Uw politieke voorkeur is een publiek geheim

Sinds het verschijnen van de Privacy-barometer, die morgen wordt aangevuld met een Digitalevrijheidswijzer van Bits of Freedom, hebben we een idee over wat de privacystandpunten van de politieke partijen zijn. Nu leek het mij interessant om te zien in hoeverre dit terugkomt in de websites van deze partijen, oftewel: laat de webmaster het partijprogramma meewegen bij de bescherming van uw politieke voorkeur? Betere privacy begin immers bij uzelf (zegt Postbus 51)… of toch niet?

Zodra een website geladen wordt, krijgt uw browser meestal instructies om bepaalde onderdelen van andere websites te gebruiken. Hiervoor moet uw browser dus verbinding maken met derde partijen. Welke derden zijn dit? Gewapend met het Net-paneel van Firebug heb ik het uitgezocht. Alleen de voorpagina van de websites is bezocht. Hieronder het resultaat:

  1. Christen Democratisch Appèl: ytimg.com, jquerytools.org, googleadservices.com, surfandsound.nl, nos.nl, google-analytics.com, doubleclick.net, youtube.com
  2. Partij van de Arbeid: twimg.com, bit.ly, youtube.com, google-analytics.com
  3. Socialistische Partij: w3.org, bbvms.com
  4. Volkspartij voor Vrijheid en Democratie: doubleclick.net, google-analytics.com
  5. Partij voor de Vrijheid: youtube.com, google-analytics.com
  6. GroenLinks: google-analytics.com
  7. ChristenUnie: sharethis.com, google-analytics.com
  8. Democraten 66: googleapis.com, twimg.com, flickr.com, google-analytics.com, twitter.com, yahoo.com, yimg.com
  9. Partij voor de Dieren: google.com, google-analytics.com
  10. Staatkundig Gereformeerde Partij: wiscentral.com, google-analytics.com
  11. Partij voor de Mens en alle overige aardbewoners: google-analytics.com, youtube.com, ytimg.com
  12. Nieuw Nederland: google.com, gvt0.com
  13. Trots op Nederland: flickr.com, onestat.com, google-analytics.com
  14. Partij voor Mens en Spirit: google-analytics.com
  15. Heel Nederland: wibiya.com, youtube.com, google-analytics.com, addthis.com, ytimg.com, facebook.com, fbcdn.net, quantserve.com, addthiscdn.com, amung.us
  16. Partij één: disqus.com, jewebdesigner.nl, ning.com, twimg.com, wibiya.com, creativecommons.org, slidesharecdn.com, youtube.com, quantserve.com, ytimg.com, twitter.com, slideshare.net, google-analytics.com, amung.us, verkiezingstweets.nl
  17. Lijst Feijen: googleapis.com, intensedebate.com, twimg.com, google-analytics.com, quantserve.com, twitter.com, gravatar.com
  18. Piratenpartij: googleapis.com, longtailvideo.com
  19. Evangelische Partij Nederland: adobe.com

De webmaster van het CDA wist zo te zien voor welke partij hij werkte. D66 presteert ondermaats vergeleken met zijn uitgebreide privacystandpunt in het verkiezingsprogramma. De SP lijkt grote complimenten te verdienen, al heb ik geen idee wat dat BBVMS is. Sommige nieuwe partijen lijken volledig op sociale netwerken te leunen en maken er echt een potje van.

Voor degenen die het niet weten: vrijwel al deze verbindingen met derden bevatten een zogenaamde Referer-header of zijn anderszins terug te traceren naar de website van de politieke partij.

Denk eraan dat YouTube en DoubleClick in handen zijn van Google en concludeer dat er een zeer grote kans is dat uw politieke partij uw politieke voorkeur aan Google heeft doorgegeven. Merkwaardig genoeg is dit over het algemeen redelijk zinloos: waar ik u verbinding laat maken met Google omdat ik moeilijk alle advertenties op deze site zelf kan regelen, laten politieke partijen u verbindingen met derden maken om:

Wellicht nog opmerkelijker is waar ik zoals het hoort in mijn privacybeleid vermelding maak van Google, politieke partijen daar geen reden toe zien — indien ze überhaupt een privacybeleid hebben — hoewel Google dit verplicht in de voorwaarden van Google Analytics.

De webmasters hebben dus nog genoeg te doen. Met bovenstaand lijstje tips zou de lijst met derde partijen drastisch moeten kunnen worden ingekort. Confronteer de webmasters hier vooral mee, zou ik zeggen.

Opgemerkt dient te worden dat bij de SGP de cache van Google is gebruikt aangezien de website zelf plat ligt.

Tot slot nog een kleine opmerking voor de SP: ja, ook de bannertjes die aangeven dat de website conform standaarden is, kunnen zelf worden gehost. Kijk hieronder voor een voorbeeld.

4 reacties

Mieszko Czyzyk

Interessant onderzoek.

Ik vraag me alleen af: in hoeverre is een IP + referrer meer/minder privacy gevoelig als het bij YouTube of Twitter ligt dan alleen bij je ISP. Ander voorbeeld: wat als je tijdens werktijd surft en je politieke interesses vervolgens in de logs van je werkgever staan?

Mijn punt: IPs en referrers zijn onderdeel van het HTTP protocol. Gebruik van derde diensten op websites is misschien niet altijd nodig, maar niet direct schadelijk. Wat met semi-privacy gevoelige info zoals IPs vervolgens gedaan mag worden (opsporingsdiensten, commercieel gewin, anonieme statistiek, noem maar op) is de centrale vraag.

Jeroen van der Gun

Je werkgever kan sowieso zien wat je op online doet (tenzij je de via SSL bezoekt, wat in dit geval niet mogelijk is).

Je 'punt' is correct. In dit geval gaat het er inderdaad om wat Google en andere genoemde derden met al deze gegevens doen en of dat het leveren van deze gegevens legitimeert. Google zal het gebruiken om een advertentieprofiel op te stellen.

Mieszko Czyzyk

Misschien een interessante aanvulling over Google en advertentieprofielen; je kan via http://www.google.com/privacy_ads.html opt-outen voor Google Ads op basis van je interesses. Bij 'beheer uw advertentievoorkeuren' kan je zien wat Google op dit moment van je weet.

Opmerkelijk natuurlijk dat de standaard instelling opt-in is!

Ps. Overigens worden je interesses niet vastgesteld op basis van referrer gegevens naar diensten zoals Google Analytics, maar op via bezoeken aan sites met AdSense / DoubleClick.

Voeg een reactie toe