De Belastingdienst heeft bezoekers van zijn website gevolgd met Adobe Analytics, en dat had niet gemogen. In antwoord op Kamervragen bevestigt staatssecretaris Eerenberg dat de dienst daarmee de privacywetgeving overtrad: het volgen gebeurde zonder geldige grondslag en zonder toestemming, terwijl gegevens uit de betaalomgeving naar het Amerikaanse Adobe gingen. Voor vrijwel elke organisatie die web-analytics inzet, van een webshop tot een gemeente, is dit een nuchtere waarschuwing dat een tracker aanzetten geen vrijblijvende keuze is.
Wat er precies misging
Adobe Analytics stond actief in de betaalomgeving van belastingdienst.nl, juist het deel waar mensen hun aanslagen en betalingen regelen. Daarbij werden identifiers en tracking-cookies met een bewaartermijn van twee jaar geplaatst, en gingen onder meer IP-adressen en navigatie- en gebruiksgegevens mee naar Adobe. De dienst kan bovendien niet uitsluiten dat er meer is gedeeld, bijvoorbeeld uit vrije tekst- en zoekvelden. Volgens de staatssecretaris was dit gebruik niet in lijn met de geldende ePrivacy-regels en de AVG: bij zo'n bewaartermijn en hoeveelheid data had vooraf om toestemming gevraagd moeten worden.
De kwestie kwam aan het licht na een melding van een beveiligingsonderzoeker. De Belastingdienst heeft Adobe Analytics daarop stopgezet en een datalek gemeld bij de Autoriteit Persoonsgegevens. Voordat er weer analytics aangaat, wil de dienst eerst de grondslag en proportionaliteit opnieuw beoordelen, een DPIA uitvoeren en een verwerkersovereenkomst sluiten. Met andere woorden: precies de stappen die vooraf hadden moeten gebeuren.

Waarom dit verder reikt dan de Belastingdienst
Dat juist de Belastingdienst hier de fout in gaat, maakt het probleem zo herkenbaar. Een analytics-script plaats je in een paar minuten, en de juridische rommel wordt pas zichtbaar als iemand goed kijkt. De data verdween bovendien naar een Amerikaanse leverancier, dezelfde soort afhankelijkheid waarvoor AP-voorzitter Wolfsen waarschuwde dat de halve Nederlandse overheid stil kan liggen als de VS dat wil. Voor een toezichthouder op privacy is een Amerikaanse tracker in de betaalstraat van de fiscus geen detail, maar een principekwestie.
Het onderstreept dat digitale soevereiniteit geen politiek statement is maar risicobeheer: wie zijn bezoekersdata standaard naar een Amerikaanse dienst stuurt, neemt een afhankelijkheid op de koop toe die in een DPIA gewoon zichtbaar is, als je hem maakt.
Wat dit voor jou betekent
Als zelfs de Belastingdienst zijn analytics niet op orde had, is de vraag niet of jouw setup klopt, maar of je het ooit hebt nagelopen. Drie dingen zijn concreet:
- Inventariseer wat er meekijkt. Adobe Analytics, Google Analytics, een Meta-pixel, een hotjar-script: weet je welke trackers op je site staan, welke data ze versturen en naar welk land?
- Geen niet-functionele tracking zonder toestemming. Cookies en identifiers die niet strikt nodig zijn voor de werking van je site vragen om voorafgaande, geinformeerde toestemming, helemaal in een betaal- of inlogomgeving.
- Leg de basis vast. Een DPIA en een verwerkersovereenkomst zijn geen papierwerk achteraf, ze bepalen of je een tool uberhaupt mag gebruiken. Het echte AVG-risico zit niet in de tool, maar in welke data je deelt en met wie.
De Autoriteit Persoonsgegevens kan handhaven en boetes opleggen, ook bij overheden. Maar de bredere les is goedkoper dan een boete: behandel een analytics-tool als een verwerking met gevolgen, niet als een schakelaar die je even omzet. Wie de grondslag, de bewaartermijn en de bestemming van zijn data van tevoren regelt, hoeft achteraf geen script halsoverkop uit te zetten.
Veelgestelde vragen
Privacy vanaf het ontwerp
Ik help je je data-, analytics- en integratiekeuzes zo inrichten dat grondslag, toestemming en grip vanaf het begin kloppen, van meedenken en ontwerp tot bouwen en automatiseren, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
