Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Oostenrijkse privacytoezichthouder: Google Analytics is in strijd met GDPR

Google Analytics is volgens de Oostenrijkse privacytoezichthouder in strijd met Europese privacywetgeving. De dienst stuurt IP-adressen en cookiegegevens van gebruikers naar de VS, wat volgens de waakhond onder de GDPR verboden is.

IP-adressen en cookiedata vallen volgens de Oostenrijkse privacywaakhond onder persoonlijke gegevens en mogen daarom volgens de privacywet niet naar de Verenigde Staten overgedragen worden, schrijft privacystichting noyb. Als verweer zei Google gebruikersgegevens voldoende versleuteld te hebben, maar volgens de Oostenrijkse waakhond zijn de getroffen maatregelen van de zoekgigant niet effectief voor het voorkomen van spionage vanuit de VS. Het is onduidelijk of er sancties genomen zullen worden, schrijft noyb; dat staat los van deze procedure.

Het is de eerste uitspraak in een van de 101 aanklachten over datatransfers naar de VS die de privacystichting in 2020 indiende bij verschillende Europese privacytoezichthouders. Ook in Nederland en België zijn er klachten ingediend; die gaan onder andere over de websites van Marktplaats, PostNL, Thuisbezorgd, Neckermann, Bpost. Het is niet bekend of die in behandeling zijn genomen door de Nederlandse en Belgische toezichthouders en wat de status daarvan is.

Volgens Max Schrems, de voorzitter van noyb, betekent deze beslissing dat bedrijven niet langer Amerikaanse clouddiensten in Europa kunnen gebruiken. ''Het is meer dan anderhalf jaar sinds het Hof van Justitie dit voor een tweede keer heeft bevestigd, dus het is goed dat er nu ook wordt gehandhaafd.''

Deze beslissing heeft volgens noyb gevolgen voor alle Europese websites. ''Dat toezichthouders nu gaandeweg diensten uit de VS illegaal verklaren, zorgt ervoor dat EU-bedrijven en VS-providers meer druk zullen voelen om veilige en legale opties te gaan gebruiken, zoals hosten buiten de VS." Schrems zegt te verwachten dat meer EU-lidstaten dergelijke beslissingen zullen nemen. "Uiteindelijk krijgen we of adequate bescherming in de VS, of afzonderlijke producten in de VS en de EU.''

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Kevin Krikhaar

Stagiair nieuwsredactie

13-01-2022 • 17:26

50 Linkedin

Submitter: BigSmurf

Reacties (50)

Wijzig sortering
Toevallig vanmorgen een docu bekeken van Tegenlicht (VPRO) over de data honger van de tech giganten, in dit geval Google en Facebook. En wat er met al die data gebeurt en hoe ze er heel veel geld mee verdienen.

Aflevering heet 'de grote dataroof'. Ik vond het de moeite om deze aflevering te bekijken. Het bracht mij in ieder geval een andere kijk op de zaak.

Voor de geinteresseerden: https://www.npostart.nl/v.../27-10-2019/VPWON_1295417
Reageer
Dankjewel voor de tip. Ik ga kijken.
Reageer
"The Age Of Surveillance Capitalism" van Shoshana Zuboff gaat uitgebreid in op dit fenomeen. Fantastisch boek.
Reageer
Dit is inderdaad een interessante aflevering. Hij is al wat ouder maar de mevrouw heeft een boeiende kijk op dergelijke bedrijven.
En ik verbaas me er eigenlijk over dat het niet meer stof heeft doen opwaaien (of oplaaien?).
Reageer
Voor de mensen uit belgië die niet naar vpro kunnen kijken: het staat ook op youtube (vrij ironisch inderdaad...): https://www.youtube.com/watch?v=hIXhnWUmMvw

Juist gezien, maar zelf niets bijgeleerd en sommige dingen toch wel op het randje van conspiracy, maar dat is mijn mening :)
Reageer
Zie ook de update op de website van de Autoriteit Persoonsgegevens: Hoe kan ik bij Google Analytics de privacy van mijn websitebezoekers beschermen?
Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan

De Oostenrijkse privacytoezichthouder rondde in januari 2022 een onderzoek af naar het gebruik van Google Analytics door een Oostenrijkse website. Google Analytics blijkt volgens de Oostenrijkse toezichthouder in dit onderzochte geval niet aan de AVG te voldoen.

De AP onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland. Na afronding van dat onderzoek, begin 2022, kan de AP zeggen of Google Analytics nu is toegestaan of niet.

[Reactie gewijzigd door Darses op 13 januari 2022 19:44]

Reageer
Waar moet ik aan denken bij 'cookiegegevens '> Ik lees "De dienst stuurt IP-adressen en cookiegegevens van gebruikers naar de VS, wat volgens de waakhond onder de GDPR verboden is."
Reageer
Waar moet ik aan denken bij 'cookiegegevens '> Ik lees "De dienst stuurt IP-adressen en cookiegegevens van gebruikers naar de VS, wat volgens de waakhond onder de GDPR verboden is."
Wat je erbij moet denken, is precies wat er staat.

Google moet zijn diensten in de EU gaan hosten en zijn verwerking van dergelijke data in de EU gaan doen. Tevens mag de data (dus ook die van backups) niet meer de EU verlaten zolang de waarborgen niet adequaat zijn en dat zijn deze volgens de Europese toezichthouder(s) dus niet.
Reageer
Hosten in de EU is niet voldoende.

Als gevolg van Amerikaanse wetgeving (Cloud Act, Patriot Act) zijn alle bedrijven die hieronder vallen (inclusief hun dochters) eraan gehouden desgevraagd hun gegevens beschikbaar te stellen aan VS opsporingsdiensten.

Het maakt dus geen verschil of Google (Facebook, AWS, etc.) haar gegevens opslaat in de VS of in bijvoorbeeld Ierland.
Kortom, één gaatje en de hele tent is lek.
Reageer
In dat geval mag men Office365 ook uit alle organisaties gaan slopen.
Reageer
Het gaat vaak om IP adres (inherent aan TCP/IP), een (pseudonieme) identifier van de gebruiker die meestal in een cookie staat opgeslagen en verschillende meta-data zoals de referer-header die de url van de pagina waarop de gegevens zijn verzameld bevat. Afhankelijk van hoe Google Analytics is geconfigureerd kunnen er meer gegevens verzameld worden.

Wat interessant is aan deze zaak is dat Google Analytics geconfigureerd kan worden op een relatief privacyvriendelijke manier. Het grote obstakel hier is de export van gegevens zonder een passend beschermingsniveau. Ik verwacht dat heel veel online tracking/analytics/etc. niet voldoen aan deze norm.
Reageer
Met beschermingsniveau wordt hier gelijkwaardige privacyregels bedoelt. Of de wetgeving in de VS gelijkwaardig is aan de Europese. De Europese rechter vindt al een tijdje van niet. Dus als online tracking/analyse tooling zijn data Europees opslaat voldoet deze wel en Google niet.
Reageer
Dat zit wat complexer in elkaar. Er zijn verschillende doorgifte-mechanismen mogelijk. Een DTIA (Data Transfer Impact Assessment, risico-beoordeling voor de transfer) over het algemeen behoorlijk lastig om zorgvuldig te maken. Ook gaat het niet over de geografische locatie van opslag, maar ook of een cloud provider buiten de EU bij de data kan komen. En het beschermingsniveau in de V.S. is nooit passend geweest. Er zijn twee aanvullende mechanismen gecreëerd (Safe Harbour en Privacy Shields) die voor een soort opt-in aanvullende bescherming konden zorgen. Maar die zijn beide door de rechter onderuit gehaald.
Reageer
IP-adressen worden niet in een cookie opgeslagen. Dat zou ook redelijk onzinnig zijn, aangezien (1) je IP-adres openbaar is voor de webserver waar je op dat moment contact mee hebt, (2) je IP-adres kan veranderen op een willekeurig moment, (3) meerdere gebruikers achter een firewall hetzelfde IP-adres hebben. Wat opgeslagen wordt in de cookie is een unieke ID die door Google Analytics aan jou computer toegekend wordt, zodat ze weten dat je dezelfde gebruiker bent als je de volgende pagina opvraagt.

Wel frappant de opspraak over IP-adressen, aangezien die de technische ruggegraat vormen van het internet. Als je je IP-adres niet naar de webserver stuurt, dan kun je geen communicatie met die server hebben en dus geen pagina's opvragen...
Reageer
Jij mag zelf wel je IP adres aan een webserver openbaren, zoals nodig om de website te bezoeken. De uitspraak gaat erover dat de website eigenaar, of een 3rde partij die gegevens (dat IP adres + ...) niet zomaar mag naar ergens anders doorsturen.
Reageer
Google verzamelt zoveel mogelijk gegevens, zodat ze individuele gebruikers kunnen herkennen. Zelfs op andere websites.
Google weet zo precies welke pagina's jij bezoekt op Tweakers.
Reageer
Mooi zo, weg ermee regel die statistieken maar op je eigen server
Reageer
Mooi zo, weg ermee regel die statistieken maar op je eigen server
De lastige waarheid is dan wel dat die 'eigen server' steeds vaker een VM in de cloud is van precies dezelfde Amerikaanse bedrijven. Maar dat is toch nog beter dan Google Analytics en andere cookienetwerken.

[Reactie gewijzigd door CAPSLOCK2000 op 14 januari 2022 01:02]

Reageer
Juist! Als je daar de kennis niet voor hebt en Matomo te log / uitgebreid is Plausible.io simpel alternatief (zelf hosted gratis en betaald hosted door Plausible).
No cookies and fully compliant with GDPR, CCPA and PECR. Made and hosted in the EU

[Reactie gewijzigd door RobbyTown op 13 januari 2022 18:39]

Reageer
Naïf. Hoe ga je dan om met adwords en advertentie campaigns? Website optimiser en search console? Dat hangt allemaal achter de Analytics.
Reageer
Nvt. Maak ik geen gebruik van voor persoonlijke website en hobbyclubs.
Reageer
Komt bij mij pas na wetgeving op het lijstje.
Reageer
Vreemd. Ik gebruik analytics op tientallen sites en heb al jaren ip's op anoniem staan binnen de settings. Omdat dit vanwege europese regelgeving verplicht was en we er toch niks konden. Je zou toch zeggen dat de gebruiker van de software dus verantwoordelijk is voor het anonimiseren van deze gegevens en niet google die de software ook buiten europa gebruikt.
Reageer
Jij hebt het op orde, maar het probleem is dat hetzelfde GA-cookie hergebruikt wordt op andere sites met Google Analytics. Als niet alle sites het IP-adres anonimiseren dan is het verkeer wat jij naar Google Analytics stuurt ook herleidbaar. Niet voor jouw maar wel voor Google. Overigens zou Google daar in principe niets mee mogen doen voor hun eigen doel als je dit zo hebt ingesteld in Google Analytics.
Reageer
Dat hoeft ook niet persé Google te zijn, maar omdat het naar US servers gaat hebben de intelligence diensten er ook toegang toe. En in dit geval heeft de rechter gezegd dat ‘encryptie’ van de data niet afdoende is. Immers de intelligence diensten kunnen gewoon de decryptie key eisen.
Reageer
Nou Tweakers, werk aan de winkel dus!
Reageer
Ik denk dat we deze site maar even moeten mijden totdat de IT guys van DPG/Tweakers de boel hebben opgeschoond.
Reageer
Ik gebruik Matomo op een paar plekken omdat ik geen data over mijn bezoekers naar Google wil sturen en in Matomo kun je allerlei privacyniveaus kiezen. Eentje daarvan is om het laatste of de laatste twee octetten van het IP-adres weg te laten. Zo weet je grofweg wel zo'n beetje in welke stad een bezoeker zich bevindt maar niet veel preciezer dan dat.

Ik vermoed dat dit anonimiseren door Matomo op mijn eigen server gebeurt (die in mijn geval altijd in de EU staat, servers buiten de EU doe ik niet aan). Maar, zou Google Analytics niets iets aan hun client (de JavaScript die je op je site plaatst) kunnen doen zodat het anonimiseren client side gebeurt? Als de client het lokale adres opvraagt en een laatste stukje er af knipt voordat het naar de server wordt gestuurd dan ben je al een heel eind, lijkt me.
Reageer
Dit is één van de redenen, waarom ik CAOS gebouwd heb (voor WordPress.)

Kan gemakkelijk cookieless (a.d.h.v. JavaScript's LocalStorage) worden gemaakt én heeft een eigen proxy die o.a. het IP adres volledig anonimiseerd alvorens het naar Google Analytics te sturen. Het enige IP adres wat dus bij GA bekend wordt is het IP adres van de server die de data stuurt.

Het is jammer dat Google Analytics de default (niet privacy vriendelijke) configuratie zo door iedereen z'n strot duwt, want het kan echt wel op een GDPR-vriendelijke manier worden ingesteld.
Reageer
FYI het gaat totaal niet over cookies, daarom heb ik ook zo'n hekel aan die meldingen/balken die zeggen of je cookies wilt accepteren.
Het gaat over het volgen van bezoekers, of je een token opslaat in een cookie of localstorage maakt voor de wet niet uit.

Dat je het ip adres niet doorstuurt is netjes, hierdoor maak je het inderdaad een stuk anoniemer.
In Matomo kun je dit overigens ook op verschillende niveaus instellen.
Reageer
Mwah, klein beetje wel. Door Google Analytics nu o.a. cookieless te maken, onderbreek je de tracking met data die Google nu al van je heeft. Omdat de uid of cid nu iedere sessie wisselt.

Voorbeeld:
Gebruiker surft al jaren op het web; Google heeft een IP adres verzameld, en deze gekoppeld aan een uniek uid of cid.

Opeens wordt de AVG ingevoerd, en moet Google aanpassingen doen. De anonymize IP parameter wordt ingevoerd.

Website eigenaren voeren die massaal in, dus nu wordt het IP-adres van gebruiker gemaskeert. Supertof! Maar in z'n cookies staat nog steeds z'n unieke cid of uid, die al bij Google bekend is. Nu kan Google hem dus nog steeds herkennen, en zelfs verifiëren dat hij het is a.d.h.v. z'n gedeeltelijke IP adres.

Dit staat erover in die complaint:

"UUID (Universally Unique Identifier) in the _gid cookie with the UNIX time stamp 1597223478
was set on Wednesday, August 12, 2020 at 11:11 and 18 seconds CET, that in the cid cookie with the
UNIX time stamp 1597394734 was set on Friday, August 14th August 2020 at 10:45 and 34 seconds
CET. It follows that these cookies are used before the visit to which the complaint is made and longer-term tracking has taken place. To the best of his knowledge, the complainant did not
immediately delete these cookies and the website."

Eind pagina 7, en gaat door tot eind pagina 8.
Reageer
Ja ok, het gaat er om dat Google d.m.v. de opgeslagen uuid de hele geschiedenis kan achterhalen, dit doorbreek je inderdaad.
Maar wat het wordt opgeslagen, of dat een cookie is, local storage, indexeddb, ...
Dat doet er niet toe, het gaat er inderdaad om daar het geen stalk gedrag wordt.
Reageer
Ja, klopt helemaal!
Reageer
Nice. Eindelijk eens een keertje goed nieuws op privacygebied.
Reageer


Om te kunnen reageren moet je ingelogd zijn


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True