Volgen politieke partijen jou op internet?

Bijna de helft van de politieke partijen in Nederland heeft tracking cookies gebruikt op hun eigen websites, waarmee ze potentiële kiezers elders op internet gericht konden benaderen (microtargeting). Met zulke tracking cookies verwerken de partijen doorgaans bijzondere persoonsgegevens. Terwijl dat alleen mag met uitdrukkelijke toestemming van de betrokkenen. Maar daarvan is geen sprake, blijkt uit onderzoek van Privacy Company.


Sinds het Cambridge Analytica schandaal is politieke microtargeting een gevoelig onderwerp. De Autoriteit Persoonsgegevens (AP) noemt daarom verkiezingen en microtargeting ook als specifiek aandachtsgebied voor het toezicht van 2020 tot en met 2023. Volgens de AP is een rechtmatige, behoorlijke en transparante verwerking belangrijk om vrije verkiezingen te waarborgen in een open samenleving. Het onrechtmatig opbouwen van hele specifieke profielen van kiezers en die profielen gebruiken om zeer gericht mensen te beïnvloeden in hun politieke voorkeuren vormt daarmee een belangrijk risico.  


Het is niet duidelijk of de AP algemeen onderzoek heeft gedaan naar het gebruik van microtargeting bij de afgelopen algemene verkiezingen. Dat heeft Privacy Company wel gedaan. De resultaten staan hieronder. De toezichthouder heeft in totaal twee acties gepubliceerd richting politieke partijen. De AP heeft een boete opgelegd aan de PVV Overijssel vanwege het niet melden van een datalek. De overtreding gaat niet over microtargeting, maar over het versturen van een nieuwsbrief per e-mail, en blijft daarom buiten beschouwing van deze blog. De AP heeft voorafgaand aan de verkiezingen (op 16 februari 2021) een handleiding gepubliceerd voor privacy bij verkiezingscampagnes.


Privacy Company heeft onderzoek gedaan bij alle verkiesbare politieke partijen uit de verkiezingen van 2021 naar de naleving van de twee belangrijkste spelregels uit de handleiding van de AP. 

Het gaat om de volgende regels:

  • De partijen moeten een grondslag hebben, d.w.z. een uitzondering op het verwerkingsverbod voor persoonsgegevens die kunnen gaan over politieke opvattingen. Uitdrukkelijke toestemming is de meest voor de hand liggende mogelijkheid.
  • De partijen moeten de regels volgen van het Europees Comité van toezichthouders over transparantie, waarbij ze rekening moeten houden met de ingewikkelde relatie tussen partijen die betrokken zijn bij online tracking.


Uit het onderzoek blijkt dat bijna de helft van de politieke partijen zonder toestemming commerciële tracking cookies plaatste op hun eigen websites tijdens de campagne voor de Tweede Kamerverkiezingen. Het gaat daarbij om zes partijen met gezamenlijk 30 zetels in de kamer en tien partijen die geen zetel hebben gehaald. Alle websites van de 37 betrokken politieke partijen zijn bezocht, er zijn screenshots gemaakt en er zijn verschillende pagina’s bezocht. Tijdens dit bezoek is nooit toestemming gegeven voor cookies. Al het netwerkverkeer is vastgelegd. Vervolgens is geanalyseerd welke partijen tracking cookies plaatsten, en van welke bedrijven die cookies afkomstig waren. Het invloedrijke Amerikaanse e-zine Politico heeft een verhaal gepubliceerd aan de hand van de resultaten van dit onderzoek. 


Na afloop van de verkiezingen heeft Privacy Company verder onderzoek gedaan bij de 16 partijen die commerciële trackers gebruikten zonder toestemming van de betrokkenen. Ze zijn op de hoogte gesteld van de resultaten van het onderzoek, informeel verzocht om alle onrechtmatig verzamelde persoonsgegevens te (laten) verwijderen, en ze hebben een formeel verzoek gekregen (art. 17 AVG) om de persoonsgegevens van de onderzoeker te (laten) verwijderen. Geen van deze partijen heeft formeel gereageerd op het verwijderverzoek, en dat leidt automatisch tot een hoog risico voor betrokkenen. 


Bij online tracking zijn de websitehouder en de tracker in ieder geval gezamenlijk verwerkingsverantwoordelijke voor het verzamelen van de persoonsgegevens. Dat blijkt klip en klaar uit arresten van het Europees Hof van Justitie. Dat kan alleen anders zijn als de tracker een verwerker is van de websitehouder. Maar voor het uitoefenen van het inzage en verwijderrecht maakt dat niet veel uit: in beide gevallen moet de websitehouder uitleg geven aan de betrokkene, ook als hij technisch niet in staat zou zijn om zelf aan het verzoek te voldoen.


De helft van de aangeschreven partijen heeft geen enkele inhoudelijke reactie gegeven, ook niet na een herinneringsmail een maand na het oorspronkelijke verzoek waarin de partijen werd uitgelegd dat de wettelijke termijn om te reageren, inmiddels was verstreken. Vijf van de aangeschreven partijen hebben van de gelegenheid gebruik gemaakt om de betreffende tracking van de site te verwijderen en/of het verwijderingsverzoek door te zenden naar de trackers die actief waren op hun website. Geen van die doorgezonden verzoeken heeft tot een formele reactie geleid waaruit blijkt welke actie is ondernomen voor het verwijderen van de persoonsgegevens.


Uit de gesprekken met de zestien politieke partijen die in strijd handelden met de spelregels van de AP, is duidelijk geworden dat lang niet alle partijen bewust de wet overtreden. Ze zijn niet bekend met de voorlichting van de AP, en ze vinden het onderwerp, door de combinatie van techniek en juridische vragen, erg ingewikkeld. 


Voor effectief toezicht is meer dan alleen voorlichting nodig. Handhaving is noodzakelijk. Handhaving betekent niet dat websitehouders een boete moeten krijgen zodra een grote advertentiepartij niet meewerkt. In zulke gevallen ligt het meer voor de hand dat een onderzoek naar de niet-meewerkende advertentiepartijen wordt gestart zodat de rechten van bezoekers van heel veel websites beter worden beschermd. Websitehouders die helemaal niet reageren op verzoeken van betrokkenen zullen waarschijnlijk pas reageren na directe actie van de AP. 


Tips voor websitehouders om bovenstaande problemen te voorkomen:

  1. Wees voorzichtig met het invoegen van externe content in je website zoals filmpjes, of social media koppelingen. Deze externe content kan ertoe leiden dat de bezoeker van je website wordt gevolgd voor commerciële doelen, zonder dat je dat als websitehouder wilt of zelfs weet. Je kunt dan ongewild gezamenlijk verwerkingsverantwoordelijk zijn onder de AVG voor de verzameling van persoonsgegevens.
  2. Voor de tracking die je wél bewust opneemt in je website, moet je meer doen dan alleen een toestemmingsvraag inbouwen. Betrokkenen moeten hun toestemming ook weer kunnen intrekken. Bovendien moeten de advertentienetwerken jou helpen bij inzage of verwijderverzoeken. Daar moet je afspraken over maken.
  3. Controleer of de partijen die op je website bezoekers volgen, ook echt meewerken met verzoeken van betrokkenen. De AP kan handhaven op zowel de websitehouders als de trackers als een betrokkene een klacht indient. Omdat de AP niet de leidende toezichthouder is voor meeste grote advertentienetwerken (dat zal meestal de Ierse toezichthouder zijn), is de kans groot dat de AP zich richt op de websitehouder.


Privacy Company helpt graag met vragen over online tracking, e-privacy, rechten van betrokkenen en hoe verwerkers daarin betrokken kunnen worden.







Gepubliceerd op
15/7/2021
Privacy Company - Eprivacy - microtrageting