat, maakt het probleem zo herkenbaar. Een analytics-script plaats je in een paar minuten, en de juridische rommel wordt pas zichtbaar als iemand goed kijkt. De data verdween bovendien naar een Amerikaanse leverancier, dezelfde soort afhankelijkheid waarvoor AP-voorzitter Wolfsen waarschuwde dat de halve Nederlandse overheid stil kan liggen als de VS dat wil. Voor een toezichthouder op privacy is een Amerikaanse tracker in de betaalstraat van de fiscus geen detail, maar een principekwestie.

Het onderstreept dat digitale soevereiniteit geen politiek statement is maar risicobeheer: wie zijn bezoekersdata standaard naar een Amerikaanse dienst stuurt, neemt een afhankelijkheid op de koop toe die in een DPIA gewoon zichtbaar is, als je hem maakt.

Wat dit voor jou betekent

Als zelfs de Belastingdienst zijn analytics niet op orde had, is de vraag niet of jouw setup klopt, maar of je het ooit hebt nagelopen. Drie dingen zijn concreet:

  • Inventariseer wat er meekijkt. Adobe Analytics, Google Analytics, een Meta-pixel, een hotjar-script: weet je welke trackers op je site staan, welke data ze versturen en naar welk land?
  • Geen niet-functionele tracking zonder toestemming. Cookies en identifiers die niet strikt nodig zijn voor de werking van je site vragen om voorafgaande, geinformeerde toestemming, helemaal in een betaal- of inlogomgeving.
  • Leg de basis vast. Een DPIA en een verwerkersovereenkomst zijn geen papierwerk achteraf, ze bepalen of je een tool uberhaupt mag gebruiken. Het echte AVG-risico zit niet in de tool, maar in welke data je deelt en met wie.

De Autoriteit Persoonsgegevens kan handhaven en boetes opleggen, ook bij overheden. Maar de bredere les is goedkoper dan een boete: behandel een analytics-tool als een verwerking met gevolgen, niet als een schakelaar die je even omzet. Wie de grondslag, de bewaartermijn en de bestemming van zijn data van tevoren regelt, hoeft achteraf geen script halsoverkop uit te zetten.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Privacy vanaf het ontwerp

Ik help je je data-, analytics- en integratiekeuzes zo inrichten dat grondslag, toestemming en grip vanaf het begin kloppen, van meedenken en ontwerp tot bouwen en automatiseren, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen
Signaal
6 min

4 jul 18:06

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen

Uber, Yango, Odido, tien gemeenten. Los zijn het losse boetes, samen laten ze zien hoe de Autoriteit Persoonsgegevens de datastromen van het AI-tijdperk onder handen neemt. En waar dat jou raakt.

AP-voorzitter Wolfsen: 'Als Trump het wil, ligt morgen de halve Nederlandse overheid stil'
Nieuws
5 min

19 jun 22:17

AP-voorzitter Wolfsen: 'Als Trump het wil, ligt morgen de halve Nederlandse overheid stil'

Vertrekkend privacytoezichthouder Aleid Wolfsen waarschuwt op de nationale radio voor de gevaarlijke afhankelijkheid van Amerikaanse techbedrijven. Zijn advies aan elke organisatie: maak exitstrategieën en begin nu met afbouwen.

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier
Nieuws
4 min

10 jul 18:10

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier

Bij een hack op een IT-dienstverlener van Lidl zijn naam, telefoonnummer, e-mailadres, geboortedatum en klantnummer van webshopklanten gelekt. Wachtwoorden en bankgegevens bleven veilig. Waarom dit elke ondernemer met een webshop en externe leveranciers aangaat.

Kabinet pauzeert uitrol Microsoft 365 bij Belastingdienst en Douane
Nieuws
4

10 jul 12:11

Kabinet pauzeert uitrol Microsoft 365 bij Belastingdienst en Douane

Het kabinet zet de uitrol van Microsoft 365 bij de Belastingdienst, Douane en Toeslagen stil na een vernietigend ICT-advies over vendor lock-in, en laat het eigen, on-premises scenario opnieuw uitwerken.

Bits of Freedom: AIVD en MIVD trainen mogelijk eigen AI met burgerdata
Nieuws
4 min

6 jul 12:13

Bits of Freedom: AIVD en MIVD trainen mogelijk eigen AI met burgerdata

Bits of Freedom leidt uit het CTIVD-rapport over bulkdata af dat de AIVD en MIVD mogelijk hun eigen AI trainen met data van burgers. De diensten bevestigen niets, maar de governance-fout eronder raakt elk bedrijf dat AI traint.